調査:NetWitness Investigateの仕組み

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

NetWitness Investigateは、RSA NetWitness Platformのデータ分析機能を提供します。アナリストはInvestigateを使用して、パケット、ログ、エンドポイント データを検証し、セキュリティとITインフラストラクチャに対する内部または外部からの潜在的な脅威を特定することができます。

注: バージョン11.1以降では、[ホスト]ビューおよび[ファイル]ビューにエンドポイント データが表示されます。以前のバージョンでは、スタンドアロンのNetWitness Endpointサーバを経由してエンドポイント データにアクセスできます。

メタデータ、メタ キー、メタ値、メタ エンティティ

RSA NetWitness Platformは、ネットワーク上のすべてのトラフィックを監査および監視できます。サービスの1つであるDecoderは、ネットワークからキャプチャされたパケット、デバイスから転送されたログ、エンドポイント エージェントが観察したエンドポイント イベントを取得、解析、保存します。

Decoderに構成されたルール、パーサ、フィードは、取得したログ、パケット、エンドポイント データをアナリストが調査できるよう、メタデータを作成します。別のタイプのサービスであるConcentratorは、メタデータのインデックスを作成し、保存します。

メタデータは、メタ キーとそのメタ値で構成されます。たとえば、ip.srcはメタ キーであり、トラフィックのソースIPアドレスには、ip.srcがタグ付けされます。Investigateでデータを表示すると、メタ キーip.srcと、そのキーがタグ付けされているすべてのIPアドレス(値)が表示されます。標準提供のメタ キーもあれば、管理者が定義したカスタム キーもあります。

メタ エンティティは、バージョン11.1以降で使用できます。メタ エンティティは、異なるメタ キーの結果をグループ化するエイリアスです。メタ エンティティは、同様のメタ キーを単一の使いやすいメタ タイプにまとめます。一部のメタ エンティティはデフォルトで提供されますが、管理者がカスタム メタ エンティティを作成することもできます。アナリストは、クエリ、メタ グループ、列グループ、プロファイルの中でメタ エンティティを使用できます。座標表示チャートはメタ エンティティをサポートしていません。管理者は、ユーザのロールとユーザに適用するクエリ プレフィックスの定義で、メタ エンティティを使用することができます。「Decoder構成ガイド」に、メタ エンティティの作成に関する追加情報と、ルールでの使用方法が記載されています。

注: メタ エンティティは、すべてのアップストリームのConcentratorで構成する必要があります。いずれかのConcentratorにメタ エンティティが構成されていない場合、Brokerでクエリを実行すると、そのメタ エンティティは空になります。

たとえば、デフォルトのコア データベース言語には、ソースIP用と宛先IP用に別々のメタ キーが含まれています。標準提供のメタ エンティティの1つであるip.allは、ソースIPと宛先IPを合わせたすべてのIPアドレスを表します。

アナリストは通常、脅威を検出するためにBrokerまたはConcentratorに対してクエリを実行します。Concentratorはクエリを処理し、セッションの完全な再構築やRAWログが必要な場合にのみ、Decoderにアクセスします。ESA、Malware Analysis、Reporting EngineもConcentratorに対してクエリを実行し、各Decoderをクエリすることなく、イベントに関連づけられたすべてのメタデータをすばやく取得して、情報を生成できます。一部の特殊なケースでは、アナリストがDecoderに対してクエリを実行することがあります。

調査のトリガー

調査のトリガーの例をいくつか示します。

  • 新しいActive Directoryハッキングに関するインテリジェンス情報が送られてきます。[イベント]ビューを開き、そのインテリジェンス情報を使用して、Active Directoryの過去24時間のすべてのRAWログ データに対して検索を実行します。
  • SOCマネージャーから、話題になっているPokemon Goマルウェアを検索するように依頼されます。[ナビゲート]ビューを開き、SOCマネージャーがセキュリティ ブログで見つけたマルウェアに関連する特定のユーザ エージェントを使用したHTTPセッションを検索するクエリを作成します。
  • インシデント対応者が、特定のホストに関連したいくつかの不自然なインジケータを示すチケットをエスカレーションします。[ホスト]ビューを開き、そのホストを調査してより明確な情報を探します。
  • 新しいゼロデイ攻撃を探すため、[ナビゲート]ビューを開き、ネットワーク メタデータの調査を開始し、会社の外へ向かう異常な自動化セッションを探します。
  • 解雇されて間もない従業員のユーザ アカウントjarvisに関連した情報を検索するようにSOCマネージャーから依頼されます。[調査]>[エンティティ]>[ユーザ]タブ(UEBA)を開き、そのユーザ名でフィルタリングし、そのユーザのアクティビティがなくなったことを確認し、そのユーザが解雇される前に通常の動作から逸脱していなかったかどうかを調べることができます。
  • 検出されたフィッシング攻撃には、添付ファイルが関連付けられています。環境内のどのデバイスでそのファイルが閲覧されたかを調べるため、[調査]>[ファイル]でファイル ハッシュを検索します。

  • 悪意のあるファイルが環境内で自動的に検出されたため、そのファイルに対する静的および動的な分析と、そのファイルに感染したシステムの数を確認する必要があります。[調査]>[マルウェア分析]を開き、分析結果を確認できます。

調査のワークフロー

アナリストは、NetWitness Platformによって収集されたデータを調査し、NetWitness Platformダッシュボード上の情報、NetWitness Respondのインシデントまたはアラート、NetWitness Platform Reporting Engineによって作成されたレポート、またはサードパーティ アプリケーションの情報を掘り下げて調べることができます。調査の過程で、アナリストは[調査]ビュー([ナビゲート]ビュー、[イベント]ビュー、[レガシー イベント]ビュー、[ホスト]ビュー、[ファイル]ビュー、[エンティティ]ビュー、[マルウェア分析]ビュー)をシームレスに移動することができます。次の図は、NetWitness Investigateの[調査]ビューのサブメニューを示しています。

[レガシー イベント]ビューが有効になった[調査]メニュー

注:
- [ファイル]ビューと[ホスト]ビューはバージョン11.1以降で使用可能です。
- [ユーザ]ビューはバージョン11.2および11.3で使用可能です。バージョン11.4では、[エンティティ]ビューに名称変更されました。
- [レガシー イベント]ビューはバージョン11.4ではデフォルトで無効になっていますが、『システム構成ガイド』の説明に従って管理者が有効にできます。
- ユーザがNetWitness Platformで調査とマルウェア分析を行うには、特定のユーザ ロールと権限が必要です。ビューを表示できない場合は、管理者によりロールや権限の変更が必要となる可能性があります。

各ビューには、[調査]ビューのサブメニューや他の[調査]ビューからアクセスすることができます。NetWitness Respondの[対応]ビューから[調査]ビューに直接移動したり、[調査]ビューから[対応]ビューやスタンドアロンNetWitness Endpointに直接移動することができます。ユースケースによって、調査の起点が決まります。一般的に、調査の対象となるようなイベントには、他とは異なる特徴を見いだすことができます。何かを突き止めてから、その結果に基づいて次の調査ポイントに移動する必要があるため、多くの調査は、1つのビューで始まって、別のビューで終わります。次の表は、さまざまなユースケースの開始ビューに関する一般的なガイダンスを示しています。

                                       
開始場所調査の焦点
[ナビゲート]ビュー

メタ キーと、メタ キー別にグループ分けされたログ、エンドポイント、パケットのメタ値。データをピボット分析して結果を絞り込んでから、[イベント]ビューに移動するか、マルウェア分析またはLiveで検索することができます。このビューは、[調査]ビューのデフォルトのビューです(「結果セットの絞り込み」と「結果のダウンロードと処理」を参照してください)。

[イベント]ビュー

イベントをインタラクティブに操作するアナリストのデフォルトのワークフローは、できるだけビューを切り替える必要がないよう最適化されています。11.3の[イベント分析]ビューに主要な機能が追加され、デフォルトの[イベント]ビューになりました。

[イベント]ビューでは、イベントは時系列に表示されます。RAWイベントと関連メタデータの表示、リストのソートと検索、着目点(着目すべきバイト、ファイル タイプ、エンコード データ)の特定に役立つヒントを示す再構築の表示、イベントとファイルのダウンロードを行えます。スタンドアロンEndpoint Serverへの移動、Liveでの検索、その他の内部ルックアップと外部ルックアップの実行が可能です。外部ルックアップでは、調査したいメタ値をインターネット上で検索したり、IPアドレスに関連したパッシブDNS情報を特定したり、URLがブラックリストに登録されているかどうかを確認したり、他のサード パーティ製品とコンテキスト統合することができます(「結果セットの絞り込み」、「イベントの再構築と分析」、「結果のダウンロードと処理」を参照してください)。

[レガシー イベント]ビュー

[レガシー イベント]ビューは、過去のバージョン(11.0~11.3.x.x)では、[イベント]ビューと呼ばれていました。[レガシー イベント]は不要になり、管理者が有効にしない限り、非表示になります。デフォルトでは、[イベント]ビューのみがメニューに表示されますが、[レガシー イベント]ビューが有効になっている場合は、[イベント]ビューと[レガシー イベント]ビューの両方がメニュー バーに表示されます。

RAWイベントと関連メタデータを表示したり、再構築を表示したり、イベントとファイルをダウンロードすることがきます(「結果セットの絞り込み」、「イベントの再構築と分析」、「結果のダウンロードと処理」を参照してください)。

[ホスト]ビュー

NetWitness Endpointエージェントが実行されているホストが表示されます。ホストごとに、プロセス、ドライバ、DLL、ファイル(実行可能ファイル)、サービス、異常、実行中のAutorun、ログイン ユーザに関連する情報が表示されます。[ホスト]ビューからは、[ナビゲート]ビュー、[イベント]ビュー、および[エンティティ]ビューに移動できます。(『NetWitness Endpointユーザ ガイド』を参照。)

[ファイル]ビュー

導入環境内のPE、Macho、ELFなどのファイルが表示されます。ファイルごとに、ファイル名、レピュテーション ステータス、ファイルのステータス、リスク スコア、署名、チェックサムなどの詳細を表示できます。[ファイル]ビューからは、[ナビゲート]ビューと[イベント]ビューに移動できます。(『NetWitness Endpointユーザ ガイド』を参照。)

[マルウェア分析]ビュー

Malware Analysisアプライアンスを実行している場合は、ファイルをスキャンして、4種類の分析(ネットワーク、静的、コミュニティ、サンドボックス)の結果を表示できます。ファイルがマルウェアの場合は、[ホスト]ビューに移動して、どのホストがそのファイルをダウンロードしたかを確認することができます。(『Malware Analysis ユーザ ガイド』を参照してください。)

[エンティティ]ビュー

バージョン11.2および11.3では、[ユーザ]ビューと表示されていました。NetWitness UEBAを使用して、エンタープライズ全体で高リスク ユーザの行動を可視化できます。環境内の高リスク ユーザのリストと、高リスク行動を示す上位アラートのサマリーが表示されます。ユーザまたはアラートを選択すれば、高リスク行動の詳細と、発生のタイムラインを表示できます。管理者またはUEBAアナリスト ロールを割り当てられたNetWitness Platformユーザは、このビューにアクセスできます(『RSA NetWitness UEBAユーザ ガイド』を参照してください)。

メタデータ、クエリ、時間に焦点を当てた調査

次の図は、メタデータ、クエリ、時間範囲に焦点を当てた調査のワークフローを示しています。

調査の概要レベルのワークフロー

アナリストは、インシデント対応ワークフローを進めるために必要なイベントを追跡したり、別のツールがイベントを生成した後で戦略的な分析を行う場合に、Nwtwitness Investigateを使用します。[ナビゲート]ビュー、[イベント]ビュー、[レガシー イベント]ビューのいずれかを開き、次のように調査します。

  • まず、サービスから特定の時間範囲のデータを取得するクエリを実行します。次に、結果をフィルタリングしてイベントのサブセットを取得し、その中の1つのイベントを再構築または分析し、別のイベントに対しても再構築または分析の処理を繰り返します。標準提供のプロファイル、メタ グループ、列グループは、適切な開始点となります。たとえば、RSA Email Analysisプロファイルを選択して、メールのリスクを調査するときに役立つメタデータのみを表示することができます。
  • 詳細な確認が必要なイベントを見つけた場合、イベントに関連するコンテキストを表示し、インシデントを作成するか、既存のインシデントに追加するかを決定します。イベントをインシデントに追加しない場合は、さらに洞察を進めるため、別のクエリを実行します。つまり、再度ワークフローの先頭から開始します。
  • ネットワーク内の特定のホストでの疑わしいアクティビティまたはファイルに気付いた場合は、[ホスト]ビューと[ファイル]ビューまたはスタンドアロンNetWitness Endpoint Serverで、ホストとそのホストで見つかったファイルに関する追加情報を収集できます。
  • マルウェアを含む可能性があるファイルまたはイベントを見つけた場合は、ファイルのマルウェア分析スキャンを実行するか、[マルウェア分析]ビューを開いてイベントが見つかったサービスのスキャンを開始することができます。

シンプルなユースケースを1つ示します。たとえば、外国との不審なトラフィックを危惧する場合、Destination Countryメタ キーを確認することにより、実際のすべての宛先と通信の頻度を明らかにすることができます。これらの値を掘り下げていくと、送信元と宛先のIPアドレスなど、トラフィックの特性が分かります。他のメタ データを調べると、この2つのIPアドレス間で交換されているファイルの特性を明らかにできる場合があります。疑わしいIPアドレスを特定したら、時間範囲を広げて[ナビゲート]ビューまたは[イベント]ビューでそのアドレスを調べ、調査対象のイベントの前後に起きた手がかりを得ることができます。

もう1つのユースケースとして、特定のIPアドレスから知的財産や機密データを窃取しているネットワーク内の悪意のある内部関係者を検出するアラートを調査します。調査は、メタ値「Upload without change request followed by download alert」から開始します。[ナビゲート]ビューを開き、アラートが生成された時間範囲で、IPアドレスの値でデータをフィルタリングします。[ナビゲート]ビューのAlertsメタデータには、リスク インジケータがメタ値として表示されます。異なるメタ値をクリックして、イベントを再構築することができます。次にファイルを抽出し、ファイルを調べて何が起きたかを理解します。この情報を元に、時間範囲を広げて、同じIPアドレスのデータをフィルタリングし、イベントの前後のアクティビティを表示することができます。

[対応]ビューのインシデントとアラートに焦点を当てた調査

[対応]ビューで、インシデントまたはアラートを処理するアナリストは、[調査]ビュー([ナビゲート]ビュー)でインシデントを開いて、イベントまたはアラートのより深い分析を実行できます。

  • 通常、インシデント対応のワークフローは[対応]ビューから始まります。このビューでインシデントを調査するアナリストは、[調査]ビューでインシデントに関するインテリジェンス情報を収集する必要があります。IPアドレスなど、インシデントまたはアラートに表示される下線付きのエンティティの上にマウス ポインタを移動し、[[調査]>[ナビゲート]に移行]アクションを選択します。[ナビゲート]ビューが開き、選択したエンティティでフィルタされたデータが表示されます。[対応]ビューから調査を開始すると、定義されたメタ キーを使用してクエリが実行され、一致するパケット、ログ、エンドポイント イベントが[ナビゲート]ビューに表示されます。
  • インシデントに関連したイベントを見つけた場合は、NetWitness Respondのインシデントにイベントを追加できます。[調査]ビューで見つけたイベントから、Respondの新しいインシデントを作成することもできます。
  • Respondの[インシデントの詳細]ビューの[インジケータ]パネルから、「イベント」ビューを開いて、インジケータのイベントをよりよく理解することができます。

NetWitness Investigate[調査]ビュー

このセクションでは、[ナビゲート]ビュー、[イベント]ビュー、[レガシー イベント]ビューの簡単な説明と例を示します。また、検出したデータに関して追加のコンテキスト情報を提供する[コンテキスト ルックアップ]パネル、[イベントの再構築]ビューについても説明します。

他の[調査]ビューの詳細については、次のガイドを参照してください。

  • NetWitness Endpointユーザ ガイド』では、[ホスト]ビューと[ファイル]ビューの機能について説明します。
  • NetWitness UEBAユーザ ガイド』では、[エンティティ]ビュー(以前の[ユーザ]ビュー)の機能について説明します。
  • Malware Analysisユーザ ガイド』では、[マルウェア分析]ビューの機能について説明します。

[ナビゲート]ビュー

[ナビゲート]ビューでは、Broker、Concentrator、Decoder上にある収集されたパケット、ログ、エンドポイント イベントのコンテンツにドリル ダウンし、クエリを実行する機能を提供します(ただし、Decoderに対する調査は一般的ではありません)。

  • サービスと時間範囲を選択すると、そのサービスから指定されたメタ キーがクエリされ、メタ値とイベント数が返されます。1つの値をクリックすると、その他の値が除外され、より絞り込んだデータ セットが表示されます。この操作を、データのドリルダウンと呼びます。
  • IPアドレスやホスト名などの特定の構成済みメタ キーの場合は、Context Hubを使用して値に関する追加のコンテキスト情報を表示できます。追加のコンテキストには、インシデント、アラート、値が記載されたその他のソースが含まれます。この追加のコンテキスト情報は、元のデータとは別の情報源から取得され、アナリストがイベントを広い視点でとらえることを可能にします。コンテキスト情報の例として、関連するインシデントとアラートは、このイベントまたは同様のイベントが以前に確認または処理されたかどうかを伝えます。メタデータと一致するリストは、そのメタデータが既知の攻撃者のブラックリストに存在しないか、別のアナリストが発見した典型的な利用規約違反ユーザのリストに存在しないかを判別するのに役立ちます。
  • [ナビゲート]ビューでは、データを時系列にビジュアル化して表示することもできます。期間を選択してズーム イン表示できます。

次の図は、[ナビゲート]ビューを示しています。

[ナビゲート]ビューの例

[イベント]ビュー

イベントをインタラクティブに操作するアナリストのデフォルトのワークフローは、できるだけビューを切り替える必要がないよう最適化されています。以前は[イベント分析]ビューと[イベント]ビューという2つの異なるワークフローで提供していた機能を組み合わせることにより(詳細はこのドキュメント内でさらに説明)、アナリストは単一のワークフローでイベントを分析できるようになりました。以前のワークフローは、デフォルトでは[調査]メニューに表示されませんが、既存のアナリストのために移行期間を設ける必要がある場合は、管理者が再度有効にすることができます。イベントが時系列で表示されます。

  • [イベント]リストには、イベントのRAWデータが表示されます。ここでは、ソートやフィルタリングを行うことができます。列グループを適用して、ビューに表示する列と列の配置を制御することもできます。クエリ プロファイルを使用して、標準提供またはカスタムの列グループとプレクエリをこのビューに適用できます。

  • [イベント]リストの結果に関連するメタデータは、[イベント メタ]パネルに表示されます。メタデータを確認するアナリストは、メタデータの表示順序を変更して、目的のメタデータをより的確に追跡することができます。メタデータのリストは、必要に応じて、出現した順やアルファベット順に並べ替えることができます。
  • イベントをクリックすると、そのイベントの再構築が開きます。[イベント]ビューでは、着目点(着目すべきバイト、ファイル タイプ、エンコード データなど)の特定に役立つヒントとともに、パケット、テキスト、ファイル、メールなどのさまざまな再構築を表示できます。バージョン11.4.1の[イベント]ビューには、[メール]パネルが追加されました。以前のバージョンでは、メールの再構築は[レガシー イベント]ビューで開きます。Webの再構築は、引き続き[レガシー イベント]ビューのウィンドウで開きます。
  • IPアドレスやホスト名などの特定の構成済みメタ キーの場合は、Context Hubを使用して値に関する追加のコンテキスト情報を検索できます。追加のコンテキストには、インシデント、アラート、値が記載されたその他のソースが含まれます。
  • スタンドアロンEndpoint Serverへの移動、Liveでの検索、その他の内部ルックアップと外部ルックアップの実行が可能です。外部ルックアップでは、調査したいメタ値をインターネット上で検索したり、IPアドレスに関連したパッシブDNS情報を特定したり、URLがブラックリストに登録されているかどうかを確認したり、他のサード パーティ製品とコンテキスト統合することができます
  • [ファイル]ビューでは、ローカル ファイル システムにzipアーカイブでファイルをエクスポートできます。
  • [テキスト]ビューからログをダウンロードし、[パケット]ビューからパケットをエクスポートすることができます。[イベント]リストから複数のイベントをダウンロードすることができます。

次の図は、右側のパネルにパケット再構築が開いている[イベント]ビューの例です。[イベント]リストは左側のパネルに表示されます。

[イベント]ビューでのパケット分析の例

[レガシー イベント]ビュー

[レガシー イベント]ビューは、過去のバージョン(11.0~11.3.x.x)では、[イベント]ビューと呼ばれていました。[レガシー イベント]ビューは不要になり、管理者が『システム構成ガイド』の「調査の設定の構成」の説明に従って有効にしない限り、表示されません。[レガシー イベント]ビューには、イベントのシーケンシャル表示と安全な再構築を行えるよう、パケット、ログ、エンドポイント イベントがリスト形式で表示されます。

  • [ナビゲート]ビューで表示しているメタ値の[レガシー イベント]ビューを開くことができます。
  • アナリストにサービスをナビゲートするための十分な権限がない場合、[レガシー イベント]ビューを単独の[調査]ビューとして使用できます。アナリストは、最初にメタデータをドリル ダウンすることなく、NetWitness Platformコア サービスのネットワーク、ログ、エンドポイント イベントのリストにアクセスできます。
  • [レガシー イベント]ビューでは、イベント情報が3つの標準形式(イベントの簡単なリスト、イベントの詳細なリスト、ログ ビュー)で表示されます。
  • IPアドレスやホスト名などの特定の構成済みメタ キーの場合は、Context Hubを使用して値に関する追加のコンテキスト情報を表示できます。追加のコンテキストには、インシデント、アラート、値が記載されたその他のソースが含まれます。
  • イベントや関連ファイルをエクスポートしたり、イベントからインシデントを作成することができます。

次の図は、[レガシー イベント]ビューを示しています。

[レガシー イベント]ビューの例

イベントのコンテキスト情報

[ナビゲート]ビュー、[イベント]ビュー、[レガシー イベント]ビューの[コンテキスト ルックアップ]パネルには、Context Hubに定義されたイベントの構成要素(IPアドレス、ユーザ、ホスト、ドメイン、MACアドレス、ファイル名、ファイル ハッシュのメタ タイプ)に関する詳細情報が表示されます。さらに、時間を除くすべてのメタ キーを右クリックして、追加のコンテキストを表示することもできます。

  • イベントの洞察を深めるため、イベントの構成要素のデータを、関連するインシデント、アラート、カスタム リスト、Archerの資産情報、Active Directoryの詳細情報、NetWitness Endpoint IIOCなどから入手することができます。
  • データ ポイントをクリックして[ナビゲート]ビューと[レガシー イベント]ビューに移動できます。

注: Archer資産情報とActive Directory詳細情報は、[イベント]ビューのコンテキスト ルックアップで使用できます。エンドポイントのコンテキスト ルックアップは、NetWitness Endpoint 4.4.0.2以降のホストで使用でき、NetWitness Endpoint 11.1以降のホストでは使用できません。

次の図は、[イベント]ビューの[コンテキスト ルックアップ]パネルを示しています。

「イベント分析」ビューの[コンテキスト ルックアップ]パネルの例

次の図は、[レガシー イベント]ビューの[コンテキスト ルックアップ]パネルを示しています。

「イベント」ビューで開いている[コンテキスト ルックアップ]パネルの例

イベント再構築

複数のビューでイベントの再構築を使用できます。さらなる調査が必要なイベントを検出した場合は、イベント本来の形式と同様の形式で安全にイベントを再構築することができます。イベントのレンダリングでは、お使いのシステムやブラウザに対する悪影響を制限するため、イベントに含まれる動的コードまたはアクティブ コードの使用は制限されます。以前に表示されたイベントを表示する場合のパフォーマンスを向上させるため、キャッシュが使用されます。各アナリストには再構築データ用に個別のキャッシュがあり、自身のキャッシュにある再構築イベントにのみアクセスできます。

[イベント]ビューには、RAWデータ、メタ キーとメタ値を含む、対話形式のイベント再構築が表示されます。次の図は、[イベント]ビューの再構築の例です。

再構築の例

[イベント]ビューの再構築では、次の操作を実行できます。

  • データのタイプ(メタデータ、テキスト、16進数、パケット、ファイル)に合わせてさまざまな方法でイベントを再構築します。
  • ヘッダーとペイロードのハイライト表示されている情報の詳細を確認します。
  • デコードおよびエンコードされたペイロードを表示し、一般的なファイル シグネチャを確認します。
  • メタ キーまたはメタ値の場所を再構築の中から検索します。
  • イベントとファイルをエクスポートします。

[レガシー イベント]ビューのイベント再構築には、イベントのRAWデータ、メタ キーとメタ値がリスト形式で表示されます。次の図は、イベントの再構築の例です。

 

[イベントの再構築]ビュー

 

[レガシー イベント]ビューの再構築では、次の操作を実行できます。

  • 再構築の画面で次ページに移動すると、次のイベントの再構築が同じ形式で表示されます。

    データのタイプに合わせたさまざまな形式(メタデータ、テキスト、16進数、パケット、Web、メール、ファイル)を指定するか、もしくは、最適な形式を自動選択して、イベントを再構築します。

  • パケット キャプチャ ファイルをエクスポートしたり、ファイルを抽出したり、イベントのメタ値をエクスポートします。

You are here
Table of Contents > NetWitness Investigateの仕組み

Attachments

    Outcomes