調査：［イベント］ビューでのイベントの分析

 

注： バージョン11.4では、［イベント分析］ビューが［イベント］ビューとして名称変更され、イベント リストのデフォルト ビューとして［レガシー イベント］ビューを置き換えました。11.4より前の機能に関する情報は、11.3以前の［イベント分析］ビューにも適用されます。［レガシー イベント］ビューはデフォルトで無効になっていますが、管理者は、『システム構成ガイド』の「調査の設定の構成」の説明に従って有効にすることができます。以前のバージョンの詳細については、PDFドキュメント（https://community.rsa.com/docs/DOC-81328）を参照してください。

［イベント］ビューでクエリを送信すると、［イベント］パネルが開きます。［イベント］パネルでは、分析するイベントを選択できます。このパネルに表示されるイベントは、次の2つの条件を満たしています。

• 送信されたクエリと一致している。
• 選択した列グループに必要な1つまたは複数のメタ キーの値を含んでいる（イベント リストの表示中に列グループを変更すると、新しい列グループを使用した元のクエリが再送信されます。サービス、時間範囲、フィルタに対して行われた未送信のクエリの変更は無視されます）。

ロードできるイベント数には構成可能な制限があります。デフォルト値は5,000です。管理者は、『システム構成ガイド』の説明に従ってこの制限を設定します。［イベント］パネルへのイベントのロードが開始されます。イベントのロード中、リストの一番上の進行状況バーに進行状況が表示されます。最も古い収集時間のイベントが最初にロードされ、100個のイベントがロードされるたびに「イベントxxx-xxx」という形式の行番号インジケータがリストに挿入されます（次の図を参照）。

イベントのロード中はスピナーが表示されます。このカウントが閾値以上になると、閾値に達したことを伝え、クエリ コンソールで詳細を確認するよう求めるメッセージがスピナーの下に表示されます。データのロードが開始されると、メッセージが削除されます。すべてのイベントがロードされるまで、スピナーは表示されたままとなります。すべてのイベントがロードされると、次のいずれかのメッセージがリストの一番下に追加されます。

• 「すべてのイベントがロードされました。」
• 「上限の5,000件のイベントに達しました。クエリを絞り込んでください。」
• 「クエリをキャンセルする前に、4,000/5,000件のイベントを取得しました。」

バージョン11.3以降では、［イベント環境設定］ダイアログの［イベント］パネルに表示されているイベントのソート順を、「最も古い収集時間が最初」または「最も新しい収集時間が最初」に設定できます。デフォルト設定は「最も古い収集時間が最初」です。この設定は、ほとんどの調査に適しています。ログを調査するにあたり、ソート順を「最も新しい収集時間が最初」に変更する必要が生じることがあります。［イベント環境設定］ダイアログのこのユーザ設定は、データベースに保存され、ログアウトして再度ログインした後も維持されます。

バージョン11.4.1以降には、［ソートしない］という新しいオプションがあります。これは、コア サービスによって処理されたイベントを一覧表示する、デフォルトの環境設定です。［ソートしない］は、すべてのコア サービスの応答を待ってから結果を順番に表示するのではなく、一致が見つかり次第イベントを戻すため、処理がより高速です。

クエリに一致するイベントの数が5,000個の上限を超えると、タイム ウィンドウ内の最も新しいイベントまたは最も古いイベント5,000個が昇順でロードされます。どのイベントがロードされるかはソート順に基づいています。たとえば、30万個のイベントがクエリに一致し、ソート順が昇順に設定されている場合は、最も古い5,000個のイベントがデフォルトでロードされます。これを変更するには、ソート順を降順に変更し、最も新しい5,000個のイベントがロードされるようにします。

最も古いイベントを最初にロードする昇順のソートは、通常、ネットワーク イベントを調査するための最適な設定です。タイム ウィンドウ内の最も新しい5,000個のイベントを表示するには、［イベント環境設定］パネルで［ユーザ環境設定］のソート順を［降順］に変更します。設定の変更は、次回のクエリ送信時に有効になります。

リストの一番上には、ロードされたイベントの合計数と、5,000個のイベント数の上限に達したかどうかのメッセージが表示されます。

• リスト内のイベント数が5,000個未満の場合のメッセージは「xx,xxxイベント（昇順）」です。
• リスト内のイベント数が5,000個を超えている場合のメッセージは「最も古い10,000イベント（昇順）」です。

このビューからは、［イベント］パネルでイベントをソートするための列を選択して、特定のタイプの調査に役立つメタ キーを選択できます（列グループ）。Respondでイベントをダウンロードして、インシデントを作成できます。イベントをクリックすると、イベントの再構築がさまざまな形式（パケット、テキスト、ファイル、Web、メール）で開きます。［イベント］パネルと［再構築］パネルは同時に開くことができます。［パケット］パネルと［テキスト］パネルでは、追加機能を使用して、再構築の表示方法を調整したり、興味のあるデータを強調したりすることができます。

［イベント］パネルでのテキスト文字列の検索（バージョン11.4以降）

［イベント］パネルを開いた状態で、イベントのリストからテキスト文字列を検索できます。この検索は、ブラウザ ウィンドウでのCTRL-F検索と似ています。検索では、テーブルのすべての行のすべてのテキスト（表示可能な列のみ）で一致が検索され、一致するテキストがハイライト表示されます。表示されていない列は検索の対象となりません。［サマリー］列がテーブルの一部である場合、検索機能は無効になります。

1. ［イベント］パネルにイベントがロードされた状態で、ツールバーの右側にある をクリックします。
   
   
2. ［テーブルでテキストを検索］ダイアログで、テキスト文字列を入力し始めます。
   2文字を入力したところで、そのテキスト文字列の完全一致（大文字と小文字は区別しない）が［イベント］パネルでハイライト表示されます。テキストの入力を続けると、ハイライト表示されたイベントがさらに絞り込まれます。次の図は、［テーブルでテキストを検索］ダイアログで「logon」と入力した場合に見つかった結果の例を示しています。テキスト文字列が10個のイベントで検出されました。最初のイベントは青色でハイライト表示され、そのイベント内のテキスト文字列もハイライト表示されます。アイコンを使用して検索結果をナビゲートし、ダイアログを閉じることができます。
   
3. 検索結果をナビゲートするには、上矢印と下矢印をクリックします。
   • テキスト文字列が含まれている次のイベントを表示し、検索結果を下方向にナビゲートするには、下矢印をクリックします。最後の結果を表示しているときに下矢印をクリックすると、最初の結果がハイライト表示されます。
   • テキスト文字列が含まれている直前のイベントを表示し、検索結果を上方向にナビゲートするには、上矢印をクリックします。最初の結果を表示しているときに上矢印をクリックすると、最後の結果がハイライト表示されます。
4. 検索ダイアログを閉じるには、［X］をクリックするか、ESCAPEキーを押します。再構築を開いて、新しい列グループを選択するか、新しいクエリを実行した場合も、ダイアログが閉じます。

［イベント分］ビューを開く、閉じる、パネルのサイズを調整する

初期状態では、［ネットワーク イベントの詳細］、［ログ イベントの詳細］、［エンドポイント イベントの詳細］パネルは、デフォルトでウィンドウ幅の75%を占有します。

一方のパネルを拡大したり、縮小したり、閉じることにより、詳細パネルに対する［イベント］パネルのサイズの比率を調整し、読みやすさを改善することができます。閉じたパネルは、再度開くことができます。選択した比率は、その比率を変更するか、ブラウザを更新するまで維持されます。

表示を最適化するには、次の操作を実行します。

1. 2つのパネルのサイズの比率を調整するには、次のいずれかの操作を行います。
   1. 拡大するパネルのツール バーのをクリックします。
   2. 縮小するパネルのツール バーのをクリックします。
2. 一方のパネルを閉じて、もう一方の開いているパネルを幅いっぱいに表示するには、をクリックします。
   次の図は、ブラウザ ウィンドウの幅いっぱいに再構築を表示した例です。
   
   
3. ［イベント］パネルを閉じた後で再度開くには、［イベント］ビューの右上隅にあるをクリックします。
   ［イベント］パネルに前回閉じたときの状態（25%～75%または50%～50%）が表示されます。
4. ［イベントの詳細］パネルを再度開くには、［イベント］パネル内のイベントをクリックします。

イベントの分析タイプの選択

イベントの分析タイプを選択するには、次のいずれかの操作を行います。

1. ［イベント］ビューのツールバーで、分析タイプをクリックします。
2. ドロップダウン メニューで分析タイプ（［ファイル］、［テキスト］、［パケット］、［メール］、［Web］）を選択します。
   ［ファイル］、［テキスト］、［パケット］、［メール］のいずれかを選択すると、データは選択したパネルに表示されます。
   ［Web］を選択すると、単一イベントの再構築が新しいタブで開きます。これは、［レガシー イベント］ビューでのセッションの再構築と同じです。［レガシー イベント］ビューのWebの再構築の表示では追加の機能を利用でき、1つのイベントだけを表示するのではなく、別のイベントに移動することもできます（「［レガシー イベント］ビューでのイベントの再構築」を参照してください）。

注： パケット再構築は、ネットワーク イベントだけで使用可能です。

リクエストとレスポンスの表示を調整する

リクエストとレスポンスを含む分析タイプでは、いくつかの調整を行うことができます。

注： 分析タイプにリクエストとレスポンスがない場合は、このオプションは選択できません。［ファイル］パネルは、リクエストとレスポンスがない再構築のタイプの一例です。［テキスト］パネルで再構築されたログ イベントも、その一例です。

リクエスト（）とレスポンス（）のどちらか一方または両方を表示するように選択するには、矢印アイコンのいずれかまたは両方をクリックします。選択した情報で、再構築されたイベントが更新されます。

注： データが何も表示されない場合は、リクエストとレスポンスの両方の選択を解除している可能性があります。データを表示するには、2つのうちのいずれかは選択する必要があります。

イベントの関連メタデータを表示する

［テキスト］パネル、［パケット］パネル、［ファイル］パネルでイベントを調査するときに、をクリックして、隣接する［イベント メタ］パネルに関連するメタデータを表示できます。

［イベント］ビューで結果に関連付けられたメタデータを確認するアナリストは、リスト内のメタデータの順序を変更して、探しているメタデータをより的確に見つけることができます。メタデータのリストのレイアウトがより直感的になり、必要に応じて、生成された順またはメタ キーのアルファベット順でメタデータを並べられるようになりました。次の図は、メタ キーのアルファベット順で並べたメタデータを示しています。

次の図は、同じメタデータをメタ キーの生成順で並べた場合を示しています。

［テキスト分析］パネルと［イベント メタ］パネルを表示しているときは、［イベント メタ］パネルのメタ キーとメタ値のペアにカーソルを合わせると、RAWテキストからメタ値を検索可能な場合は双眼鏡アイコンが表示されます。次の図は、検索可能なメタ キーをマークする、黒い背景色の白い双眼鏡アイコンの例です。

このアイコンをクリックすると、［テキスト］パネルでメタ キーとメタ値のペアの検索（大文字と小文字が区別されます）が開始され、検索結果がハイライト表示されます。次の図は、検索可能なメタ キー/メタ値の組み合わせをクリックすると表示される、青い背景色の白い双眼鏡アイコンの例です。

［イベント メタ］パネルには、ハイライト表示された行に結果の件数が示されるほか、［テキスト］パネルでそれぞれの結果に迅速に移動するために使用する上下矢印が表示されます。スクロール ボタンを使用すると、メタ キーの生成をトリガーしたデータがハイライト表示された場所を、１つずつ前に、または1つずつ後ろに移動して表示することができます。

RAWテキスト内に関連する値が存在するメタ キーのみを検索できます。一度に検索できるメタ キーは1つだけです。3000文字を超えるためトランケート表示されたテキスト エントリーは、検出されたメタ値が見えるよう展開して表示されます。

メタ キーの生成をトリガーしたメタ値をRAWテキストから検索するには、次の手順を実行します。

1. ［テキスト］パネルでネットワーク イベントを開き、をクリックして［イベント メタ］パネルを開きます。
   
   
2. メタ キーの横に双眼鏡アイコンが表示されるまで、リスト内のメタ キー/メタ値のペアの上にマウスを合わせます。
   
3. RAWテキストの値を検索するには、検索可能であることを示す双眼鏡アイコンが表示された行をクリックします。
   該当する値がテキストに含まれていない場合は、検索対象の値が［イベント メタ］パネルでハイライト表示され、［テキスト］パネルでは何もハイライト表示されません。
   ［テキスト］パネルに関連する値が1つ以上見つかった場合は、値の場所がハイライト表示されます。［イベント メタ］パネルには検索対象の値がハイライト表示され、スクロール用の上下矢印が表示されます。
   
   
4. ハイライト表示を消すには、［イベント メタ］パネルで同じメタ キーとメタ値のペアの双眼鏡アイコンをクリックするか、［イベント メタ］パネルで異なるメタ キーと値のペアの双眼鏡アイコンをクリックするか、［イベント メタ］パネルを閉じます。
   RAWテキストからハイライト表示が消えます。

注： メタ値が255文字を超える場合、そのメタ キーの上にカーソルを合わせると、完全な値が表示されます。

イベント ヘッダーを表示または非表示にする

［パケット］パネル、［テキスト］パネル、［ファイル］パネルでイベント ヘッダーを非表示にして、データの表示領域を縦方向に拡大するには、をクリックします。このアイコンをもう一度クリックすると、イベント ヘッダーが表示されます。

［パケット］および［テキスト］パネルでのイベントのページ移動

ページ移動コントロールで、パケットやテキストのリストのページ操作を柔軟に実行できます。［パケット］パネルでは、1ページあたりに表示するパケット数を選択できます。選択内容は、NetWitness Platformアプリケーションへのログイン間で維持されます。アイコンを使用できないときは、グレー表示されます。たとえば、1ページ目を表示しているときは、とのアイコンは、グレー表示されます。

注： ページ移動コントロールはバージョン11.2以降の［テキスト］パネルで使用できます。

ページ移動アイコンを使用するには、次の手順を実行します。

1. ［イベント］ビューでイベントが開いた状態で、現在のページあたりのパケット数（50、100、300、500）をクリックして、ドロップダウン メニューから、新しいページあたりのパケット数を選択します。
   
2. ページを前後に移動するには、次のページ コントロール アイコンを使用します。
   次のページに移動するにはをクリックします。
   最後のページに移動するにはをクリックします。
   前のページに移動するにはをクリックします。
   最初のページに移動するにはをクリックします。
3. 特定のページに移動するには、ページ番号フィールド（）にページ番号を入力します。

注： ［テキスト］パネルでは、手動で最後のページまで移動しないと、最後のページ コントロール アイコンが使用可能になりません。

［テキスト］パネル内のトランケートされたテキスト エントリーを展開する

［テキスト］パネルでのネットワーク イベントの再構築には、何十万もの大量の文字からなるリクエストとレスポンスが含まれる場合があり、6,000文字を超えるような関係のない長いエントリーをスクロールすることは時間の無駄になる可能性があります。アナリストのエクスペリエンスを向上させるために、6000文字以上が含まれるすべてのテキスト エントリーは最初の2000文字のみを表示するようにトランケートされます。次の図は、2000文字より大きいエントリーの例です。ヘッダーのメッセージが総文字数の何%を表示しているかを示しています。

現在表示されているのは全体の60%（最初の2,000文字）であるため、残りのエントリーを表示するには、［残り40%を表示］をクリックします。

［テキスト］パネルでテキストがトランケートされた状態で、［イベント メタ］パネルに表示されているメタデータを検索した場合、トランケートされたテキストも検索対象に含まれます。非表示のテキスト内にメタデータが存在する場合、検出されたメタデータの場所がわかるようテキスト エントリーが展開されます。

［テキスト分析］パネルでURLとBase64のエンコードおよびデコードを実行する

［テキスト］パネルで再構築されているネットワーク セッションにBase64またはURLエンコードされた文字列が含まれる場合、セッションをよく理解するために文字列をデコードすることができます。セッションにBase64またはURLのデコードされた文字列が含まれる場合、他のセッションに同じ文字列がエンコードされた形式で含まれていないかを検索するため、文字列をエンコードすることができます。

［テキスト］パネルでエンコードされたテキストが含まれるネットワーク セッションを表示している場合、1つのリクエストまたはレスポンス内のテキストの一部を選択して、エンコードまたはデコードした形式で表示することができます。Decoderにロードされたコンテンツによっては、セッション内にBase64かURLでエンコードされたデータがあることを示す追加のメタデータが含まれることがあります。

次の図は、URLエンコードとBase64エンコードされたテキストを表示するポップアップの例です。

［テキスト］パネルでエンコードおよびデコードを実行するには、次の手順を実行します。

1. ［イベント］ビューで、エンコードまたはデコードされたコンテンツを含むセッションの［テキスト］パネルを表示します。
   
2. デコードされたテキストをエンコードされた形式で表示するには、1つのリクエストまたはレスポンス内でテキストをドラッグして選択します。
   エンコードとデコードのオプションがメニューに表示されます。
   
   
3. ［選択したテキストをエンコード］をクリックします。
   ポップアップにエンコードされたテキストが表示されます。このポップアップは、をクリックするまで、［テキスト］パネル内の別のテキストを選択するまで、［イベント］パネルを閉じるまで、再構築する別のイベントを選択するまで、別の再構築ビューに切り換えるまで表示されます。
   
   長いテキストを選択すると、ポップアップはスクロール可能になり、選択したテキストとデコードされたテキスト全体が収まる大きさになります。
4. セッションに含まれるエンコードされたテキストをデコードされた形式で表示したい場合は、1つのリクエストまたはレスポンス内でテキストをドラッグして選択します。
   エンコードとデコードのオプションがメニューに表示されます。
5. ［選択したテキストをデコード］をクリックします。
   ポップアップにデコードされたテキストが表示されます。このポップアップは、をクリックするまで、［テキスト］パネル内の別のテキストを選択するまで、［イベント］パネルを閉じるまで、再構築する別のイベントを選択するまで、別の再構築ビューに切り換えるまで表示されます。
   
6. テキストの再構築から一部のテキストをコピーする場合は、次のいずれかの操作を行います。
   1. 一部のテキストをドラッグして選択し、右クリックして、ポップアップ メニューから［選択したテキストをコピー］を選択します。
      
   2. テキストの一部をドラッグし選択し、［選択したテキストをデコード］または［選択したテキストをエンコード］のいずれかを選択します。ポップアップ内で目的のテキストを選択し、Control-Cを押します。
      選択したテキストがクリップボードにコピーされ、ペーストできるようになります。
7. 操作が終了したら、をクリックしてポップアップを閉じます。

［テキスト］パネルでHTTPネットワーク セッションの解凍されたテキストを表示する

HTTPネットワーク セッションのコンテンツが圧縮されている場合、NetWitness Platformは［テキスト］パネルにデフォルトで解凍されたコンテンツを表示します。これにより、任意のパターンがあるか判断し、読み取り可能な文字を表示することができます。圧縮されたテキストを圧縮表示するか解凍表示するかを切り替えることができます。

注： 解凍されたテキストの表示は、［パケット］パネル、［ファイル］パネル、非HTTPネットワーク セッション、ログ データでは使用できません。

圧縮表示と解凍表示の切り替えボタンは、［テキスト］パネルのみに表示され、圧縮されたテキスト コンテンツがある場合にのみ有効になります。

1. 圧縮されたコンテンツを含むHTTPセッションの［テキスト］パネルを開きます。
   デフォルトで、セッションはテキストが解凍された状態で再構築され、［圧縮されたペイロードの表示］切り替えスイッチが再構築の上に表示されます。
   
   
2. 同じテキストを圧縮形式で表示するには、切り替えスイッチをクリックします。
   表示が切り替わって、圧縮されたテキストが読めなくなり、スイッチの［圧縮されたペイロードの表示］がオンになります。
   
   
3. 解凍されたテキストの表示に戻すには、スイッチを再度クリックします。

ネットワーク セッションの［パケット］パネルで［ペイロードのみ］オプションを使用する

［パケット］パネルでネットワーク セッションの再構築を表示しているときは、各パケットの主なペイロードのみを表示することを選択できます。デフォルトでは、各パケットのヘッダーとフッターのバイトが表示されます。［ペイロードのみ表示］スイッチをクリックしてこれらを非表示にできます。ペイロード バイトのみを表示している場合、［ペイロードのみ表示］切り替えスイッチをオフに設定すると、デフォルト設定を復元できます。この設定は、それを変更するか、ブラウザを更新するまで保持されます。

• ［ペイロードのみ表示］オプションをオフにすると、パケット番号、パケットのヘッダー、パケットのフッター、ペイロードが表示されます。
• ［ペイロードのみ表示］オプションをオンにすると、パケットのヘッダーとフッターのバイトは表示されません。パケット コンテンツのみが、1行あたり16バイトの16進数とそれに対応するASCII文字で表示されます。

1. ［イベント］ビューで、ネットワーク セッションの［パケット］パネルに移動します。
   デフォルトで、パケット ヘッダー、フッター、ペイロードが表示された状態でセッションが再構築されます。
   
   
2. 各パケットのペイロードのみを表示するようにビューを切り替えるには、［ペイロードのみ表示］切り替えスイッチをクリックします。
   ビューが切り替わり、ペイロードのみが表示され、同じサイドの連続したパケットが連結されて、ペイロードがより読みやすく理解しやすくなります。
   
   

［パケット］パネルでバイトをハイライト表示する

［パケット］パネルで最初に再構築を開くと、各パケットの重要なヘッダー バイトは青色でハイライト表示され、パケットの内容を理解しやすくするために、ペイロード バイトは濃淡化により区別されます。次の図は、ハイライト表示とバイトの濃淡化が有効になったデフォルトのパケットです。

［バイトの濃淡化］オプションは、16進数バイト（00～FF）を識別しやすくするため濃淡を変えてバイトを表示する機能です。下のレンジのバイトほど薄い色で表示され、255に近いバイトは濃い色で表示されます。16進数およびASCIIの両方が濃淡化されます。次の図は、16進数の各バイトを濃淡化した例です。

［バイトの濃淡化］スイッチは、バイトの濃淡化を制御します。［バイトの濃淡化］をオンまたはオフに設定すると、設定を変更するか、ブラウザを更新するまでその設定が保持されます。

［パケット］パネルで一般的なファイル タイプをハイライト表示する

［パケット］パネルで、アナリストは、ファイル シグネチャに基づいて特定のファイル タイプをハイライト表示したり、非表示にしたりできます。［一般的なファイル パターン］機能がオンの場合は、ペイロード内にあるファイル シグネチャのマジック ナンバーのバイトがハイライト表示され、ハイライト表示にカーソルを合わせると潜在的なファイル タイプが表示されます。この例では、89 50 4e 47が16進数のペイロードでハイライト表示され、PNGがASCIIのペイロードでハイライト表示されています。ハイライト表示されているバイトにカーソルを合わせると、ポップアップに、そのマジック ナンバーに関連する潜在的なファイル タイプが表示されます。

次の表は、ペイロードに存在する場合にハイライト表示されるファイル タイプと対応するマジック ナンバーです。

                                                                                                  

［パケット分析］パネルに一般的なファイル シグネチャを表示するには、次の手順を実行します。

1. ［パケット分析］パネルに移動し、［一般的なファイル パターン］オプションをオンにします。
   ビューに複数のハイライト表示がある場合は、すべてが表示されます。
2. ポップアップを表示するには、ハイライト表示された場所にカーソルを置きます。