調査:[イベント]ビューでのイベントの分析

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

注: バージョン11.4では、[イベント分析]ビューが[イベント]ビューとして名称変更され、イベント リストのデフォルト ビューとして[レガシー イベント]ビューを置き換えました。11.4より前の機能に関する情報は、11.3以前の[イベント分析]ビューにも適用されます。[レガシー イベント]ビューはデフォルトで無効になっていますが、管理者は、『システム構成ガイド』の「調査の設定の構成」の説明に従って有効にすることができます。以前のバージョンの詳細については、PDFドキュメント(https://community.rsa.com/docs/DOC-81328)を参照してください。

[イベント]ビューでクエリを送信すると、[イベント]パネルが開きます。[イベント]パネルでは、分析するイベントを選択できます。このパネルに表示されるイベントは、次の2つの条件を満たしています。

  • 送信されたクエリと一致している。
  • 選択した列グループに必要な1つまたは複数のメタ キーの値を含んでいる(イベント リストの表示中に列グループを変更すると、新しい列グループを使用した元のクエリが再送信されます。サービス、時間範囲、フィルタに対して行われた未送信のクエリの変更は無視されます)。

ロードできるイベント数には構成可能な制限があります。デフォルト値は5,000です。管理者は、『システム構成ガイド』の説明に従ってこの制限を設定します。[イベント]パネルへのイベントのロードが開始されます。イベントのロード中、リストの一番上の進行状況バーに進行状況が表示されます。最も古い収集時間のイベントが最初にロードされ、100個のイベントがロードされるたびに「イベントxxx-xxx」という形式の行番号インジケータがリストに挿入されます(次の図を参照)。

[イベント]リストでハイライト表示されているイベント数と行番号

イベントのロード中はスピナーが表示されます。このカウントが閾値以上になると、閾値に達したことを伝え、クエリ コンソールで詳細を確認するよう求めるメッセージがスピナーの下に表示されます。データのロードが開始されると、メッセージが削除されます。すべてのイベントがロードされるまで、スピナーは表示されたままとなります。すべてのイベントがロードされると、次のいずれかのメッセージがリストの一番下に追加されます。

  • 「すべてのイベントがロードされました。」
  • 「上限の5,000件のイベントに達しました。クエリを絞り込んでください。」
  • 「クエリをキャンセルする前に、4,000/5,000件のイベントを取得しました。」

バージョン11.3以降では、[イベント環境設定]ダイアログの[イベント]パネルに表示されているイベントのソート順を、「最も古い収集時間が最初」または「最も新しい収集時間が最初」に設定できます。デフォルト設定は「最も古い収集時間が最初」です。この設定は、ほとんどの調査に適しています。ログを調査するにあたり、ソート順を「最も新しい収集時間が最初」に変更する必要が生じることがあります。[イベント環境設定]ダイアログのこのユーザ設定は、データベースに保存され、ログアウトして再度ログインした後も維持されます。

バージョン11.4.1以降には、[ソートしない]という新しいオプションがあります。これは、コア サービスによって処理されたイベントを一覧表示する、デフォルトの環境設定です。[ソートしない]は、すべてのコア サービスの応答を待ってから結果を順番に表示するのではなく、一致が見つかり次第イベントを戻すため、処理がより高速です。

クエリに一致するイベントの数が5,000個の上限を超えると、タイム ウィンドウ内の最も新しいイベントまたは最も古いイベント5,000個が昇順でロードされます。どのイベントがロードされるかはソート順に基づいています。たとえば、30万個のイベントがクエリに一致し、ソート順が昇順に設定されている場合は、最も古い5,000個のイベントがデフォルトでロードされます。これを変更するには、ソート順を降順に変更し、最も新しい5,000個のイベントがロードされるようにします。

最も古いイベントを最初にロードする昇順のソートは、通常、ネットワーク イベントを調査するための最適な設定です。タイム ウィンドウ内の最も新しい5,000個のイベントを表示するには、[イベント環境設定]パネルで[ユーザ環境設定]のソート順を[降順]に変更します。設定の変更は、次回のクエリ送信時に有効になります。

リストの一番上には、ロードされたイベントの合計数と、5,000個のイベント数の上限に達したかどうかのメッセージが表示されます。

  • リスト内のイベント数が5,000個未満の場合のメッセージは「xx,xxxイベント(昇順)」です。
  • リスト内のイベント数が5,000個を超えている場合のメッセージは「最も古い10,000イベント(昇順)」です。

このビューからは、[イベント]パネルでイベントをソートするための列を選択して、特定のタイプの調査に役立つメタ キーを選択できます(列グループ)。Respondでイベントをダウンロードして、インシデントを作成できます。イベントをクリックすると、イベントの再構築がさまざまな形式(パケット、テキスト、ファイル、Web、メール)で開きます。[イベント]パネルと[再構築]パネルは同時に開くことができます。[パケット]パネルと[テキスト]パネルでは、追加機能を使用して、再構築の表示方法を調整したり、興味のあるデータを強調したりすることができます。

[イベント]パネルでのテキスト文字列の検索(バージョン11.4以降)

[イベント]パネルを開いた状態で、イベントのリストからテキスト文字列を検索できます。この検索は、ブラウザ ウィンドウでのCTRL-F検索と似ています。検索では、テーブルのすべての行のすべてのテキスト(表示可能な列のみ)で一致が検索され、一致するテキストがハイライト表示されます。表示されていない列は検索の対象となりません。[サマリー]列がテーブルの一部である場合、検索機能は無効になります。

  1. [イベント]パネルにイベントがロードされた状態で、ツールバーの右側にある検索ボタン をクリックします。
    [イベント]パネルの[テキストで検索]ダイアログ
  2. テーブルでテキストを検索]ダイアログで、テキスト文字列を入力し始めます。
    2文字を入力したところで、そのテキスト文字列の完全一致(大文字と小文字は区別しない)が[イベント]パネルでハイライト表示されます。テキストの入力を続けると、ハイライト表示されたイベントがさらに絞り込まれます。次の図は、[テーブルでテキストを検索]ダイアログで「logon」と入力した場合に見つかった結果の例を示しています。テキスト文字列が10個のイベントで検出されました。最初のイベントは青色でハイライト表示され、そのイベント内のテキスト文字列もハイライト表示されます。アイコンを使用して検索結果をナビゲートし、ダイアログを閉じることができます。
    [イベント]パネルの検索結果の例
  3. 検索結果をナビゲートするには、上矢印と下矢印をクリックします。
    • テキスト文字列が含まれている次のイベントを表示し、検索結果を下方向にナビゲートするには、下矢印をクリックします。最後の結果を表示しているときに下矢印をクリックすると、最初の結果がハイライト表示されます。
    • テキスト文字列が含まれている直前のイベントを表示し、検索結果を上方向にナビゲートするには、上矢印をクリックします。最初の結果を表示しているときに上矢印をクリックすると、最後の結果がハイライト表示されます。
  4. 検索ダイアログを閉じるには、[X]をクリックするか、ESCAPEキーを押します。再構築を開いて、新しい列グループを選択するか、新しいクエリを実行した場合も、ダイアログが閉じます。

[イベント分]ビューを開く、閉じる、パネルのサイズを調整する

初期状態では、[ネットワーク イベントの詳細]、[ログ イベントの詳細]、[エンドポイント イベントの詳細]パネルは、デフォルトでウィンドウ幅の75%を占有します。

ブラウザ ウィンドウ幅の75%を使用したパケット再構築の例

一方のパネルを拡大したり、縮小したり、閉じることにより、詳細パネルに対する[イベント]パネルのサイズの比率を調整し、読みやすさを改善することができます。閉じたパネルは、再度開くことができます。選択した比率は、その比率を変更するか、ブラウザを更新するまで維持されます。

表示を最適化するには、次の操作を実行します。

  1. 2つのパネルのサイズの比率を調整するには、次のいずれかの操作を行います。
    1. 拡大するパネルのツール バーのをクリックします。
    2. 縮小するパネルのツール バーのパネルを縮小するアイコンをクリックします。
  2. 一方のパネルを閉じて、もう一方の開いているパネルを幅いっぱいに表示するには、閉じるアイコンをクリックします。
    次の図は、ブラウザ ウィンドウの幅いっぱいに再構築を表示した例です。
    ブラウザ ウィンドウの幅いっぱいに拡張されたパケット再構築の例
  3. [イベント]パネルを閉じた後で再度開くには、[イベント]ビューの右上隅にあるイベント パネルを開くアイコンをクリックします。
    [イベント]パネルに前回閉じたときの状態(25%~75%または50%~50%)が表示されます。
  4. [イベントの詳細]パネルを再度開くには、[イベント]パネル内のイベントをクリックします。

イベントの分析タイプの選択

イベントの分析タイプを選択するには、次のいずれかの操作を行います。

  1. [イベント]ビューのツールバーで、分析タイプをクリックします。
  2. ドロップダウン メニューで分析タイプ([ファイル]、[テキスト]、[パケット]、[メール]、[Web])を選択します。
    ファイル]、[テキスト]、[パケット]、[メール]のいずれかを選択すると、データは選択したパネルに表示されます。
    Web]を選択すると、単一イベントの再構築が新しいタブで開きます。これは、[レガシー イベント]ビューでのセッションの再構築と同じです。[レガシー イベント]ビューのWebの再構築の表示では追加の機能を利用でき、1つのイベントだけを表示するのではなく、別のイベントに移動することもできます(「[レガシー イベント]ビューでのイベントの再構築」を参照してください)。

注: パケット再構築は、ネットワーク イベントだけで使用可能です。

リクエストとレスポンスの表示を調整する

リクエストとレスポンスを含む分析タイプでは、いくつかの調整を行うことができます。

注: 分析タイプにリクエストとレスポンスがない場合は、このオプションは選択できません。[ファイル]パネルは、リクエストとレスポンスがない再構築のタイプの一例です。[テキスト]パネルで再構築されたログ イベントも、その一例です。

リクエスト(リクエスト側アイコン)とレスポンス(レスポンス側アイコン)のどちらか一方または両方を表示するように選択するには、矢印アイコンのいずれかまたは両方をクリックします。選択した情報で、再構築されたイベントが更新されます。

注: データが何も表示されない場合は、リクエストとレスポンスの両方の選択を解除している可能性があります。データを表示するには、2つのうちのいずれかは選択する必要があります。

イベントの関連メタデータを表示する

[テキスト]パネル、[パケット]パネル、[ファイル]パネルでイベントを調査するときに、メタデータ アイコンをクリックして、隣接する[イベント メタ]パネルに関連するメタデータを表示できます。

[イベント]ビューで結果に関連付けられたメタデータを確認するアナリストは、リスト内のメタデータの順序を変更して、探しているメタデータをより的確に見つけることができます。メタデータのリストのレイアウトがより直感的になり、必要に応じて、生成された順またはメタ キーのアルファベット順でメタデータを並べられるようになりました。次の図は、メタ キーのアルファベット順で並べたメタデータを示しています。

バージョン11.4.1の[イベント メタ]パネルの[順序]メニューの例

次の図は、同じメタデータをメタ キーの生成順で並べた場合を示しています。

バージョン11.4.1で別の順序で並べられたイベント メタデータ

[テキスト分析]パネルと[イベント メタ]パネルを表示しているときは、[イベント メタ]パネルのメタ キーとメタ値のペアにカーソルを合わせると、RAWテキストからメタ値を検索可能な場合は双眼鏡アイコンが表示されます。次の図は、検索可能なメタ キーをマークする、黒い背景色の白い双眼鏡アイコンの例です。

検索可能なメタ キーの上にカーソルを合わせると、白い双眼鏡アイコンが表示される

このアイコンをクリックすると、[テキスト]パネルでメタ キーとメタ値のペアの検索(大文字と小文字が区別されます)が開始され、検索結果がハイライト表示されます。次の図は、検索可能なメタ キー/メタ値の組み合わせをクリックすると表示される、青い背景色の白い双眼鏡アイコンの例です。

検索可能なメタ キー/メタ値の組み合わせを選択すると、結果が表示される

[イベント メタ]パネルには、ハイライト表示された行に結果の件数が示されるほか、[テキスト]パネルでそれぞれの結果に迅速に移動するために使用する上下矢印が表示されます。スクロール ボタンを使用すると、メタ キーの生成をトリガーしたデータがハイライト表示された場所を、1つずつ前に、または1つずつ後ろに移動して表示することができます。

RAWテキスト内に関連する値が存在するメタ キーのみを検索できます。一度に検索できるメタ キーは1つだけです。3000文字を超えるためトランケート表示されたテキスト エントリーは、検出されたメタ値が見えるよう展開して表示されます。

メタ キーの生成をトリガーしたメタ値をRAWテキストから検索するには、次の手順を実行します。

  1. [テキスト]パネルでネットワーク イベントを開き、メタデータ アイコンをクリックして[イベント メタ]パネルを開きます。
    [イベント メタ]パネルが開かれたテキスト分析
  2. メタ キーの横に双眼鏡アイコンが表示されるまで、リスト内のメタ キー/メタ値のペアの上にマウスを合わせます。
  3. RAWテキストの値を検索するには、検索可能であることを示す双眼鏡アイコンが表示された行をクリックします。
    該当する値がテキストに含まれていない場合は、検索対象の値が[イベント メタ]パネルでハイライト表示され、[テキスト]パネルでは何もハイライト表示されません。
    [テキスト]パネルに関連する値が1つ以上見つかった場合は、値の場所がハイライト表示されます。[イベント メタ]パネルには検索対象の値がハイライト表示され、スクロール用の上下矢印が表示されます。
    一致するテキストがテキスト分析でハイライト表示される
  4. ハイライト表示を消すには、[イベント メタ]パネルで同じメタ キーとメタ値のペアの双眼鏡アイコンをクリックするか、[イベント メタ]パネルで異なるメタ キーと値のペアの双眼鏡アイコンをクリックするか、[イベント メタ]パネルを閉じます。
    RAWテキストからハイライト表示が消えます。

注: メタ値が255文字を超える場合、そのメタ キーの上にカーソルを合わせると、完全な値が表示されます。

イベント ヘッダーを表示または非表示にする

[パケット]パネル、[テキスト]パネル、[ファイル]パネルでイベント ヘッダーを非表示にして、データの表示領域を縦方向に拡大するには、ヘッダーの表示/非表示アイコンをクリックします。このアイコンをもう一度クリックすると、イベント ヘッダーが表示されます。

[パケット]および[テキスト]パネルでのイベントのページ移動

ページ移動コントロールで、パケットやテキストのリストのページ操作を柔軟に実行できます。[パケット]パネルでは、1ページあたりに表示するパケット数を選択できます。選択内容は、NetWitness Platformアプリケーションへのログイン間で維持されます。アイコンを使用できないときは、グレー表示されます。たとえば、1ページ目を表示しているときは、前のページ アイコン最初のページ アイコンのアイコンは、グレー表示されます。

注: ページ移動コントロールはバージョン11.2以降の[テキスト]パネルで使用できます。

ページ移動アイコンを使用するには、次の手順を実行します。

  1. [イベント]ビューでイベントが開いた状態で、現在のページあたりのパケット数(50100300500)をクリックして、ドロップダウン メニューから、新しいページあたりのパケット数を選択します。
    ページあたりのパケット数セレクター
  2. ページを前後に移動するには、次のページ コントロール アイコンを使用します。
    次のページに移動するには次のページに移動アイコンをクリックします。
    最後のページに移動するには最後のページ アイコンをクリックします。
    前のページに移動するには前のページ アイコンをクリックします。
    最初のページに移動するには最初のページ アイコンをクリックします。
  3. 特定のページに移動するには、ページ番号フィールド(ページ番号フィールド)にページ番号を入力します。

注: [テキスト]パネルでは、手動で最後のページまで移動しないと、最後のページ コントロール アイコンが使用可能になりません。

[テキスト]パネル内のトランケートされたテキスト エントリーを展開する

[テキスト]パネルでのネットワーク イベントの再構築には、何十万もの大量の文字からなるリクエストとレスポンスが含まれる場合があり、6,000文字を超えるような関係のない長いエントリーをスクロールすることは時間の無駄になる可能性があります。アナリストのエクスペリエンスを向上させるために、6000文字以上が含まれるすべてのテキスト エントリーは最初の2000文字のみを表示するようにトランケートされます。次の図は、2000文字より大きいエントリーの例です。ヘッダーのメッセージが総文字数の何%を表示しているかを示しています。

トランケートされたテキストの再構築の例

現在表示されているのは全体の60%(最初の2,000文字)であるため、残りのエントリーを表示するには、[残り40%を表示]をクリックします。

完全に展開されたレスポンスの例

[テキスト]パネルでテキストがトランケートされた状態で、[イベント メタ]パネルに表示されているメタデータを検索した場合、トランケートされたテキストも検索対象に含まれます。非表示のテキスト内にメタデータが存在する場合、検出されたメタデータの場所がわかるようテキスト エントリーが展開されます。

[テキスト分析]パネルでURLとBase64のエンコードおよびデコードを実行する

[テキスト]パネルで再構築されているネットワーク セッションにBase64またはURLエンコードされた文字列が含まれる場合、セッションをよく理解するために文字列をデコードすることができます。セッションにBase64またはURLのデコードされた文字列が含まれる場合、他のセッションに同じ文字列がエンコードされた形式で含まれていないかを検索するため、文字列をエンコードすることができます。

[テキスト]パネルでエンコードされたテキストが含まれるネットワーク セッションを表示している場合、1つのリクエストまたはレスポンス内のテキストの一部を選択して、エンコードまたはデコードした形式で表示することができます。Decoderにロードされたコンテンツによっては、セッション内にBase64かURLでエンコードされたデータがあることを示す追加のメタデータが含まれることがあります。

次の図は、URLエンコードとBase64エンコードされたテキストを表示するポップアップの例です。

エンコードされたテキストを表示する[テキスト分析]

デコードしたテキストの例

[テキスト]パネルでエンコードおよびデコードを実行するには、次の手順を実行します。

  1. [イベント]ビューで、エンコードまたはデコードされたコンテンツを含むセッションの[テキスト]パネルを表示します。
  2. デコードされたテキストをエンコードされた形式で表示するには、1つのリクエストまたはレスポンス内でテキストをドラッグして選択します。
    エンコードとデコードのオプションがメニューに表示されます。
    テキストをデコードおよびエンコードするためのポップアップ メニュー
  3. 選択したテキストをエンコード]をクリックします。
    ポップアップにエンコードされたテキストが表示されます。このポップアップは、閉じるアイコンをクリックするまで、[テキスト]パネル内の別のテキストを選択するまで、[イベント]パネルを閉じるまで、再構築する別のイベントを選択するまで、別の再構築ビューに切り換えるまで表示されます。
    エンコードされたURL
    長いテキストを選択すると、ポップアップはスクロール可能になり、選択したテキストとデコードされたテキスト全体が収まる大きさになります。
  4. セッションに含まれるエンコードされたテキストをデコードされた形式で表示したい場合は、1つのリクエストまたはレスポンス内でテキストをドラッグして選択します。
    エンコードとデコードのオプションがメニューに表示されます。
  5. 選択したテキストをデコード]をクリックします。
    ポップアップにデコードされたテキストが表示されます。このポップアップは、閉じるアイコンをクリックするまで、[テキスト]パネル内の別のテキストを選択するまで、[イベント]パネルを閉じるまで、再構築する別のイベントを選択するまで、別の再構築ビューに切り換えるまで表示されます。
  6. テキストの再構築から一部のテキストをコピーする場合は、次のいずれかの操作を行います。
    1. 一部のテキストをドラッグして選択し、右クリックして、ポップアップ メニューから[選択したテキストをコピー]を選択します。
      選択したデータとコピー、デコード、およびエンコード メニュー
    2. テキストの一部をドラッグし選択し、[選択したテキストをデコード]または[選択したテキストをエンコード]のいずれかを選択します。ポップアップ内で目的のテキストを選択し、Control-Cを押します。
      選択したテキストがクリップボードにコピーされ、ペーストできるようになります。
  7. 操作が終了したら、閉じるアイコンをクリックしてポップアップを閉じます。

[テキスト]パネルでHTTPネットワーク セッションの解凍されたテキストを表示する

HTTPネットワーク セッションのコンテンツが圧縮されている場合、NetWitness Platformは[テキスト]パネルにデフォルトで解凍されたコンテンツを表示します。これにより、任意のパターンがあるか判断し、読み取り可能な文字を表示することができます。圧縮されたテキストを圧縮表示するか解凍表示するかを切り替えることができます。

注: 解凍されたテキストの表示は、[パケット]パネル、[ファイル]パネル、非HTTPネットワーク セッション、ログ データでは使用できません。

圧縮表示と解凍表示の切り替えボタンは、[テキスト]パネルのみに表示され、圧縮されたテキスト コンテンツがある場合にのみ有効になります。

  1. 圧縮されたコンテンツを含むHTTPセッションの[テキスト]パネルを開きます。
    デフォルトで、セッションはテキストが解凍された状態で再構築され、[圧縮されたペイロードの表示]切り替えスイッチが再構築の上に表示されます。
    展開されたペイロードの例
  2. 同じテキストを圧縮形式で表示するには、切り替えスイッチをクリックします。
    表示が切り替わって、圧縮されたテキストが読めなくなり、スイッチの[圧縮されたペイロードの表示]がオンになります。
    圧縮されたペイロードの例
  3. 解凍されたテキストの表示に戻すには、スイッチを再度クリックします。

ネットワーク セッションの[パケット]パネルで[ペイロードのみ]オプションを使用する

[パケット]パネルでネットワーク セッションの再構築を表示しているときは、各パケットの主なペイロードのみを表示することを選択できます。デフォルトでは、各パケットのヘッダーとフッターのバイトが表示されます。[ペイロードのみ表示]スイッチをクリックしてこれらを非表示にできます。ペイロード バイトのみを表示している場合、[ペイロードのみ表示]切り替えスイッチをオフに設定すると、デフォルト設定を復元できます。この設定は、それを変更するか、ブラウザを更新するまで保持されます。

  • [ペイロードのみ表示]オプションをオフにすると、パケット番号、パケットのヘッダー、パケットのフッター、ペイロードが表示されます。
  • [ペイロードのみ表示]オプションをオンにすると、パケットのヘッダーとフッターのバイトは表示されません。パケット コンテンツのみが、1行あたり16バイトの16進数とそれに対応するASCII文字で表示されます。
  1. [イベント]ビューで、ネットワーク セッションの[パケット]パネルに移動します。
    デフォルトで、パケット ヘッダー、フッター、ペイロードが表示された状態でセッションが再構築されます。
    [ペイロードのみ表示]オプションがオフ
  2. 各パケットのペイロードのみを表示するようにビューを切り替えるには、[ペイロードのみ表示]切り替えスイッチをクリックします。
    ビューが切り替わり、ペイロードのみが表示され、同じサイドの連続したパケットが連結されて、ペイロードがより読みやすく理解しやすくなります。
    [ペイロードのみ表示]オプションがオン

[パケット]パネルでバイトをハイライト表示する

[パケット]パネルで最初に再構築を開くと、各パケットの重要なヘッダー バイトは青色でハイライト表示され、パケットの内容を理解しやすくするために、ペイロード バイトは濃淡化により区別されます。次の図は、ハイライト表示とバイトの濃淡化が有効になったデフォルトのパケットです。


[バイトの濃淡化]オプションは、16進数バイト(00~FF)を識別しやすくするため濃淡を変えてバイトを表示する機能です。下のレンジのバイトほど薄い色で表示され、255に近いバイトは濃い色で表示されます。16進数およびASCIIの両方が濃淡化されます。次の図は、16進数の各バイトを濃淡化した例です。

16進数の各バイトに濃淡化した例

[バイトの濃淡化]スイッチは、バイトの濃淡化を制御します。[バイトの濃淡化]をオンまたはオフに設定すると、設定を変更するか、ブラウザを更新するまでその設定が保持されます。

[パケット]パネルで一般的なファイル タイプをハイライト表示する

[パケット]パネルで、アナリストは、ファイル シグネチャに基づいて特定のファイル タイプをハイライト表示したり、非表示にしたりできます。[一般的なファイル パターン]機能がオンの場合は、ペイロード内にあるファイル シグネチャのマジック ナンバーのバイトがハイライト表示され、ハイライト表示にカーソルを合わせると潜在的なファイル タイプが表示されます。この例では、89 50 4e 47が16進数のペイロードでハイライト表示され、PNGがASCIIのペイロードでハイライト表示されています。ハイライト表示されているバイトにカーソルを合わせると、ポップアップに、そのマジック ナンバーに関連する潜在的なファイル タイプが表示されます。

次の表は、ペイロードに存在する場合にハイライト表示されるファイル タイプと対応するマジック ナンバーです。

                                                                                                  
ファイル タイプ16進数のシグネチャASCIIエンコード
DOS実行可能プログラム/Windows PE4D 5AMZ
PNG(ポータブル ネットワーク グラフィックス)89 50 4E 47 0 D 0A 1A 0APNG
JPEGFF D8 FFJPEG
JPEG/JFIF4A 46 49 46JFIF
JPEG/Exif45 78 69 66Exif
GIF47 49 46 38 37 61GIF87a
GIF47 49 46 38 39 61GIF89a

移植性がない実行可能プログラム

5A 4D

ZM

BMP42 4DBM
PDF25 50 44 46%PDF
古いOfficeドキュメント(doc、xls、ppt、msg、その他)D0 CF 11 E0 A1 B1 1A E1ÐÏ.ࡱ.á
ZIPファイル形式、およびJAR、ODF、OOXMLなどのZIPに基づく形式50 4BPK..
7 ZIPファイル形式(7z)37 7A BC AF 27 1C7z¼¯'
Javaクラス ファイル、Mach-O FatバイナリCA FE BA BEÊþº¾
PostScript25 21 50 53%!PS
Unix/Linuxのシェル スクリプト23 21#!
ELF(実行可能プログラムおよびリンク可能な形式)の実行可能プログラム7F 45 4C 46.ELF

[パケット分析]パネルに一般的なファイル シグネチャを表示するには、次の手順を実行します。

  1. [パケット分析]パネルに移動し、[一般的なファイル パターン]オプションをオンにします。
    ビューに複数のハイライト表示がある場合は、すべてが表示されます。
  2. ポップアップを表示するには、ハイライト表示された場所にカーソルを置きます。

You are here
Table of Contents > イベントの再構築と分析 > [イベント]ビューでのイベントの分析

Attachments

    Outcomes