調査:[イベント分析]ビュー

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

[イベント分析]ビューでは、アナリストは対話型機能を使用してRAWイベントとメタ データを表示できます。対話型機能により、意味のあるパターンをデータから検出する能力が向上します。これは、静的な[イベントの再構築]ビューの代替となります。[イベント分析]ビューでは、ネットワーク、ログ、エンドポイントのイベントを調査できます。[イベント分析]ビューにはパケット、テキスト、ログの再構築機能がありますが、メールとWebの再構築は直接はサポートされていません。ただし、バージョン11.1以降では、[イベント]ビューで現在の結果のメールまたはWebの再構築を開くことができます。

注:アナリストがこのビューにアクセスするためには、管理者が権限を設定します。管理者からアクセス権限が付与されていない状態で[イベント分析]ビューに移動すると、次のメッセージが表示されます。Forbidden. You cannot access the requested page. たとえば、[イベント]ビューの再構築を表示している場合に[イベント分析]ビューで同じ再構築を表示しようとすると、Forbiddenメッセージが表示されます。

[イベント分析]ビューに表示されているイベントは、[ナビゲート]ビューまたは[イベント]ビューの現在のドリルダウン ポイントのイベントです。バージョン11.1以降、イベントは、[イベント分析]ビューの階層リンクに入力されたクエリの結果であることがあります。クエリのソースに関係なく、[イベント分析]ビューにはイベントが時間順に表示されます。バージョン11.1以降では列の並べ替えまたはサイズ変更ができます。また、表示する列を選択し、標準提供の列グループの1つまたはカスタム列グループを選択できます。

イベントをクリックすると、同じブラウザ ウィンドウに[ネットワーク イベントの詳細]パネル、[ログ イベントの詳細]パネル、[エンドポイント イベントの詳細]パネルのいずれかが開きます。イベントのタイプごとに1つまたは複数のタイプの分析があります。テキスト分析、パケット分析、ファイル分析があります。

このビューには複数のアクセス ポイントがあります。詳細については「[イベント分析]ビューで調査を開始する」を参照してください。

ワークフロー

次の図は、NetWitnessの[調査]で実行できるタスクを示す概要レベルのワークフローです。[イベント分析]ビューのタスクが赤色でハイライト表示されています。

the Investigate Workflow with Analyze Raw Events and Metadata highlighted

実行したいことは何ですか?

                                                                              
ユーザのロール実行したいこと11.1ドキュメント
脅威ハンター

イベント メタデータを参照する

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントを参照する

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントとメタデータを分析する*

[イベント分析]ビューで調査を開始する

脅威ハンター

[イベント分析]ビューでイベントのクエリを実行する(バージョン11.1)*

[イベント分析]ビューでの結果のフィルタリング

脅威ハンター[イベント分析]ビューでイベントとファイルをエクスポートする*[イベント分析]ビューでのデータのダウンロード

脅威ハンター

[イベント分析]ビューでイベントを再構築する*

[イベント分析]ビューでのRAWイベントとメタデータの分析

脅威ハンター[イベント分析]ビューから外部ルックアップを実行する(バージョン11.1)*[イベント分析]ビューでのデータの操作
脅威ハンター [ナビゲート]ビューでイベントをクエリする [ナビゲート]ビューでのメタデータの調査

脅威ハンター

[イベント]ビューでイベントをクエリする

[イベント]ビューでのRAWイベントの調査

脅威ハンターエンドポイントを調査する(バージョン11.1)ホストの調査

脅威ハンター

不審なエンドポイント ファイルを探す(バージョン11.1)

ファイルの調査

脅威ハンターファイルとイベントをスキャンしてマルウェアを探すMalware Analysisの実施

インシデント対応者

調査でインシデントを優先順位付けする

NetWitness Respondユーザ ガイド

*このタスクは現在のビューで実行できます。

関連トピック

簡単な説明

[調査]を初めて開くと、クエリの入力フィールドが表示されるので、サービスや時間範囲を選択し、オプションのクエリを入力できます。

  • バージョン11.0では、[ナビゲート]ビューと[イベント]ビューに入力フィールドが表示されます。
  • バージョン11.1では、[ナビゲート]ビュー、[イベント]ビュー、[イベント分析]ビューに入力フィールドが表示されます。

[イベント分析]ビューでドリルダウン ポイントを開くと、調査対象のサービスが最初のクエリの結果を最大で100,000件のイベントまでカウントし、最初の100件のイベント(パケット、ログ、エンドポイント)が[イベント]パネルにロードされます。[イベント]パネルの列には、[イベント タイム]、[イベント タイプ]([ネットワーク]、[ログ]、[エンドポイント])、[イベント サイズ]、[サマリ]が表示されます。次のことが可能です。

  • リストをスクロールして[さらに読み込み]をクリックし、次の100件のイベントを表示できます。
  • 列グループを選択できます(バージョン11.1以降)。
  • 追加する列を選択できます(バージョン11.1以降)。
  • 列をドラッグして順序を並べ替えることができます。
  • 列の幅を広げることや狭めることができます。
  • イベントのイベント分析を表示できます。

次の図は、バージョン11.1以降の[イベント分析]ビューの主な機能を示します。

a quick look at the Event Analysis view for Version 11.1

                                                                 
1対話形式の階層リンク:サービスを選択すると、サービス セレクタ、時間範囲セレクタ、入力したクエリが表示されます。バージョン11.1以降では、「[イベント分析]ビューで調査を開始する」の説明に従ってサービスを選択し、「[イベント分析]ビューでの結果のフィルタリング」の説明に従ってクエリのフィルタを調整できます [クエリの送信]ボタンをクリックすると、クエリが送信され、選択したサービスに対してデータ ロードの要求が送信されます。
2分析されているイベントのタイプは、ヘッダーに反映されます。ネットワーク イベントの詳細ログ イベントの詳細エンドポイント イベントの詳細があります。各ビューの詳細については、「[イベント分析]ビューでのRAWイベントとメタデータの分析」を参照してください。
3イベント タイプに利用可能な分析のタイプ。ネットワーク イベントは、全種類の分析(テキスト、パケット、ファイル)を使用できます。ログおよびエンドポイントのイベントでは、テキスト分析のみを使用します。
4メールとWebの分析では、[イベント]ビューで現在のイベントがメールまたはWebの再構築として開かれます。
5これらのオプションは、分析のタイプによって異なります。詳細については、「[イベント分析]ビューでのRAWイベントとメタデータの分析」を参照してください。
6

イベント ヘッダーの表示/非表示、リクエストと応答の表示/非表示、イベント メタ パネル(16)の表示を行うコントロール。これらのコントロールの詳細については、「[イベント分析]ビューでのRAWイベントとメタデータの分析」を参照してください。

7, 11パネルのサイズを変更して、パネルを閉じるコントロール。
8閉じている場合、[イベント]パネルまたは[イベント メタ]パネルを再度開きます。
9 [イベント分析]ビューの環境設定を設定します(「[イベント分析]ビューの構成」を参照)。
10

バージョン11.1の[イベント]パネルは対話形式であり、更新したクエリを送信するとクエリ結果が表示されます。[イベント]パネルにはイベントの数が表示されます。列の並べ替えとサイズ変更ができます。リストの一番下までスクロールし、イベントをさらにロードすることができます(「[イベント分析]ビューでのRAWイベントとメタデータの分析」を参照)。

12[列グループ]ドロップダウンには、[イベント]パネルに適用できる標準提供の列グループとカスタム列グループが表示されます。標準提供の列グループは、Email Analysis、Endpoint Analysis、Malware Analysis、Outbound HTTP、Outbound SSL/TLS、Summary Listです。デフォルトの列グループはSummary Listです。
13[イベント]パネルに表示される列を選択するための設定。
14イベント ヘッダーには、イベントに関するサマリ情報が表示されます。この情報は、イベント タイプ(パケット、ログ、エンドポイント)によって異なります。
15イベント データ(パケットのペイロードと呼ばれる場合があります)。ログ イベントまたはエンドポイント イベントのイベント データは、パケットに示されるリクエストと応答ではなく、通常、RAWログからのテキスト行です。
16[イベント メタ]パネルは、データで見つかったメタ キーと値を一覧表示します。一部のメタ データは検索可能です。双眼鏡アイコンをクリックすると、イベント データ中の関連データがハイライト表示されます(「[イベント分析]ビューでのRAWイベントとメタデータの分析」を参照)。

 

次の図は、バージョン11.0.0.xの[イベント分析]ビューの主な機能を示します。

 

                                                 
1 読み取り専用階層リンクは、選択されたサービス、時間範囲、[ナビゲート]ビューまたは[イベント]ビューに入力されたクエリを表示します。
2これは、[ナビゲート]または[イベント]ビューで作成されたクエリに基づくイベントの読み取り専用リストです。[イベント]パネルにはイベントの数が表示されます。列の並べ替えとサイズ変更ができます。リストの一番下までスクロールし、イベントをさらにロードすることができます(「[イベント分析]ビューでのRAWイベントとメタデータの分析」を参照)。
3, 8パネルのサイズを変更して、パネルを閉じるコントロール。
4分析されているイベントのタイプは、ヘッダーに反映されます。ネットワーク イベントの詳細、ログ イベントの詳細、エンドポイント イベントの詳細があります。各ビューの詳細については、「[イベント分析]ビューでのRAWイベントとメタデータの分析」を参照してください。
5イベント タイプに利用可能な分析のタイプ。ネットワーク イベントは、テキスト、パケット、ファイルの全3種類の分析を使用できます。ログおよびエンドポイントのイベントでは、テキスト分析のみを使用します。
6これらのオプションは、分析のタイプによって異なります。詳細については、「[イベント分析]ビューでのRAWイベントとメタデータの分析」を参照してください。
7

イベント ヘッダーの表示/非表示、リクエストと応答の表示/非表示、イベント メタ パネル(12)の表示を行うコントロール。これらのコントロールの詳細については、「[イベント分析]ビューでのRAWイベントとメタデータの分析」を参照してください。

9閉じている場合、[イベント]パネルまたは[イベント メタ]パネルを再度開きます。
10イベント ヘッダーには、イベントに関するサマリ情報が表示されます。この情報は、イベント タイプ(パケット、ログ、エンドポイント)によって異なります。
11イベント データ(パケットのペイロードと呼ばれる場合があります)。ログ イベントまたはエンドポイント イベントのイベント データは、パケットに示されるリクエストと応答ではなく、通常、RAWログからのテキスト行です。
12[イベント メタ]パネルは、データで見つかったメタ キーと値を一覧表示します。一部のメタ データは検索可能です。双眼鏡アイコンをクリックすると、イベント データ中の関連データがハイライト表示されます(「[イベント分析]ビューでのRAWイベントとメタデータの分析」を参照)。
You are here
Table of Contents > Investigateの参考情報 > [イベント分析]ビュー

Attachments

    Outcomes