Investigation:検索オプション

Document created by RSA Information Design and Development on Feb 16, 2017Last modified by RSA Information Design and Development on Feb 16, 2017
Version 2Show Document
  • View in full screen mode
  

[Investigation]の[ナビゲート]ビューおよび[イベント]ビューの両方でイベントを検索できます。[ナビゲート]ビューでは、HTTPなどのメタ値をクリックしてデータをドリル ダウンし、[検索]フィールドに検索文字列を入力して、データ サブセット内のイベントを検索できます。検索すると[イベント]ビューにタブが開き、指定した絞り込み条件と時間範囲が表示され、検索結果が表示されます。また、検索を開始する前にクエリーを使用してデータをドリル ダウンできます。

[Investigation]ビューの検索に関連する手順については、次のトピックを参照してください:[ナビゲート]ビューおよび[イベント]ビューの構成, [イベント]ビューのフィルタおよび検索結果[値]パネルでのデータのドリルダウン.

[Investigation]の[ナビゲート]ビューおよび[イベント]ビューでは、現在のイベント セットに対してテキスト パターンを検索できます。キーワード テキスト検索または、regex(正規表現)による検索が可能です。 

キーワード テキスト検索

キーワード テキスト検索の機能は次のとおりです。

  • スペースで区切られた単語はAND検索となり、すべての単語が検出されて初めて一致と見なされます。ただし、単語間の位置や順序は考慮されません。たとえば、Mark Albertを検索条件とした場合、セッションにMarkとAlbertの両方が存在している必要があります。ただし、1つのまとまりで出現している必要はなく、順序も問われません。
  • 「OR」という単語は特殊な意味を持ちます。Mark OR Albertを検索した場合、MarkとAlbertのどちらか一方がセッションに見つかれば一致と見なされます。両方が存在する必要はありません。
  • 1つの検索条件に、暗黙的なANDとORを組み合わせて使用することもできます。明示的に指定されたORは、暗黙的(スペースによる)ANDよりも優先されます。次の2つの例は、論理的には同じ意味を持ちます。つまり、「cheese」と「dumplings」の両方が存在し、「toast」か「bread」のどちらかが存在している必要があります。
    cheese toast OR bread dumplings
    cheese AND (toast OR bread) AND dumplings
  • 検索結果から除外したい単語は、-演算子で指定できます。たとえば、cheese -toastを検索した場合、cheeseという単語を含んだ結果のうち、toastを含んでいない結果がすべて返されます。
  • テキスト キーワード検索では、次のパターンの照合に対応しています。
    • IPv4およびIPv6アドレス。IPアドレスとして認識できる単語は、インデックス付けされたメタデータを検索できるように、ネイティブ メタデータ形式に変換されます。
    • IPv4 CIDR範囲。CIDR表記を使用して範囲内のIPv4アドレスを検索できます。
    • タイムスタンプ。タイムスタンプは、ネイティブのtimeメタ、およびTimeタイプのその他のtimeメタ フィールドと照合されます。 
    • 数字。検索条件に指定された10進数は自動的に認識され、数値メタ フィールドと照合されます。

検索の動作を制御するオプション

[ナビゲート]ビューまたは[イベント]ビューで検索ボックスと検索オプションにアクセスするには、次の手順を実行します。

  1. Security Analyticsメニューで、[Investigation]>[ナビゲート]または[イベント]を選択します。
  2. [Investigate]ダイアログで、サービスを選択し、[ナビゲート]をクリックします。
    ツールバーに、[イベントの検索]フィールドが表示されます。 
    SearchEventsField.png
    トラブルシューティング:ツールバーに[イベントの検索]フィールドが表示されない場合は、ツールバーの右端のic more.pngをクリックします。
  3. [イベントの検索]フィールドの矢印をクリックすると、[検索オプション]ドロップダウン メニューが表示されます。
    SearchEvents.png

このボックスで選択したオプションで、検索の実行方法を変更します。デフォルトの検索モードでは、検索インデックスを使用し、メタデータおよびRawデータに対して、テキスト キーワード検索を実行します。

次の表で、Investigationの検索オプションについて説明しています。

                                 
機能 説明
検索インデックスメタ データまたはRawデータをスキャンする前に、最初にインデックスを検索します。インデックス検索は、大量のデータ セットから最も迅速にキーワードを見つける方法です。インデックス検索は、データ コレクションにある関連するすべてのインデックスを利用します。

注意:
-インデックス検索では、インデックスされたデータの結果のみが返されます。
-サブストリング一致は、インデックス検索では検出されません。サブストリング一致を検出したい場合は、このチェック ボックスをオフにして、非インデックス検索モードを使用します。

メタメタデータを検索します。キーワードや正規表現パターンは、パース済みメタ データと照合されます。
RAW(ネットワーク/ログ)ログ テキストを検索します。すべてのイベントがデコードされ、キーワードや正規表現パターンに一致するコンテンツが検索されます。
フィルタを指定せずにArchiver上のすべてのデータを検索対象にした場合、実行時間が極端に長くなり、警告が表示される場合があります。

注意:ネットワークのRAWデータを検索すると、セッションがデコードされるため、非常に時間がかかります。ネットワーク データのみのコレクションを検索する場合は、RAWオプションを無効にしてもかまいません。

大文字と小文字を区別しない大文字と小文字を区別せずに検索します。
正規表現テキストではなくPerlの正規表現を使用して検索します。デフォルトでは、テキスト検索が実行されます。正規表現検索を実行するには、[正規表現]オプションを選択する必要があります。

注意:
-正規表現検索は、非常に低速になる可能性があります。
-正規表現とインデックス検索オプションを組み合わせると、メタ値ではなく一意のインデックス値に対して正規表現パターンが照合されます。これにより、結果の生成は早くなりますが、すべてのメタ データまたはRawデータを完全に検索した結果ではありません。

適用[ナビゲート]ビューと[イベント]ビューでの検索に適用するデフォルトの検索オプションを設定します。これにより、プロファイルのInvestigation設定([プロファイル]>[環境設定]>[Investigation]タブ)も更新されます。設定は保存され、すぐに有効化されます。
デフォルトの検索設定を変更せずに、個別の検索に使用する検索オプションを選択できます。

正規表現検索の構文

正規表現検索には、Perlの正規表現の構文(http://perldoc.perl.org/perlre.htmlを参照)が使用されます。

Rawテキスト キーワード検索(10.6の新機能)

Log Decoderには、パースされていないログ イベントのRawテキスト インデックスを作成する機能があります。この機能は、ConcentratorやArchiverなどのダウンストリーム サービス上にフル テキスト インデックスを形成する、メタデータ アイテムを作成します。検索オプションで[検索インデックス]を選択すると、自動的にこのテキスト インデックスを使用して検索が実行されます。テキスト インデックスのメタは、粒度が粗い点に注意してください。 たとえば、デフォルトのテキスト インデックスの構成では、テキストの切り捨てが行われます。インデックスでの一致をRawデータと比較することにより、検索エンジンは正確な検索結果を得ることができます。ただし、検索オプションのRawチェックボックスをオフにすると、検索時間が短縮する可能性があります。この場合、結果は迅速に表示されますが、検索結果に誤検出が含まれる可能性があります。

検索の例

[ナビゲート]ビューと[イベント]ビューからの検索の例を以下に示します。

[ナビゲート]ビューでの検索

[ナビゲート]ビューに表示されているデータを検索するには、次の手順を実行します。

  1. データをドリルダウンするには、[ナビゲート]パネルでHTTPなどのメタ値クリックします。
    ClickMetaValueHTTP.png 
  2. [検索]フィールドに検索文字列を入力し、Enterキーを押すか、[検索]をクリックします。 
    NavViewSearchExG.png
    次の例では、新しく開いた[イベント]ビューのタブに、検索文字列「google」の検索結果が表示されています。[ナビゲート]ビューのドリル(クエリー)と時間範囲が[イベント]ビューにも引き継がれています(この例では、service=80および過去24時間)。 
    NavViewSearchExG2.png
  3. 検索ボックスをクリアして通常の[イベント]ビューに戻るには、検索ボックスの[X]をクリックします。

[イベント]ビューでの検索

[イベント]ビューに表示されているデータを検索するには、次の手順を実行します。

  1. [イベントの検索]ボックスに検索文字列を入力し、Enterキーを押すか、[検索]をクリックします。
    検索結果が[イベント]ビューに表示されます。検索条件に一致するイベントが、[イベント]ビューのグリッドに表示されます。詳細ビューとリスト ビューでは、一致した文字列が[詳細]列にハイライト表示されます。加えて、RAWを検索対象とした場合、一致した文字列が、ログ ビューの[ログ]列でハイライト表示されます。以下の例は、[イベント]の詳細ビューでWashingtonを検索した結果を示しています。[イベントの再構築]では、検索条件との一致がハイライト表示されないことに注意してください。
    EventsViewSearchEX.png
  2. 検索範囲を絞り込む場合は、クエリーと時間を変更します。
  3. 検索を中止して[イベント]ビューに戻る場合は、[キャンセル]をクリックします。 
    表示されている結果はそのままとなります。
  4. 検索ボックスをクリアして通常の[イベント]ビューに戻るには、検索ボックスの[X]をクリックします。
You are here
Table of Contents > Investigationの参考資料 > [Investigation]ビューの検索オプション

Attachments

    Outcomes