調査:[イベント分析]ビューでのイベントの調査

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

[イベント分析]ビューでRAWイベントとメタデータを調査するときは、パネルの表示/非表示とサイズを簡単に調整することができます。[パケット分析]パネルと[テキスト分析]パネルでは、追加機能を使用して、再構築の表示方法を調整したり、興味のあるデータを強調することができます。

イベント分析タイプを選択する

イベントのイベント分析タイプを選択するには、次のいずれかの操作を行います。

  1. [イベント分析]ビューのツールバーで、分析タイプをクリックします。
  2. ドロップダウン メニューで、分析タイプを選択します。ファイル分析テキスト分析パケット分析メール(バージョン11.1以降)、Web(バージョン11.1以降)から選択できます。
    ファイル分析テキスト分析パケット分析を選択した場合は、ビューが更新され、[パケット分析]パネル、[ファイル分析]パネル、[テキスト分析]パネルが表示されます。
    メールまたはWebを選択した場合は、新しいタブに、単一のイベントのメールまたはWebの再構築が表示されます。これは、[イベント]ビューでのメールまたはWebセッションの再構築と同じです。[イベント]ビューのメールまたはWebの再構築の表示では追加の機能を利用でき、1つのイベントだけを表示するのではなく、別のイベントに移動することもできます(「イベントの再構築」を参照してください)。

注:[パケット分析]パネルは、ネットワーク イベントだけで使用可能です。

[イベント分析]ビューを開く、閉じる、パネルのサイズを調整する

[イベント分析]ビューを開くと、イベント リストが表示された状態か、どのイベントも選択または再構築されていない状態が表示されます。イベントを選択すると、[ネットワーク イベントの詳細]パネル、[ログ イベントの詳細]パネル、[エンドポイント イベントの詳細]パネルのいずれかが右側に表示されます。初期状態では、[ネットワーク イベントの詳細]、[ログ イベントの詳細]、[エンドポイント イベントの詳細]パネルは、デフォルトでウィンドウ幅の75%を占有します。

Initial view showing wide reconstruction panel

一方のパネルを拡大したり、縮小したり、閉じることにより、2つのパネルのサイズの比率を調整し、読みやすさを改善することができます。閉じたパネルは、再度開くことができます。選択した比率は、その比率を変更するか、ブラウザを更新するまで維持されます。

  • [イベント]パネルを再度開くには、右上隅のthe open events panel iconをクリックします。

表示を最適化するには、次の操作を実行します。

  1. 2つのパネルのサイズの比率を調整するには、次のいずれかの操作を行います。
    1. 拡大するパネルのツール バーのexpand panel iconをクリックします。
    2. 縮小するパネルのツール バーのthe reduce panel iconをクリックします。
  2. 一方のパネルを閉じて、もう一方の開いているパネルを幅いっぱいに表示するには、the close iconをクリックします。
    次の図は、ブラウザ ウィンドウの幅いっぱいに再構築を表示した例です。
    Packet Analysis displayed in the full width of the browser window
  3. [イベント]パネルを閉じたあとで再度開くには、[ナビゲート]ビューの右上隅のthe open events panel iconをクリックします。
    最後の状態(25%:75%または50%:50%)で[イベント]パネルが開きます。
  4. [イベントの詳細]パネルを再度開くには、[イベント]パネル内のイベントをクリックします。

 

イベント分析での列グループと列の選択

 

バージョン11.1以降では、[イベント]パネルで標準提供またはカスタムの列グループを使用できます。列グループは、[イベント]ビューで作成し、管理します(「[イベント]ビューでの列グループの管理」を参照)。これらの列グループは、[イベント分析]ビューにも反映されます。列グループを変更すると、その変更は現在のビューにのみ反映されます。別のビューに移動して[イベント分析]ビューに戻ると、列の変更は[イベント]パネルでは維持されていません。

標準提供の列グループは次のとおりです。

  • Email Analysis:メール関連のメタデータの調査に役立つメタ キーが含まれます。
  • Endpoint Analysis:エンドポイント関連のメタデータの調査に役立つメタ キーが含まれます。
  • Malware Analysis:マルウェア関連のメタデータの調査に役立つメタ キーが含まれます。
  • Outbound HTTP:アウトバウンドHTTP関連のメタデータの調査に役立つメタ キーが含まれます。
  • Outbound SSL/TLS:アウトバウンドSSL/TLS関連のメタデータの調査に役立つメタ キーが含まれます。
  • Summary List:一般的な調査に役立つメタ キーが含まれます。これは、デフォルトの列グループです。
  • Threat Analysis:データセット内の潜在的な脅威をマークするメタ キーが含まれます。
  • Web Analysis:Webトラフィックの異常をマークするメタ キーが含まれます。

列グループには、右にスクロールしなくては表示できない数の列が含まれている場合があります。バージョン11.1では、[イベント分析]ビューに表示する列を選択できます。列の順序には、デフォルトの列グループの[イベント]ビューでの順序が反映されます。列グループを選択すると、デフォルトで最初の15個の列が表示されます。表示を最適化するために、一度に表示する列は15個までに制限することを推奨します。ただし、表示する列を追加したり、表示から列を削除することができます。

列グループを選択するには、次の手順を実行します。

  1. [イベント]の横にあるドロップダウン メニューから、列グループを選択します(Summary Listなど)。また、列グループの名前を入力して、ドロップダウン メニューに表示された列グループを選択することもできます。
    Default Column Groups drop-down menu
    [イベント]パネルには、選択した列グループに属している列のデータが表示されます。

表示する列を選択するには、次の手順を実行します。

  1. [イベント分析]ビューで作業している間に、列グループを選択した状態で、the settings iconをクリックして、列セレクタを表示します。
    Column selector filtering list
  2. 列に追加したいメタ キーを選択するか、メタ キーの名前を入力します。 
  3. 列から削除したいメタ キーがある場合は、そのメタ キーを選択解除します。
    選択された列を使用してデータが再表示されます。

リクエストとレスポンスの表示を調整する

リクエストとレスポンスを含むイベント タイプでは、いくつかの調整を行うことができます。

注:分析タイプにリクエストとレスポンスがない場合は、このオプションは選択できません。[ファイル分析]パネルは、リクエストとレスポンスがない再構築のタイプの一例です。[テキスト分析]ビューで再構築されたログ イベントも、その一例です。

リクエストとレスポンスのどちらか一方または両方を表示するように選択するには、矢印アイコンRequest and Response iconsのいずれかまたは両方をクリックします。選択した設定で再構築の表示が更新されます。

注:データが何も表示されない場合は、リクエストとレスポンスの両方の選択を解除している可能性があります。データを表示するには、2つのうちのいずれかは選択する必要があります。

イベントのイベント メタデータを表示する

[テキスト分析]パネル、[パケット分析]パネル、[ファイル分析]パネルでイベントを調査するときに、the show Event Meta panel iconをクリックして、隣接する[イベント メタ]パネルに関連するメタデータを表示できます。

[テキスト分析]パネルと[イベント メタ]パネルを表示しているときは、[イベント メタ]パネルのメタ キーとメタ値のペアにカーソルを合わせると、RAWテキストからメタ値を検索可能な場合は双眼鏡アイコンが表示されます。次の図は、メタ キー「DIRECTORY」とメタ値「/」のペアにカーソルを合わせたときの双眼鏡アイコンの例です。

binoculars icon in the Event Meta panel

アイコンをクリックすると、[テキスト分析]パネルでメタ キーとメタ値のペアの検索(大文字と小文字が区別されます)が開始し、検索結果がハイライト表示されます。[イベント メタ]パネルには、ハイライト表示された行に、結果の件数と[テキスト分析]パネルでそれぞれの結果に迅速に移動するために使用するスクロール ボタンが表示されます。スクロール ボタンを使用すると、メタ キーの生成をトリガーしたデータがハイライト表示された場所を、1つずつ前に、または1つずつ後ろに移動して表示することができます。

RAWテキスト内に関連する値が存在するメタ キーのみを検索できます。一度に検索できるメタ キーは1つだけです。3000文字を超えるためトランケート表示されたテキスト エントリーは、検出されたメタ値が見えるよう展開して表示されます。

[イベント メタ]パネルで同じメタ キーとメタ値のペア、または異なるメタ キーとメタ値のペアの双眼鏡アイコンをクリックすると、RAWテキストのハイライト表示が消えます。[イベント メタ]パネルを閉じた場合も、ハイライト表示は消えます。

メタ キーの生成をトリガーしたメタ値をRAWテキストから検索するには、次の手順を実行します。

  1. [テキスト分析]パネルでネットワーク イベントを開きます。
    a network event open in the Text Analysis panel
  2. ツールバーでthe Open Meta Panel iconをクリックして[イベント メタ]パネルを開きます。[テキスト分析]パネルのリストでメタ キーと値のペアをマウスでポイントしていくと、検索可能なメタ キーと値のペアには双眼鏡アイコンが表示されます。
  3. RAWテキストの値を検索するには、検索可能なことを示す双眼鏡アイコンが表示されている行をクリックします。
    RAWテキスト内に関連する値が見つからない場合は、[イベント メタ]パネルでは検索している値がハイライト表示され、[テキスト分析]パネルでは何もハイライト表示されません。
    [テキスト分析]パネルに関連する値が1つ以上見つかった場合、値の場所がハイライト表示されます。[イベント メタ]パネルには検索している値がハイライト表示され、スクロール ボタンが表示されます。

  4. ハイライト表示を消すには、[イベント メタ]パネルを閉じるか、[イベント メタ]パネルで同じメタ キーとメタ値のペアの双眼鏡アイコンをクリックするか、または[イベント メタ]パネルで異なるメタ キーとメタ値のペアの双眼鏡アイコンをクリックします。
    RAWテキストからハイライト表示が消えます。

イベント ヘッダーを表示または非表示にする

[パケット分析]パネル、[テキスト分析]パネル、[ファイル分析]パネルでイベント ヘッダーを非表示にして、データの表示領域を縦方向に拡大するには、the Display Header iconをクリックします。

[パケット分析]パネルでのページ移動

バージョン11.1以降では、ページ移動アイコンを使用して、パケットのリストの移動をより柔軟に行うことができます。また、1ページあたりに表示するパケット数を選択できます。選択内容は、NetWitnessからログオフしても維持されます。アイコンを使用できないときは、グレー表示されます。たとえば、1ページ目を表示しているときは、previous page iconfirst page iconのアイコンは、グレー表示されます。

ページ移動アイコンを使用するには、次の手順を実行します。

  1. [イベント分析]ビューでイベントが開いた状態で、現在のページあたりのパケット数(100300500)をクリックして、ドロップダウン メニューから、新しいページあたりのパケット数を選択します。
    packets per page selector
  2. 前後のページに移動するには、ページ移動アイコンを使用します。
    go to the next page iconをクリックすると、次のページに移動します。
    last page iconをクリックすると、最後のページに移動します。
    previous page iconをクリックすると、前のページに移動します。
    first page iconをクリックすると、最初のページに移動します。
  3. 特定のページに移動するには、ページ番号フィールド(page number field)にページ番号を入力します。

[テキスト分析]パネル内のトランケートされたテキスト エントリーを展開する

[テキスト分析]パネルでのネットワーク イベントの再構築には、数百数千の大量の文字を含むリクエストとレスポンスが含まれる場合があり、6000文字を超えるような関係のない長いエントリーをスクロールすることは時間の無駄になる可能性があります。アナリストのエクスペリエンスを向上させるために、6000文字以上が含まれるすべてのテキスト エントリーは最初の2000文字のみを表示するようにトランケートされます。次の図は、2000文字より大きいエントリーの例です。ヘッダーのメッセージが総文字数の何%を表示しているかを示しています。

example of a packet with a percentage of the data displayed

全体の60%(最初の2000文字)が表示されていることが分かり、[残り40%を表示]をクリックすると残りのエントリーを表示することができます。

Text Analysis with truncate entries expanded

[イベント メタ]パネルに表示されているメタデータを[テキスト分析]パネルでテキストがトランケートされた状態で検索した場合、トランケートされたテキストも検索対象に含まれます。非表示のテキスト内にメタデータが存在する場合、検出されたメタデータの場所がわかるようテキスト エントリーが展開されます。

[テキスト分析]パネルでURLとBase64のエンコードおよびデコードを実行する

[テキスト分析]パネルで再構築されているネットワーク セッションにBase64またはURLエンコードされた文字列が含まれる場合、セッションをよく理解するために文字列をデコードすることができます。セッションにBase64またはURLのデコードされた文字列が含まれる場合、他のセッションに同じ文字列がエンコードされた形式で含まれていないかを検索するため、文字列をエンコードすることができます。

[テキスト分析]パネルでエンコードされたテキストが含まれるネットワーク セッションを表示している場合、1つのリクエストまたはレスポンス内のテキストの一部を選択して、エンコードまたはデコードした形式で表示することができます。Decoderにロードされたコンテンツによっては、セッション内にBase64かURLでエンコードされたデータがあることを示す追加のメタデータが含まれることがあります。

次の図は、URLエンコードとBase64エンコードされたテキストを表示するポップアップの例です。

Text Analysis displaying encoded text

Text Analysis displaying decoded text

[テキスト分析]パネルでエンコードおよびデコードを実行するには、次のようにします。

  1. [イベント分析]ビューで、エンコードまたはデコードされたコンテンツを含むセッションの[テキスト分析]パネルを表示します。
  2. デコードされたテキストをエンコードされた形式で表示するには、1つのリクエストまたはレスポンス内でテキストをドラッグして選択します。
    メニューに、エンコードおよびデコードするオプションが表示されます。
    the popup menu for decoding and encoding text
  3. Encode Selected Text]をクリックします。
    ポップアップにエンコードされたテキストが表示されます。このポップアップは、the close iconをクリックするまで、[テキスト分析]パネル内の別のテキストを選択するまで、[イベント]パネルを閉じるまで、再構築する別のイベントを選択するまで、別の再構築ビューに切り換えるまで表示されます。
    an encoded URL
    長いテキストを選択すると、ポップアップはスクロール可能になり、選択したテキストとデコードされたテキスト全体が収まる大きさになります。
  4. セッションに含まれるエンコードされたテキストをデコードされた形式で表示したい場合は、1つのリクエストまたはレスポンス内でテキストをドラッグして選択します。
    メニューに、エンコードおよびデコードするオプションが表示されます。
  5. Decode Selected Text]をクリックします。
    ポップアップにデコードされたテキストが表示されます。このポップアップは、the close iconをクリックするまで、[テキスト分析]パネル内の別のテキストを選択するまで、[イベント]パネルを閉じるまで、再構築する別のイベントを選択するまで、別の再構築ビューに切り換えるまで表示されます。
  6. テキストの再構築から一部のテキストをコピーする場合は、次のいずれかの操作を行います。
    1. 一部のテキストをドラッグして選択し、右クリックして、ポップアップ メニューから[CopySelected Text]を選択します。
      selected data with the copy, decode, and encode menus
    2. テキストの一部をドラッグし選択し、[Decode Selected Text]または[Encode Selected Text]のいずれかを選択します。ポップアップ内で目的のテキストを選択し、Control+Cキーを押します。
      選択したテキストがクリップボードにコピーされ、ペーストできるようになります。
  7. 操作が終了したら、the Close iconをクリックしてポップアップを閉じます。

[テキスト分析]パネルでHTTPネットワーク セッションの解凍されたテキストを表示する

HTTP ネットワーク セッションのコンテンツが圧縮されている場合、NetWitness Suiteは[テキスト分析]パネルにデフォルトで解凍されたコンテンツを表示します。これにより、任意のパターンがあるか判断し、読み取り可能な文字を表示することができます。圧縮されたテキストを圧縮表示するか解凍表示するかを切り替えることができます。

注:解凍されたテキストの表示は、[パケット分析]パネル、[ファイル分析]パネル、非HTTPネットワーク セッション、ログ データでは使用できません。

圧縮表示と解凍表示の切り替えボタンは、[テキスト分析]パネルのみに表示され、圧縮されたテキスト コンテンツがある場合にのみ有効になります。

  1. 圧縮されたコンテンツを含むHTTPセッションを[テキスト分析]パネルで開きます。
    デフォルトでは、セッションは解凍されたテキストを使用して再構築され、パネルの上部に[圧縮されたペイロードの表示]スイッチが表示されます。
    a decompressed payload
  2. 同じテキストを圧縮して表示するには、このスイッチをクリックします。
    表示が変更され、圧縮されたテキストを読み取れなくなります。[圧縮されたパケットの表示]スイッチがオンになります。
    a compressed payload
  3. 解凍されたテキストの表示に戻すには、スイッチを再度クリックします。

ネットワーク セッションの[パケット分析]パネルで[ペイロードのみ]オプションを使用する

[パケット分析]パネルでネットワーク セッションの再構築を表示しているときは、各パケットの主なペイロードのみを表示することを選択できます。デフォルトでは、各パケットのヘッダーとフッターのバイトが表示されます。[ペイロードのみ表示]スイッチをクリックしてこれらを非表示にできます。ペイロード バイトのみを表示している場合、[ペイロードのみ表示]スイッチをクリックすると、デフォルト設定を復元できます。この設定は、それを変更するか、ブラウザを更新するまで保持されます。

  • [ペイロードのみ表示]オプションをオフにすると、パケット番号、パケットのヘッダー、パケットのフッター、ペイロードが表示されます。
  • [ペイロードのみ表示]オプションをオンにすると、パケットのヘッダーとフッターのバイトは表示されません。パケット コンテンツのみが、1行あたり16バイトの16進数とそれに対応するASCII文字で表示されます。
  1. イベント分析]ビューで、ネットワーク セッションの[パケット分析]パネルに移動します。
    デフォルトでは、セッションは、パケットのヘッダー、フッター、ペイロードを表示して再構築されます。
    Packet headers hightlighted in blued
  2. 各パケットのペイロードのみを表示するよう変更するには、[ペイロードのみ表示]スイッチをクリックします。
    ペイロードのみが表示されるようになり、同じサイドの連続したパケットは、ペイロードを読みやすく理解可能にするために連結されます。
    Display Payloads Only in effect

[パケット分析]パネルでバイトをハイライト表示する

[パケット分析]パネルで最初に再構築を開くと、各パケットの重要なヘッダー バイトは青色でハイライト表示され、パケットの内容を理解しやすくするために、ペイロード バイトは濃淡化により区別されます。次の図は、ハイライト表示とバイトの濃淡化が有効になったデフォルトのパケット分析です。

Packet Analysis with highlighting and byte shading

[バイトの濃淡化]オプションは、16進数バイト(00~FF)を識別しやすくするため濃淡を変えてバイトを表示する機能です。下のレンジのバイトほど薄い色で表示され、255に近いバイトは濃い色で表示されます。16進数およびASCIIの両方が濃淡化されます。次の図は、16進数の各バイトを濃淡化した例です。

example of shading applied to hexadecimal bytes

[バイトの濃淡化]スイッチは、バイトの濃淡化を制御します。[バイトの濃淡化]をオンまたはオフに設定すると、設定を変更するか、ブラウザを更新するまでその設定が保持されます。

[パケット分析]パネルで一般的なファイル タイプをハイライト表示する

[パケット分析]パネルで、アナリストは、ファイル シグネチャに基づいて特定のファイル タイプをハイライト表示したり、非表示にしたりできます。[一般的なファイル パターン]機能がオンの場合は、ペイロード内にあるファイル シグネチャのマジック ナンバーのバイトがハイライト表示され、ハイライト表示にカーソルを合わせると潜在的なファイル タイプが表示されます。この例では、89 50 4e 47が16進数のペイロードでハイライト表示され、PNGがASCIIのペイロードでハイライト表示されています。ハイライト表示されているバイトにカーソルを合わせると、ポップアップに、そのマジック ナンバーに関連する潜在的なファイル タイプが表示されます。

Possible file type highlighted

次の表は、ペイロードに存在する場合にハイライト表示されるファイル タイプと対応するマジック ナンバーです。

                                                                                                  
ファイル タイプ16進数のシグネチャASCIIエンコード
DOS実行可能プログラム/Windows PE4D 5AMZ
PNG(ポータブル ネットワーク グラフィックス) 89 50 4E 47 0 D 0A 1A 0APNG
JPEG FF D8 FFJPEG
JPEG/JFIF4A 46 49 46JFIF
JPEG/Exif45 78 69 66Exif
GIF47 49 46 38 37 61GIF87a
GIF47 49 46 38 39 61GIF89a

移植性がない実行可能プログラム

5A 4D

ZM

BMP42 4DBM
PDF25 50 44 46%PDF
古いOfficeドキュメント(doc、xls、ppt、msg、その他)D0 CF 11 E0 A1 B1 1A E1ÐÏ.ࡱ.á
ZIPファイル形式、およびJAR、ODF、OOXMLなどのZIPに基づく形式50 4BPK..
7 ZIPファイル形式(7z)37 7A BC AF 27 1C7z¼¯'
Javaクラス ファイル、Mach-O FatバイナリCA FE BA BEÊþº¾
PostScript 25 21 50 53%!PS
Unix/Linuxのシェル スクリプト23 21#!
ELF(実行可能プログラムおよびリンク可能な形式)の実行可能プログラム7F 45 4C 46 .ELF

[パケット分析]パネルに一般的なファイル シグネチャを表示するには、次の手順を実行します。

  1. [パケット分析]パネルに移動し、[一般的なファイル パターン]オプションをオンにします。
    ビューに複数のハイライト表示箇所がある場合は、すべてが表示されます。
  2. ポップアップを表示するには、ハイライト表示された場所にカーソルを置きます。
You are here
Table of Contents > [イベント分析]ビューでのRAWイベントとメタ データの分析 > [イベント分析]ビューでのイベントの調査

Attachments

    Outcomes