on Nov 2, 2020[パケット]パネル([イベント]>[パケット])では、イベントのパケットとペイロードを安全に表示し、対話形式で分析できます。
ワークフロー
このワークフローでは、バージョン11.4で名称変更されたビューが参照されています。[イベント分析]ビューは[イベント]ビューになり、[イベント]ビューは[レガシー イベント]ビューになりました。
![[パケット分析]パネルで実行されたタスクがハイライト表示されている調査ワークフロー](https://community.rsa.com/servlet/JiveServlet/showImage/102-114712-1-648038/InvNetWkFl113-PktAnlPnl.png)
実行したいことは何ですか?
| ユーザ ロール | 実行したいこと | 手順 |
|---|---|---|
| インシデント対応者 | 重要なインシデントまたはアラートの確認 | 『NetWitness Respondユーザ ガイド』 |
| 脅威ハンター | サービス、メタデータ、時間範囲のクエリを実行 | |
| 脅威ハンター | メタデータの表示* | |
| 脅威ハンター | RAWイベント データの表示* | |
| 脅威ハンター | イベントの再構築* | |
| 脅威ハンター | ファイルの検証* | |
| 脅威ハンター | ルックアップの実行* | |
| 脅威ハンター | インシデントの作成またはインシデントへの追加 | |
| 脅威ハンター | Context Hubリストへのメタ値の追加* |
*このタスクは現在のビューで実行できます。
関連トピック
- NetWitness Investigateの仕組み
- [イベント]ビュー
- [イベント]ビュー - [テキスト]パネル
- [イベント]ビュー - [ファイル]パネル
- [イベント]ビュー - [メール]パネル
簡単な説明
[パケット]パネルでは、ネットワーク イベントのみを分析できます。[パケット]パネルには、イベントの各パケットが表示されます。パケットのリストはスクロール可能です。スクロールすると、リクエストとレスポンスのラベルと同様にパケットまたはテキストの識別情報も、スクロールされて見えなくならず表示され続けます。
バージョン11.1以降では、ページ移動コントロールを使用して、前後のページへの移動、特定のページへの移動、1ページあたりに表示するパケット数(50、100、300、500)の選択ができます。
一般的なファイル パターン(重要なヘッダーとペイロードのバイト数、16進数とASCIIのバイト数、一般的なファイル シグネチャ)を識別しやすいように、各パケットは塗りつぶしとハイライト表示を使用して表示されます。また、リクエスト/レスポンスの表示、パケット サマリの表示または非表示を調整することができます。
[パケット]パネルの例を次に示します。各機能にラベルを付けています。各機能の詳しい説明と例については、「[イベント]ビューでのイベントの分析」を参照してください。
![機能がラベル付けされた[パケット分析]パネル](https://community.rsa.com/servlet/JiveServlet/showImage/102-114712-1-648045/InvPktAnlQL111.png)
| 1 | ネットワーク イベントをエクスポートするためのオプションです。より詳細な分析のため、PCAP、すべてのペイロード、要求ペイロード、レスポンス ペイロードをエクスポートし、他者と共有できます。 |
| 2 | 一般的なファイル シグネチャを識別するためのオプションはデフォルトでアクティブ化されます。一般的なファイル シグネチャはオレンジ色でハイライト表示されます。ハイライト表示にカーソルを合わせると、ファイル タイプが表示されます。 |
| 3 | [バイトの濃淡化]オプションは、16進数バイト(00~FF)を識別しやすくするため濃淡を変えてバイトを表示する機能です。 |
| 4 | ペイロードを表示するオプションは、パケット ヘッダーのみを非表示にして、ペイロードのスペースを多く残します。 |
| 5 | イベント ヘッダー。 |
| 6 | 重要なバイトは、青色の背景でハイライト表示されます。ハイライト表示にカーソルを合わせると、吹き出しにメタデータが表示されます。 |
| 7 | (バージョン11.1以降)ページ操作コントロールで、パケットのリストのページ操作を柔軟に実行できます。使用できないコントロールのイメージはグレー表示になります。たとえば、ページ1を表示しているときには、 |
