Investigation:Investigationでのデフォルト メタ キーの管理と適用

Document created by RSA Information Design and Development on Feb 16, 2017Last modified by RSA Information Design and Development on Feb 16, 2017
Version 2Show Document
  • View in full screen mode
  

収集したデータの調査をアナリストがInvestigationで実施する際は、メタ キーのデフォルトのセットが[ナビゲート]ビューの[値]パネルにデフォルトの順序でロードされて表示されます。デフォルトのコンテンツと順序は、調査対象のサービスのメタ キーに基づきます。アナリストは、デフォルトのメタ キーを選択するかユーザー定義のメタ キーのグループを選択することにより、調査の際に表示するメタ キーを指定でき、メタ キーの定義や表示を柔軟に行うことができます。これにより、目的のデータにより直接的にドリル ダウンできるようになります。また、現在の調査には関係のないメタをロードせずに済むため、ロードの時間の短縮にも役立ちます。

有効なカスタム メタ グループがない場合は、[デフォルトのメタ キーの管理]ダイアログの表示オプションで指定されたメタが表示されます。[ナビゲート]ビューの[値]パネルでのメタ キーのロードを最適化するために、Security Analyticsはデフォルトでは、インデックスなしのメタ キーを展開しません。インデックスなしのメタ キーを[値]ビューで展開するときに、Security Analyticsでは、そのメタ キーの値のロードを開始します。ロード時間が長くなりすぎると、メッセージが表示されてメタ キーのロードはタイムアウトになります。インデックスなしのメタ キーのタイトル、値、数は、[値]パネルでは詳しく調べることができません。Investigationでラベル付けを行い、インデックスなしのメタ キーを識別します。この機能は以前のリリースでも提供されていました。

調査に使用するメタ キーを選択するには、次のいずれかの手順を実行します。

  • デフォルトのメタ キーを選択する。
  • ユーザー定義のメタ キー セット(メタ グループ)を選択する。

注: Security Analyticsには、デフォルト グループ以外にビルトインのメタ グループはありません。追加のメタ グループを[メタ グループの使用]メニューに表示するには、あらかじめ定義しておく必要があります。作成したユーザー定義のメタ グループは、編集と削除が可能であるほか、エクスポートやインポートが可能です。これらの手順については、ユーザー定義のメタ グループの管理.

[デフォルトのメタ キー]ダイアログでは、[Investigation]>[ナビゲート]ビューで特定のサービスについて調査するときに、メタ キーのデフォルト表示オプションを指定できます。キーごと、またはすべてのキーについて、デフォルトの表示を次のように設定できます。

  • [非表示]:デフォルトのメタ キーの結果を非表示にし、ロードしません。
  • [展開表示]:デフォルトのメタ キーの結果を展開し、値と数(セッションの合計)を表示します。
  • [折りたたみ表示]:デフォルトのメタ キーの結果を折りたたみ、メタの名前だけが表示されるようにします。
  • [自動]:デフォルトのメタ キーのロードをインデックス レベルで制御します。そのためには、値によるインデックス付けが設定されている必要があります。 

デフォルトのメタ キーはさまざまなサービス向けに変更できるため、別のサービスのドリルダウン ポイントに移動したときに、同じデフォルトのメタ キーのセットが表示されないことがあります。デフォルトのメタ キーを使用する場合は、この点に注意してください。目的のデータが表示されない場合は、デフォルトのメタ キーの初期表示を変更する必要があります。

デフォルトのメタ キーの初期状態を[ナビゲート]ビュー内で変更した場合、変更はそのサービスに対して持続されます。コア サービスのカスタム インデックス ファイル(たとえば、broker-custom-index.xmldecoder-custom-index.xmlなど)に新しいキーを追加する場合、その新しいキーは、デフォルトのメタ キーのリストに追加されます。[ナビゲート]ビューで設定された変更は、現在のサービスにのみ適用されます。

デフォルトのメタ キーを使用

初期の[ナビゲート]ビューがデフォルトのメタ キーを使用して開くように指定するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Investigation]>[ナビゲート]を選択します。
  2. サービスを選択し、[ナビゲート]を選択します。
  3. メタ]メニューで、[デフォルトのメタ キーを使用]を選択します。
    調査がすでに進行中である場合、データが現在のビューに再ロードされ、選択したオプションには目印のアイコンが表示されます。まだデータがロードされていない場合、デフォルトのメタ キーが次回のロードに使用されます。

デフォルトのメタ キーの構成

[Investigation]>[ナビゲート]ビューでデフォルトのメタ キーのデフォルトの表示を構成するには、次の手順を実行します。

  1. ナビゲート]ビューのツールバーで、[メタ]>[デフォルトのメタ キーの管理]を選択します。
    [デフォルトのメタ キーの管理]ダイアログが表示され、サービスで利用可能なメタ キーのリストが表示されます。
    ManDefMetKeyDg.png
  2. (オプション)キーの順序を変更するには、1つ以上のキーを選択し、上方向または下方向にドラッグします。
  3. 次のいずれかを実行します。
    1. (オプション)すべてのメタ キーのデフォルトの表示を変更するには、キーが選択されていないことを確認して、ツールバーでViewOption.pngを選択します。
    2. (オプション)
    3. (オプション)メタ キーをサービス インデックス ファイルで指定されているとおりのデフォルトの表示に戻すには、キーが選択されていないことを確認して、ツールバーでViewOption.png>[自動]を選択します。
      ManDefMetKeyMenu.png
      デフォルトのメタ キーを変更する場合、インデックスなしのメタ キーを展開表示に設定できません。メタ グループのデフォルト ビューを展開表示に変更し、一部のメタ キーがインデックスなしであった場合、インデックスなしのメタ キーは自動的に自動に戻ります。したがって、メタ キーはインデックス付きである場合にのみ自動的にロードされます。インデックスなしのメタ キーは手動で開くまで折りたたみ表示になります。
  4. いずれかの表示方法を選択します。
  5. 適用]をクリックして、変更を保存します。
    [ナビゲート]ビューに表示されるメタ キーは、指定された内容で設定されます。デフォルトのメタ キーが非表示の場合、そのメタ キーの値はInvestigationでは一切表示されません。デフォルトのメタ キーが折りたたみ表示の場合、そのメタ キーの値はデフォルトではロードされません。ただし、[ナビゲート]ビューで個々のメタ キーを手動でロードすることはできます。
You are here
Table of Contents > 調査の実施 > [ナビゲート]ビューでの情報のフィルタ > Investigationでのデフォルト メタ キーの管理と適用

Attachments

    Outcomes