調査:[調査]タブ - [ユーザ環境設定]パネル

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

[プロファイル]ビュー>[環境設定]パネル>[調査]タブで、NetWitness Investigateでのデータの分析、イベントの表示、イベントの再構築時のNetWitness Platformのパフォーマンスと動作に影響を与える、いくつかの環境設定を行うことができます。このタブにアクセスするには、[ナビゲート]ビューまたは[レガシー イベント]ビューからユーザのドロップダウン メニュー[プロファイル]オプションを選択します。[プロファイル]ビューが表示されたら、[環境設定]>[調査]を選択します。ユーザ環境設定は、NetWitness Platformで作業しているときにいつでも変更できます。

関連トピック

簡単な説明

この図は、[調査]タブの例です。次の表では、調査に影響する環境設定について説明します。バージョン11.1の検索設定とそれより後のバージョンの検索設定には若干の違いがあり、これについては「[ナビゲート]ビューと[レガシー イベント]ビューでのテキスト パターンの検索」で説明されています。

[プロファイル]>[環境設定]パネルの調査設定

                                                                             
機能説明
閾値この設定は、[ナビゲート]ビューでのロード中にメタ キー値に表示されるカウントを制御します。閾値を高くすると、計算値が正確になります。ただし、閾値を高くすると、ロードにかかる時間が長くなります。閾値に達すると、NetWitness Platformは、計算値とその計算値に達するまでにかかった時間のパーセンテージ(その値ですべてのセッションをロードするために必要な時間と比較したパーセンテージ)を表示します。
たとえば、(>100000 - 18%)と表示された場合、閾値が100000に設定され、閾値が設定されていない場合にロードにかかると想定された時間の18%しかロードの時間がかからなかったことを意味します。デフォルト値は100000です。
結果の最大数この設定は、[ナビゲート]ビューで開いているメタ キーについて、[メタ キー]メニューで[最大まで表示]を選択した場合にロードする値の最大数を制御します。デフォルト値は1000です。
最大セッション エクスポートこの設定で、エクスポート可能なセッションの最大数を制御します。デフォルト値は100000です。
ログ ビューの最大文字数この設定は、[調査]>[レガシー イベント]>[ログ テキスト]に表示するログ テキストの最大文字数を制御します。デフォルト値は1000です。
ログのエクスポート形式この設定は、調査時にログをエクスポートするためのデフォルトの形式を指定します。使用可能なオプションは、テキストXMLCSVJSONです。ログ エクスポート形式のデフォルト値はありません。ここでログの形式を選択しない場合、ログのエクスポートを呼び出すときに、NetWitness Platformで選択のダイアログが表示されます。[ログのエクスポート形式]ドロップダウン メニューから1つのオプションを選択し、[適用]をクリックすると、設定がすぐに反映されます。
メタのエクスポート形式この設定は、調査時にメタ値をエクスポートするためのデフォルトの形式を指定します。使用可能なオプションは、テキスト、XML、CSV、JSONです。メタ エクスポート形式のデフォルト設定はありません。ここでメタ値のエクスポート形式を選択しない場合、メタ値のエクスポートを呼び出すときに、NetWitness Platformで選択のダイアログが表示されます。[メタのエクスポート形式]ドロップダウン メニューから1つのオプションを選択し、[適用]をクリックすると、設定がすぐに反映されます。

デバイスごとのローカル キャッシュを使用

選択したサービスからローカルにキャッシュされるデータの使用を指定することができます。このチェックボックスはデフォルトでオフになっているため、初回ロード後に[調査]ビューにキャッシュされたデータを表示するのではなく、新しいクエリがデータベースに送信されます。このオプションを選択すると、ローカル キャッシュのデータが使用されます。

デバッグ情報の表示このオプションが設定されている場合、NetWitness Platformはwhere句を[ナビゲート]ビューの階層リンクの下に表示します。ロードされるメタ値ごとに、ロード時間が表示されます。サービスがBrokerの場合は、各集計サービスでの経過時間が報告されます。デフォルト値はオフです。
イベント パネルのイベントを挿入モードで表示このオプションを設定すると、[イベント]パネルに表示されるイベントは、現在表示されているイベントを上書きするのではなく、段階的に追加されます。次のページ アイコンをクリックするたびに、1~25、次が1~50、その次が1~75などのように前のイベントに追加のイベントが付加されます。

注: このオプションは、[調査ページのロードを最適化する]オプションが有効な場合にのみ使用できます。

値の自動ロードこのオプションが設定されている場合、[ナビゲート]ビューにサービスから値が自動的にロードされます。設定されていない場合、NetWitness Platformには[値のロード]ボタンが表示され、値をロードする前に表示オプションを変更できるようになります。デフォルト値はオフです。
完了したPCAPのダウンロードこの設定は、抽出されたPCAPのダウンロードを自動化します。これにより、PCAPファイルをダウンロードしてPCAP形式のデータを扱えるアプリケーション(Wiresharkなど)で開くまでの操作を手動で実行する必要がなくなります。
Live Connect:リスクのある値を強調表示NetWitness PlatformでRSAコミュニティによりリスクが高いと見なされるIPアドレスのみを強調表示する場合は、このオプションを設定します。有効にしない場合、NetWitness PlatformではすべてのIPアドレスが表示されます。デフォルトでは、このオプションはオフになっています。
調査ページのロードを最適化する[レガシー イベント]ビューでイベントを取得する方法を制御します。このオプションは、デフォルトで有効(オン)に設定されています。有効にした場合、イベント リストには可能な限り高速に結果が返されますが、イベント リストのページ移動機能が無効になります。このチェックボックスをオフにすると、イベント リストのページ移動機能が有効になり、リストの特定のページ(または最後のページ)に移動できるようになります。リスト内の任意のページに移動できるようにすると、イベントを事前に判断するための追加のオーバーヘッドが生じます。
デフォルト セッション表示この設定では、セッションの再構築を表示する時のデフォルトの再構築のタイプを選択します。デフォルトでは、そのイベントに最適な再構築タイプでイベントが再構築されます。
WebビューのCSS再構築を有効化この設定では、Webコンテンツの再構築の実行方法が制御されます。有効化すると、Webの再構築にカスケード スタイル シート(CSS)とイメージが含まれるようになり、再構築の表示と元のWebブラウザの表示が一致するようになります。これには、イベントに関連するスキャニングと再構築、ターゲット イベントで使用されるスタイル シートとイメージの検索が含まれます。このオプションは、デフォルトで有効化されています。特定のWebサイトの表示で問題がある場合は、このチェックボックスをオフにします。

注: 関連するイメージとスタイル シートが見つからないかWebブラウザのキャッシュにロードされていない場合は、再構築されたコンテンツの外観が元のWebページと一致しない場合があります。また、クライアント側のすべてのjavascriptがセキュリティ目的で削除されるため、クライアント側のjavascriptを経由して動的に実行されるレイアウトまたはスタイルは、再構築では表示されません。

検索オプションこの設定によりデフォルト検索オプションが指定されて、[ナビゲート]ビューおよび[レガシー イベント]ビューでの検索に適用されます。詳細については、「[ナビゲート]ビューと[レガシー イベント]ビューでのテキスト パターンの検索」を参照してください。
適用環境設定を保存すると、即座に反映されます。

 

You are here
Table of Contents > 調査の参考情報 > [調査]タブ:[ユーザ環境設定]パネル

Attachments

    Outcomes