［サービス］の［構成］ビュー：［監査］タブ

Document created by RSA Information Design and Development

on Apr 19, 2018

Version 1Show Document

Like • Show 0 Likes0
Comment • 0
View in full screen mode

［イベント］ビューと新しい［イベント］ビューの［再構築］パネル（［調査］＞［イベント］パネル＞イベントをクリック）では、［ナビゲート］ビューまたは［イベント］パネルで見つけた関心のあるイベントの再構築を安全に表示することができます。

ワークフロー

どうしますか？

ユーザの役割	処理オプション...	ドキュメント
脅威ハンター	クエリの送信	調査の実施
脅威ハンター	クエリの結果の表示	［イベント分析］ビューでのイベントの分析
脅威ハンター	イベントの再構築*	イベントの再構築
脅威ハンター	イベントからのファイルのエクスポート	イベントの再構築
脅威ハンター	イベントの追加のコンテキストの検索	コンテキスト情報の検索

関連トピック

NetWitness Investigateの仕組み
調査の実施
［イベント分析］ビューでのイベントの分析
［ナビゲート］ビュー
［イベント分析］ビュー：［テキスト分析］パネル

簡単な説明

Investigateの［再構築］パネルは、パケットビュー、ファイルビュー、テキストビューで単一のイベントの再構築を表示します。［イベント］パネルでイベントをクリックすると、隣接する［再構築］パネルにイベントのパケット再構築が表示されます。［イベントの再構築］ツールバーのオプションを使用して、再構築タイプおよび方向（リクエストまたはレスポンス）を変更することや、ヘッダーパネルの表示と非表示を切り替えること、［イベントの再構築］パネルを拡張または縮小することや、閉じることができます。選択した再構築のタイプとペイロードの内容に応じて、追加のオプションが使用できます。たとえば、テキストビューでのみペイロードを表示し、ファイルビューでファイルをダウンロードして、パケットビューでPCAPファイルをダウンロードすることができます。

以下は、パケット再構築の例です。

1	再構築タイプ（パケットビュー、ファイルビュー、テキストビュー）を選択するためのタブまたはドロップダウンメニューです。現在選択されているタイプがラベルに表示されます。
2	クリックすると、ヘッダーパネルの表示と非表示が切り替わります。
3	これらのアイコンをクリックすると、リクエスト、レスポンス、またはその両方が表示されます。
4	このアイコンをクリックすると、イベントに関連するメタデータの詳細なリストを提供する［イベントメタ］パネルの表示と非表示が切り替わります。
5	［ナビゲート］ビューで［再構築］パネルを水平方向に拡張または縮小するオプションです。
6	［再構築］パネルを閉じるオプションです。
7	ヘッダーには、再構築中のイベントのサマリ情報が表示されます。
8	イベントの各パケットが一覧表示されます。パケットごとに、パケット番号、方向（リクエストまたはレスポンス）、パケットの内容を、左側にバイナリ形式、中央に16進形式、右側にテキスト形式で表示できます。

パケット再構築の詳細

パケット再構築では、Investigateによりパケット番号、パケットの方向（リクエストまたはレスポンス）、パケットの開始時刻、パケットの内容が表示されます。

すべてのパケットが、ヘッダーで開始され、パケットの一部にはフッターがあります。パケットビューでは、パケットのペイロードと区別できるように、ヘッダーとフッターのバックグラウンドは暗い色で表示されます。ヘッダーおよびフッターの暗い色のバックグラウンドは、16進数とテキスト形式の両方で表示されます。

パケットの内容は、16進数とテキスト形式で提供されます。メタデータは青でハイライト表示されます。メタデータの上にマウスを置くと、メタキーまたはメタ値の情報がスクリーン上にヒントとして表示されます。

パケットビューのその他のオプションには、イベントのPCAPをダウンロードする機能や、ペイロードのみを表示する機能があります。ペイロードのみが表示されている場合は、［バイトの濃淡化］オプションを使用してデータのパターンを識別するために役立てることができます。

テキスト再構築の詳細

テキスト再構築では、ネットワークイベントとログイベントの表示方法が異なります。ネットワークイベントでは、Investigateは、パケットの方向（リクエストまたはレスポンス）と、テキスト形式で各パケットの内容を提供します。

ログイベント（中央のフィルタ=［ログ］）では、リクエストまたはレスポンスはありません。rawログのみがテキスト再構築に表示されます。

テキストビューでは、再構築オプションのサブセットが使用できます。実行できる操作：

ヘッダーの表示と非表示を切り替えることができます。
ネットワークイベントの場合は、リクエストのみ、レスポンスのみ、またはその両方を表示できます。
ネットワークイベントの場合は、セッションをPCAPファイルとしてエクスポートできます。
ログイベントの場合は、rawログをエクスポートできます。
ペイロードの圧縮と解凍ビューを切り替えることができます。セッションが解凍されると、テキストの圧縮された部分が読み取り可能になります。
デコーディングとエンコーディングのためにテキストを選択できます。

注：この機能は、ファイルビュー、HTTP以外のネットワークセッション、ログデータでは使用できません。

ファイル再構築の詳細

ファイル再構築では、選択されたネットワークイベントに関連するファイルのリストが調査により表示されます。

1個のファイル、1個または複数のファイル、すべてのファイルを選択してローカルファイルシステムにエクスポートできます。ファイルを選択したら、［ファイルのエクスポート］ボタンがアクティブになり、選択したファイルの数が反映されます。このボタンをクリックすると、選択したファイルがzipアーカイブとしてエクスポートされます。これにより、悪意のある可能性のあるファイルがデフォルトアプリケーションによって開かれることや、実行されることがなくなります。エクスポートされたアーカイブの名前には、次の規則を使用します。

<service-ID or host name>_SID<nnnnnnnn>_FC<n>.zip

各項目の意味は以下のとおりです。

<service-ID or host name>は、セッションが保存されたサービスの名前（たとえばConcentratorまたはBroker）です
SID<nnnnnnnn>は、セッションID番号です
FC<nnnnnnnn>は、ファイル数またはアーカイブ内のファイルの数です。

ダウンロード時にアーカイブが自動的に解凍されるのを防ぐために、NetWitness Suiteはパスワード保護されたアーカイブをエクスポートします。アーカイブを開くには、パスワード「netwitness」を入力します。

注意：デフォルトのアプリケーションに関連づけられているファイルを解凍または開くときに警告が表示されます。たとえば、Excelスプレッドシートは、その安全を確認する前にExcelで自動的に開かれる可能性があります。

詳細説明

機能	説明
［再構築タイプ］メニュー	このメニューでは、再構築のタイプを選択できます。選択できるタイプは、［パケット］または［ファイル］です。最初に再構築を開くと、デフォルトでNetWitness Suiteにより最適な再構築が選択されます。
［ダウンロード］オプション	ログ、PCAP、ファイルをエクスポートして、より詳細な分析や、他のユーザとの共有を行うためのオプションです。
	パケットリストの上のヘッダーの表示を制御します。このアイコンをクリックすると、ヘッダーの表示と非表示を切り替えることができます。ヘッダーを非表示にすると、パケットリストのスペースが増えて、より多くのパケットを表示するために必要なスクロールの量が減ります。ヘッダーには、パケットを収集したサービスの名前、セッション番号またはイベント番号、イベント（ネットワーク）のタイプ、ソースIP:PORT、宛先IP:PORT、サービスタイプ、イベントの最初のパケットの時刻、イベントの最後のパケットの時刻、イベントサイズ、バイト単位のペイロードサイズ、パケット数、イベントに適用されたフラグ（保持、アセンブル、アプリケーションメタ、ネットワークメタ）などの再構築イベントに関する情報が表示されます。
	リクエストとレスポンスの表示をオンまたはオフにする2つのコントロールです（「イベントの再構築」を参照）。
	イベントのメタの詳細を別のパネルに表示します。
	（予定）［設定］メニューです。
	［再構築］パネルのサイズ設定コントロールです（「イベントの再構築」を参照）。
	［再構築］パネルを閉じます。ビューには［イベント］パネルと［イベント］パネルのみが表示されるようになります。