調査:[イベント]ビューでのデータのダウンロード

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

[イベント]ビューでは、[イベント]パネルと再構築からデータをダウンロードできます。バージョン11.4で使用可能な[イベント]パネルのダウンロード機能では、すべてのイベント タイプのログおよびネットワーク イベントが一括ダウンロードされます。バージョン11.4.1には、すべてのイベント タイプに対して表示可能なメタデータをダウンロードする機能が追加されています。再構築内からは、イベント、ログ、ファイルをダウンロードできます。

注: 表示およびダウンロードできる情報は、管理者が実装したロールベース アクセス制御(RBAC)によって管理されます。特定のデータがダウンロードされるのを防ぐようにRBACが設定されている場合、ダウンロード権限のないイベントが正常にダウンロードされたように見えることがありますが、サイズは0バイトです。特定のイベントが再構築されるのを防ぐようにRBACが設定されている場合、再構築は[イベント]パネルで無効になりますが、一括ダウンロード ボタンは有効なままになります。

[イベント]パネルでのログ、表示可能なメタデータ、ネットワーク イベントのダウンロード(バージョン11.4以降)

クエリの送信後は、イベントのログ、ネットワーク イベント、表示可能なメタデータを、[イベント]パネルから直接、指定した形式でダウンロードできます。環境設定は[イベント環境設定]ダイアログで設定され、変更はすべて[ダウンロード]メニューに反映されます。環境設定の詳細については、「[イベント]ビューの構成」を参照してください。

注: 表示可能なメタデータをダウンロードすると、[イベント]パネルの現在のソート順ではなく、収集時間の順でメタデータがソートされます。

[イベント]パネルでは、検索で返されたイベントを個別に選択するか、すべてのイベントを選択できます。選択チェックボックスは、イベントをダウンロードする権限がある場合にのみ表示されます。新しいクエリを送信すると、すべてのチェックボックスが選択解除されます。イベントを選択して[ダウンロード]をクリックすると、[ダウンロード]メニューが表示されます。各イベント タイプに対して選択されているイベントの数は、各オプションの横に「Events of this type selected/ Total number of events selected」形式で表示されます。イベント タイプでイベントが選択されていない場合は、対応するダウンロード オプションが無効になり、選択したイベントの数が「0 / Total number of events selected」として表示されます(次の図を参照)。バージョン11.4.1のメニューには、表示可能なメタデータをダウンロードするオプションがあり、バージョン11.4のメニューには、これらのオプションがありません。

8,697個のイベントが選択された[イベント]パネルの[ダウンロード]ドロップダウン メニュー 選択したイベントをダウンロードするメニュー

 

[イベント]リストですべてのチェックボックスが選択されている場合、イベント数はメニューに表示されなくなります(次の図を参照)。バージョン11.4.1のメニューには、表示可能なメタデータをダウンロードするオプションがあり、バージョン11.4のメニューには、これらのオプションがありません。

[すべてダウンロード]ドロップダウン メニュー [イベント]ビューの[すべてダウンロード]メニュー

注: すべてのイベントをダウンロードするよう選択すると、現在の結果セット内のイベントのみがダウンロードされます。すべての結果が返される前にクエリをキャンセルした場合は、ロードされたイベントのみがダウンロードされます。

[イベント]パネルで単一イベント、複数イベント、またはすべてのイベントのイベント データをダウンロードするには、次の手順を実行します。

  1. 次のいずれかを実行します。
    1. イベントを個別に選択するには、ダウンロードする各イベントの横にあるチェックボックスをオンにして、[ダウンロード]メニュー ラベルをクリックしてオプションを表示します。バージョン11.4.1のメニューには、表示可能なメタデータをダウンロードするオプションがあり、バージョン11.4のメニューには、これらのオプションがありません。
      すべてではなく一部のイベントが選択されている[ダウンロード]ドロップダウン メニュー 選択したイベントをダウンロードするメニュー
    2. [イベント]パネルに表示されているすべてのイベントを選択するには、[イベント]パネルの上部にあるチェックボックスをオンにして、[すべてダウンロード]メニュー ラベルをクリックします。
      すべてのイベントが選択されている[ダウンロード]ドロップダウン メニュー [イベント]ビューの[すべてダウンロード]メニュー
  2. メニューの上部で有効になっている[デフォルトのオプション]を確認します。デフォルトの形式を使用しない場合は、メニューの[その他のオプション]セクションで別の形式を選択できます。

    • [イベント環境設定]メニューで選択した形式(テキスト形式のログCSV形式のログJSON形式のログXML形式のログ)でログがダウンロードされます。このダウンロードに異なる形式を選択する場合は、メニューの下部にあるいずれかの形式を選択します。

    • ネットワーク イベントはPCAPとしてダウンロードされます。[イベント]パネルで複数のネットワーク イベントをダウンロードする場合、形式は常にPCAPとなります。[イベント環境設定]メニューで指定した形式(PCAP形式のネットワークペイロード形式のネットワークリクエスト ペイロード形式のネットワークレスポンス ペイロード形式のネットワーク)はこのメニューでは無視されます。指定した形式は、ネットワーク再構築パネルでの単一ネットワーク イベントのダウンロードにのみ適用されます。
    • 表示可能なメタデータは、[イベント環境設定]メニューで選択した形式(テキスト形式の表示可能なメタCSV形式の表示可能なメタJSON形式の表示可能なメタTSV形式の表示可能なメタ)でダウンロードされます。このダウンロードに異なる形式を選択する場合は、メニューの下部にあるいずれかの形式を選択します。各イベントに対してダウンロードされるメタデータは、メタデータをダウンロードするときに表示される列に対応しています。[イベント]パネルでサマリー列グループが選択されている場合は、イベントのすべてのメタデータがダウンロードされます。
  3. メニュー ラベル[ダウンロード]または[すべてダウンロード]をクリックします。
    抽出したファイルを自動ダウンロード]が設定されている場合([イベント]ビュー>環境設定を開くアイコン)、ダウンロードはブラウザ ウィンドウ内でただちに始まります。この環境設定が設定されていない場合は、選択したイベントのダウンロード ジョブがジョブ トレイに追加され、そこからイベントをダウンロードできるようになります。
    ダウンロードが失敗した場合は、ダウンロードが失敗した理由についてのフィードバックがメッセージに表示されます。ダウンロード ボタンが再度有効になり、選択したイベントが選択されたままになります。次の例は、ダウンロードが失敗した理由(X分後のタイムアウト、接続障害、イベント制限に到達、権限の拒否)の例です。
  4. ジョブ トレイを表示するには、[調査]>[ナビゲート]または[調査]>[イベント]に移動して、ストップウォッチに似ているジョブ アイコンジョブ アイコンをクリックします。
    ジョブがジョブ トレイに表示されます。
    ジョブ トレイでのジョブのダウンロード

[テキスト]パネルでのログのダウンロード

[テキスト]パネルでログの再構築を表示しているときに、[ログのダウンロード]ドロップ ダウン メニューのオプションを使用して、次の形式でログ ファイルをダウンロードすることができます。

  • RAWログ(ログ)。[ログのダウンロード](11.3)または[テキストのダウンロード](11.4以降)オプションを使用
  • カンマ区切り値(CSV)。[CSVのダウンロード]オプションを使用
  • 拡張可能マークアップ言語(XML)。[XMLのダウンロード]オプションを使用
  • JavaScript Object Notation(JSON)。[JSONのダウンロード]オプションを使用

これは、[ログのダウンロード](11.3)または[テキストのダウンロード](11.4以降)メニュー オプションが表示されているログ再構築の例です。

[ログのダウンロード]メニューの例

[テキスト分析]パネルの[テキストのダウンロード]ドロップダウン

注: ログのダウンロード](11.3)または[テキストのダウンロード](11.4以降)オプションは、少なくとも1つのメタ値が256文字を超えているエンドポイント イベントにのみ適用されます。エンドポイント イベントの場合、メタ値が256文字を超える場合にのみ、RAWログが取り込まれます。長時間実行されているか、履歴をダウンロードしたファイルはダウンロード可能ではありません。
たとえば、起動の引数のようなメタ値は256文字を超えることができます。この場合、256文字はメタ値として使用でき、完全な値はRAWログで表示できます。

ダウンロードしたログ ファイルにはログが含まれ、ログを収集したサービス、セッションID、ファイル タイプが識別できるようファイル名が付けられます。RAWログのファイル名は「Concentrator_SID2.log」のようになります。エクスポートされたログ ファイルの名前は、次の規則で決まります。

<service-ID or host name>_SID<n>.<filetype>

各項目の意味は次のとおりです。

  • <service-ID or host name>は、セッションが保存されたサービスの名前(たとえばConcentratorまたはBroker)です。
  • SID<n>は、セッションID番号です。
  • <filetype>は、ダウンロードしたログの形式です。ログの形式には、RAWログ、CSV、XML、JSONがあります。デフォルトの形式は、RAWログです。

注: 一部の形式では、タイム スタンプまたはイベントが生成されたデバイスIPが含まれません。このためCSV、XML、JSON形式でダウンロードされたログには、RAWログの内容とともにtimestampという追加の値が含まれます。追加の情報は「Log timestamp="1490824512" source="10.12.35.65"」形式でログに含まれます。

セッションのログをダウンロードするには、次の手順を実行します。

ログ イベントの[テキスト]パネルで、ダウンロードするログのファイル形式を選択します。

  • RAWログ(デフォルトの形式)としてログをダウンロードするには、[ログのダウンロード](または11.4では[テキストのダウンロード])をクリックします。
  • 他のいずれかの形式でログをダウンロードするには、 [ログのダウンロード](11.3)または[テキストのダウンロード](11.4以降)ボタンの下矢印をクリックして、ダウンロードしたログのいずれかのファイル形式を選択します。

[ログのダウンロード]メニューが表示された[テキスト分析]

[テキスト分析]パネルの[テキストのダウンロード]ドロップダウン メニュー

ログ ファイルは、指定した形式で、ローカル ファイル システムにダウンロードされます。ダウンロードを選択してから、ダウンロードが開始する前にログを抽出している途中でブラウザのページを移動すると、ログはダウンロードされません。ジョブ キューからログをダウンロードできるというメッセージが通知されます。

[テキスト]パネルまたは[パケット]パネルでのネットワーク イベント データのダウンロード

[パケット]パネルまたは[テキスト]パネルで再構築されたネットワーク イベントを表示しているときに、詳細な分析用にネットワーク データ ファイルをエクスポートすることができます。ダウンロードには、現在の時間範囲やドリル ポイントのイベントが含まれています。次の形式でデータをダウンロードすることができます。

  • イベント全体をパケット キャプチャ(*.pcap)ファイルとして。[PCAPのダウンロード]オプションを使用。
  • ペイロードを*.payloadファイルとして。[すべてのペイロードのダウンロード](11.3)または[ペイロードのダウンロード](11.4)オプションを使用。
  • リクエスト ペイロードを*.payload1ファイルとして。[リクエスト ペイロードのダウンロード]オプションを使用。
  • レスポンス ペイロードを*.payload2ファイルとして。[レスポンス ペイロードのダウンロード]オプションを使用。

ダウンロード メニューボタンのラベルは、[イベント環境設定]ダイアログで選択した設定に基づいており、これらの形式のいずれかです。イベントにその日付のタイプがない場合、メニュー ボタンはグレー表示になります。メニュー ボタンをクリックして、どのオプションが使用可能かを確認できます。たとえば、イベントにリクエスト ペイロードがあり、レスポンス ペイロードがない場合、[レスポンス ペイロードのダウンロード]ボタンはグレー表示になります。ボタンをクリックして、[リクエスト ペイロードのダウンロード]をこのダウンロードに選択できます。有効な形式を選択した後でボタンをクリックすると、ダウンロードが実行されます。

PCAPファイルのファイル名は「C01 - Concentrator_SID1697309.pcap」のようになります。エクスポートされたネットワーク データ ファイルの名前は、次の規則で決まります。

<service-ID or host name>_SID<n>.<filetype>

各項目の意味は次のとおりです。

  • <service-ID or host name>は、セッションが保存されたサービスの名前(たとえばConcentratorまたはBroker)です。
  • SID<n>は、セッションID番号です。
  • <filetype>は、pcap、payload、payload1、payload2のいずれかです。

ネットワーク データは、ダウンロードが迅速な場合、ブラウザに直接ダウンロードされます。ネットワーク要因やファイル サイズによりダウンロードに時間がかかる場合、ファイルは、バックグラウンドでダウンロードされ、タスクはジョブキューでトラッキングされます。この場合は、キューでジョブを確認し、ダウンロードが完了するとファイルを取得できます。

注: ダウンロードを選択してから、ダウンロードが開始する前にファイルを抽出している途中でブラウザのページを移動すると、ファイルはダウンロードされません。ジョブ キューからファイルをダウンロードできるというメッセージが通知されます。

イベントをネットワーク データ ファイルにエクスポートするには、次の手順を実行します。

ネットワーク イベントの[パケット]パネルに移動し、[ダウンロード]メニュー ボタンをクリックします。ラベルは、[イベント環境設定]ダイアログで設定されているダウンロード オプションと同じです。選択可能なその他の形式を確認するには、[ダウンロード]メニュー ラベルをクリックします。

  • イベントをPCAPファイル(システム定義のデフォルト形式)としてダウンロードするか、ユーザ定義のデフォルト形式でダウンロードするには、[<形式>のダウンロード]ボタンをクリックします。
  • 他のいずれかの形式でイベントをダウンロードするには、ボタン上の下向き矢印をクリックして、ダウンロードしたイベント データのファイル形式を選択します。

ネットワーク データ ファイルは、指定した形式で、ローカル ファイル システムにダウンロードされます。

[ファイル]パネルでのネットワーク イベントからファイルのダウンロード

[ファイル]パネルでファイルを含む再構築ネットワーク イベント表示しているときに、1つまたは複数のファイル、すべてのファイルを選択してローカル ファイル システムにダウンロードすることができます。

注: ダウンロードを選択してから、ダウンロードが開始する前にファイルを抽出している途中でブラウザのページを移動すると、ファイルはダウンロードされません。ジョブ キューからファイルをダウンロードできるというメッセージが通知されます。

ファイルを選択したら、[ファイルのダウンロード]ボタンがアクティブになり、選択したファイルの数が反映されます。

ファイルが選択された[ファイル分析]の例

[ファイルのダウンロード]をクリックすると、選択したファイルがパスワード保護されたzipアーカイブとしてエクスポートされます。エクスポートされたアーカイブを開くためのパスワードはnetwitnessです。この形式でファイルをエクスポートすることにより、次のことが保証されます。

  • アーカイブは、ウイルス対策ソフトウェアによって隔離されません。
  • 悪意のある可能性のあるファイルがデフォルトのアプリケーションによって自動的に開かれたり、実行されません。

アーカイブのファイル名は「C01 - Concentrator_SID1697309_FC1.zip」のようになります。エクスポートされたアーカイブの名前には、次の規則を使用します。

<service-ID or host name>_SID<n>_FC<n>.zip

各項目の意味は次のとおりです。

  • <service-ID or host name>は、セッションが保存されたサービスの名前(たとえばConcentratorまたはBroker)です。
  • SID<n>は、セッションID番号です。
  • FC<n>は、ファイル数またはアーカイブ内のファイルの数です。

注意: デフォルトのアプリケーションに関連づけられているファイルを解凍または開くときは、十分に注意してください。たとえば、Excelスプレッドシートは、ファイルの安全性を検証する前にExcelで自動的に開かれる可能性があります。

再構築されたイベントでファイルをエクスポートするには、次の手順を実行します。

  1. イベント]ビューで、ファイルを含んでいるイベントの[ファイル]パネルに移動します。
    ファイルが選択された[ファイル分析]の例
  2. 抽出する1つまたは複数のファイルをクリックして、[単一ファイルのダウンロード]または[複数ファイルのダウンロード]をクリックします。
    ジョブがスケジュールされ、完了すると、選択したファイルがパスワード保護されたzipアーカイブ形式でローカル ファイル システムにダウンロードされます。
  3. ローカル ファイル システム上のアーカイブを開くには、プロンプトが表示されたら、パスワードnetwitnessを入力します:

You are here
Table of Contents > 結果のダウンロードと処理 > [イベント]ビューでのデータのダウンロード

Attachments

    Outcomes