Investigation:リスト フォームでのスキャン ファイルおよびイベントの調査

Document created by RSA Information Design and Development on Feb 16, 2017Last modified by RSA Information Design and Development on Feb 16, 2017
Version 2Show Document
  • View in full screen mode
  

このトピックでは、Security Analytics Malware Analysisファイル リストのイベントに示されているファイルを表示する手順について説明します。

Security Analytics Malware Analysisのスキャンでイベントのサマリーを表示する場合、ファイル数またはイベント数をクリックすると、そのスキャンのファイル リストまたはイベント リストを表示できます(「 Malware Analysisの調査の開始」を参照してください)。ファイル リストまたはイベント リストでは、ファイル名またはMD5ファイル ハッシュを基準にファイルを検索したり、昇順または降順で2つのソート基準でリストをソートしたり、ファイルをダウンロードしたりすることができます。ファイル リストまたはイベント リストに調査対象のファイルまたはイベントが見つかった場合、[イベントの詳細]ビューにそのイベントまたはファイルのさまざまな詳細を表示できます。

104MwEventsList.png

イベント リストの各イベントで、Security Analyticsから次の情報が提供されます。

  • 高確率イベントとしてフラグ設定(セキュリティ侵害の可能性が高いと見なされる)。
  • 各スコア モジュールの数値スコア:静的、ネットワーク、コミュニティ、サンドボックス)を示します。
  • アンチウイルスソフト ベンダーのスコア。
  • カスタマイズ ルールが適用されたフラグ。
  • イベントがアーカイブされた日付。
  • セッション時間。
  • MD5ハッシュ フィルタ。
  • イベント内のファイル数。
  • イベントのソースIPアドレス。
  • ID。
  • 宛先IPアドレス。
  • 宛先の国名。
  • ホストのエイリアス名。
  • イベント タイプ(Networkなど)。
  • イベントが使用するサービス。
  • 宛先の組織

104FilesList.png

ファイル リストの各ファイルで、Security Analyticsから次の情報が提供されます。

  • 高確率イベントとしてフラグ設定(セキュリティ侵害の可能性が高いと見なされる)。
  • 各スコア モジュールの数値スコア:静的、ネットワーク、コミュニティ、サンドボックス)を示します。
  • アンチウイルスソフト ベンダーのスコア。
  • ファイル名。
  • ファイル タイプ。
  • MD5ハッシュ フィルタ。
  • ファイルを含むイベントのソースIPアドレス。
  • 宛先IPアドレス。
  • ファイルを含むイベントがアーカイブされた日付。
  • ファイル サイズ。

ファイル リストまたはイベント リストのソート

ファイル リストまたはイベント リストは、列名を基準にして昇順または降順にソートできます。選択できる列は1列または2列です。

リストをソートするには、次の手順を実行します。

  1. 最初の[ソート基準]ドロップダウン リストから、列名とソート方向(SortDes.png(降順の場合)または104SrtAsc.png(昇順の場合))を選択します。
  2. (オプション)2つ目の[ソート基準]ドロップダウン リストから、列名とソート方向(SortDes.png(降順の場合)または104SrtAsc.png(昇順の場合))を選択します。
    列のタイトルに、選択したソート順序が示されます。次の例では、[ハッシュ]列が昇順でソートされ、[サイズ]列が降順でソートされています。
    104FilesLstSorted.png

ファイル名またはMD5ファイル ハッシュでのリストのフィルタ

ファイル リストとイベント リストは、ファイル名またはファイル ハッシュでフィルタできます。この機能を使用すると、検索条件によって、元のデータを一定のサブセットに限定することができます。

注:検索は、すべてのスキャンに対して実行されるわけではなく、現在表示されているスキャンに対して実行されます。

  1. ic-filtbutton.pngをクリックします。
    [フィルタ]ダイアログが表示されます。
  2. ファイル名]または[MD5ハッシュ]に値を入力して、[フィルタ]をクリックします。ファイル名とハッシュのフィールドでは大文字と小文字が区別されません。ワイルド カードまたは正規表現はサポートされません。フィルタは完全一致に基づいています。ファイル リストまたはイベント リストでファイル名またはハッシュをドラッグして選択し、ダイアログでコピー アンド ペーストできます。
    104MWHashPaste.png
  3. フィルタ]をクリックします。
    Malware Analysis では、リストをフィルタリングして、選択したハッシュと一致するファイルまたはイベントのみを表示できます
  4. リストのフィルタを解除するには、104FilterIcon.pngをクリックします。[フィルタ]ダイアログが表示されたら、[リセット]をクリックします。

ファイル リストからのファイルのダウンロード

Security Analyticsでは、ファイル リストまたはイベント リストからファイルを選択してダウンロードできます。

注意:Malware Analysisからファイルをダウンロードする場合、ファイルに有害なコードが含まれている可能性があるため、注意が必要です。ファイルのダウンロードには、構成可能な固有の権限が必要です。詳細については、「Malware Analysis構成ガイド」の「Malware Analystsのロールと権限の定義」を参照してください。

ファイル リストまたはイベント リストからファイルをダウンロードするには、次の手順を実行します。

  1. ファイル リストまたはイベント リストで、1つ以上の行の横にあるチェックボックスをオンにします。
  2. ツールバーで、104DnLdFilesIcon.pngを選択します。
    [マルウェア ファイルのダウンロード]ダイアログが表示されます。
  3. 次のいずれかを実行します。
    1. ファイルをダウンロードしない場合は、[キャンセル]をクリックします。
    2. ファイルをダウンロードする場合は、[ダウンロード]ボタンをクリックします。
      選択したファイルは、「Malware_Files.zip」という名前のzip形式でダウンロードされます。

スキャンからのイベントの削除

イベント リストで1つ以上のイベントを選択して、スキャンから削除できます。この機能は、調査の対象ではないイベントを削除する場合に便利です。

表示中のスキャンからイベントを削除するには、次の手順を実行します。

  1. イベント リストで、1つ以上のイベントを選択します。
  2. ツールバーでic-dltevnts.pngをクリックします。
    Security Analyticsで、イベントの削除の確認を求めるダイアログが表示されます。
  3. 確認ダイアログで、[はい]をクリックします。
    選択したイベントが削除されます。

[イベントのサマリー]に戻る

ファイル リストまたはイベント リストから[イベントのサマリー]に戻るには、[サマリーに戻る]をクリックします。

イベントの詳細な解析を開く

ファイル リストまたはイベント リストでイベントまたはファイルを調査しているときに、イベントまたはファイルをダブル クリックすると、イベント リストのイベント、またはファイル リストのファイルが関連づけられているイベントの詳細な解析情報を開くことができます。次のトピックを参照してください:イベントの詳細なマルウェア解析の表示).

You are here
Table of Contents > Malware Analysisの実施 > リスト フォームでのスキャン ファイルおよびイベントの調査

Attachments

    Outcomes