Investigation:調査の開始

Document created by RSA Information Design and Development on Feb 16, 2017Last modified by RSA Information Design and Development on Feb 16, 2017
Version 2Show Document
  • View in full screen mode
  

アナリストは、Security Analyticsサービスまたはコレクションのデータの調査を開始し、値をロードできます。

Security Analyticsで調査を開始するには、サービスを指定する必要があります。

  • Security Analyticsで[ナビゲート]ビューが開き、ユーザーが指定したデフォルトのサービスが選択された状態になります。
  • デフォルトのサービスが指定されておらず、サービスIDがURLに含まれていない場合、Security Analyticsは、調査するサービスまたはコレクションを選択するダイアログを表示します。
  • サービスを手動で選択した場合も、デフォルトのサービスが[ナビゲート]ビューに表示された場合も、ツールバーでサービス名を選択して、調査するサービスまたはコレクションを変更できます。Security Analyticsは、調査するサービスを選択するダイアログを表示します。

注:調査の実行時にユーザー操作のパフォーマンス低下を最小限に抑えるために、Archiverサービスは[ナビゲート]ビューに表示されません。Archiverは[イベント]ビューでログのエクスポートや強化された検索機能に使用できます。 

サービスまたはコレクションを選択すると、Security Analyticsはサービスに対してデータをロードする準備が整います。[ナビゲート]ビューおよび[イベント]ビューの[設定]ダイアログまたは[プロファイル]>[環境設定]パネル>[Investigation]タブの複数の設定がロード処理に影響を及ぼします。[閾値]、[結果の最大数]、[デバッグ情報の表示]、[値の自動ロード]、[調査の最適化]のページが表示されます(次のトピックを参照してください)。 [Investigation]ビューおよび環境設定の構成).

注:[値の自動ロード]を指定すると、Security Analyticsはデータを自動的に取り込みます。それ以外の場合は、ユーザーが[ロード]ボタンを選択する必要があります。Security Analyticsが[ナビゲート]ビューにメタ データを取り込むと、結果はほぼ即時に表示されます。

このトピックの後半では、サービスのデータの調査を開始するための手順について説明します。

注:コレクションを作成できるのは管理者ロールを持つユーザーだけであり、コレクションを調査できるのはコレクションの作成者だけです。

手順

調査の開始(デフォルトのサービスが指定されていない場合)

  1. Security Analyticsメニューで、[Investigation]>[ナビゲート]を選択します。
    [Investigate]ダイアログが表示されます。
    INVDgServ.png
  2. サービスをダブル クリックするか、またはサービスを選択して、[ナビゲート]をクリックします。
    画面に、選択したサービスに対して実行可能な操作が表示されます。
  3. ロードする前にInvestigationのオプションを変更することができます。オプションは、カスタム プロファイルの作成または変更、別の時間範囲の適用、メタ グループの作成または適用、カスタム クエリーの実行などを設定することができます。これについては、次のトピックで説明しています:[ナビゲート]ビューでの情報のフィルタ.
  4. 準備が完了したら、103-SP2Icon-LoadValues.pngをクリックします。
    選択したサービスのデータのロードが開始されます。
    NavVwBrok.png
    サービスが選択され、データがロードされて、データを解析する準備が整います。

デフォルトのサービスの設定またはクリア

[サービスの調査]ダイアログでは、デフォルトのサービスを設定およびクリアできます。

  1. ツールバーでサービス名をクリックします。
    [Investigate]ダイアログが表示されます。
    INVDgServ.png
  2. サービス]グリッドでサービスを選択し、ic-DefServ.pngをクリックします。
    このサービスがデフォルトになります(サービス名の後に括弧に囲まれてデフォルトと表示されます)。
  3. デフォルトのサービスをクリアするには、グリッドでデフォルトのサービスを選択し、ic-DefServ.pngをクリックして[キャンセル]をクリックし、ダイアログを閉じます。
    デフォルトのサービスが設定されていない状態になります。 

注:[キャンセル]ボタンでは、デフォルトのサービスの選択はキャンセルされません。グリッド内で現在選択されているサービスに移動せずに、ダイアログが閉じるだけです。現在調査中のサービスとは異なるサービスをデフォルトに設定しても、[ナビゲート]ビューは更新されません。明示的に選択して、別のサービスに移動する必要があります。

調査の開始(デフォルトのサービスが指定されている場合)

  1. Security Analyticsメニューで、[Investigation]>[ナビゲート]を選択します。
    [値の自動ロード]がオフの場合、[ナビゲート]ビューが表示され、デフォルトのサービスが選択された状態になり、データをロードする準備が整います。[値の自動ロード]がオンの場合、ステップ3に示すように、値がロードされます。
    NavVwLoadVal.png
  2. ロードする前にInvestigationのオプションを変更することができます。オプションは、カスタム プロファイルの作成または変更、別の時間範囲の適用、メタ グループの作成または適用、カスタム クエリーの実行などを設定することができます。
  3. 準備が完了したら、103-SP2Icon-LoadValues.pngをクリックします。
    選択したオプションに従って、サービスの値がロードされます。
    NavVwBrok.png
    サービスが選択され、データがロードされて、データを解析する準備が整います。

調査するサービスまたはコレクションの変更

  1. [ナビゲート]ビューで、オプション パネルの上部の103-SP2DeviceName.png(サービス名)をクリックします。
    [Investigate]ダイアログが表示されます。
    INVDgServ.png
  2. サービスをダブル クリックするか、またはサービスを選択して、[ナビゲート]をクリックします。画面に、選択したサービスに対して実行可能な操作が表示されます。
    [値の自動ロード]がオンの場合、ステップ3に示すように、値がロードされます。オンでない場合は[ナビゲート]ビューが表示されて、デフォルトのサービスが選択された状態になり、データをロードする準備が整います。 
    NavVwLoadVal.png
  3. 準備が完了したら、103-SP2Icon-LoadValues.pngをクリックします。
    選択したオプションに従って、サービスの値のロードが開始されます。
    NavVwBrok.png
    サービスが選択され、データがロードされて、データを解析する準備が整います。

Workbenchのリストア コレクションの調査

管理者がこの手順を実行すると、既存のコレクションから内容を選択して、さらなる調査のために再度処理を行うことができます。

注:コレクションを作成できるのは管理権限を持つユーザーだけです。また表示できるのは自身が作成したコレクションだけです。

さらなる調査のためにデータを再度処理するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Investigation]>[ナビゲート]を選択します。
    [Investigate]ダイアログが表示されます。
    INVDgCollect.png
  2. 調査するWorkbenchサービスとWorkbench名を選択します。
  3. ナビゲート]をクリックして、選択したWorkbenchサービスに対する調査を実行します。
    キャンセル]をクリックして、調査する別のWorkbenchサービスを選択します。
    [Investigation]ビューが表示されます。
    investwbsvc2020415.png
    コレクションが選択され、データがロードされて、データを解析する準備が整います。
Previous Topic:調査の実施
You are here
Table of Contents > 調査の実施 > 調査の開始

Attachments

    Outcomes