調査:[イベント]ビューでのイベントの再構築

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

収集したネットワーク データ、ログ データ、エンドポイント データから脅威の可能性をハンティングするために、さまざまなポイントからドリル ダウンしてデータを分析することができます。特定のセッションに疑わしいイベントが含まれる場合は、そのセッションのイベントのリストを調査し、イベントの再構築を安全に表示し、パターンを特定することもできます。

[イベント]ビューでは、再構築の形式(パケット、ファイル、テキスト、メール、Web)を選択できます。ログ イベントまたはエンドポイント イベントでは、テキストの再構築のみ選択できます。ネットワーク イベントのデフォルトの再構築はテキストです。ただし、最後に開いていた再構築形式が、デフォルトを上書きします。メールとWebの再構築は、[レガシー イベント]ビューでイベントを開きます。「[レガシー イベント]ビューでのイベントの再構築」を参照してください。

次の図は、[ネットワーク イベントの詳細]の[テキスト]パネルをWebブラウザ ウィンドウで開いた例です。

[イベント]ビューでのテキスト再構築の例

各タイプの分析では、分析機能を拡張するための設定が用意されています。設定の変更は、ブラウザの表示を更新しても、同じブラウザで再ログインしても、保持されます。次の設定が保持されます。

  • 現在選択されている再構築:テキスト、パケット、ファイル、メール。
  • [イベント メタ]パネルの表示、非表示。
  • [イベント]ヘッダーの表示、非表示。
  • リクエスト、レスポンス、またはその両方の表示、非表示。
  • [パケット]パネルにパケット ペイロードをヘッダーなしで表示するかどうか。
  • [パケット]パネルでバイトを濃淡化するかどうか。
  • [パケット]パネルにその他の一般的なファイル タイプをハイライト表示するかどうか。
  • [パケット]パネルのページあたりのパケット数。
  • [テキスト]パネルで圧縮したテキストと展開したテキストのどちらを表示するか。

[テキスト]パネル

[テキスト]パネルでは、すべてのタイプのイベント(ネットワーク イベント、ログ イベント、エンドポイント イベント)を元々のテキスト形式で表示できます。ネットワーク イベントによっては[テキスト]パネルが非常に大きくなることがあります。最適なレンダリングを保証するために、過度に大きなペイロードは、収まるようにトランケートされます。再構築されたイベントで、1つの再構築された要求または応答が最大バイト数を超えた場合、ヘッダーは表示されているバイトの比率を示します。ページネーション コントロールは、イベントの再構築されたテキストをページングするときの柔軟性を高めます。この図は、最大バイト数(バージョン11.2以降)を超えているためにトランケートされた単一の応答を示しています。

応答がトランケートされた[テキスト分析]パネル

バージョン11.1は大きなペイロードを異なる方法で処理します。1つのイベントのペイロードは2500パケットに制限されます。パケットの制限に達すると、フッターに警告が表示され、制限に達したことを通知し、イベント内のパケットの総数を示します。パケットの最大数に達していることを示すフッター

注: バージョン11.1の場合、[さらに表示]オプションは、トランケートされたメッセージでも使用できます。ただし、RAWペイロードをダウンロードしないと、メッセージのテキスト全体が表示されません。

[テキスト]パネルでは、ネットワーク イベント、ログ イベント、エンドポイント イベントの表示は異なります。

  • ネットワーク イベントでは、パケットの方向(リクエストまたはレスポンス)と、各パケットの内容がテキスト形式で表示されます。ネットワーク イベントを再構築している場合は、[テキスト]パネルはスクロールできます。リクエストとレスポンスのラベルと同様にテキストの識別情報もスクロールして表示し続けることができます。
  • ログ イベントとエンドポイント イベントにはリクエストまたはレスポンスがありません。RAWイベントのみが[テキスト]パネルに表示されます。

各タイプのイベント(ネットワーク、ログ、エンドポイント)には、いくつかの違いがあります。

  • イベントのヘッダーには、各タイプのイベントに関連する情報が含まれています。
  • エクスポートのオプションに違いがあります。

次に各タイプのイベント(ネットワーク イベント、ログ イベント、エンドポイント イベント)の[テキスト]パネルの例を示します。


応答がトランケートされた[テキスト分析]パネル

[テキスト]パネルでのログ再構築の例

[テキスト]パネルでのエンドポイント イベントの例

注: イベント ヘッダー内の計算済みパケット数、計算済みパケット サイズ、計算済みペイロード サイズが、[イベント メタ]パネル内の同じ統計と異なっている場合があります。これは、イベントのパースが完了する前にメタデータが書き込まれ、パケットが重複して計算されることがあるためです。

[パケット]パネル

[パケット]パネルは、ネットワーク イベントを対象としています。このパネルはスクロールできます。リクエストとレスポンスのラベルと同様にパケットの識別情報もスクロールして表示し続けることができます。[パケット]パネルの見出しには、パケットの方向(リクエストまたはレスポンス)、パケット番号、パケットの開始時刻、パケットIDと順序、ペイロード サイズが表示されます。すべてのパケットはヘッダーで始まり、一部のパケットにはフッターがあります。ページ移動コントロールによって、パケットのページ移動が柔軟になります。

16進形式とASCII形式の両方で、メタデータは青色でハイライト表示されます。ハイライト表示されたメタデータ上にカーソルを合わせると、ポップアップにメタ キーとメタ値の情報が表示されます。

パケット再構築の例

一般的なファイル シグネチャは、オレンジ色の背景色でハイライト表示されます。ハイライト表示されたテキスト上にカーソルを置くと、ポップアップにファイルのタイプの説明が表示されます。

潜在的なWindows実行可能ファイルのハイライト表示

[ファイル]パネル

[ファイル]パネルは、選択したネットワーク イベントに関連づけられたファイルの一覧を表示します。これは、[ファイル]パネルの例です。

[ファイル]パネルの例

1つまたは複数のファイル、あるいはすべてのファイルを選択してローカル ファイル システムにエクスポートできます。ファイルを選択すると、[ファイルのダウンロード]がアクティブになり、選択したファイルの数が反映されます。

[ファイル]パネルで選択されたファイル

注意: デフォルトのアプリケーションに関連づけられているファイルを解凍または開くときは、十分に注意してください。たとえば、Excelスプレッドシートは、ファイルの安全性を検証する前にExcelで自動的に開かれる可能性があります。

[メール]パネル

[メール]パネルは、選択したネットワーク イベントに関連づけられたメールの一覧を表示します。これは、[メール]パネルの例です。

  • デフォルトでは、1つのメールが展開され、複数のメールは折りたたまれます。
  • 添付ファイルを含むメールは、次のいずれかの方法でダウンロードできます。
    • 1つまたは複数の添付ファイルをダウンロードするには、添付ファイルを選択し、[ファイルのダウンロード]をクリックします。
    • すべての添付ファイルをダウンロードするには、[すべての添付ファイル]を選択し、[ファイルのダウンロード]をクリックします。
  • 注意: メールから添付ファイルをダウンロードして開くと、悪意のあるデータがファイルに含まれている可能性があります。

    メール内の外部リンクにはアクセスできません。外部リンクをクリックすると、[リンク アドレス]ポップアップ ウィンドウが開き、実際のリンクが表示されます。
  • メールの本文が長すぎると、メールの先頭に[%を表示]が表示されます。残りのコンテンツを表示するには、メールの最後尾にある[残り%を表示]をクリックします。
  • mail.google.commail.live.com、またはmail.yahoo.comalias.hostに含むWebメールのイベントの場合、[イベントの再構築]ページで関連するセッションの再構築を表示するリンクを含んだメッセージが表示されます。それ以外の場合は、「このイベントではメール再構築を使用できません」というメッセージが表示されます。

各イベント タイプの分析ツール

アナリストは[イベント]ビューの分析ツールを使用して、さまざまなタイプのイベント(ネットワーク イベント、ログ イベント、エンドポイント イベント)に関連する情報を検索できます。この表は、イベント タイプごとに実行できるアクションを示します。このセクションの残りの部分では、これらのアクションを実行するための手順を説明します。

                                                                                                                                                   
操作ネットワーク イベントログ イベントエンドポイント イベント
[テキスト]パネルを表示する
[ファイル]パネルを表示する   
[パケット]パネルを表示する   
[メール]パネルを表示する   
パネルを開く、閉じる、サイズを調整する
リクエストとレスポンスの表示を調整する   
[テキスト]パネルでイベント ヘッダーを表示または非表示にする
[テキスト]パネル内のトランケートされたテキスト エントリーを展開する   
[テキスト]パネルでペイロードの圧縮表示と解凍表示を切り替える   
[パケット]パネルでバイトをハイライト表示する   
[パケット]パネルで一般的なファイル タイプをハイライト表示する   
[パケット]パネルにペイロードのみを表示する   
[パケット]パネルでペイロードのみを表示するときバイトを濃淡化する   
[テキスト]パネルでURLとBase64のエンコードおよびデコードを実行する   
[テキスト]パネルでHTTPネットワーク セッションの解凍されたテキストを表示する   
[テキスト]パネルでイベントのイベント メタデータを表示する
[パケット]パネルまたは[テキスト]パネルでネットワーク イベント(PCAPファイル、ペイロードのみ、リクエストのみ、レスポンスのみ)をダウンロードする   
[ファイル]パネルでネットワーク イベントからファイルをエクスポートする   
[テキスト]パネルでログ イベントのファイルをダウンロードする   
[テキスト]パネルでエンドポイント イベントのファイルをダウンロードする  
[テキスト]パネルで現在のエンドポイント イベントを開く  
メールの添付ファイルをダウンロードする   

You are here
Table of Contents > イベントの再構築と分析 > [イベント]ビューでのイベントの再構築

Attachments

    Outcomes