Investigation:イベントのエクスポートとファイルの抽出

Document created by RSA Information Design and Development on Feb 16, 2017Last modified by RSA Information Design and Development on Feb 16, 2017
Version 2Show Document
  • View in full screen mode
  

Security Analytics Investigationでイベントの再構築を表示しているとき、[アクション]メニューには、表示中のイベントからファイルを抽出し、それらをアーカイブしてエクスポートするオプションが提供されています。

注:表示またはアクセスの権限を持つセッション ファイルのみをエクスポートできます。

ファイルのエクスポート機能では、サービスのクエリーを実行し、選択した時間範囲とドリルダウン ポイントで指定したセッションをPCAPファイルにエクスポートします。エクスポートされる内容は、エクスポートするときの時間範囲やドリルダウン ポイントによって変わります。[ファイルの抽出]ダイアログでは、次の項目を選択できます。

  • エクスポートするコンテンツのタイプ:アーカイブ、音声、BitTorrent、ドキュメント、実行可能ファイル、イメージ、動画、Webなど。 
  • エクスポートするアーカイブの形式。ZIPまたはGZIPファイル。

リクエストを送信すると、ジョブがスケジュールされ、ジョブ トレイでそのジョブのトラッキングができます。ログまたはPCAPをサービスから取得する際にエラーが発生すると、Security Analyticsはエラー通知を表示します。

イベントからファイルを抽出するには、次の手順を実行します。

  1. イベントの再構築の詳細ビューまたはリスト ビューで、イベントをクリックします。
  2. [イベントの再構築]ツールバーの[アクション]メニューをクリックします。
  3. イベントをエクスポートする場合は、ドロップダウン メニューで[PCAPのエクスポート]を選択します。
    PCAPがダウンロード中であることを示すメッセージが表示されます。
  4. ファイルを抽出する場合は、[ファイルの抽出]を選択します。
    EvReconExtFiles.png
  5. ファイルの抽出]ダイアログ ボックスが表示されます。
    NavViewFileExtractionDialog.png
  6. 名前]列で、抽出するコンテンツのタイプをクリックします。
  7. 選択したタイプのファイルをイベントから抽出するには、[エクスポート]をクリックします。
    エクスポートするアーカイブ タイプを選択するためのドロップダウン リストが表示されます。
  8. zipでエクスポート]または[gzipでエクスポート]を選択します。
    指定したファイルがアーカイブに抽出され、ローカル ファイル システムにダウンロードされます。
You are here
Table of Contents > 調査の実施 > イベントの調査 > イベントのエクスポートとファイルの抽出

Attachments

    Outcomes