Investigation:Malwareの[イベントのサマリー]ビューの構成

Document created by RSA Information Design and Development on Feb 16, 2017Last modified by RSA Information Design and Development on Feb 16, 2017
Version 2Show Document
  • View in full screen mode
  

[イベントのサマリー]には、調査中のスキャンのサマリーが表示されます。またサマリーの下にはチャートやリストなどの構成可能なダッシュレットが表示されます。デフォルトで、スキャンの[イベントのサマリー]は、デフォルトのダッシュレットが表示された状態で開きます。デフォルトのダッシュレットを追加、変更、削除して、ビューをカスタマイズできます。構成されたダッシュレットのカスタマイズは、別のスキャン調査の間も維持され、またデフォルトのダッシュレットにはいつでも復元できます。デフォルトのダッシュレットは次のとおりです。

  • イベントのサマリー(固定)
  • イベント タイムライン
  • 極めて疑わしいマルウェアの上位リスト
  • メタ ツリーマップ
  • スコア ホイール
  • メタの内訳

次の図はデフォルトのイベントのサマリーの例です。

104MWSumEvents2.png

このトピックの後半で、ダッシュレットの管理と構成の手順を説明します。

ダッシュレットの追加

Malware Analysisの[イベントのサマリー]には、ダッシュレットの複数のコピーを追加できます。ダッシュレットを追加するには、次の手順を実行します。

  1. ツールバーで[追加]を選択します。
    ダッシュレットのドロップダウン リストが表示されます。ビジュアル表示には、スコア ホイール、メタ ツリーマップ、メタの内訳、イベント タイムラインの4つがあります。これ以外の3つのダッシュレットは、Unifiedダッシュボードで使用できるダッシュレットと同じです (Malware高確率IOCとハイスコアのマルウェア、Malware 極めて疑わしいマルウェアの上位リスト、Malware ゼロデイの可能性が高いマルウェアの上位リスト)。
    104MWADdDshltMn.png
  2. ダッシュレットを選択します。
    新しいダッシュレットが、既存のダッシュレットの下に追加されます。
  3. ダッシュレットが既存のダッシュレットのコピーである場合は、新しいダッシュレットの名前を別の名前に変更してください。

ツールバー オプションを使用したダッシュレットの変更または削除

各ダッシュレットには、そのダッシュレットを変更するためのオプションを備えたツールバーがあります。チャートの構成設定は共通していますが、一部のダッシュレットには、他のダッシュレットにはない追加の設定があります。

104DshletTb.png

ツールバー オプションを使用する方法

  • ダッシュレットを閉じてタイトル バーしか表示されないようにするには、104DshletClos.pngをクリックします。
  • 閉じているダッシュレットを開くには、104DshletExp.pngをクリックします。
  • ダッシュレットの設定を表示するには、104DshletSet.pngをクリックします。
    ダッシュレットの設定ダイアログが表示されます。
  • ダッシュレットを削除するには、104DshletDel.pngをクリックします。

複数のダッシュレットに閾値フィルタを適用

ダッシュレットには、4つのカテゴリー(静的、ネットワーク、コミュニティ、サンドボックス)の特定のスコアに一致したイベント、上回ったイベント、下回ったイベントだけを表示するように閾値を設定できます。この手順では、ダッシュレットのタイプごとに閾値を設定します。具体的には、イベント タイムライン、スコア ホイール、メタ ツリーマップです。個々のダッシュレットに閾値を設定することもできます。

  1. ツールバーで、>[閾値フィルタの適用]を選択します。
    [閾値フィルタの適用]ダイアログが表示されます。
    MAThrFilDg.png
  2. 1つまたは複数のダッシュレット タイプを選択します。具体的には、イベント タイムライン、スコア ホイール、メタ ツリーマップです。
  3. 対応するスライダーをドラッグするか、数値を入力し、ドロップダウン リストから演算子として=>=<=のいずれかを選択します。
  4. Apply]をクリックします。
    [イベントのサマリー]で選択したダッシュレット タイプに閾値フィルタが適用されます。

ダッシュレットのタイトルおよびカテゴリー オプションの設定

  1. ダッシュレットの設定を表示するには、104DshletSet.pngをクリックします。
    ダッシュレットのオプション ダイアログが表示されます。
    104ScrWheelOpt.png
  2. ダッシュレットの新しいタイトルを[タイトル]フィールドに入力します。
  3. 高確率タグのイベント(イベントに有害なコードが含まれている確率が高いことを意味する)のみを表示するには、[高確率フラグのみ]オプションをチェックします。
  4. 4つのカテゴリ(静的、ネットワーク、コミュニティ、サンドボックス)で特定の値を上回るスコアを与えられたイベントのみを表示するには、対応するスライダーをドラッグするか、数値を入力して、ドロップダウン リストから演算子として=>=<=のいずれかを選択します。
  5. Apply]をクリックします。
    タイトルとフィルタがダッシュレットに適用されます。

ダッシュレットの整列

[イベントのサマリー]でのダッシュレットの表示順序を変更する方法

  1. ツールバーで、ic-actns.png>[ダッシュレットの整列]を選択します。
    [ダッシュレットの整列]ダイアログが表示されます。
    104OrderDshltDg.png
  2. 上または下に移動するダッシュレットを選択して、104UpBtn.pngまたは104DownBt.pngをクリックします。
  3. 並べ換えが完了したら、[適用]をクリックします。
    ダイアログが閉じ、選択内容に合わせて[イベントのサマリー]でのダッシュレットの表示順序が変更されます。

デフォルトのダッシュレットを復元

ダッシュレットの追加、変更、並べ替えを行った後で、ダッシュレットの表示をデフォルト設定に戻すことができます。デフォルトのダッシュレットを復元する方法

  1. ツールバーで、ic-actns.png>[デフォルトの構成をリストア]を選択します。
    構成を復元するかどうかの確認を求めるダイアログが開きます。
  2. 次のいずれかを実行します。
    1. 構成済みのダッシュレット表示設定を維持する場合は、[いいえ]をクリックします。
    2. デフォルトをリストアする場合は、[はい]をクリックします。
      ダッシュレットの表示がデフォルトの表示に戻ります。
You are here
Table of Contents > [Investigation]ビューおよび環境設定の構成 > Malwareの[イベントのサマリー]ビューの構成

Attachments

    Outcomes