[イベント]ビューと新しい[イベント]ビューの[再構築]パネル([調査]>[イベント]パネル>イベントをクリック)では、[ナビゲート]ビューまたは[イベント]パネルで見つけた関心のあるイベントの再構築を安全に表示することができます。
ワークフロー
どうしますか?
関連トピック
- NetWitness Investigateの仕組み
- 調査の実施
- [イベント分析]ビューでのイベントの分析
- [ナビゲート]ビュー
- [イベント分析]ビュー:[テキスト分析]パネル
簡単な説明
Investigateの[再構築]パネルは、パケット ビュー、ファイル ビュー、テキスト ビューで単一のイベントの再構築を表示します。[イベント]パネルでイベントをクリックすると、隣接する[再構築]パネルにイベントのパケット再構築が表示されます。[イベントの再構築]ツールバーのオプションを使用して、再構築タイプおよび方向(リクエストまたはレスポンス)を変更することや、ヘッダー パネルの表示と非表示を切り替えること、[イベントの再構築]パネルを拡張または縮小することや、閉じることができます。選択した再構築のタイプとペイロードの内容に応じて、追加のオプションが使用できます。たとえば、テキスト ビューでのみペイロードを表示し、ファイル ビューでファイルをダウンロードして、パケット ビューでPCAPファイルをダウンロードすることができます。
以下は、パケット再構築の例です。
| 1 | 再構築タイプ(パケット ビュー、ファイル ビュー、テキスト ビュー)を選択するためのタブまたはドロップダウン メニューです。現在選択されているタイプがラベルに表示されます。 |
| 2 | クリックすると、ヘッダー パネルの表示と非表示が切り替わります。 |
| 3 | これらのアイコンをクリックすると、リクエスト、レスポンス、またはその両方が表示されます。 |
| 4 | このアイコンをクリックすると、イベントに関連するメタ データの詳細なリストを提供する[イベント メタ]パネルの表示と非表示が切り替わります。 |
| 5 | [ナビゲート]ビューで[再構築]パネルを水平方向に拡張または縮小するオプションです。 |
| 6 | [再構築]パネルを閉じるオプションです。 |
| 7 | ヘッダーには、再構築中のイベントのサマリ情報が表示されます。 |
| 8 | イベントの各パケットが一覧表示されます。パケットごとに、パケット番号、方向(リクエストまたはレスポンス)、パケットの内容を、左側にバイナリ形式、中央に16進形式、右側にテキスト形式で表示できます。 |
パケット再構築の詳細
パケット再構築では、Investigateによりパケット番号、パケットの方向(リクエストまたはレスポンス)、パケットの開始時刻、パケットの内容が表示されます。
すべてのパケットが、ヘッダーで開始され、パケットの一部にはフッターがあります。パケット ビューでは、パケットのペイロードと区別できるように、ヘッダーとフッターのバックグラウンドは暗い色で表示されます。ヘッダーおよびフッターの暗い色のバックグラウンドは、16進数とテキスト形式の両方で表示されます。
パケットの内容は、16進数とテキスト形式で提供されます。メタ データは青でハイライト表示されます。メタ データの上にマウスを置くと、メタ キーまたはメタ値の情報がスクリーン上にヒントとして表示されます。
パケット ビューのその他のオプションには、イベントのPCAPをダウンロードする機能や、ペイロードのみを表示する機能があります。ペイロードのみが表示されている場合は、[バイトの濃淡化]オプションを使用してデータのパターンを識別するために役立てることができます。
テキスト再構築の詳細
テキスト再構築では、ネットワーク イベントとログ イベントの表示方法が異なります。ネットワーク イベントでは、Investigateは、パケットの方向(リクエストまたはレスポンス)と、テキスト形式で各パケットの内容を提供します。
ログ イベント(中央のフィルタ=[ログ])では、リクエストまたはレスポンスはありません。rawログのみがテキスト再構築に表示されます。
テキスト ビューでは、再構築オプションのサブセットが使用できます。実行できる操作:
- ヘッダーの表示と非表示を切り替えることができます。
- ネットワーク イベントの場合は、リクエストのみ、レスポンスのみ、またはその両方を表示できます。
- ネットワーク イベントの場合は、セッションをPCAPファイルとしてエクスポートできます。
- ログ イベントの場合は、rawログをエクスポートできます。
- ペイロードの圧縮と解凍ビューを切り替えることができます。セッションが解凍されると、テキストの圧縮された部分が読み取り可能になります。
- デコーディングとエンコーディングのためにテキストを選択できます。
注:この機能は、ファイル ビュー、HTTP以外のネットワーク セッション、ログ データでは使用できません。
ファイル再構築の詳細
ファイル再構築では、選択されたネットワーク イベントに関連するファイルのリストが調査により表示されます。
1個のファイル、1個または複数のファイル、すべてのファイルを選択してローカル ファイル システムにエクスポートできます。ファイルを選択したら、[ファイルのエクスポート]ボタンがアクティブになり、選択したファイルの数が反映されます。このボタンをクリックすると、選択したファイルがzipアーカイブとしてエクスポートされます。これにより、悪意のある可能性のあるファイルがデフォルト アプリケーションによって開かれることや、実行されることがなくなります。エクスポートされたアーカイブの名前には、次の規則を使用します。
<service-ID or host name>_SID<nnnnnnnn>_FC<n>.zip
各項目の意味は以下のとおりです。
- <service-ID or host name>は、セッションが保存されたサービスの名前(たとえばConcentratorまたはBroker)です
- SID<nnnnnnnn>は、セッションID番号です
- FC<nnnnnnnn>は、ファイル数またはアーカイブ内のファイルの数です。
ダウンロード時にアーカイブが自動的に解凍されるのを防ぐために、NetWitness Suiteはパスワード保護されたアーカイブをエクスポートします。アーカイブを開くには、パスワード「netwitness」を入力します。
注意:デフォルトのアプリケーションに関連づけられているファイルを解凍または開くときに警告が表示されます。たとえば、Excelスプレッドシートは、その安全を確認する前にExcelで自動的に開かれる可能性があります。
