調査:[調査]ビューの設定ダイアログ

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • Comment0
  • View in full screen mode
 

NetWitness Suiteバージョン11.0では、設定ダイアログは、[ナビゲート]ビュー用のものと[イベント]ビュー用のものの2つがあります。バージョン11.1では、[イベント分析]ビュー用の設定ダイアログが追加されたので、調査の設定ダイアログは3つあります。

[ナビゲート]ビューと[イベント]ビューの[設定]ダイアログの設定は、[プロファイル]>[環境設定]パネル>[調査]タブで行う調査の設定のサブセットです。[調査]ビューの設定を指定することで、NetWitness Suiteでは、アナリストの時間を節約できます。ここで設定を変更すると、[プロファイル]ビューで同じ設定が変更されます。[プロファイル]ビューで設定を変更すると、この場所の同じ設定が変更されます。

このダイアログにアクセスするには、[ナビゲート]ビューまたは[イベント]ビューに移動し、ツールバーの[設定]オプションを選択します。

[プロファイル]>[環境設定]パネルには、[イベント分析]ビューの設定に対応する設定はありません。

実行したいことは何ですか?

                                                     
ユーザのロール実行したいこと11.1ドキュメント
脅威ハンター

イベント メタデータを参照する

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントを参照する

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントとメタデータを分析する

[イベント分析]ビューで調査を開始する

脅威ハンターエンドポイントを調査する(バージョン11.1)ホストの調査

脅威ハンター

不審なエンドポイント ファイルを探す(バージョン11.1)

ファイルの調査

脅威ハンターファイルとイベントをスキャンしてマルウェアを探すMalware Analysisの実施

インシデント対応者

調査でインシデントを優先順位付けする

NetWitness Respondユーザ ガイド

脅威ハンター

調査の環境設定を構成する*

NetWitnessの[調査]ビューおよび環境設定の構成

*このタスクは現在のビューで実行できます。

関連トピック

簡単な説明

[ナビゲート]ビューおよび[イベント]ビューの[設定]ダイアログには、共通の機能が複数あります。

[ナビゲート]ビューの調査の設定のいくつかは、[値]パネルで値をロードする際のパフォーマンスに影響します。デフォルト値は一般的な使用方法に基づいて設定されているため、アナリストはこれらの設定を自分の調査内容に合わせて調整できます。次のイメージはダイアログの例です。また、その次の表ではその機能について説明します。
This is the Navigate view Settings dialog.

                                                               
機能説明
閾値[値]パネルでメタ キー値にロードするセッションの最大数の閾値を設定します。閾値を高くすると、値が正確にカウントされますが、その分ロード時間が長くなります。デフォルト値は100000です。
結果の最大数[ナビゲート]ビューで開いているメタ キーについて、[メタ キー]メニューで[最大まで表示]オプションを選択した場合にロードする値の最大数を設定します。デフォルト値は1000です。
最大セッション エクスポートエクスポートできるセッションの最大数を設定します。デフォルト値は100000です。
ログのエクスポート形式エクスポートされたログのファイル形式を設定します。次の4つの形式を設定できます。
  • テキスト
  • SML
  • CSV
  • JSON

メタのエクスポート形式

エクスポートされたメタ値のファイル形式を設定します。次の4つの形式を設定できます。

  • テキスト
  • SML
  • CSV
  • JSON
デバイスごとのローカル キャッシュを使用オフにすると、最初のロード後に[調査]のビューにキャッシュされたデータを表示するのではなく、新しいクエリがデータベースに送信されます。オンにすると、ローカル キャッシュのデータが使用されます。
デバッグ情報の表示このオプションは、階層リンクの下のwhere句の表示と、Brokerで集計したサービスごとの経過したロード時間の表示を制御します。オンにすると、デバッグ情報が表示されます。デフォルト値では、オフ(チェックの外れた状態)になっています。
イベント パネルのイベントを挿入モードで表示このオプションは、[イベント]パネルのページングに影響します。オンにすると、次のイベント グループがすでに表示されているイベントに追加されます。オフにすると、前のイベントのページが次のページに置き換えられます。デフォルト値では、オフ(チェックの外れた状態)になっています
値の自動ロードこのオプションは、[ナビゲート]ビューで選択したサービスの値の自動ロードを制御します。オンにすると、調査するサービスを選択したときに、値が自動的にロードされます。オフにすると、[値のロード]ボタンが表示されます。このボタンを使用してオプションを変更できます。デフォルト値はオフです。
完了したPCAPのダウンロードこの設定は、調査モジュールで抽出されたPCAPのダウンロードを自動化します。これにより、PCAPファイルをダウンロードし、PCAPフォームのデータを処理できるアプリケーション(Wiresharkなど)で抽出して開く操作を手動で実行する必要がなくなります。
Live Connect: リスクの高いIPのハイライト表示 このオプションをオフにすると、Live Connectで使用可能なコンテキストを持つすべてのメタ値が、[ナビゲート]ビューの[値]パネルでハイライト表示されます。このオプションをオンにすると、Live Connectでコンテキストを持つ値のうち、コミュニティによってリスクが高い/不審である/安全でないと判断された値のみがハイライト表示されます。デフォルトでは、このオプションはチェックが外れています(オフ)。
適用設定をただちに適用します。設定は、次回に値をロードしたときに表示されます。また、同じ変更が、[プロファイル]ビューにも適用されます。
キャンセル編集操作をキャンセルし、設定を変更せずにダイアログを閉じます。

[イベント]ビューの[設定]ダイアログ

次のイメージは[イベント]ビューの[設定]ダイアログの例です。また、その次の表ではその機能について説明します。

This is the Events view Settings dialog

                                               
機能説明
ログのエクスポート形式エクスポートされたログのファイル形式を設定します。次の4つの形式を設定できます。
  • テキスト
  • SML
  • CSV
  • JSON

メタのエクスポート形式

エクスポートされたメタ値のファイル形式を設定します。次の4つの形式を設定できます。

  • テキスト
  • SML
  • CSV
  • JSON
完了したPCAPのダウンロードこの設定は、調査モジュールで抽出されたPCAPのダウンロードを自動化します。これにより、PCAPファイルをダウンロードし、PCAPフォームのデータを処理できるアプリケーション(Wiresharkなど)で抽出して開く操作を手動で実行する必要がなくなります。
Live Connect:リスクの高いIPのハイライト表示 オンにすると、フィルタを使用して、RSAコミュニティによってリスクが高いとみなされているIPアドレスのみがフェッチされます。選択しない場合、NetWitness SuiteではすべてのIPアドレスが表示されます。このオプションはデフォルトではオフになっています。
調査ページのロードを最適化ページング オプションを設定します。最適化した場合、イベント リストで可能な限り速く結果が返されますが、イベント リストのページ移動機能が無効になります。このボックスをオフにすると、イベント リストのページ移動機能が有効になり、リストの特定のページ(または最後のページ)に移動できるようになります。デフォルト値は[有効]です。
デフォルト セッション表示[イベント]ビューでのデフォルトの再構築のタイプを選択します。デフォルト値は[最適な表示]で、イベントに最も適した表示方法でイベントが表示されます。
WebビューのCSS再構築を有効化この設定では、Webコンテンツの再構築の実行方法が制御されます。有効化すると、Webの再構築にカスケード スタイル シート(CSS)とイメージが含まれるようになり、再構築の表示と元のWebブラウザの表示が一致するようになります。これには、イベントに関連するスキャニングと再構築、ターゲット イベントで使用されるスタイル シートとイメージの検索が含まれます。このオプションは、デフォルトで有効化されています。特定のWebサイトの表示で問題がある場合は、このオプションの選択を解除します。
適用設定をただちに適用します。この設定は、次回にイベントを表示したときに示されます。また、同じ変更が、[プロファイル]ビューにも適用されます。
キャンセル編集操作をキャンセルし、設定を変更せずにダイアログを閉じます。

[イベント分析]ビューの[環境設定]パネル

バージョン11.1から、[イベント分析]ビューにユーザ環境設定が追加されました。この環境設定は、[イベント分析]ビュー>[イベント環境設定]パネルで設定できます。これらの設定は保持されるため、ログインして[イベント分析]ビューに移動するたびに適用されます。次の表に、オプションの説明を示します。

                               
機能説明
デフォルトの[イベント分析]ビュー

[イベント分析]ビューを開くたびに表示されるデフォルトのイベント分析ビューを選択します。たとえば[ファイル分析]を選択すると、[イベント分析]ビューでイベントを調査するたびに[ファイル分析]パネルがハイライト表示されます。次にオプションを示します。

  • テキスト分析:イベントのRAWテキスト ペイロードを表示および分析します。
  • パケット分析:イベントのパケットとペイロードを表示し、対話形式で分析します。
  • ファイル分析:イベントのファイルのリストを表示し、1つまたは複数のファイルをダウンロードします。
デフォルトのログ形式

ログをダウンロードする際のデフォルトの形式を選択します。

  • ログのダウンロード:RAWログ(log)形式でダウンロードするには、このオプションを使用します。
  • CSVのダウンロード:CSV(コンマ区切り値)形式でダウンロードするには、このオプションを使用します。
  • XMLのダウンロード:XML(Extensible Markup Language)形式でダウンロードするには、このオプションを使用します。
  • JSONのダウンロード:JSON(JavaScript Object Notation)形式でダウンロードするには、このオプションを使用します。
デフォルトのパケット形式

パケットをダウンロードする際のデフォルトのパケット形式を選択します。

  • PCAPのダウンロード:イベント全体をパケット キャプチャ(*.pcap)ファイルとしてダウンロードします。
  • すべてのペイロードのダウンロード:ペイロードを*.payloadファイルとしてダウンロードします。
  • リクエスト ペイロードのダウンロード:リクエスト ペイロードを*.payload1ファイルとしてダウンロードします。
  • レスポンス ペイロードのダウンロード:レスポンス ペイロードを*.payload2ファイルとしてダウンロードします。
クエリの時間形式

[イベント分析]ビューには、データベースの時間または現在の時間に基づいて結果を表示できます。この環境設定のデフォルト設定は[データベースの時間]で、これは[ナビゲート]ビューと[イベント]ビューでクエリ結果を表示するために使用される時間形式と同じです。
データベースの時間]を選択した場合、クエリの開始時刻と終了時刻は、イベントが収集された時刻に基づく時刻になります。

現在の時間]を選択した場合、クエリの実行に使用される終了時刻は現在のブラウザの時刻に基づく時刻になり、開始時刻は終了時刻と時間範囲に基づいて計算されます。

抽出したファイルを自動ダウンロード

[イベント環境設定]パネルの[デフォルトのログ形式]フィールドと[デフォルトのパケット形式]フィールドで選択したデフォルト形式のファイルの自動ダウンロードを有効にします。

選択した形式のファイルをローカル フォルダに自動的にダウンロードするには、このチェック ボックスを選択します。このチェック ボックスを選択しない場合、ダウンロード ジョブがジョブ キューに入れられるのでファイルを手動でダウンロードできます。

 

You are here
Table of Contents > Investigateの参考情報 > [調査]ビューの[設定]ダイアログ

Attachments

    Outcomes