Investigation:イベントの再構築

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

Security Analyticsの[Investigation]>[イベント]ビューでイベントのリストを表示する際、イベントの元の形式と一致する読み取り可能な形式で安全にイベントを再構築することができます。再構築されたイベントの初期ビューには、最適な形式(「最適な表示」)がデフォルトで使用されます。たとえば、WebコンテンツはWebページとして再構築され、IMによる会話はチャットとして表示されます。再構築のデフォルト表示は、[プロファイル]>[環境設定]ビューで各ユーザーが変更できます。

再構築では、次のことができます。

  • 表示するイベント情報を選択。リクエスト データ、レスポンス データ、またはその両方を選択することができます。
  • 再構築のタイプを選択。詳細、テキスト、16進数、パケット、Web、メール、IMのいずれかを選択できます。
  • RAWログをエクスポート。
  • イベントをPCAPファイルとしてエクスポート。
  • イベントから任意のファイルを抽出。

注意:再構築でファイルへのリンクをクリックするときは気を付けてください。そのファイルに関連づけられているアプリケーションがシステムに含まれる場合、またはブラウザでそのファイルを開くことができる場合、それが悪意のある添付ファイルだと、システムに悪影響を及ぼすことがあります。

  • イベントを個別のウィンドウまたはタブで表示(使用しているブラウザの構成により異なる)。
  • 現在のビューでプレビューとして再構築を表示している場合、左下隅にあるナビゲーション ボタンで前後のページのイベントに移動することができます。

注:Investigationのアプリケーション パフォーマンスは、管理者が、Security Analyticsの[再構築の設定]と[再構築キャッシュの設定]で管理できます。アナリストが調査対象のセッションを再構築表示する場合、パフォーマンスと表示結果に影響を与える要素が2つあります。

イベントの再構築

  1. イベント]ビューでドリルダウン ポイントを開きます。
  2. すべてのメタ データを表示するには、104ShowAddlMeta.pngをクリックします。
  3. 現在のビューで[イベントの再構築]を表示するには、次のいずれかを実行します。
    1. イベントの末尾にある104ViewDetail.pngを選択します。
    2. 再構築するイベントを選択し、[アクション]>[イベントの表示]>[インライン プレビュー]を選択します。
      同じビューに、[イベントの再構築]がポップアップ ウィンドウで表示されます。デフォルトでは、イベントのコンテンツから判断されたイベントに最適な再構築形式か、Investigationの[デフォルト セッション表示]の設定で選択した再構築形式で表示されます。[イベントの再構築]ツールバーのオプションを使用して、再構築方法の変更、複数の結果の並行表示、イベントのエクスポート、メールの添付ファイルの表示、ファイルの抽出、新しいタブでのイベントの表示を行うことができます。
      104EvReconTopToBot.png
  4. 次のイベントの再構築をプレビューするには104ReconNext.pngを、前のイベントの再構築をプレビューするには104ReconPrevious.pngをクリックします。
  5. 新しいタブでイベントの再構築を表示するには、次のいずれかを実行します。
    1. 再構築するイベントを[イベント]ビューで選択し、[アクション]>[イベントの表示]新しいタブで開く]を選択します。
    2. プレビューした再構築の[イベントの再構築]ツールバーで、[イベントを新しいタブで開く]をクリックします。
      [イベントの再構築]が新しいタブで表示されます。
      104NavEvReconNT.png

セッションを左右/上下に並べて表示

イベントのリクエストやレスポンスの表示方法を選択するには、次の手順を実行します。

  1. イベントの再構築]ツールバーで、[セッションを上下に並べて表示]または[セッションを左右に並べて表示]をクリックします。
  2. ドロップダウン メニューから、イベントに表示する情報を選択します。[セッションを左右に並べて表示]または[セッションを上下に並べて表示]。
    選択した情報で、再構築されたイベントが更新されます。
    104EvenReconPreview.png

表示するイベント情報の選択

表示するイベント情報を選択するには、次の手順を実行します。

  1. イベントの再構築]ツールバーで、[リクエストとレスポンス]をクリックします。
  2. ドロップダウン メニューから、イベントに表示する情報を選択します。[リクエストとレスポンス]、[リクエスト]、[レスポンス]のいずれかを選択してください。
    選択した情報で、再構築されたイベントが更新されます。

イベントの再構築のタイプの選択

イベントの再構築のタイプを選択するには、次の手順を実行します。

  1. イベントの再構築]セクション ツールバーで[最適な表示]をクリックします。
  2. ドロップダウン メニューから、表示する再構築のタイプを選択します。メタテキスト16進数パケットWebメールファイルのいずれかを選択できます。
    再構築されたイベントが、選択された再構築のタイプで更新されます。

メールの添付ファイルの表示またはダウンロード

ファイルが添付されているメールの再構築を表示するときに、サポートされているファイル タイプを開くか、そのファイルをローカル システムにダウンロードできます。

注意:添付ファイルを選択するときは気を付けてください。添付ファイルに関連づけられているアプリケーションがシステムにインストールされている場合、またはブラウザでそのファイルを開くことができる場合、悪意のある添付ファイルを開くと、システムに悪影響を及ぼす可能性があります。

メールの添付ファイルを表示またはダウンロードするには:

  1. イベントの再構築]セクションのツールバーで、[表示]ドロップダウンを選択し、[メールの表示]を選択します。
    [イベントの再構築]が表示されます。
    EmlRecatt.png
  2. メールの[イベントの再構築]セクションで、添付ファイルをクリックします。
    ファイル タイプがブラウザでサポートされている場合は、新しいタブで添付ファイルが開きます。
    ファイル タイプがサポートされていない場合は、添付ファイルをダウンロードできるように[ダウンロード]ダイアログが表示されます。

イベントをPCAPファイルとしてエクスポート

PCAPエクスポート オプションにより、現在の時間範囲のセッションおよびドリルダウン ポイントをPCAPファイルにダウンロードできます。イベントをPCAPファイルとしてエクスポートするには、次の手順を実行します。

  1. イベントの再構築]セクション ツールバーで、[アクション]をクリックします。
  2. PCAPのエクスポート]をクリックします。
  3. 確認ダイアログが表示されます。
  4. OKをクリックします。
    ジョブのスケジュールが設定され、完了すると、PCAPが生成されます。PCAPは、[プロファイル]>[ジョブ]タブでダウンロードできます。

再構築されたイベントからのファイルの抽出

イベントに関連するファイルは、[ファイルの抽出]オプションで抽出し、ダウンロードすることができます。ファイルを抽出するには、次の手順を実行します。

  1. イベントの再構築]セクション ツールバーで、[アクション]をクリックします。
  2. ファイルの抽出]をクリックします。
    [ファイルの抽出]ダイアログ ボックスが表示されます。
  3. 抽出するファイルのタイプを選択し、[OK]をクリックします。
  4. ジョブのスケジュールが設定され、完了すると、選択したタイプのファイルが生成されます。このファイルは、[プロファイル]>[ジョブ]タブでダウンロードできます。
You are here
Table of Contents > 調査の実施 > イベントの調査 > イベントの再構築

Attachments

    Outcomes