Skip navigation
Log in to create and rate content, and to follow, bookmark, and share content with other members.

調査:[イベント]ビューでのイベントの分析

Document created by RSA Information Design and Development Employee on Oct 19, 2018Last modified by RSA Information Design and Development Employee on Dec 7, 2020
Version 4Show Document
  • View in full screen mode
 

注: バージョン11.4では、[イベント分析]ビューが[イベント]ビューに名称変更され、イベント分析用のデフォルト ビューとして[レガシー イベント]ビューを置き換えました。バージョン11.4より前の[イベント]ビューの機能に関する情報は、11.3以前の[イベント分析]ビューにも適用されます。
[レガシー イベント]ビューはデフォルトで無効になっていますが、管理者は、『システム構成ガイド』の「調査の設定の構成」の説明に従って有効にすることができます。

[イベント]ビューでクエリを送信すると、[イベント]パネルが開き、シーケンシャルなイベントのリストが表示されます。このパネルに表示されるイベントは、次の2つの条件を満たしています。

  • 送信されたクエリと一致している。
  • 選択した列グループに必要な1つまたは複数のメタ キーの値を含んでいる。イベント リストの表示中に列グループを変更すると、新しい列グループを使用して元のクエリが再送信されます。サービス、時間範囲、フィルタに対して行われた未送信のクエリの変更は無視されます。

結果のロード方法とソート方法

ロードできるイベント数は構成により制限されます。デフォルト値は5,000です。管理者は、『システム構成ガイド』の説明に従ってこの制限を構成できます。[イベント]パネルへのイベントのロードが開始すると、リストの一番上の進行状況バーに進行状況が表示されます。最も古い収集時間のイベントが最初にロードされ、100個のイベントがロードされるたびに「イベントxxx-xxx」という形式の行番号インジケータがリストに挿入されます(次の図を参照)。

[イベント]リストでハイライト表示されているイベント数と行番号

イベントのロード中はスピナーが表示されます。このカウントが閾値以上になると、閾値に達したことを伝え、クエリ コンソールで詳細を確認するよう求めるメッセージがスピナーの下に表示されます。データのロードが開始されると、メッセージが削除されます。すべてのイベントがロードされるまで、スピナーは表示されたままとなります。すべてのイベントがロードされると、次のいずれかのメッセージがリストの一番下に追加されます。

  • 「すべてのイベントがロードされました。」
  • 「上限の5,000件のイベントに達しました。クエリを絞り込んでください。」
  • 「クエリをキャンセルする前に、4,000/5,000件のイベントを取得しました。」

リストの一番上には、ロードされたイベントの合計数、5,000個のイベント数の上限に達したかどうかのメッセージ、適用中のソート方法が表示されます。

  • リスト内のイベント数が5,000個未満の場合のメッセージは「xx,xxxイベント」です。
  • リスト内のイベント数が5,000個を超えている場合のメッセージは「最も古い10,000イベント(昇順)」です。

クエリに一致するイベントの数が5,000個の上限を超えると、タイム ウィンドウ内の最も新しいイベントまたは最も古いイベント5,000個が昇順でロードされます。どのイベントがロードされるかはソート順に基づいています。たとえば、30万個のイベントがクエリに一致し、ソート順が昇順に設定されている場合は、最も古い5,000個のイベントがデフォルトでロードされます。これを変更するには、ソート順を降順に変更し、最も新しい5,000個のイベントがロードされるようにします。最も古いイベントを最初にロードする昇順のソートは、通常、ネットワーク イベントを調査するための最適な設定です。タイム ウィンドウ内の最も新しい5,000個のイベントを表示するには、[イベント環境設定]ダイアログで[デフォルトのイベント ソート順]を[降順]に変更します。

リストのソート方法は、[イベント環境設定]ダイアログで構成します(「[イベント]ビューの構成」を参照してください)。設定の変更は、次回のクエリ送信時に有効になります。[イベント環境設定]ダイアログの[デフォルトのイベント ソート順]の設定は、データベースに保存され、ログアウトして再度ログインした後も維持されます。

  • ソートしない(バージョン11.4.1のデフォルト):コア サービスによって処理された順にイベントをリストに表示します。[ソートしない]は、処理が高速になります。これは、一致するイベントが見つかったら即座に表示するのと、すべてのコア サービスの応答を待ってから指定された順に結果を並べ替えて表示する違いによるものです。
  • 昇順(バージョン11.4以前のデフォルト):収集時間が最も古いイベントをリストの最初に配置します。「最も古い収集時間が最初」は、ほとんどの調査に適しています。ログの調査では、ソート順を「最も新しい収集時間が最初」に変更した方が良い場合もあります。
  • 降順:収集時間が最も新しいイベントをリストの最初に配置します。「最も新しい収集時間が最初」は、多くの場合、ログの調査に役立ちます。

イベント リストを絞り込むアクション

[イベント]パネルに結果がロードされたら、次のアクションを実行してリストを絞り込むことができます。

イベントを分析するためのアクション

このセクションの残りの部分では、[イベント]ビューでの作業手順と、再構築の表示方法を調整して興味のあるデータにフォーカスする方法について説明します。

  • イベントをダウンロードし、Respondのインシデントを作成できます。
  • [イベント]パネルでイベントをクリックすると、[イベントの詳細]パネルが開き、イベントの再構築(テキスト、パケット、ファイル、メール、Web)を表示するタブ、またはエンドポイント データにより拡充されたネットワーク イベントのホスト情報のタブ(バージョン11.5)が表示されます。
  • [イベント]パネルと[イベントの詳細]パネルは同時に開くことができます。
  • [パケット]タブと[テキスト]タブでは、追加機能を使用して、再構築の表示方法を調整したり、興味のあるデータにフォーカスしたりすることができます。

[イベント]ビューを開く、閉じる、パネルのサイズを調整する

初期状態では、[ネットワーク イベントの詳細]、[ログ イベントの詳細]、[エンドポイント イベントの詳細]パネルは、デフォルトでウィンドウ幅の75%を占有します。

ブラウザ ウィンドウの幅の75%を使用した再構築

一方のパネルを拡大したり、縮小したり、閉じることにより、詳細パネルに対する[イベント]パネルのサイズの比率を調整し、読みやすさを改善することができます。閉じたパネルは、再度開くことができます。選択した比率は、その比率を変更するか、ブラウザを更新するまで維持されます。

表示を最適化するには、次の操作を実行します。

  1. 2つのパネルのサイズの比率を調整するには、次のいずれかの操作を行います。
    1. 拡大するパネルのツール バーのパネルの拡大ボタンをクリックします。
    2. 縮小するパネルのツール バーのパネルを縮小するアイコンをクリックします。
  2. 一方のパネルを閉じて、もう一方の開いているパネルを幅いっぱいに表示するには、閉じるアイコンをクリックします。
    次の図は、ブラウザ ウィンドウの幅いっぱいに再構築を表示した例です。
    ブラウザ ウィンドウの幅いっぱいに表示された再構築
  3. [イベント]パネルを閉じた後で再度開くには、[イベント]ビューの右上隅にあるイベント パネルを開くアイコンをクリックします。
    [イベント]パネルは前回閉じたときの状態(25%~75%または50%~50%)で表示されます。
  4. [イベントの詳細]パネルを再度開くには、[イベント]パネル内のイベントをクリックします。

イベントの分析タイプの選択

イベントの分析タイプを選択するには、[イベントの詳細]パネルでイベントを開いた状態で、[テキスト]、[ファイル]、[ホスト]、[パケット]、[メール]、[Web]のいずれかのタブをクリックします。

  • [ホスト]を選択した場合は、拡張されたエンドポイント データからのホスト情報が表示されます。
  • ファイル]、[テキスト]、[パケット]、[メール]のいずれかを選択した場合は、再構築が表示されます。
  • Web]を選択した場合は、単一イベントの再構築が新しいタブで開きます。この再構築は、[レガシー イベント]ビューで使用されるセッションの再構築と同じです(「[レガシー イベント]ビューでのイベントの再構築」を参照してください)。

注: パケット再構築は、ネットワーク イベントだけで使用可能です。

リクエストとレスポンスの表示を調整する

リクエストとレスポンスを含んだ分析タイプの場合は、表示するサイド(リクエストリクエスト側アイコン、レスポンスレスポンス側アイコン、またはその両方)を選択できます。方向アイコンのいずれか一方または両方をクリックしてください。選択した情報で、再構築されたイベントが更新されます。

注: データが何も表示されない場合は、リクエストとレスポンスの両方の選択を解除している可能性があります。データを表示するには、2つのうちのいずれかは選択する必要があります。

イベントの関連メタデータを表示する

[テキスト]タブ、[パケット]タブ、[ファイル]タブでイベントを調査するときに、メタデータ アイコンをクリックして、隣接する[イベント メタ]パネルに関連するメタデータを表示できます。

[イベント メタ]パネルに表示されるメタデータの順序を変更して、目的のメタ データを見つけやすくすることができます。メタデータが生成された順に並べるか、メタ キーのアルファベット順に並べることができます。次の図は、メタ キーのアルファベット順で並べたメタデータを示しています。

バージョン11.4.1の[イベント メタ]パネルの[順序]メニューの例

次の図は、同じメタデータをメタ キーの生成順で並べた場合を示しています。

バージョン11.4.1で別の順序で並べられたイベント メタデータ

[テキスト再構築]パネルと[イベント メタ]パネルを表示しているときは、[イベント メタ]パネルのメタ キーとメタ値のペアにカーソルを合わせると、RAWテキストからメタ値を検索可能な場合は双眼鏡アイコンが表示されます。次の図は、検索可能なメタ キーを示す、黒い背景色の白い双眼鏡アイコンの例です。

検索可能なメタ キーの上にカーソルを合わせると、白い双眼鏡アイコンが表示される

このアイコンをクリックすると、[テキスト]タブでメタ キーとメタ値のペアの検索(大文字と小文字が区別されます)が開始され、検索結果がハイライト表示されます。次の図は、検索可能なメタ キー/メタ値の組み合わせをクリックすると表示される、青い背景色の白い双眼鏡アイコンの例です。

検索可能なメタ キー/メタ値の組み合わせを選択すると、結果が表示される

[イベント メタ]パネルには、ハイライト表示された行に結果の件数が示されるほか、[テキスト]タブでそれぞれの結果に迅速に移動するために使用する上下矢印が表示されます。スクロール ボタンを使用すると、メタ キーの生成をトリガーしたデータがハイライト表示された場所を、1つずつ前に、または1つずつ後ろに移動して表示することができます。

RAWテキスト内に関連する値が存在するメタ キーのみを検索できます。一度に検索できるメタ キーは1つだけです。3000文字を超えるためトランケート表示されたテキスト エントリーは、検出されたメタ値が見えるよう展開して表示されます。

メタ キーの生成をトリガーしたメタ値をRAWテキストから検索するには、次の手順を実行します。

  1. [テキスト]タブでネットワーク イベントを開き、メタデータ アイコンをクリックして[イベント メタ]パネルを開きます。
    [イベント メタ]パネルが開かれたテキスト分析
  2. メタ キーの横に双眼鏡アイコンが表示されるまで、リスト内のメタ キー/メタ値のペアの上にマウスを合わせます。
  3. RAWテキストの値を検索するには、検索可能であることを示す双眼鏡アイコンが表示された行をクリックします。
    該当する値がテキストに含まれていない場合は、検索対象の値が[イベント メタ]パネルでハイライト表示され、[テキスト]タブでは何もハイライト表示されません。
    [テキスト]タブに関連する値が1つ以上見つかった場合は、値の場所がハイライト表示されます。[イベント メタ]パネルには検索対象の値がハイライト表示され、スクロール用の上下矢印が表示されます。
    一致するテキストがテキスト分析でハイライト表示される
  4. ハイライト表示を消すには、[イベント メタ]パネルで同じメタ キーとメタ値のペアの双眼鏡アイコンをクリックするか、[イベント メタ]パネルで異なるメタ キーと値のペアの双眼鏡アイコンをクリックするか、[イベント メタ]パネルを閉じます。
    RAWテキストからハイライト表示が消えます。

注: メタ値が255文字を超える場合、そのメタ キーの上にカーソルを合わせると、完全な値が表示されます。

イベント ヘッダーを表示または非表示にする

[パケット]タブ、[テキスト]タブ、[ファイル]タブでイベント ヘッダーを非表示にして、データの表示領域を縦方向に拡大するには、ヘッダーの表示/非表示アイコンをクリックします。このアイコンをもう一度クリックすると、イベント ヘッダーが表示されます。

[パケット]および[テキスト]タブでのイベントのページ移動

ページ移動コントロールで、パケットやテキストのリストのページ操作を柔軟に実行できます。[パケット]タブでは、1ページあたりに表示するパケット数を選択できます。選択内容は、NetWitness Platformアプリケーションからログオフしても維持されます。アイコンを使用できないときは、グレー表示されます。たとえば、1ページ目を表示しているときは、前のページ アイコン最初のページ アイコンのアイコンは、グレー表示されます。

注: ページ移動コントロールはバージョン11.2以降の[テキスト]タブで使用できます。[テキスト]タブでは、手動で最後のページまで移動しないと、最後のページ コントロール アイコンが使用可能になりません。

ページ移動アイコンを使用するには、次の手順を実行します。

  1. [イベント]ビューでイベントが開いた状態で、現在のページあたりのパケット数(50100300500)をクリックして、ドロップダウン メニューから、新しいページあたりのパケット数を選択します。
    ページあたりのパケット数セレクター
  2. ページを前後に移動するには、次のページ コントロール アイコンを使用します。
    次のページに移動するには次のページに移動アイコンをクリックします。
    最後のページに移動するには最後のページ アイコンをクリックします。
    前のページに移動するには前のページ アイコンをクリックします。
    最初のページに移動するには最初のページ アイコンをクリックします。
  3. 特定のページに移動するには、ページ番号フィールド(ページ番号フィールド)にページ番号を入力します。

[テキスト]タブ内のトランケートされたテキスト エントリーを展開する

[テキスト]タブでのネットワーク イベントの再構築には、何十万もの大量の文字からなるリクエストとレスポンスが含まれる場合があり、関係のない長いエントリーをスクロールすることは時間の無駄になる可能性があります。時間を節約するために、6,000文字以上が含まれるテキスト エントリーは最初の2,000文字のみを表示するようにトランケートされます。次の図は、2,000文字より大きいエントリーの例です。ヘッダーのメッセージが総文字数の何%を表示しているかを示しています。

[テキスト]タブのトランケートされたレスポンス

現在表示されているのは全体の46%(最初の2,000文字)であるため、残りのエントリーを表示するには、[残り54%を表示]をクリックします。

[テキスト]タブでテキストがトランケートされた状態で、[イベント メタ]パネルに表示されているメタデータを検索した場合、トランケートされたテキストも検索対象に含まれます。非表示のテキスト内にメタデータが存在する場合、検出されたメタデータの場所がわかるようテキスト エントリーが展開されます。

[テキスト]タブでURLとBase64のエンコードおよびデコードを実行する

[テキスト]タブで再構築されているネットワーク セッションにBase64またはURLエンコードされた文字列が含まれる場合、セッションをよく理解するために文字列をデコードすることができます。セッションにBase64またはURLのデコードされた文字列が含まれる場合、他のセッションに同じ文字列がエンコードされた形式で含まれていないかを検索するため、文字列をエンコードすることができます。

[テキスト]タブでエンコードされたテキストが含まれるネットワーク セッションを表示している場合、1つのリクエストまたはレスポンス内のテキストの一部を選択して、エンコードまたはデコードした形式で表示することができます。Decoderにロードされたコンテンツによっては、セッション内にBase64かURLでエンコードされたデータがあることを示す追加のメタデータが含まれることがあります。

[テキスト]タブでエンコードおよびデコードを実行するには、次の手順を実行します。

  1. [イベント]ビューで、エンコードまたはデコードされたコンテンツを含むセッションのテキスト再構築を表示します。
  2. デコードされたテキストをエンコードされた形式で表示するには、リクエストまたはレスポンス内でテキストをドラッグして選択します。
    エンコードとデコードのオプションがメニューに表示されます。
    テキストをデコードおよびエンコードするためのポップアップ メニュー
  3. 選択したテキストをエンコード]をクリックします。
    ポップアップにエンコードされたテキストが表示されます。このポップアップは、閉じるアイコンをクリックするか、[テキスト]タブ内の別のテキストを選択するか、[イベント]パネルを閉じるか、再構築する別のイベントを選択するか、別の再構築ビューに切り換えるまで表示されます。
    エンコードされたURL
    長いテキストを選択すると、ポップアップはスクロール可能になり、選択したテキストとデコードされたテキスト全体が収まる大きさになります。
  4. セッションに含まれるエンコードされたテキストをデコードされた形式で表示したい場合は、リクエストまたはレスポンス内でテキストをドラッグして選択します。
    エンコードとデコードのオプションがメニューに表示されます。
  5. 選択したテキストをデコード]をクリックします。
    ポップアップにデコードされたテキストが表示されます。このポップアップは、閉じるアイコンをクリックするか、[テキスト]タブ内の別のテキストを選択するか、[イベント]パネルを閉じるか、再構築する別のイベントを選択するか、[イベントの詳細]パネルの別のタブに切り換えるまで表示されます。
  6. テキストの再構築から一部のテキストをコピーする場合は、次のいずれかの操作を行います。
    1. 一部のテキストをドラッグして選択し、右クリックして、ポップアップ メニューから[選択したテキストをコピー]を選択します。
      選択したデータとコピー、デコード、およびエンコード メニュー
    2. テキストの一部をドラッグし選択し、[選択したテキストをデコード]または[選択したテキストをエンコード]のいずれかを選択します。ポップアップ内で目的のテキストを選択し、Control-Cを押します。
      選択したテキストがクリップボードにコピーされ、ペーストできるようになります。
  7. 操作が終了したら、閉じるアイコンをクリックしてポップアップを閉じます。

[テキスト]タブでHTTPネットワーク セッションの解凍されたテキストを表示する

HTTPネットワーク セッションのコンテンツが圧縮されている場合、NetWitness Platformは[テキスト]タブにデフォルトで解凍されたコンテンツを表示します。これにより、任意のパターンがあるか判断し、読み取り可能な文字を表示することができます。圧縮されたテキストを圧縮表示するか解凍表示するかを切り替えることができます。

圧縮表示と解凍表示の切り替えボタンは、[テキスト]タブのみに表示され、圧縮されたテキスト コンテンツがある場合にのみ有効になります。

  1. 圧縮されたコンテンツを含むHTTPセッションの[テキスト]タブを開きます。
    デフォルトで、セッションはテキストが解凍された状態で再構築され、[圧縮されたペイロードの表示]切り替えスイッチが再構築の上に表示されます。
    展開されたペイロードの例
  2. 同じテキストを圧縮形式で表示するには、切り替えスイッチをクリックします。
    表示が切り替わって、圧縮されたテキストが読めなくなり、スイッチの[圧縮されたペイロードの表示]がオンになります。
    圧縮されたペイロードの例
  3. 解凍されたテキストの表示に戻すには、スイッチを再度クリックします。

[パケット]タブの[ペイロードのみ表示]オプションを使用する

[パケット]パネルでネットワーク セッションの再構築を表示するときは、ヘッダー バイトとフッター バイトを非表示にできます。ペイロードのみが表示されるようになり、同じサイドの連続したパケットは、ペイロードを読みやすく理解可能にするために連結されます。この設定は、設定を変更するか、ブラウザを更新するまで保持されます。

  • [ペイロードのみ表示]オプションをオフにすると、パケット番号、パケットのヘッダー、パケットのフッター、ペイロードが表示されます。
  • [ペイロードのみ表示]オプションをオンにすると、パケットのヘッダーとフッターのバイトは表示されません。パケット コンテンツのみが、1行あたり16バイトの16進数とそれに対応するASCII文字で表示されます。
  1. [イベント]ビューで、ネットワーク セッションの[パケット]タブに移動します。
    デフォルトで、パケット ヘッダー、フッター、ペイロードが表示された状態でセッションが再構築されます。
    [ペイロードのみ表示]オプションがオフ
  2. 各パケットのペイロードのみを表示するよう変更するには、[ペイロードのみ表示]スイッチをクリックします。
    表示が変更され、ペイロードのみが表示されるようになります。
    [ペイロードのみ表示]オプションがオン

[パケット]タブでバイトをハイライト表示する

[パケット]タブで再構築を開くと、各パケットの重要なヘッダー バイトは青色でハイライト表示され、パケットの内容を理解しやすくするために、ペイロード バイトは濃淡化により区別されます。次の図は、ハイライト表示とバイト濃淡化を使用したパケット再構築のデフォルト ビューを示しています。

パケット再構築のデフォルト ビュー

[バイトの濃淡化]オプションは、16進数バイト(00~FF)を識別しやすくするため濃淡を変えてバイトを表示する機能です。下のレンジのバイトほど薄い色で表示され、255に近いバイトは濃い色で表示されます。16進数およびASCIIの両方が濃淡化されます。次の図は、16進数の各バイトを濃淡化した例です。

16進数の各バイトを濃淡化した例

[バイトの濃淡化]スイッチは、バイトの濃淡化を制御します。[バイトの濃淡化]をオンまたはオフに設定すると、設定を変更するか、ブラウザを更新するまでその設定が保持されます。

[パケット]タブで一般的なファイル タイプをハイライト表示する

[パケット]タブで、アナリストは、ファイル シグネチャに基づいて特定のファイル タイプをハイライト表示したり、非表示にしたりできます。[一般的なファイル パターン]機能がオンの場合は、ペイロード内にあるファイル シグネチャのマジック ナンバーのバイトがハイライト表示され、ハイライト表示にカーソルを合わせると潜在的なファイル タイプが表示されます。この例では、42 4dが16進数のペイロードでハイライト表示され、BMがASCIIのペイロードでハイライト表示されています。ハイライト表示されているバイトにカーソルを合わせると、ポップアップに、そのマジック ナンバーに関連する潜在的なファイル タイプが表示されます。

[パケット]タブに一般的なファイル シグネチャを表示するには、次の手順を実行します。

  1. [パケット]タブで再構築を開いた状態で、[一般的なファイル パターン]オプションをオンにします。
    複数のハイライト表示がある場合は、すべてが表示されます。
  2. ポップアップを表示するには、ハイライト表示された場所にカーソルを置きます。

パケット再構築のデフォルト ビュー

次の表は、ペイロードに存在する場合にハイライト表示されるファイル タイプと対応するマジック ナンバーです。

                                                                                                  
ファイル タイプ16進数のシグネチャASCIIエンコード
DOS実行可能プログラム/Windows PE4D 5AMZ
PNG(ポータブル ネットワーク グラフィックス)89 50 4E 47 0 D 0A 1A 0APNG
JPEGFF D8 FFJPEG
JPEG/JFIF4A 46 49 46JFIF
JPEG/Exif45 78 69 66Exif
GIF47 49 46 38 37 61GIF87a
GIF47 49 46 38 39 61GIF89a

移植性がない実行可能プログラム

5A 4D

ZM

BMP42 4DBM
PDF25 50 44 46%PDF
古いOfficeドキュメント(doc、xls、ppt、msg、その他)D0 CF 11 E0 A1 B1 1A E1ÐÏ.ࡱ.á
ZIPファイル形式、およびJAR、ODF、OOXMLなどのZIPに基づく形式50 4BPK..
7 ZIPファイル形式(7z)37 7A BC AF 27 1C7z¼¯'
Javaクラス ファイル、Mach-O FatバイナリCA FE BA BEÊþº¾
PostScript25 21 50 53%!PS
Unix/Linuxのシェル スクリプト23 21#!
ELF(実行可能プログラムおよびリンク可能な形式)の実行可能プログラム7F 45 4C 46.ELF

You are here
Table of Contents > イベントの再構築と分析 > [イベント]ビューでのイベントの分析

Attachments

    Outcomes