[Investigation]タブ:[ユーザー環境設定]パネル

Document created by RSA Information Design and Development on Feb 16, 2017Last modified by RSA Information Design and Development on Feb 16, 2017
Version 2Show Document
  • View in full screen mode
  

このトピックでは、[プロファイル]ビューの[環境設定]パネル>[Investigation]タブの機能について紹介します。

[プロファイル]ビューの[環境設定]パネル>[Investigation]タブで、Investigationモジュールでのデータの分析、イベントの表示、イベントの再構築時のSecurity Analyticsのパフォーマンスと動作に影響を与える、いくつかの環境設定を行うことができます。

このタブに関連した手順については、次のトピックを参照してください:[ナビゲート]ビューおよび[イベント]ビューの構成.

このタブにアクセスするには、次の手順を実行します。

  1. Security Analyticsメニューで、[プロファイル]を選択します。
  2. 左の[ナビゲーション]パネルで、[環境設定]を選択します。
  3. 環境設定]パネルから、[Investigation]タブを選択します。
    PrefInvTb.jpg

機能

次の表で、Investigationの環境設定について説明します。

                                                                 
機能説明
閾値この設定は、[ナビゲート]ビューでのロード中にメタ キー値に表示されるカウントを制御します。閾値を高くすると、計算値が正確になります。ただし、閾値を高くすると、ロードにかかる時間が長くなります。閾値に達すると、Security Analyticsは、計算値とその計算値に達するまでにかかった時間のパーセンテージ(その値ですべてのセッションをロードするために必要な時間と比較したパーセンテージ)を表示します。

たとえば、(>100000 - 18%)と表示された場合、閾値が100000に設定され、閾値が設定されていない場合にロードにかかると想定された時間の18%しかロードの時間がかからなかったことを意味します。デフォルト値は100000です。
結果の最大数この設定は、[ナビゲート]ビューで開いているメタ キーについて、[メタ キー]メニューで[最大まで表示]を選択した場合にロードする値の最大数を制御します。デフォルト値は1000です。
Invmetakeymenu.png
最大セッション エクスポートこの設定で、エクスポート可能なセッションの最大数を制御します。デフォルト値は100000です。

ログ ビューの最大文字数

この設定は、[Investigation]>[イベント]>[ログ ビュー]に表示するログ テキストの最大文字数を制御します。デフォルト値は1000です。
ログのエクスポート形式この設定は、Investigationからログをエクスポートするためのデフォルトの形式を指定します。使用可能なオプションは、テキストXMLCSVJSONです。ログ エクスポート形式のデフォルト設定はありません。ここで形式を選択しない場合は、ログのエクスポートを呼び出すときに、Security Analyticsで選択のダイアログが表示されます。[ログのエクスポート形式]ドロップダウン メニューから1つのオプションを選択し、[適用]をクリックすると、設定がすぐに反映されます。
デバッグ情報の表示このオプションが選択されている場合、Security AnalyticsはWhere句を[ナビゲート]ビューの階層リンクの下に表示します。ロードされるメタ値ごとに、ロード時間が表示されます。サービスがBrokerの場合は、各集計サービスでの経過時間が報告されます。デフォルト値はオフです。
イベント パネルのイベントを挿入モードで表示

このオプションを選択すると、[イベント]パネルに表示されるイベントは、現在表示されているイベントを上書きするのではなく、段階的に追加されます。

たとえば、次のページ アイコンをクリックするたびに、イベントは1~25、1~50、1~75など段階的に表示されます。

注:このオプションは、[Investigationページのロードの最適化]オプションが有効な場合にのみ使用できます。

値の自動ロードこのオプションが選択されている場合、[ナビゲート]ビューでサービス値が自動的にロードされます。選択されていない場合、Security Analyticsには[値のロード]ボタンが表示され、値をロードする前に表示オプションを変更できるようになります。デフォルト値はオフです。
完了したPCAPのダウンロードこの設定は、Investigationモジュールで抽出されたPCAPのダウンロードを自動化します。これにより、PCAPファイルをダウンロードしてPCAP形式のデータを扱えるアプリケーション(Wiresharkなど)で開くまでの操作を手動で実行する必要がなくなります。
Investigationページのロードの最適化 [イベント]ビューでイベントを取得する方法を制御します。この設定はオプションで、デフォルトで有効(オン)に設定されています。最適化した場合には、[イベント]ビューでの結果の取得が最大限、高速になります。ただし、イベント リストが複数ページで構成される場合のページ移動機能が無効になります。  このボックスをオフにすると、イベント リストのページ移動機能が有効になり、リストの特定のページ(または最後のページ)に移動できるようになります。  複数ページのイベント リストで任意のページに移動できるようにするため、ロード時にはイベントをあらかじめ処理しておく必要があります。このため、追加のオーバーヘッドが生じ、結果の取得に時間がかかるようになります。
デフォルト セッション表示この設定では、セッションの再構築を表示する時のデフォルトの再構築のタイプを選択します。デフォルトでは、そのイベントに最適な再構築方法でイベントが再構築されます。
WebビューのCSS再構築を有効化この設定では、Webコンテンツの再構築の実行方法が制御されます。有効化すると、Webの再構築にカスケード スタイル シート(CSS)とイメージが含まれるようになり、再構築の表示と元のWebブラウザの表示が一致するようになります。これには、関連するイベントのスキャンと再構築、ターゲット イベントで使用されるスタイル シートとイメージの検索が含まれます。このオプションは、デフォルトで有効化されています。 特定のWebサイトの表示で問題がある場合は、このオプションの選択を解除します。 

注:関連するイメージとスタイル シートが見つからないかWebブラウザのキャッシュにロードされていない場合は、再構築されたコンテンツの外観が元のWebページと一致しない場合があります。また、クライアント側のすべてのjavascriptがセキュリティ目的で削除されるため、クライアント側のjavascriptを経由して動的に実行されるレイアウトまたはスタイルは、再構築では表示されません。

検索オプションこの設定によりデフォルト検索オプションが設定されて、[ナビゲート]ビューおよび[イベント]ビューでの検索に適用されます。 Investigation:検索オプション で、詳細を確認してください。 
適用環境設定を保存すると、即座に反映されます。
You are here
Table of Contents > Investigationの参考資料 > [Investigation]タブ:[ユーザー環境設定]パネル

Attachments

    Outcomes