調査：［レガシーイベント］ビュー

Document created by RSA Information Design and Development

on Nov 2, 2020

Version 1Show Document

Like • Show 0 Likes0
Comment • 0
View in full screen mode

［レガシーイベント］ビューでは、セッションに関連づけられているイベントのリストを表示できます。このビューは、RAWイベントを時系列で表示するために最適化されています。イベントのリストは複数の形式で表示できます。イベントのフィルタ、イベントの検索、イベントの再構築の表示も可能です。

［レガシーイベント］ビューを表示するには、次の2つの方法があります。

［調査］＞［レガシーイベント］に移動します。NetWitness Platformは、デフォルトのサービス（設定されている場合）の直近3時間についてデフォルトクエリを実行するか、またはサービスを選択するダイアログを表示してからデフォルトクエリを実行します。デフォルトクエリではすべてのイベントが選択され、選択したサービスのイベントが古い順に［レガシーイベント］ビューに表示されます。
［ナビゲート］ビュー内でイベントをダブルクリックします。［レガシーイベント］ビューには、［ナビゲート］ビューのドリルダウンポイントに基づいて、選択したサービスのイベントが表示されます。

注：［レガシーイベント］ビューは、過去のバージョン（11.0～11.3.x.x）では、［イベント］ビューと呼ばれていました。［レガシーイベント］は不要になり、管理者が有効にしない限り、非表示になります。デフォルトでは、［イベント］ビューのみがメニューに表示されますが、［レガシーイベント］ビューが有効になっている場合は、［イベント］ビューと［レガシーイベント］ビューの両方がメニューバーに表示されます。

ワークフロー

このワークフローでは、バージョン11.4で名称変更されたビューが参照されています。［イベント分析］ビューは［イベント］ビューになり、［イベント］ビューは［レガシーイベント］ビューになりました。

実行したいことは何ですか？

ユーザロール	実行したいこと	手順
インシデント対応者	重要なインシデントまたはアラートの確認	『NetWitness Respondユーザガイド』
脅威ハンター	サービス、メタデータ、時間範囲のクエリを実行*	［イベント］ビューでの結果のフィルタリング［ナビゲート］ビューでの結果のフィルタリング［ナビゲート］ビューと［レガシーイベント］ビューでのクエリの作成［レガシーイベント］ビューでの結果のフィルタリング
脅威ハンター	メタデータの表示	［イベント］ビューでのイベントの分析結果セットの絞り込み
脅威ハンター	RAWイベントデータの表示*	［イベント］ビューでの結果のフィルタリング［イベント］ビューでのイベントの分析［レガシーイベント］ビューでの結果のフィルタリング
脅威ハンター	イベントの再構築*	［イベント］ビューでのイベントの分析［イベント］ビューでのイベントの再構築［レガシーイベント］ビューでのイベントの再構築
脅威ハンター	ファイルの検証*	［イベント］ビューでのデータのダウンロード［ナビゲート］ビューでのドリルダウンポイントのエクスポートまたは印刷［レガシーイベント］ビューでのイベントのエクスポート
脅威ハンター	ルックアップの実行*	結果の追加のコンテキストを検索メタキーのルックアップの起動
脅威ハンター	インシデントの作成またはインシデントへの追加*	［レガシーイベント］ビューでのインシデントへのイベントの追加［イベント］ビューでのインシデントへのイベントの追加
脅威ハンター	Context Hubリストへのメタ値の追加*	結果の追加のコンテキストを検索

*このタスクは現在のビューで実行できます。

簡単な説明

［レガシーイベント］ビューには、詳細ビュー、リストビュー、ログビューという、標準提供の3種類の表示形式でイベントデータを表示できます。リストビューおよび詳細ビューでは、タイムスタンプ、イベントタイプ、イベントテーマ、サイズなど、各イベントの詳細な情報が確認できます。

リストビューでは、イベントのソースアドレスおよび宛先アドレスとポート番号がグリッドに表示されます。
詳細ビューでは、イベントについて収集された主なメタデータがページビュー形式で表示されます。
ログビューは、ログおよびエンドポイント情報の表示のために最適化されたビューであり、タイムスタンプ、イベントタイプ、サービスタイプ、サービスクラス、ログなど、各ログの詳細情報が確認できます。

［レガシーイベント］ビューの表示をフィルタするには、クエリ、時間範囲設定、プロファイルを使用します。［レガシーイベント］ビューのいずれの表示形式からも、ファイルの抽出、イベント、エンドポイントイベント、ログ、メタ値のエクスポート、［イベントの再構築］パネルの表示を行うことができます。［詳細］ビューでは、［イベント］ビューでイベントを開くこともできます。

次の図は、詳細ビューのイベントの例です。［コンテキストルックアップ］パネルはContext Hubサービスが構成されている場合にのみ表示されます。

次の図は、リストビューのイベントの例です。

次の図は、ログビューの例です。

次の図は、バージョン11.3以降のフッターに追加された情報を示しています。

詳細説明

［レガシーイベント］ビューには、上部に以下のオプションを備えたツールバーがあります。

機能	説明
サービスを選択	アイコンの横に選択したサービス名が表示されます。［調査］ダイアログを開きます。このダイアログでは、イベントリストを表示するサービスを選択できます。
時間範囲	イベントリストに適用する時間範囲を選択するためのドロップダウンメニューが表示されます。標準的なオプションのなかから1つを選択するか、カスタム時間範囲を指定できます。
クエリ	［クエリ］ダイアログが表示されます。ここでは、データをドリルダウンするのではなくクエリレガシーイベント］ビュークエリを直接入力できます（「［ナビゲート］ビューと［レガシーイベント］ビューでのクエリの作成」を参照してください）。
プロファイル	［プロファイル］メニューを表示します。現在選択されているプロファイルがツールバーに表示されます。メニューオプションには、標準提供（デフォルト）プロファイルとカスタムプロファイル、およびプロファイルを管理するためのオプションが含まれます。各プロファイルには、メタグループ、列グループ、イベントの調査時に［ナビゲート］ビュー（メタグループとクエリ）と［レガシーイベント］ビュー（列グループとクエリ）に適用される開始クエリを含めることができます（「クエリプロファイルを使用した調査の共通領域のカプセル化」を参照してください）。
ビューの選択のドロップダウン	イベントビューのタイプを選択するためのドロップダウンメニューを表示します。詳細ビューでは、各イベントの詳細情報がページ形式で表示されます。リストビューでは、各イベントのサマリーが1行ずつテーブル形式で表示されます。ログビューでは、各ログのサマリが1行ずつログ専用のイベントグリッドに表示されます。カスタム列グループでは、ドロップダウンリストから選択した列グループを使用してイベントリストを表示します。列グループの管理では、カスタム列グループの作成および編集のためのダイアログが表示されます。
アクション	［レガシーイベント］ビューのアクションが、ドロップダウンメニューに表示されます。 PCAPファイルとしてのイベントのエクスポート、ログのエクスポート、エンドポイントイベントのエクスポート、メタ値のエクスポートを行います。ポップアップウィンドウまたは新しいタブにイベントの再構築を表示します。［レガシーイベント］ビューのフィルタをすべてリセットします。
インシデント	Respondで新しいインシデントを作成して選択したイベントを追加するか、Respondの既存のインシデントに選択したイベントを追加します。
検索	［イベントの検索］オプションを表示します。これにより、エクスポートログを指定し、「［ナビゲート］ビューと［レガシーイベント］ビューでのテキストパターンの検索」で説明されている追加のオプションを使用してメタ値形式をエクスポートすることができます。
設定	［レガシーイベント］ビューに関する調査オプションを設定します（［プロファイル］ビューでも設定可能です）。これにより、［レガシーイベント］ビューから移動せずに調査の設定を変更できます。［レガシーイベント］ビューで変更した設定は、［プロファイル］ビューでも変更されます（「［ナビゲート］ビューおよび［レガシーイベント］ビューの構成」を参照してください）。

この表では、［レガシーイベント］ビューのその他の機能について説明します。

機能	説明
（イベントの詳細ビュー）	イベントの残りのメタデータを表示します。
（イベントの詳細ビュー）	選択したイベントを［イベント］ビューで開きます。
（フッター）	ページ移動コントロールを使用すると、イベントリストのページをより柔軟に操作できます。使用できないコントロールのイメージはグレー表示になります。たとえば、ページ1を表示しているときには、とのコントロールがグレー表示になります。 - 最初のページに移動 - 前のページに移動 - 特定のページに移動 - 次のページに移動 - 最後のページに移動 - 1ページあたりのパケット数を選択 1ページあたりのイベント数を選択すると、設定はブラウザのキャッシュに保存されるため、優先的に使用するイベント数をログインのたびに選択する必要がありません。この設定は、ログビュー、リストビュー、詳細ビューのすべてのビューに適用されます。
100,000個のイベントのうち1～100個を表示（フッター） 100個以上の一致したイベントのうち1～25個を表示（結果制限の100イベントに到達）（フッター）	表示されているイベントの数と、一致したイベントの合計数を表示します。バージョン11.3以降では、管理者によって設定された結果の制限に達した場合、他にも利用可能な結果があるが表示できないことを知らせる通知がフッターに表示されます。追加の結果を表示するには、フィルタを絞り込んで結果を減らす必要があります。フッターの情報アイコンをクリックすると、クエリ対象のすべてのサービスのIPアドレスと接続ポート番号が表示されます。