調査:[ナビゲート]ビューおよび[レガシー イベント]ビューの構成

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

アナリストは、[ナビゲート]ビューと[レガシー イベント]ビューを使用する際の、NetWitness Platformのパフォーマンスや動作に影響する環境設定を変更できます。これらの設定の一部はNetWitness Platform内の次の2つの場所にあり、どちらの場所で変更を行っても、もう一方のビューに変更が適用されるようになっています。

  • [ナビゲート]ビューおよび[レガシー イベント]ビューにある[調査]ビュー>[設定]ダイアログ。
  • [プロファイル]>[環境設定]パネル>[調査]タブ。 
  • [ナビゲート]ビューと[レガシー イベント]ビューの[検索オプション]ドロップダウン。

[ナビゲート]ビューと[レガシー イベント]ビューの[設定]へのアクセス

設定にアクセスするには、次のいずれかを実行します。

  • ナビゲート]ビューのツールバーで、[設定]オプションを選択します。
    [ナビゲート]ビューの[設定]ダイアログが表示されます。

    [ナビゲート]ビューの[設定]ダイアログ

    注: バージョン11.0で追加された[イベント パネルのイベントを挿入モードで表示]オプションの設定は、バージョン11.1では[レガシー イベント]ビューの[設定]パネルに移動しました。

  • レガシー イベント]ビューのツールバーで、[設定]オプションを選択します。
    [レガシー イベント]ビューの[設定]ダイアログが表示されます。
    バージョン11.1のイベント表示設定

    注: バージョン11.1以降、[イベント パネルのイベントを挿入モードで表示]オプションの設定が追加されました。

  • NetWitness Platformの右上で、[プロファイル]ドロップダウン メニュー >[[プロファイル]オプション]に移動し、[環境設定]パネルの[調査]タブをクリックします。
    [調査]パネルが表示されます。次の図は、[調査]パネルを示しています。

    [ユーザ プロファイル環境設定]>[調査]タブ(バージョン11.2)

[ナビゲート]ビューでの値のロード パラメータの調整

いくつかの設定は、[値]パネルで値をロードする際のNetWitness Platformのパフォーマンスに影響します。デフォルト値は一般的な使用方法に基づいて設定されているため、アナリストはこれらの設定を自分の調査内容に合わせて調整できます。これらの設定を調整するには、次の手順を実行します。

  1. 環境設定]パネル>[調査]タブに移動するか、[ナビゲート]ビューの[設定]ダイアログに移動します。
  2. 次のパラメータを調整します。
    • 閾値:[値]パネルでメタ キー値にロードするセッションの最大数の閾値を設定します。閾値を高くすると、値が正確にカウントされますが、その分ロード時間が長くなります。デフォルト値は100000です。
    • 結果の最大数:[ナビゲート]ビューで開いているメタ キーについて、[メタ キー]メニューで[最大まで表示]オプションを選択した場合にロードする値の最大数を設定します。デフォルト値は1000です。
    • 最大セッション エクスポート:単一のPCAPファイルまたはログ ファイルにエクスポートできるイベントの数を指定します。
    • ログ ビューの最大文字数:[調査]>[イベント]>[ログ テキスト]に表示する最大文字数を設定します。デフォルト値は1000です。
    • メタ値の最大文字数:[ナビゲート]ビューの[値]パネルに表示されるメタ値名の最大文字数を設定します。デフォルト値は60です。
    • デバッグ情報の表示:NetWitness Platformの[ナビゲート]ビューの階層リンクの下に、where句と、Brokerで集計した各サービスのロード時間を表示する場合は、このチェックボックスをオンにします。デフォルト値はオフです。
    • イベント パネルのイベントを挿入モードで表示:このオプションは[レガシー イベント]ビューのページングに影響します。詳細については、「[レガシー イベント]ビューでの取得とデフォルトの再構築の調整」で説明します。
    • 値の自動ロード:NetWitness Platformの[ナビゲート]ビューで選択したサービスから値を自動的にロードする場合は、このオプションをオンにします。このチェックボックスをオフにすると、NetWitness Platformは[値のロード]ボタンを表示し、ロード前にオプションを変更する機会を提供します。デフォルト値はオフです。
  1. 適用]をクリックします。
    設定はすぐに反映され、次に値をロードしたときに表示されます。

[ナビゲート]ビューおよび[レガシー イベント]ビューのパラメータの構成

いくつかの設定は、NetWitness Platformが[ナビゲート]ビューと[レガシー イベント]ビューに値をロードするパフォーマンスに影響します。デフォルト値は一般的な使用方法に基づいて設定されているため、アナリストはこれらの設定を自分の調査内容に合わせて調整できます。[ナビゲート]ビューと[レガシー イベント]ビューでこれらのパラメータを別々に設定できます。1つのビューで構成された設定が自動的にもう1つのビューに適用されることはありません。これらの設定を調整するには、次の手順を実行します。

  1. 環境設定]パネル>[調査]タブに移動するか、[ナビゲート]ビューまたは[レガシー イベント]ビューの[設定]ダイアログに移動します。
  2. 次のパラメータを調整します。
    • Live Connect:リスクのある値を強調表示:NetWitness PlatformでRSAコミュニティにより高リスクと見なされるIPアドレスのみを強調表示する場合は、このオプションをオンにします。選択しない場合、NetWitness PlatformはすべてのIPアドレスを表示します。このオプションはデフォルトではオフになっています。
    • デバイスごとのローカル キャッシュを使用:選択したサービスから取得したデータをローカル キャッシュに保存し、使用することができます。このオプションはデフォルトではオフになっています。オフにすると、最初のロード後に[調査]ビューにキャッシュされたデータを表示するのではなく、新しいクエリがデータベースに送信されます。オンにすると、ローカルにキャッシュされたデータを[調査]ビューに表示します。
    • 完了したPCAPのダウンロード:[ナビゲート]ビューと[レガシー イベント]ビューで抽出されたPCAPのダウンロードを自動化できます。これにより、抽出されたPCAPがブラウザによりダウンロードされ、PCAPファイルのデフォルトのアプリケーション(Wiresharkなど)で開くことができます。このオプションはデフォルトではオフになっています。このオプションを有効にする場合は、PCAPを開くことができるアプリケーションがローカル ファイル システムにインストールされており、PCAPファイル形式を処理するデフォルトのアプリケーションとして設定されていることを確認します。
    • Live Connect:リスクのある値を強調表示:このオプションをオフにすると、Live Connectに使用可能なコンテキスト情報を持つすべてのメタ値が、[ナビゲート]ビューの[値]パネルで強調表示されます。このオプションをオンにすると、Live Connectにコンテキスト情報を持つメタ値のうち、コミュニティによって高リスク/不審である/安全でないと判断された値のみが強調表示されます。デフォルトでは、このオプションはチェックが外れています(オフ)。
  1. 適用]をクリックします。
    設定はすぐに反映されます。

デフォルトのログ エクスポート形式の構成

[ナビゲート]ビューと[レガシー イベント]ビューでは、テキスト、XML、カンマ区切り値(CSV)、JSONの各形式でログをエクスポートできます。ログ エクスポート形式のデフォルト設定はありません。ここで形式を選択しない場合、ログのエクスポートを実行するときに、NetWitness Platformが選択のダイアログを表示します。ログのエクスポート形式を選択するには、次の手順を実行します。

  1. 環境設定]パネル>[調査]タブに移動するか、[ナビゲート]ビューまたは[レガシー イベント]ビューの[設定]ダイアログに移動します。
  2. ログのエクスポート形式]ドロップダウン メニューからオプションを1つ選択します。
  3. 適用]をクリックします。
    設定がすぐに反映されます。

デフォルトのメタ値エクスポート形式の構成

[ナビゲート]ビューと[レガシー イベント]ビューでは、テキスト、CSV、タブ区切り値(TSV)、JSONの形式でメタ値をエクスポートできます。メタ値エクスポート形式のデフォルト設定はありません。ここで形式を選択しない場合、メタ値のエクスポートを実行するときに、NetWitness Platformが選択のダイアログを表示します。メタ値のエクスポート形式を選択するには、次の手順を実行します。

  1. 環境設定]パネル>[調査]タブに移動するか、[ナビゲート]ビューまたは[レガシー イベント]ビューの[設定]ダイアログに移動します。
  2. メタの エクスポート形式]ドロップダウン メニューからオプションを1つ選択します。
  3. 適用]をクリックします。
    設定がすぐに反映されます。

[レガシー イベント]ビューでの取得とデフォルトの再構築の調整

[レガシー イベント]ビューでNetWitness Platformがイベントを取得する方法と、再構築する方法を制御するパラメータをいくつか構成できます。これらのパラメータを調整するには、次の手順を実行します。

  1. 環境設定]パネル >[調査]タブに移動するか、[レガシー イベント]ビューの[設定]ダイアログに移動します。
  2. 次のパラメータを構成します。
    • 調査ページのロードの最適化:ページング オプションを設定します。最適化した場合、可能な限り高速に結果が返されますが、イベント リストのページ移動機能が無効になります。このボックスをオフにすると、イベント リストのページ移動機能が有効になり、リストの特定のページ(または最後のページ)に移動できるようになります。デフォルト値は[有効]です。
    • デフォルト セッション表示:[レガシー イベント]ビューでのデフォルトの再構築のタイプを選択します。デフォルト値は[最適な表示]で、イベントに最も適した表示方法でイベントが表示されます。
  3. 環境設定]パネル >[調査]タブに移動するか、[ナビゲート]ビュー(11.1)または[レガシー イベント]ビュー(11.2以降)の[設定]ダイアログに移動して、[イベント パネルのイベントを挿入モードで表示]オプションを設定します。このオプションを選択すると、[イベント]パネルに表示されるイベントは段階的に追加されます。たとえば、次のページ アイコンをクリックするたびに、イベントの次の増分が追加されていき、最初は1~25で、次が1~50、その次が1~75などのように増えてきます。このオプションは、[調査ページのロードの最適化]オプションが有効な場合にのみ使用できます。
  4. 変更をすぐに有効にするには、[適用]をクリックします。

Webコンテンツ再構築でのカスケーディング スタイル シート表示の有効化または無効化

アナリストは、Webコンテンツ再構築の際のCSS(カスケーディング スタイル シート)の使用を有効化できます。有効化すると、Webの再構築にCSSスタイルとイメージが含まれるようになり、再構築の表示と元のWebブラウザの表示が一致するようになります。これには、関連するイベントのスキャンと再構築、ターゲット イベントで使用されるスタイル シートとイメージの検索が含まれます。このオプションは、デフォルトで有効化されています。特定のWebサイトの表示に問題がある場合は、このオプションを無効化してください。 

注: 関連するイメージとスタイル シートが見つからないか、Webブラウザのキャッシュからロードされた場合は、再構築されたコンテンツの見た目が元のWebページと完全には一致しない可能性があります。また、セキュリティ上の理由から、クライアント側のすべてのjavascriptが削除されるため、クライアント側のjavascriptにより動的に実行されるレイアウトまたはスタイルは、再構築では表示されません。

このオプションを有効化または無効化するには、次の手順を実行します。

  1. 環境設定]パネル >[調査]タブに移動します。
  2. WebビューのCSS再構築を有効化]チェックボックスをオンにします。
  3. 適用]をクリックします。
    設定がただちに有効になり、次のWebコンテンツ再構築時に表示されます。

検索オプションの構成

[検索]フィールドに検索文字列を入力するときに適用される検索オプションを構成することができます。[プロファイル]>[環境設定]パネル >[調査]タブ、または[ナビゲート]および[レガシー イベント]ビューの[検索オプション]ドロップダウン メニューで検索オプションを編集します。検索オプションの構成には、次の手順を実行します。

  1. 検索オプションに移動します。
    次の図は、バージョン11.2以降の[検索オプション]ドロップダウン メニューを示しています。
    検索オプション
  2. 検索に適用するオプションを選択します。各オプションの詳細については、「[ナビゲート]ビューと[レガシー イベント]ビューでのテキスト パターンの検索」を参照してください。
  3. 検索オプションの設定を保存するには、[適用]をクリックします。
    環境設定が保存され、ただちに有効になります。 

You are here
Table of Contents > NetWitnessの[調査]ビューおよび環境設定の構成 > [ナビゲート]ビューおよび[レガシー イベント]ビューの構成

Attachments

    Outcomes