NWの構成:[Investigation]パネル

Document created by RSA Information Design and Development on Apr 20, 2018
Version 1Show Document
  • View in full screen mode
 

[システム]ビュー>[Investigation]パネルは、NetWitness Suite Investigationでデータを分析し、イベントを再構築するときに使用するシステム全体の設定を管理者が構成するためのユーザ インタフェースを提供します。

[Investigation]パネルでの設定により、管理者は、Investigationのアプリケーション パフォーマンスを管理できます。アナリストが調査中のセッションを分析し、再構築するとき、大量のデータのロード、検索、ビジュアル化、再構築を伴う操作がパフォーマンスに影響を及ぼす可能性があります。

注:アナリストは、[プロファイル]ビューと[ナビゲート]ビューで、アナリスト固有のInvestigationの環境設定を行うこともできます。 

ワークフロー

Investigationの構成のワークフロー

実行したいことは何ですか?

                       
ロール 実行したいこと手順
管理者ナビゲート、イベント、コンテキスト ルックアップ設定の構成Investigationの設定の構成
管理者サービスの再構築キャッシュのクリアInvestigationの設定の構成

関連トピック

簡単な説明

[Investigation]パネルには、[ナビゲート]、[イベント]、[コンテキスト ルックアップ]という3つのタブがあります。

タブのほとんどのフィールドは、選択リストの形式になっており、指定可能な範囲の値を一定の幅で増減させながら選択することができますが、指定可能な範囲の値を直接入力することもできます。入力が無効な場合は、フィールドが赤色でハイライト表示されます。有効な値を選択し、該当するセクションの[適用]をクリックすると、変更がすぐに有効になります。

[ナビゲート]タブ

次の図は、[ナビゲート]タブを示します。
[Investigation]パネルの[ナビゲート]タブ

             
1[Investigation]パネルが表示されます。
2[ナビゲート]タブが表示されます。

ツールバーと機能

[ナビゲート]タブには、[表示スレッド設定]と[座標表示の設定]という2つのセクションがあります。

表示スレッド設定

[表示スレッド設定]では、1~20の値を選択できます。[ナビゲート]ビューでの値の同時ロード数を定義します。デフォルト値は1です。

[ナビゲート]タブの[表示スレッド設定]

座標表示の設定

[座標表示の設定]は、[ナビゲート]ビューの座標表示チャートに適用されます。座標表示チャートに表示できるデータ量には一定の制限があります。NetWitness Suiteでは、管理者は、座標表示の制限をここで構成できます。

注:パフォーマンスを向上するための推奨設定値は、[メタ値のスキャン制限]が100000、[メタ値の結果制限]が 1,000~10,000です。 

[ナビゲート]タブの[座標表示の設定]

次の表は、[座標表示の設定]について説明しています。

                     
パラメータ説明
メタ値のスキャン制限アナリストが[ナビゲート]ビューで選択した調査時間の範囲内でスキャンされるメタ値の最大数。指定可能な値は、1,000~10,000,000の範囲です。デフォルト値は100,000です。
メタ値の結果制限アナリストが[ナビゲート]ビューで選択した調査時間の範囲内で返されるメタ値の最大数。指定可能な値は、100~1,000,000,000の範囲です。デフォルト値は10,000です。

簡単な説明

[イベント]タブ

次の図は、[イベント]タブを示します。

[Investigation]パネルの[イベント]タブ

このパネルに関連する処理手順は、「標準的な手順」に記載されています。

             
1[Investigation]パネルが表示されます。
2[イベント]タブが表示されます。

ツールバーと機能

[イベント]タブには、イベントの調査に影響する構成可能な設定があります。このタブは次の4つのセクションに分かれています: [イベント検索の設定]、[再構築の設定]、[Webビューの再構築の設定]、[再構築キャッシュの設定]

イベント検索の設定

[イベント検索の設定]では、[イベント]ビューで検索を実行するときにスキャンされるイベントの数を制限できます。

[イベント]タブの[イベント検索の設定]

次の表は、[イベント検索の設定]について説明しています。

                 
パラメータ説明
スキャン件数[イベント]ビューで検索を実行するときにスキャンするイベントの最大数
イベント結果件数[イベント]ビューで検索を実行したときに返される結果の最大数

再構築の設定

アナリストが調査中のセッションを再構築するとき、一部のイベントはサイズが非常に大きくなり、数千個のソース パケットを含む場合があります。特にマルチ ユーザ環境でこのようなセッションを再構築すると、アプリケーションのパフォーマンスが低下する可能性があります。[再構築の設定]により、管理者は、再構築時の1つのイベントのパケット数とサイズを制限できます。

注:[再構築の設定]セクションの設定は、Webビューに対しては[Webビューの再構築の設定]セクションの設定で上書きされます。

[Investigation]タブの[再構築の設定]

次の表は、[再構築の設定]セクションの機能について説明しています。

                         
パラメータ説明
最大パケット数この設定では、1つのイベントの再構築時に処理されるパケットの数を制限することで、パフォーマンスを保護します。

指定可能な値は、100~10,000パケットの範囲で、手動で入力するか、選択リストから100ずつ値を増減させて選択します。デフォルト値は100パケットです。
最大サイズ(バイト)この設定では、1つのイベントの再構築の最大サイズ(バイト単位)を制限することで、パフォーマンスを保護します。
指定可能な値は、102,400~104,857,600バイトの範囲で、手動で入力するか、選択リストから10,240ずつ値を増減させて選択します。デフォルト値は2,097,152バイトです。

フル パケット再構築の上書きを許可

このチェックボックスをオンにすると、アナリストに[再構成]パネルの[さらにパケットを使用]ボタンが表示されます。これにより、NWサーバはイベントで使用可能なすべてのパケットを使用してイベントを再生成することができます。

WebページのHTML文字セットの解析を許可このオプションを使用することで、NetWitnessサーバはHTTPヘッダーではなくHTMLメタ タグで定義されたWebページ エンコーディングを識別できます。デフォルト設定はdisabledです。

Webビューの再構築の設定

[Webビューの再構築の設定]では、管理者は、同じサポート ファイルを含んだ関連イベントをスキャンして再構築することにより、Webビューの再構築を向上させるための設定を行います。NetWitness Suiteが複数のイベントにまたがるWebビューを再構築するときは、イメージ、CSS(カスケーディング スタイル シート)ファイルなどのサポート ファイルを含んだ関連イベントをスキャンして再構築することにより、ターゲット イベントの再構築を向上させることができます。

  • スキャンされる関連イベントは、ソース アドレスがターゲット イベントと同じで、ターゲット イベントの前後の指定された時間内のタイム スタンプを持つHTTPサービス タイプのイベントだけです。
  • スキャンする関連イベントの最大数は構成可能です。

[詳細設定]オプションをクリックすると、このセクションで構成可能なすべての設定が表示されます。

[イベント]タブの[Webビューの再構築の設定]

次の表で、[Webビューの再構築の設定]について説明します。

                                     
パラメータ説明
Webビューでサポート ファイルを有効化しますこのオプションにより、他のセッションに関連データがあるWebビューの再構築方法を指定します。デフォルトでは、有効化されています。

有効化すると、関連イベントから取得したサポート ファイルをWebビューの再構築に使用することができます。アナリストは、再構築でCSSを使用するか否かを選択できるようになります。また、このセクションの詳細設定で、パフォーマンスを調整できるようになります。

無効化すると、関連イベントから取得したサポート ファイルは使用されず、アナリストには、再構築でのCSSの使用を有効化する設定が表示されなくなります。
関連イベントをスキャンする時間範囲Webビューでサポート ファイルを有効化します]チェックボックスがオンのときに設定できます。サービス タイプがHTTPで、ソース アドレスがターゲット イベントと同じである関連イベントをNetWitness Suiteがスキャンする時間の範囲を構成します。0~60の値を指定します。
  • ターゲット イベントの前(秒数)
  • ターゲット イベントの後(秒数)
処理する関連イベントの数を制限しますターゲット イベントのサポート ファイルを検出するために指定の時間範囲内でNetWitness Suiteがスキャンする関連イベントの最大数を構成できます。デフォルトでは、無効になっています。  有効化すると、[最大関連イベント数]フィールドがアクティブになります。
最大関連イベント数処理する関連イベントの数を制限します]を有効化したとき、このフィールドでは、ターゲット イベントのサポート ファイルを検出するために指定の時間範囲内でNetWitness Suiteがスキャンする関連イベントの最大数を指定します。

10~1,000の範囲で、100ずつ増減させて値を選択します。デフォルト値は100です。
関連イベントのパケット数とサイズを制限します
 
関連イベントの最大パケット数と最大サイズ(バイト)の一般設定を上書きします。
単一の関連イベントの最大パケット数指定可能な値は、100~10,000パケットの範囲で、選択リストから100ずつ増減させて値を選択します。デフォルト値は100パケットです。
単一の関連イベントの最大サイズ(バイト単位)指定可能な値は、102,400~104,857,600バイトの範囲で、選択リストから10,240ずつ増減させて値を選択します。デフォルト値は524,288バイトです。

再構築キャッシュの設定

再構築キャッシュによって間違ったコンテンツが表示される可能性があります。このためNetWitness Suiteでは、1日以上経過した再構築はキャッシュから削除されます。  キャッシュは、毎日深夜にクリアされます。日次のキャッシュ クリーニングの合間に操作を実行すると、古いキャッシュが再構築に使用される可能性があります。管理者は必要に応じて、NetWitnessサーバに接続する1つ以上のサービスのキャッシュを手動でクリアできます。

[イベント]タブの[再構築キャッシュの設定]

次の表は、[再構築キャッシュの設定]機能について説明しています。

                       
機能説明
選択ボックス各行およびタイトル バーにある選択ボックスでは、キャッシュを手動でクリアする任意のサービスまたはすべてのサービスを選択できます。
選択したサービスのキャッシュをクリア選択した各サービスの再構築キャッシュをクリアします。
すべてのサービスのキャッシュをクリアすべてのサービスの再構築キャッシュをクリアします。

簡単な説明

[コンテキスト ルックアップ]タブ

次の図は、[コンテキスト ルックアップ]タブを示しています。

[Investigation]パネルの[コンテキスト ルックアップ]タブ

このパネルに関連する手順については、「Context Hub構成ガイド」の「メタ タイプとメタ キーのマッピングの管理」で説明します。

             
1[Investigation]パネルが表示されます。
2[コンテキスト ルックアップ]タブが表示されます。

ツールバーと機能

[コンテキスト ルックアップ]タブでは、Investigationのメタ キーとメタ タイプのマッピングを構成することができます。管理者は、Context Hubサービスでサポートされるメタ タイプのリストにInvestigationで見つけ出されたメタ キーを追加したり、それらを削除したりできます。

次の表で[コンテキスト ルックアップ]タブの機能について説明します。

                   
機能説明
選択したメタ タイプに、メタ キーを追加します。
選択したメタ タイプからメタ キーを削除します。
適用[コンテキスト ルックアップ]タブに加えた変更を保存します。
You are here
Table of Contents > 参考情報 > [Investigation]パネル

Attachments

    Outcomes