調査:[レガシー イベントの再構築]ビュー

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

[イベントの再構築]ビューでは、[レガシー イベント]ビューから選択したイベントの再構築を提供します。デフォルトでは、NetWitness Platformはイベントのコンテンツから判断されたイベントに最適な再構築形式か、Investigateの[デフォルト セッション表示]の設定で選択したデフォルトの再構築形式を表示します。[イベントの再構築]ツールバーのオプションを使用して、再構築方法の変更、複数の結果の上下または並行表示、リクエストとレスポンス ビューの選択、イベントのエクスポート、メタ値のエクスポート、ファイルの展開、メールの添付ファイルの表示、新しいタブでのイベントの表示を行うことができます。

このビューにアクセスするには、次のいずれかを実行します。

  • 任意の[レガシー イベント]ビューで、イベントをダブルクリックします。
  • 詳細ビューを選択した[レガシー イベント]ビューで、イベントの最後の[イベント]を右クリックし、[イベントの再構築]を選択します。
  • プレビューした再構築の[イベント再構築]ツールバーで、[イベントを新しいタブで開く]をクリックします。
  • [ナビゲート]ビューで、[アクション]>[イベント再構築に移動]を選択し、イベントIDを入力します。

ワークフロー

このワークフローでは、バージョン11.4で名称変更されたビューが参照されています。[イベント分析]ビューは[イベント]ビューになり、[イベント]ビューは[レガシー イベント]ビューになりました。

[再構築]ビューで実行されるタスクをハイライト表示した調査のワークフロー

実行したいことは何ですか?

                                                          
ユーザ ロール実行したいこと手順
インシデント対応者

重要なインシデントまたはアラートの確認

NetWitness Respondユーザ ガイド

脅威ハンターサービス、メタデータ、時間範囲のクエリを実行

[イベント]ビューでの結果のフィルタリング

[ナビゲート]ビューでの結果のフィルタリング

[ナビゲート]ビューと[レガシー イベント]ビューでのクエリの作成

[レガシー イベント]ビューでの結果のフィルタリング

脅威ハンター

メタデータの表示

[イベント]ビューでのイベントの分析

結果セットの絞り込み

脅威ハンター

RAWイベント データの表示*

[イベント]ビューでの結果のフィルタリング

[イベント]ビューでのイベントの分析

[レガシー イベント]ビューでの結果のフィルタリング

脅威ハンター

イベントの再構築*

[イベント]ビューでのイベントの分析

[イベント]ビューでのイベントの再構築

[レガシー イベント]ビューでのイベントの再構築

脅威ハンターファイルの検証*

[イベント]ビューでのデータのダウンロード

[ナビゲート]ビューでのドリルダウン ポイントのエクスポートまたは印刷

[レガシー イベント]ビューでのイベントのエクスポート

脅威ハンタールックアップの実行

結果の追加のコンテキストを検索

メタ キーのルックアップの起動

脅威ハンターインシデントの作成またはインシデントへの追加

[レガシー イベント]ビューでのインシデントへのイベントの追加

[イベント]ビューでのインシデントへのイベントの追加

脅威ハンター

Context Hubリストへのメタ値の追加

結果の追加のコンテキストを検索

*このタスクは現在のビューで実行できます。

関連トピック

簡単な説明

次の図は、[イベントの再構築]ビューの例です。次の表に、ツールバーのオプションを示します。

[イベントの再構築]ウィンドウ

                                   
機能説明
リクエストとレスポンス

ビューで次の項目を表示するかどうかを選択するためのドロップダウン メニューを表示します。

  • リクエストとレスポンス
  • リクエスト
  • レスポンス
構成

情報を上下に並べて表示するか、左右に並べて表示するかを選択するためのドロップダウン メニューを表示します。

[再構築]ビュー

表示する情報を選択するためのドロップダウン メニューを表示します。デフォルトでは[最適な表示]が選択されています。その他のオプションは次のとおりです。

  • メタの表示
  • テキストの表示
  • 16進数の表示
  • パケットの表示
  • Webの表示
  • メールの表示
  • ファイルの表示
アクション

[イベントの再構築]ビューで利用できるアクションが、ドロップダウン メニューに表示されます(PCAPのエクスポート、ファイルの抽出、メタのエクスポート)。

イベントを新しいタブで開く

新しいブラウザ タブでイベントを開きます。

イベント分析

[イベント分析]ビューでイベントを開きます。

ツールバーの下にはメタ キーと値の一覧が表示されます。いくつかのキーでは、利用できるアクションがドロップダウン メニューに表示されます。

ビューの下部に表示されるバーには、いくつかのオプションが表示されます。

                       
機能説明
左矢印

前のイベントが表示されます。

右矢印

次のイベントが表示されます。

再構築ログの表示

ビューの下部に再構築ログが表示されます。このボタンをクリックすると、[再構築ログの非表示]に変わります。

Previous Topic:[調査]ビュー
You are here
Table of Contents > 調査の参考情報 > [レガシー イベントの再構築]ビュー

Attachments

    Outcomes