NetWitness Platformバージョン11.0では、設定ダイアログは、[ナビゲート]ビュー用のものと[レガシー イベント]ビュー用のものの2つがあります。バージョン11.1では、[イベント]ビュー用の設定ダイアログが追加されたので、調査の設定ダイアログは3つあります。
このダイアログの設定は、[プロファイル]>[環境設定]パネル>[調査]タブで行う調査の設定のサブセットです。アナリストは、[調査]ビューでこれらの設定を編集することにより、時間を節約できます。ここで設定を変更すると、[プロファイル]ビューで同じ設定が変更されます。[プロファイル]ビューで設定を変更すると、この場所の同じ設定が変更されます。
このダイアログにアクセスするには、[ナビゲート]ビューまたは[レガシー イベント]ビューに移動し、ツールバーの[設定]オプションを選択します。
[プロファイル]>[環境設定]パネルには、[イベント]ビューの設定に対応する設定はありません。
関連トピック
簡単な説明
ここでは、[ナビゲート]ビュー、[レガシー イベント]ビュー、[イベント]ビューの設定ダイアログについて簡単に説明します。
[ナビゲート]ビューの[設定]ダイアログ
次の図は、[ナビゲート]ビューの[設定]ダイアログを示しています。[値]パネルで値をロードするときのパフォーマンスに影響を与える設定には、一般的な使用方法に基づくデフォルト値があり、アナリストはこれらの設定を自分の調査内容に合わせて調整できます。以下の表は、機能についての説明です。
機能 | 説明 |
---|---|
閾値 | [値]パネルでメタ キー値にロードするセッションの最大数の閾値を設定します。閾値を高くすると、値が正確にカウントされますが、その分ロード時間が長くなります。デフォルト値は100000です。 |
結果の最大数 | この設定は、[ナビゲート]ビューで開いているメタ キーについて、[メタ キー]メニューで[最大まで表示]を選択した場合にロードする値の最大数を制御します。デフォルト値は1000です。 |
最大セッション エクスポート | エクスポートできるセッションの最大数を設定します。デフォルト値は100000です。 |
ログのエクスポート形式 | エクスポートされたログのファイル形式を設定します。次の4つの形式を設定できます。
|
メタのエクスポート形式 | エクスポートされたメタ値のファイル形式を設定します。次の4つの形式を設定できます。
|
デバイスごとのローカル キャッシュを使用 | このチェックボックスをオフにすると、初回ロード後に[調査]ビューにキャッシュされたデータを表示するのではなく、新しいクエリがデータベースに送信されます。チェックボックスをオンにすると、ローカル キャッシュのデータを使用します。 |
デバッグ情報の表示 | このオプションは、階層リンクの下のwhere 句の表示と、Brokerで集計したサービスごとの経過したロード時間の表示を制御します。チェックボックスをオンにすると、デバッグ情報が表示されます。デフォルト値はオフ(チェックの外れた状態)です。 |
値の自動ロード | このオプションは、[ナビゲート]ビューで選択したサービスの値の自動ロードを制御します。チェックボックスをオンにすると、調査するサービスを選択したときに、値が自動的にロードされます。チェックボックスをオフにすると、[値のロード]ボタンが表示されます。値をロードする前に、オプションを変更することができます。デフォルト値はオフです。 |
完了したPCAPのダウンロード | この設定は、調査で抽出されたPCAPのダウンロードを自動化します。これにより、PCAPファイルをダウンロードし、PCAPフォームのデータを処理できるアプリケーション(Wiresharkなど)で抽出して開く操作を手動で実行する必要がなくなります。チェックボックスをオンにすると、オプションが有効になります。デフォルト設定は無効(チェックボックスはオフ)です。 |
Live Connect:リスクのある値を強調表示 | このオプションのチェックボックスをオフにすると、Live Connectで使用可能なコンテキストを持つすべてのメタ値が、[ナビゲート]ビューの[値]パネルでハイライト表示されます。チェックボックスをオンにすると、Live Connectでコンテキストを持つ値のうち、コミュニティによってリスクが高い/不審である/安全でないと判断された値のみが強調表示されます。デフォルトでこのオプションは無効(チェックボックスはオフ)になっています。 |
適用 | 設定をただちに適用します。設定は、次回に値をロードしたときに表示されます。また、同じ変更が、[プロファイル]ビューにも適用されます。 |
キャンセル | 編集操作をキャンセルし、設定を変更せずにダイアログを閉じます。 |
[レガシー イベント]ビューの[設定]ダイアログ
次の図は[レガシー イベント]ビューの[設定]ダイアログの例です。また、その機能について表で説明します。
機能 | 説明 |
---|---|
ログのエクスポート形式 | エクスポートされたログのファイル形式を設定します。次の4つの形式を設定できます。
|
メタのエクスポート形式 | エクスポートされたメタ値のファイル形式を設定します。次の4つの形式を設定できます。
|
完了したPCAPのダウンロード | この設定は、調査で抽出されたPCAPのダウンロードを自動化します。これにより、PCAPファイルをダウンロードし、PCAPフォームのデータを処理できるアプリケーション(Wiresharkなど)で抽出して開く操作を手動で実行する必要がなくなります。 |
Live Connect:リスクのある値を強調表示 | チェックボックスをオンにすると、フィルタを使用して、RSAコミュニティによってリスクが高いとみなされているIPアドレスのみがフェッチされます。チェックボックスをオフにすると、NetWitness PlatformによってすべてのIPアドレスが表示されます。デフォルトでこのオプションは無効(チェックボックスはオフ)になっています。 |
調査ページのロードを最適化 | ページング オプションを設定します。最適化した場合、イベント リストで可能な限り速く結果が返されますが、イベント リストのページ移動機能が無効になります。このチェックボックスをオフにすると、イベント リストのページ移動機能が有効になり、リストの特定のページ(または最後のページ)に移動できるようになります。デフォルト値は有効(チェックボックスはオン)です。 |
イベント パネルのイベントを挿入モードで表示 | このオプションは、[レガシー イベント]パネルのページングに影響し、以前のリリースでは[ナビゲート]ビューの[設定]ダイアログにありました。チェックボックスをオンにすると、次のイベント グループがすでに表示されているイベントに追加されます。チェックボックスをオフにすると、前のイベントのページが次のページに置き換えられます。デフォルト値はオフ(チェックの外れた状態)です。 |
デフォルト セッション表示 | [イベント]ビューでのデフォルトの再構築のタイプを選択します。デフォルト値は[最適な表示]で、イベントに最も適した表示方法でイベントが表示されます。 |
WebビューのCSS再構築を有効化 | この設定では、Webコンテンツの再構築の実行方法が制御されます。有効化すると、Webの再構築にカスケード スタイル シート(CSS)とイメージが含まれるようになり、再構築の表示と元のWebブラウザの表示が一致するようになります。これには、イベントに関連するスキャニングと再構築、ターゲット イベントで使用されるスタイル シートとイメージの検索が含まれます。このオプションは、デフォルトで有効化されています。特定のWebサイトの表示に問題がある場合は、チェックボックスをオフにしてこのオプションを無効化してください。 |
適用 | 設定をただちに適用します。この設定は、次回にイベントを表示したときに示されます。また、同じ変更が、[プロファイル]ビューにも適用されます。 |
キャンセル | 編集操作をキャンセルし、設定を変更せずにダイアログを閉じます。 |
[イベント]ビューの[環境設定]ダイアログ
バージョン11.1から、[イベント]ビューにユーザ環境設定が追加されました。この環境設定は、[イベント]ビュー>[イベント環境設定]ダイアログで設定できます。これらの設定は保持されるため、ログインして[イベント]ビューに移動するたびに適用されます。次の図は、バージョン11.3とバージョン11.4.1のダイアログの例です。次の表に、オプションの説明を示します。