SA構成:[Investigation]パネル

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、[システム]ビュー>[Investigation]パネルの機能について説明します。このパネルは、Security Analytics Investigationでデータを分析し、イベントを再構築するときに使用するシステム全体の設定を管理者が構成するためのユーザー インターフェイスを提供します。

[Investigation]パネルでの設定により、管理者は、Investigationのアプリケーション パフォーマンスを管理できます。アナリストが調査中のセッションを分析し、再構築するとき、大量のデータのロード、検索、ビジュアル化、再構築を伴う操作がパフォーマンスに影響を及ぼす可能性があります。

注:アナリストは、[プロファイル]ビューと[ナビゲート]ビューで、アナリスト固有のInvestigationの環境設定を行うこともできます。 

[Investigation]パネルにアクセスするには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[システム]を選択します。
  2. [オプション]パネルで、[Investigation]を選択します。

次の図は、[ナビゲート]タブを示します。

F-systems-navigate.png

次の図は、[イベント]タブを示します。

F-systems-events.png

このパネルに関連する手順については、次を参照してください。標準的な手順.

次の図は、[コンテキスト ルックアップ]タブを示しています。

meta-key-mapping.png

このパネルに関連する手順については、「InvestigationおよびMalware Analysisガイド」の「メタ タイプとメタ キーのマッピングの管理」を参照してください。

機能

[Investigation]パネルには、[ナビゲート]、[イベント]、[コンテキスト ルックアップ]という3つのタブがあります。

タブのほとんどのフィールドは、選択リストの形式になっており、指定可能な範囲の値を一定の幅で増減させながら選択することができますが、指定可能な範囲の値を直接入力することもできます。入力が無効な場合は、フィールドが赤色でハイライト表示されます。有効な値を選択し、該当するセクションの[適用]をクリックすると、変更がすぐに有効になります。

[ナビゲート]タブ

[ナビゲート]タブには、[表示スレッド設定]と[座標表示の設定]という2つのセクションがあります。

表示スレッド設定

[表示スレッド設定]では、1~20の値を選択できます。[ナビゲート]ビューでの値の同時ロード数を定義します。デフォルト値は1です。

RenThrdSett.png

座標表示の設定

[座標表示の設定]は、[ナビゲート]ビューの座標表示チャートに適用されます。座標表示チャートに表示できるデータ量には一定の制限があります。Security Analytics 10.5以降、管理者がここで座標表示の制限を構成できます。

注:パフォーマンスを向上するための推奨設定値は、[メタ値のスキャン制限]が100000、[メタ値の結果制限]が 1,000~10,000です。 

ParCorSet.png

次の表は、[座標表示の設定]について説明しています。

               
パラメータ説明
メタ値のスキャン制限アナリストが[ナビゲート]ビューで選択した調査時間の範囲内でスキャンされるメタ値の最大数。指定可能な値は、1,000~10,000,000の範囲です。デフォルト値は100,000です。
メタ値の結果制限アナリストが[ナビゲート]ビューで選択した調査時間の範囲内で返されるメタ値の最大数。指定可能な値は、100~1,000,000,000の範囲です。デフォルト値は10,000です。

[イベント]タブ

[イベント]タブには、イベントの調査に影響する構成可能な設定があります。このタブは次の4つのセクションに分かれています: [イベント検索の設定]、[再構築の設定]、[Webビューの再構築の設定]、[再構築キャッシュの設定]

イベント検索の設定

[イベント検索の設定]では、[イベント]ビューで検索を実行するときにスキャンされるイベントの数を制限できます。

InvEveSet.png

次の表は、[イベント検索の設定]について説明しています。

                 
パラメータ説明
スキャン件数[イベント]ビューで検索を実行するときにスキャンするイベントの最大数
イベント結果件数[イベント]ビューで検索を実行したときに返される結果の最大数

再構築の設定

アナリストが調査中のセッションを再構築するとき、一部のイベントはサイズが非常に大きくなり、数千個のソース パケットを含む場合があります。特にマルチ ユーザー環境でこのようなセッションを再構築すると、アプリケーションのパフォーマンスが低下する可能性があります。[再構築の設定]により、管理者は、再構築時の1つのイベントのパケット数とサイズを制限できます。

注:[再構築の設定]セクションの設定は、Webビューに対しては[Webビューの再構築の設定]セクションの設定で上書きされます。

AdmSysRec1.png

次の表は、[再構築の設定]セクションの機能について説明しています。

                 
パラメータ説明
最大パケット数この設定では、1つのイベントの再構築時に処理されるパケットの数を制限することで、パフォーマンスを保護します。

指定可能な値は、100~10,000パケットの範囲で、手動で入力するか、選択リストから100ずつ値を増減させて選択します。デフォルト値は100パケットです。
最大サイズ(バイト)この設定では、1つのイベントの再構築の最大サイズ(バイト単位)を制限することで、パフォーマンスを保護します。

指定可能な値は、102,400~104,857,600バイトの範囲で、手動で入力するか、選択リストから10,240ずつ値を増減させて選択します。デフォルト値は2,097,152バイトです。

Webビューの再構築の設定

[Webビューの再構築の設定]では、管理者は、同じサポート ファイルを含んだ関連イベントをスキャンして再構築することにより、Webビューの再構築を向上させるための設定を行います。Security Analyticsが複数のイベントにまたがるWebビューを再構築するときは、イメージ、CSS(カスケーディング スタイル シート)ファイルなどのサポート ファイルを含んだ関連イベントをスキャンして再構築することにより、ターゲット イベントの再構築を向上させることができます。

  • スキャンされる関連イベントは、ソース アドレスがターゲット イベントと同じで、ターゲット イベントの前後の指定された時間内のタイム スタンプを持つHTTPサービス タイプのイベントだけです。
  • スキャンする関連イベントの最大数は構成可能です。

[詳細設定]オプションをクリックすると、このセクションで構成可能なすべての設定が表示されます。

WbVwReconSett.png

次の表で、[Webビューの再構築の設定]について説明します。

                                     
パラメータ説明
Webビューでサポート ファイルを有効化しますこのオプションにより、他のセッションに関連データがあるWebビューの再構築方法を指定します。デフォルトでは、有効化されています。

有効化すると、関連イベントから取得したサポート ファイルをWebビューの再構築に使用することができます。アナリストは、再構築でCSSを使用するか否かを選択できるようになります。また、このセクションの詳細設定で、パフォーマンスを調整できるようになります。

無効化すると、関連イベントから取得したサポート ファイルは使用されず、アナリストには、再構築でのCSSの使用を有効化する設定が表示されなくなります。
関連イベントをスキャンする時間範囲Webビューでサポート ファイルを有効化します]チェックボックスがオンのときに設定できます。サービス タイプがHTTPで、ソース アドレスがターゲット イベントと同じである関連イベントをSecurity Analyticsがスキャンする時間の範囲を構成します。0~60の値を指定します。
  • ターゲット イベントの前(秒数)
  • ターゲット イベントの後(秒数)
処理する関連イベントの数を制限しますターゲット イベントのサポート ファイルを検出するために指定の時間範囲内でSecurity Analyticsがスキャンする関連イベントの最大数を構成できます。デフォルトでは、無効になっています。  有効化すると、[最大関連イベント数]フィールドがアクティブになります。
最大関連イベント数処理する関連イベントの数を制限します]を有効化したとき、このフィールドでは、ターゲット イベントのサポート ファイルを検出するために指定の時間範囲内でSecurity Analyticsがスキャンする関連イベントの最大数を指定します。

10~1,000の範囲で、100ずつ増減させて値を選択します。デフォルト値は100です。
関連イベントのパケット数とサイズを制限します
 
関連イベントの最大パケット数と最大サイズ(バイト)の一般設定を上書きします。
単一の関連イベントの最大パケット数指定可能な値は、100~10,000パケットの範囲で、選択リストから100ずつ増減させて値を選択します。デフォルト値は100パケットです。
単一の関連イベントの最大サイズ(バイト単位)指定可能な値は、102,400~104,857,600バイトの範囲で、選択リストから10,240ずつ増減させて値を選択します。デフォルト値は524,288バイトです。

再構築キャッシュの設定

再構築キャッシュによって間違ったコンテンツが表示される可能性があります。このためSecurity Analyticsでは、1日以上経過した再構築はキャッシュから削除されます。  キャッシュは、毎日深夜にクリアされます。日次のキャッシュ クリーニングの合間に特定のアクションを実行すると、古いキャッシュの情報を使用して再構築が行われる可能性があります。管理者は必要に応じて、Security Analyticsサーバに接続するサービスのキャッシュを手動でクリアできます。

AdmSysRec3.png

次の表は、[再構築キャッシュの設定]機能について説明しています。

                     
機能説明
選択ボックス各行およびタイトル バーにある選択ボックスでは、キャッシュを手動でクリアする任意のサービスまたはすべてのサービスを選択できます。
選択したサービスのキャッシュをクリア選択した各サービスの再構築キャッシュをクリアします。
すべてのサービスのキャッシュをクリアすべてのサービスの再構築キャッシュをクリアします。

[コンテキスト ルックアップ]タブ

[コンテキスト ルックアップ]タブでは、Investigationのメタ キーとメタ タイプのマッピングを構成することができます。管理者は、Context Hubサービスがサポートするメタ タイプのリストに、Investigationで使用するメタ キーを追加、または削除することができます。このパネルに関連する手順については、「Context Hub構成ガイド」の「メタ タイプとメタ キーのマッピングの管理」を参照してください。

機能

次の表で[コンテキスト ルックアップ]タブの機能について説明します。

                   
機能説明
ic-add.png選択したメタ タイプに、メタ キーを追加します。
ic-delete.png選択したメタ タイプからメタ キーを削除します。
適用[コンテキスト ルックアップ]タブに加えた変更を保存します。
You are here
Table of Contents > 参考資料 > [Investigation]パネル

Attachments

    Outcomes