調査:クエリ プロファイルを使用した調査の共通領域のカプセル化

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

クエリ プロファイルは、[ナビゲート]ビュー、[イベント]ビュー、[レガシー イベント]ビューに適用できるメタ グループ、列グループ、および制限クエリ(プレクエリ)を迅速かつ簡単に定義する方法を提供します。

注: バージョン11.4には、以前のバージョンで[イベント分析]ビューと呼ばれていた単一の[イベント]ビューがあります。バージョン11.3以前の[レガシー イベント]ビューは、管理者が『システム構成ガイド』の説明に従ってこのビューを有効にしている場合は、引き続き使用できます。[レガシー イベント]ビューが有効になっている場合は、[調査]サブメニューから両方のビューにアクセスできます。

NetWitness Platformには、RSA Email Analysis、RSA Endpoint Analysis、RSA File Analysis、RSA Threat Analysis、RSA User & Entity Behavior Analysis、RSA Web Analysisいう標準提供のプロファイルがあります。標準提供プロファイルはそれぞれ、標準提供のメタ グループや列グループを指定し、調査のタイプに適したプレクエリが含まれる場合もあります。標準提供のクエリ プロファイルを使用すると、特定の分野のクエリを簡単に行うことができます。たとえば、標準提供のRSA Email Analysisプロファイルを選択すると、メール アクティビティの調査に最も役立つメタ キー、メタ グループ、メタ列が自動的に選択されます。メタ キーに慣れてきたら、独自のカスタム クエリ プロファイルを作成できます。

クエリ プロファイルでは、次の処理が行われます。

  • メタ グループは、クエリ対象のメタ キーを定義します(「メタ グループを使用して関連性の高いメタ キーにフォーカス」を参照)。
  • 列グループは、メタ グループのどのメタ キーを[イベント]リストの列として表示するかを定義します。デフォルトでは、列グループの最初の15列のみが表示されます。これをベースに、列の追加、削除、並べ替えを行うことができます(列グループの詳細については、「イベント リストでの列と列グループの使用」を参照してください)。
  • プレクエリは、ユーザが作成するクエリの先頭に制限フィルタを追加します。

標準提供プロファイル名は、「RSA」で始まり、[Default Profiles]の下に表示されます。標準提供プロファイルを編集または削除することはできませんが、[ナビゲート]ビューまたは[レガシー イベント]ビューで既存のプロファイルをコピーして、コピーを編集できます。[ナビゲート]ビューまたは[レガシー イベント]ビューのツールバーで、[プロファイル]>[プロファイルの管理]を選択します。

注: クエリ プロファイルは[ナビゲート]ビュー、[レガシー イベント]ビュー、[イベント]ビューで使用でき、ユーザ間でグローバルに共有されます。あるユーザがクエリ プロファイルを変更または削除すると、その他のユーザにも影響を与えます。

[クエリ プロファイルの作成]ダイアログと[プロファイルの管理]ダイアログでは、独自のカスタム プロファイルを作成できます。[プロファイルの管理]ダイアログには、[クエリ プロファイルの作成]ダイアログに表示されないオプションがあります。

  • [プロファイルの管理]ダイアログ([ナビゲート]ビューと[レガシー イベント]ビュー)では、プロファイルとプロファイル グループの構成、追加、削除、インポート、エクスポートを行うことができます。カスタムのクエリ プロファイルをプロファイル グループに整理できます(バージョン11.2以降)。以前のバージョンからバージョン11.4にアップグレードする場合、プロファイルを含んだプロファイル グループのみがインポートされます。
  • [クエリ プロファイル]メニュー(11.4の[イベント]ビュー)では、クエリ プロファイルを選択して適用できます。このメニューのオプションを使用して、カスタム クエリ プロファイルの作成([クエリ プロファイルの作成]ダイアログ)、編集、削除([クエリ プロファイルの詳細]ダイアログ)を行うことができます。バージョン11.4の[イベント]ビューでは、他のビューで定義されたメタ グループやプロファイル グループは使用されません。

次の図は、[ナビゲート]ビューまたは[レガシー イベント]ビューで「RSA Email Analysis」クエリ プロファイルが選択された状態を示しています。クエリ プロファイル名は、[クエリ]オプションの右側に表示されます。クエリ プロファイルがアクティブである場合、[プロファイル]メニューのラベルには、アクティブなクエリ プロファイル名が表示されます。

[クエリ]オプションの右側に表示されたプロファイル名

バージョン11.2以降の[ナビゲート]ビューと[レガシー イベント]ビューでは、クエリ プロファイルをグループ化できます。標準提供のクエリ プロファイルは、[Default Profiles]グループに含まれ、変更することはできません。アナリストは新しいクエリ プロファイル グループを作成して、誰でも使用できるようにすることができます。プロファイルの作成後、プロファイル グループを編集して、プロファイルの追加、削除、別のグループへの移動を行うことができます。プロファイルを作成しても、デフォルトではプロファイル グループには追加されません。

次の図は、バージョン11.4の[イベント]ビューに表示される[クエリ プロファイル]メニューを示しています。このメニューには、[ナビゲート]ビューおよび[レガシー イベント]ビューで使用するのと同じプロファイルのリストが表示されます。プロファイルの作成、編集、削除、適用が可能です。

[クエリ プロファイル]メニューの例

[レガシー イベント]ビューで作成されたクエリ プロファイルが、列グループではなくログ ビュー、詳細ビュー、リスト ビューを使用している場合、11.4の[イベント]ビューの同じプロファイルは、[Summary List]列グループを使用します。

クエリ プロファイルの詳細の表示([イベント]ビュー)

クエリ プロファイルにどのメタ グループ、列グループ、制限クエリ(プレクエリ)が定義されているかを確認する場合は、プロファイルの詳細を表示します。

詳細を確認するには、次の手順を実行します。

  1. [調査]>[イベント]に移動し、クエリ バーの[クエリ プロファイル]をクリックします。
    [クエリ プロファイル]メニューが開き、使用可能なプロファイルのリストが表示されます。
    [クエリ プロファイル]メニューの例
  2. クエリ プロファイルの上にカーソルを合わせ、情報アイコン(情報アイコン)をクリックすると、プロファイルに構成されたメタ グループ、列グループ、プレクエリが表示されます。
    次の図は、標準提供プロファイルの1つであるRSA Email Analysisプロファイルの詳細を示しています。
    標準提供プロファイルのクエリ プロファイルの詳細の例
  3. 次のいずれかを実行します。
    1. ダイアログを閉じるには、[閉じる]をクリックします。
    2. プロファイルを適用する場合は、[クエリ プロファイルを選択]をクリックします。
      ダイアログが閉じます。選択したクエリ プロファイルが反映され、[イベント]リストの表示が更新されます。プロファイルで別の列グループが使用されている場合は、選択されたプロファイルのプレクエリと列グループを使用してクエリが再実行されます。プレクエリのみが異なる場合は、クエリ バーの既存のフィルタが削除され、プレクエリ フィルタ(例:「service=24,25,109,110,995,143,220,993」)がクエリ バーに追加されます。[イベント]リストには、関連づけられた列グループの最初の15列が表示されます。クエリを実行する前に、列を調整したり、別のフィルタを作成して追加することができます。
      クエリ バーのプレクエリ
    3. 関連づけられた列グループから別の列を選択する場合は、右側の[イベント]リストの上にある設定アイコンをクリックします。
      列の選択リストが表示され、表示する列を最大40個選択できます(「イベント リストでの列と列グループの使用」を参照してください)。

      [イベント]リストに表示するよう自動的に選択された最初の15列

クエリ プロファイルの適用([イベント]ビュー)

十分な結果または適切な結果が[イベント]ビューに表示されない場合は、適用されたプロファイルがプレクエリで結果を制限している可能性があります。プレクエリが適用されている場合は、クエリ バーの先頭にプレクエリ フィルタが表示されます。

クエリ プロファイルを選択するには、次の手順を実行します。

  1. [イベント]ビューのツールバーで、[クエリ プロファイル]をクリックします。
    [クエリ プロファイル]メニューが開き、使用可能なプロファイルのリストが表示されます。
  2. 上下矢印キーまたはマウスを使用して、プロファイルをハイライト表示します。
  3. ハイライト表示されたプロファイルをクリックします。
    クエリ プロファイルの設定がただちに適用されます。選択したクエリ プロファイルが反映され、[イベント]リストの表示が更新されます。プロファイルで別の列グループが使用されている場合は、選択されたプロファイルのプレクエリと列グループを使用してクエリが再実行されます。プレクエリのみが異なる場合は、クエリ バーの既存のフィルタが削除され、プレクエリ フィルタがクエリ バーに追加されます。クエリ送信アイコンボタンがアクティブになり、新しいプレクエリ フィルタを使用してクエリを再送信できるようになります。クエリを再送信する前または後に、通常どおりに他のフィルタを追加できます。

カスタム クエリ プロファイルの作成または編集([イベント]ビュー)

カスタム クエリ プロファイルを作成または編集するには、次の手順を実行します。

  1. イベント]ビューのツールバーで、[クエリ プロファイル]をクリックします。
    [クエリ プロファイル]メニューが開き、使用可能なプロファイルのリストが表示されます。
    編集可能なカスタム プロファイルを含んだ[クエリ プロファイル]メニュー
  2. 次のいずれかを実行します。
    1. 新しいクエリ プロファイルを作成するには、[+ 新しいクエリ プロファイル]をクリックします。
    2. 既存のクエリプロファイルを編集するには、メニュー内のカスタム クエリ プロファイルをハイライト表示し、編集(編集アイコン)アイコンをクリックします。
      [クエリ プロファイルの作成]ダイアログまたは[クエリ プロファイルの詳細]ダイアログが表示されます。次の図は、クエリ バーの既存のフィルタがプレクエリとして追加された、新しい空のプロファイルを示しています。
      [クエリ プロファイルの作成]ダイアログ
  3. プロファイル名]フィールドに、80文字以下の一意のプロファイル名を入力します。
  4. 列グループ]ドロップダウン リストから列グループを選択します。
  5. プレクエリ]フィールドで、クエリ バーからコピーされたデフォルトのプレクエリを確認し、必要に応じてフィルタを追加します。
  6. クエリ プロファイルを保存]または[クエリ プロファイルを更新]をクリックします。
    新しいプロファイルが保存されるか、編集したプロファイルが更新されます。
  7. ダイアログを閉じるには、[閉じる]をクリックします。

カスタム クエリ プロファイルの削除([イベント]ビュー)

カスタム クエリ プロファイルを削除するには、次の手順を実行します。

  1. イベント]ビューのツールバーで、[クエリ プロファイル]をクリックします。
    [クエリ プロファイル]メニューが開き、使用可能なプロファイルのリストが表示されます。
    編集可能なカスタム プロファイルを含んだ[クエリ プロファイル]メニュー
  2. 削除するカスタム クエリ プロファイルをメニューでハイライト表示して、編集(編集アイコン)アイコンをクリックします。
    [クエリ プロファイルの詳細]ダイアログが表示されます。
    編集用に開かれたカスタム クエリ プロファイル
  3. 削除アイコン(削除アイコン)をクリックします。
    プロファイルが削除されます。この操作を元に戻すことはできません。すべてのアナリストがこのプロファイルを使用できなくなります。

[プロファイルの管理]ダイアログの表示([ナビゲート]ビューと[レガシー イベント]ビュー)

  1. [調査]>[ナビゲート]または[レガシー イベント]に移動します([調査]ダイアログが表示されている場合は、サービスを選択して[ナビゲート]をクリックします)。
  2. ツールバーで、[プロファイル]>[プロファイルの管理]を選択します。
    [プロファイルの管理]オプションの選択
    [プロファイルの管理]ダイアログが表示されます。

プロファイル グループの作成、編集、削除([ナビゲート]ビューまたは[レガシー イベント]ビュー)

カスタム プロファイル グループを作成して、異なるプロファイルを整理することができます。作成後、プロファイル グループに対して直接行える編集は、プロファイル グループの名前の編集だけです。グループにプロファイルを追加または削除するには、プロファイルを編集し、別のプロファイル グループを割り当てます(詳細は、「プロファイルの作成と編集([ナビゲート]ビューまたは[レガシー イベント]ビュー)」を参照)。

注: プロファイル グループをバージョン11.3から移行した場合、空のグループは移行されません。

  1. プロファイルの管理]ダイアログで、次のいずれかを実行します。

    • 編集する既存のプロファイル グループを選択するには、プロファイル グループをダブル クリックします。
    • 新しいプロファイル グループを追加するには、[追加]アイコンをクリックして、[新しいプロファイル グループの追加]を選択します。

    注: 標準提供のプロファイル グループのいずれかを編集する場合は、複製アイコンをクリックして、編集可能なコピーを作成します。

    フォルダと空白のフィールドが、左側のプロファイル リストの下部に表示されます。
    プロファイル グループ名の入力フィールド

  2. プロファイル グループの名前を編集または入力するには、プロファイル グループをダブル クリックし、入力フィールドに入力します。名前は2~80文字の長さにする必要があります。
    プロファイルグループ名は、新しいプロファイル グループまたは編集したプロファイル グループに適用されます。プロファイルを設定するときに、プロファイル グループを使用できるようになります。
  3. プロファイル グループを削除するには、次のいずれかの操作を行います。
    • プロファイルを削除することなく、プロファイル グループを削除する場合は、グループのチェックボックスをクリックし、グループ内のプロファイルのチェックボックスをオフにして、[削除]をクリックします。
    • プロファイル グループとグループに含まれるプロファイルを削除する場合は、グループのチェックボックスをクリックし、削除したいプロファイルのチェックボックスもオンのままにします。
      グループの削除を確認するダイアログ ボックスが表示されます。プロファイルの横にあるチェックボックスをオンのままにすると、グループだけでなく、グループ内の プロファイルも 削除されます。プロファイルのチェックボックスをオフにした場合は、プロファイル グループのみが削除され、プロファイルはグループ外に移動し、別のプロファイル グループに追加することができます。

プロファイルの作成と編集([ナビゲート]ビューまたは[レガシー イベント]ビュー)

  1. プロファイルの管理]ダイアログで、次のいずれかを実行します。

    • 編集する既存のプロファイルを選択するには、名前の横にあるチェックボックスをクリックします。
    • バージョン11.2以降で新しいプロファイルを追加するには、[追加]アイコンをクリックするか、[追加]アイコンの横にある下向き矢印をクリックし、[新しいプロファイルの追加]を選択します。
    • 11.2より前のバージョンで新しいプロファイルを作成するには、[追加]アイコンをクリックします。

    注: 標準提供プロファイルのいずれかを編集する場合は、複製アイコンをクリックしてコピーを作成し、コピーを編集します。

    プロファイルの定義は、右側のパネルで編集できます。次の図は、標準提供プロファイルの1つの定義を示しています。
    標準提供プロファイルのプロパティ

  2. 名前]フィールドで、プロファイル名を編集または入力します。名前は2~80文字の長さにする必要があります。
  3. (バージョン11.2以降のオプション)プロファイルをプロファイル グループに追加する場合は、[プロファイル グループ]ドロップダウン リストからプロファイル グループを選択します。
    プロファイル グループを選択すると、変更を保存するときにプロファイルがグループに追加されます。プロファイル グループを選択しない場合、そのプロファイルはどのグループにも属しません。
  4. メタ グループ]ドロップダウン リストからメタ グループを選択します。「メタ グループを使用して関連性の高いメタ キーにフォーカス」の説明に従って、カスタム メタ グループを追加できます。
  5. 列グループ]ドロップダウン リストから列グループを選択します。「イベント リストでの列と列グループの使用」の説明に従って、カスタム列グループを追加できます。
  6. 結果をフィルタリングするためのクエリを[プレクエリ]フィールドに入力します。プレ クエリの構文はクエリ ビルダと同じです。図のプレクエリには、「service = 24,25,109,110,995,143,220,993」というフィルタが指定されています。
  7. プロファイルを使用しないで保存するには[保存]をクリックし、プロファイルを保存してただちに使用するには[保存して適用]をクリックします。
    保存して適用]をクリックすると、選択したプロファイルを適用する前に確認ダイアログが表示されます。バージョン11.2以降では、[プロファイルの管理]ダイアログで入力したプレクエリが階層リンクに表示されます。
    [イベント]ビューに表示されたプリファイル プレクエリ

プロファイルの削除([ナビゲート]ビューまたは[レガシー イベント]ビュー)

  1. プロファイルの管理]ダイアログで、名前の横にあるチェックボックスをクリックしてプロファイルを選択します。

    注: 標準提供プロファイルを削除することはできません。

  2. 削除オプションをクリックします。
    プロファイルを削除するかどうかを確認するメッセージが表示され、プロファイルが削除されます。削除したプロファイルが使用中であった場合は、ツールバーのオプション名が[プロファイル]に戻り、プロファイルが有効になっていないことが示されます。

アクティブなプロファイルの変更([ナビゲート]ビューまたは[レガシー イベント]ビュー)

[ナビゲート]ビューまたは[レガシー イベント]ビューに十分な結果または正しい結果が表示されない場合は、アクティブ プロファイルがプレ クエリを適用している可能性があります。プロファイルを使用しない場合は、[プロファイル]ドロップダウン メニューの[プロファイルの非アクティブ化]をクリックします。

別のプロファイルを使用する場合は、次の手順を実行します。

  1. ナビゲート]ビューまたは[レガシー イベント]ビューのツールバーで、[プロファイル]ドロップダウン メニューを開きます。
  2. プロファイル]オプションにマウス ポインターを置くと、使用可能なプロファイルのドロップダウン リストが表示されます。
  3. 使用するプロファイルを選択します。
    そのプロファイル設定が即座に適用されます。

[プロファイルの管理]ダイアログでアクティブ プロファイルを変更する場合は、次の手順を実行します。

  1. ナビゲート]ビューまたは[レガシー イベント]ビューのツールバーで、[プロファイル]>[プロファイルの管理]を選択します。
    [プロファイルの管理]ダイアログが表示されます。
  2. 左側のパネルでプロファイルを選択し、[保存して適用]をクリックします。
    確認のダイアログが表示されます。
  3. はい]をクリックします。
    そのプロファイル設定が即座に適用されます。

プロファイルのインポート([ナビゲート]ビューまたは[レガシー イベント]ビュー)

[ナビゲート]ビューと[レガシー イベント]ビューで、別のサービスからダウンロードした.jsnファイルをアップロードまたはインポートできます。プロファイル グループをエクスポートしてインポートすると、プロファイルのグループ化を維持できます。

  1. プロファイルの管理]ダイアログで、左側のパネルのツールバーにあるインポートをクリックします。
    [プロファイルのインポート]ダイアログが表示されます。
  2. 参照]または[ファイルのアップロード]フィールドをクリックして、PC上のファイルを選択します。
  3. ファイルを選択したら、[アップロード]をクリックします。
    プロファイルが左側のパネルに表示されます。

プロファイルのダウンロード([ナビゲート]ビューまたは[レガシー イベント]ビュー)

[ナビゲート]ビューと[レガシー イベント]ビューでは、プロファイルを.jsnファイルとしてダウンロードできます。

  1. プロファイルの管理]ダイアログで、左側のパネルから1つまたは複数のプロファイルを選択します。
  2. 左側のパネルのツールバーでエクスポートをクリックします。
    ダウンロードがすぐに始まります。

You are here
Table of Contents > 結果セットの絞り込み > クエリ プロファイルを使用した調査の共通領域のカプセル化

Attachments

    Outcomes