[サービス]の[構成]ビュー:[監査]タブ

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

[イベント]ビューと新しい[イベント]ビューの[再構築]パネル[調査]>[イベント]パネル>イベントをクリック)では、[ナビゲート]ビューまたは[イベント]パネルで見つけた関心のあるイベントの再構築を安全に表示することができます。

ワークフロー

どうしますか?

                                      
ユーザの役割処理オプション...ドキュメント

脅威ハンター

クエリの送信調査の実施
脅威ハンタークエリの結果の表示[イベント分析]ビューでのイベントの分析

脅威ハンター

イベントの再構築*

イベントの再構築

脅威ハンターイベントからのファイルのエクスポートイベントの再構築
脅威ハンターイベントの追加のコンテキストの検索コンテキスト情報の検索

関連トピック

  • NetWitness Investigateの仕組み
  • 調査の実施
  • [イベント分析]ビューでのイベントの分析
  • [ナビゲート]ビュー
  • [イベント分析]ビュー:[テキスト分析]パネル

簡単な説明

Investigateの[再構築]パネルは、パケット ビュー、ファイル ビュー、テキスト ビューで単一のイベントの再構築を表示します。[イベント]パネルでイベントをクリックすると、隣接する[再構築]パネルにイベントのパケット再構築が表示されます。[イベントの再構築]ツールバーのオプションを使用して、再構築タイプおよび方向(リクエストまたはレスポンス)を変更することや、ヘッダー パネルの表示と非表示を切り替えること、[イベントの再構築]パネルを拡張または縮小することや、閉じることができます。選択した再構築のタイプとペイロードの内容に応じて、追加のオプションが使用できます。たとえば、テキスト ビューでのみペイロードを表示し、ファイル ビューでファイルをダウンロードして、パケット ビューでPCAPファイルをダウンロードすることができます。

以下は、パケット再構築の例です。

Event Reconstruction with labels

                                     
1再構築タイプ(パケット ビュー、ファイル ビュー、テキスト ビュー)を選択するためのタブまたはドロップダウン メニューです。現在選択されているタイプがラベルに表示されます。
2クリックすると、ヘッダー パネルの表示と非表示が切り替わります。
3これらのアイコンをクリックすると、リクエスト、レスポンス、またはその両方が表示されます。
4このアイコンをクリックすると、イベントに関連するメタ データの詳細なリストを提供する[イベント メタ]パネルの表示と非表示が切り替わります。
5[ナビゲート]ビューで[再構築]パネルを水平方向に拡張または縮小するオプションです。
6[再構築]パネルを閉じるオプションです。
7ヘッダーには、再構築中のイベントのサマリ情報が表示されます。
8イベントの各パケットが一覧表示されます。パケットごとに、パケット番号、方向(リクエストまたはレスポンス)、パケットの内容を、左側にバイナリ形式、中央に16進形式、右側にテキスト形式で表示できます。

パケット再構築の詳細

パケット再構築では、Investigateによりパケット番号、パケットの方向(リクエストまたはレスポンス)、パケットの開始時刻、パケットの内容が表示されます。

すべてのパケットが、ヘッダーで開始され、パケットの一部にはフッターがあります。パケット ビューでは、パケットのペイロードと区別できるように、ヘッダーとフッターのバックグラウンドは暗い色で表示されます。ヘッダーおよびフッターの暗い色のバックグラウンドは、16進数とテキスト形式の両方で表示されます。

a header and footer in the Packet View

パケットの内容は、16進数とテキスト形式で提供されます。メタ データは青でハイライト表示されます。メタ データの上にマウスを置くと、メタ キーまたはメタ値の情報がスクリーン上にヒントとして表示されます。

パケット ビューのその他のオプションには、イベントのPCAPをダウンロードする機能や、ペイロードのみを表示する機能があります。ペイロードのみが表示されている場合は、[バイトの濃淡化]オプションを使用してデータのパターンを識別するために役立てることができます。

テキスト再構築の詳細

テキスト再構築では、ネットワーク イベントとログ イベントの表示方法が異なります。ネットワーク イベントでは、Investigateは、パケットの方向(リクエストまたはレスポンス)と、テキスト形式で各パケットの内容を提供します。

ログ イベント(中央のフィルタ=[ログ])では、リクエストまたはレスポンスはありません。rawログのみがテキスト再構築に表示されます。


テキスト ビューでは、再構築オプションのサブセットが使用できます。実行できる操作:

  • ヘッダーの表示と非表示を切り替えることができます。
  • ネットワーク イベントの場合は、リクエストのみ、レスポンスのみ、またはその両方を表示できます。
  • ネットワーク イベントの場合は、セッションをPCAPファイルとしてエクスポートできます。
  • ログ イベントの場合は、rawログをエクスポートできます。
  • ペイロードの圧縮と解凍ビューを切り替えることができます。セッションが解凍されると、テキストの圧縮された部分が読み取り可能になります。
  • デコーディングとエンコーディングのためにテキストを選択できます。

注:この機能は、ファイル ビュー、HTTP以外のネットワーク セッション、ログ データでは使用できません。

ファイル再構築の詳細

ファイル再構築では、選択されたネットワーク イベントに関連するファイルのリストが調査により表示されます。

1個のファイル、1個または複数のファイル、すべてのファイルを選択してローカル ファイル システムにエクスポートできます。ファイルを選択したら、[ファイルのエクスポート]ボタンがアクティブになり、選択したファイルの数が反映されます。このボタンをクリックすると、選択したファイルがzipアーカイブとしてエクスポートされます。これにより、悪意のある可能性のあるファイルがデフォルト アプリケーションによって開かれることや、実行されることがなくなります。エクスポートされたアーカイブの名前には、次の規則を使用します。

<service-ID or host name>_SID<nnnnnnnn>_FC<n>.zip

各項目の意味は以下のとおりです。

  • <service-ID or host name>は、セッションが保存されたサービスの名前(たとえばConcentratorまたはBroker)です
  • SID<nnnnnnnn>は、セッションID番号です
  • FC<nnnnnnnn>は、ファイル数またはアーカイブ内のファイルの数です。

ダウンロード時にアーカイブが自動的に解凍されるのを防ぐために、NetWitness Suiteはパスワード保護されたアーカイブをエクスポートします。アーカイブを開くには、パスワード「netwitness」を入力します。

注意:デフォルトのアプリケーションに関連づけられているファイルを解凍または開くときに警告が表示されます。たとえば、Excelスプレッドシートは、その安全を確認する前にExcelで自動的に開かれる可能性があります。

詳細説明

                                           
機能説明
[再構築タイプ]メニューこのメニューでは、再構築のタイプを選択できます。選択できるタイプは、[パケット]または[ファイル]です。最初に再構築を開くと、デフォルトでNetWitness Suiteにより最適な再構築が選択されます。
[ダウンロード]オプションログ、PCAP、ファイルをエクスポートして、より詳細な分析や、他のユーザとの共有を行うためのオプションです。
パケット リストの上のヘッダーの表示を制御します。このアイコンをクリックすると、ヘッダーの表示と非表示を切り替えることができます。ヘッダーを非表示にすると、パケット リストのスペースが増えて、より多くのパケットを表示するために必要なスクロールの量が減ります。
ヘッダーには、パケットを収集したサービスの名前、セッション番号またはイベント番号、イベント(ネットワーク)のタイプ、ソースIP:PORT、宛先IP:PORT、サービス タイプ、イベントの最初のパケットの時刻、イベントの最後のパケットの時刻、イベント サイズ、バイト単位のペイロード サイズ、パケット数、イベントに適用されたフラグ(保持、アセンブル、アプリケーション メタ、ネットワーク メタ)などの再構築イベントに関する情報が表示されます。

リクエストとレスポンスの表示をオンまたはオフにする2つのコントロールです(「イベントの再構築」を参照)。

イベントのメタの詳細を別のパネルに表示します。

(予定)[設定]メニューです。
[再構築]パネルのサイズ設定コントロールです(「イベントの再構築」を参照)。

[再構築]パネルを閉じます。ビューには[イベント]パネルと[イベント]パネルのみが表示されるようになります。

You are here
Table of Contents > Malware Analysisの参考情報 > [サービス]の[構成]ビュー:[監査]タブ

Attachments

    Outcomes