調査:[ナビゲート]ビュー

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

[ナビゲート]ビュー([調査]>[ナビゲート])には、選択したサービスの収集データで検出されたイベント メタデータ(メタ キーとメタ値)が表示されます。データは、プロファイル、時間範囲、メタ グループ、クエリで設定したオプションに基づいて、フィルタおよび表示されます。メタ キーとメタ値をクリックして、データをドリルダウンすることもできます。[ナビゲート]ビューは、NetWitness Investigateへのデフォルトのエントリー ポイントです。ユーザ プロファイルの環境設定でデフォルトのエントリー ポイントを他のビューに変更することができます。

ワークフロー

次の図は、イベント メタデータを調査するための概要レベルのワークフローを示しています。

high-level Investigate workflow with Browse Event Data and associated actions highlighted

これらは[ナビゲート]ビューで実行できるタスクです。

  • サービスを選択して、データを調査およびロードする。
  • クエリの結果を表示して、時間範囲、プロファイル、メタ グループでフィルタする。
  • 結果をソートして、集計方法を選択する。
  • イベントの保存、イベントIDを使用したイベントへの移動、イベントのビジュアル化、イベントの印刷を行う。
  • 特定のメタ キーと値の追加のコンテキスト データを表示する。
  • [イベント]ビューまたは[イベント分析]ビューに移動することで、イベントの時系列リストの表示、イベントの再構築、イベントの対話形式での分析を行うことができます。イベントを表示および分析するときに、イベント、ファイル、ログをローカル ファイル システムにエクスポートできます。

実行したいことは何ですか?

                                                                         
ユーザのロール実行したいこと11.1ドキュメント
脅威ハンター

イベント メタデータを参照する*

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントを参照する*

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントとメタデータを分析する

[イベント分析]ビューで調査を開始する

脅威ハンターエンドポイントを調査する(バージョン11.1)ホストの調査

脅威ハンター

不審なエンドポイント ファイルを探す(バージョン11.1)

ファイルの調査

脅威ハンターファイルとイベントをスキャンしてマルウェアを探すMalware Analysisの実施

インシデント対応者

調査でインシデントを優先順位付けする

NetWitness Respondユーザ ガイド

脅威ハンター[ナビゲート]ビューのユーザ環境設定を設定する*[ナビゲート]ビューおよび[イベント]ビューの構成
脅威ハンタークエリの送信またはデータセットへのドリルダウン*[ナビゲート]ビューでのメタデータの調査
脅威ハンタークエリの結果の絞り込み*[ナビゲート]ビューおよび[イベント]ビューでのクエリとデータの処理
脅威ハンター

内部ルックアップを実行する*

データ ポイントの追加コンテキストの表示

脅威ハンター外部ルックアップを実行する*メタ キーの外部ルックアップの起動

*このタスクは現在のビューで実行できます。

関連トピック

簡単な説明

the Navigate view with Context Panel and Visualization open

[ナビゲート]ビューは次の機能で構成されます。

  • ツールバー
  • 一時停止/再ロード ボタンと階層リンク
  • 時間バナー
  • オプションのデバッグ情報
  • 折りたたみ可能なチャート パネル
  • 値パネル
  • [コンテキスト ルックアップ]パネル
  • コンテキスト メニュー

ツールバー

ツールバーからは以下の操作を行うことができます。

  • 調査するサービスを変更する。
  • 表示するデータの範囲を調整する。使用プロファイルの選択、時間範囲の設定、メタ グループの使用、データに適用するクエリの作成が可能です。
  • 値パネルのデータの集計方法とソート方法を設定する。
  • 結果に対してアクションを実行する。結果のエクスポートや印刷、イベントIDが分かっているイベントの[イベント]ビューまたは[イベント分析]ビューでの表示、Informerへのクエリの送信が可能です。
  • [調査]ビューを表示したまま調査の設定を構成する。

ツールバーの一部のオプション ラベルでは、そのオプション名が表示されるのではなく、デフォルト値または選択された値がラベル表示されます。たとえば、前の図の例の時間範囲オプションは、現在選択されている値を反映して、「直近5分」というラベルで表示されています。これは、ツールバーのオプションです。

                                                           
オプション説明
Service icon アイコンの横に選択したサービス名が表示されます。このアイコンをクリックすると、[サービスの調査]ダイアログが開きます。このダイアログで、調査するサービスを選択したり、調査するデフォルト サービスを設定したりできます(「[ナビゲート]または[イベント]ビューで調査を開始する」を参照してください)。サービスを変更しても、データが再ロードされるわけではありません。
時間範囲 時間範囲オプションが表示されます。ツールバーには現在選択されているオプションが表示されます(「[ナビゲート]ビューでの結果のフィルタリング」を参照してください)。選択可能なオプションは次のとおりです。
  • すべてのデータ
  • 直近5、10、15、30分
  • 直近1、3、6、12、24時間
  • 直近2、5日間
  • 早朝
  • 午前
  • 午後
  • 夕方
  • 終日
  • 昨日
  • 今週
  • 先週
  • カスタム

注:カスタムの開始時刻と終了時刻を秒単位で指定しても、開始時刻の秒は常に:00に、終了時刻の秒は常に:59に変更されます。たとえば、時間を使用して問題にドリルダウンする場合、ドリル時間は「HH:MM:00 - HH:MM:59」と解釈されます。[調査]では、この形式による秒の表示が使用されます。

クエリ [クエリ]ダイアログが表示されます。ここでは、データをドリルダウンするのではなく、カスタム クエリを直接入力できます。このダイアログの詳細については、「[クエリ]ダイアログ」を参照してください。
プロファイル [プロファイル]メニューを表示します。現在選択されているプロファイルがツールバーに表示されます。プロファイルでは、カスタム メタ グループ、デフォルトの列グループ、プレクエリなどを管理および使用できます。プロファイルは、[ナビゲート]ビュー(メタ グループとクエリ)および[イベント]ビュー(列グループとクエリ)に適用されます。詳細については、「プロファイルを使用したカスタム ビューのカプセル化」を参照してください。
メタ[メタ グループ]メニューを表示します。デフォルトのメタ キーまたはカスタム メタ グループを使用できます。両方のグループ タイプで、設定を変更することができます(「メタ グループの管理」を参照してください)。
ソート フィールド[ソート フィールド]メニューが表示されます。ツールバーには現在選択されているオプションが表示されます。メニューには次の2つのオプションがあります。「合計で整列」と「値で整列」です。ソート フィールドはソート順オプションと一緒に使用します。各メタ キーのデータが、合計(緑の数字)またはメタ値(青のテキスト)に基づいて並べ替えられます(「[ナビゲート]ビューでの結果のフィルタリング」を参照してください)。
ソート順 [ソート順]メニューが表示されます。ツールバーには現在選択されているオプションが表示されます。メニューには次の2つのオプションがあります。「昇順でソート」と「降順でソート」です。ソート順はソート フィールド オプションと一緒に使用します。各メタ キーについて選択したフィールドが昇順または降順で並べ替えられます(「[ナビゲート]ビューでの結果のフィルタリング」を参照してください)。
集計方法 [集計方法]メニューが表示されます。ツールバーには現在選択されているオプションが表示されます。集計方法は、[値]パネルのメタ キーの結果にのみ適用されます。タイムラインには適用されません。
ドロップダウン メニューには、メタ値の数量(かっこで囲まれた緑色の数字)を計算するための3つのオプション、[イベント数で集計]、[イベント サイズで集計]、[パケット数で集計]が表示されます(「[ナビゲート]ビューでの結果のフィルタリング」を参照してください)。
これらのオプションがどのように適用されるかは、表示されているデータのタイプによって異なります。
パケット データの場合:
  • [イベント数で集計]を選択すると、セッション数が示されます。
  • [イベント サイズで集計]を選択すると、サイズ(バイト)が示されます。
  • [パケット数で集計]を選択すると、パケット数が示されます。
ログ データの場合:
  • [イベント数で集計]を選択すると、ログの数が示されます。
  • [イベント サイズで集計]を選択すると、サイズ(バイト)が示されます。
  • [パケット数で集計]を選択すると、ログの数が示されます。
イベントの保存[イベントの保存]メニューが表示されます。このメニューには、イベントに関連づけられているファイルを抽出するオプション、現在のドリルダウン ポイントをPCAPファイルとしてエクスポートするオプション、現在のドリルダウン ポイントをログ ファイルとしてエクスポートするオプションがあります(「ドリルダウン ポイントのエクスポート」を参照してください)。
アクション アクション メニューには、[ナビゲート]ビューで実行できるアクションが表示されます(「[ナビゲート]ビューでのメタデータの調査」を参照してください)。 バージョン11.0.0.xでは、オプションは [Visualize]、[イベントに移動]、[印刷]です。バージョン11.1以降では、オプションは[Visualize]、[イベント再構築に移動]、[イベント分析に移動]、[印刷]です。
イベントの検索 現在のイベント セット内でテキスト パターンを検索できます。[検索]フィールドをクリックすると、検索オプションを示すドロップダウン メニューが表示されます。[適用]をクリックすると、選択したオプションが保存され、[イベント]ビューとプロファイルの調査の検索オプションも更新されます(「テキスト パターンの検索」を参照)。
設定[ナビゲート]ビューの設定([プロファイル]ビューでも編集可能)が表示されます。これにより、[ナビゲート]ビューから移動せずに調査の設定を変更できます。[ナビゲート]ビューで変更した設定は、[プロファイル]ビューでも変更されます(「[ナビゲート]ビューおよび[イベント]ビューの構成」を参照してください)。

一時停止/再ロード ボタンと階層リンク

階層リンクでは、サービスのメタデータをドリル ダウンするときに、各クエリがトラッキングされます。各クエリは、ドロップダウン メニューにパイプ区切りの文字列として表示されます。最後尾のクエリが現在のドリルダウン ポイントです。チップとも呼ばれます。階層リンクの横のアイコンを使用して、メタ値のロードを一時停止したり、メタ値を再ロードしロードしたりすることができます。

階層リンクにはサービス名は含まれず、有効なクエリがある場合にのみクエリが表示されます。表示するドリル ポイントが多すぎて、表示しきれない場合には、階層リンクの最後尾に二重山括弧(>>)が表示されます。

階層リンクの各ドロップダウン メニューは、リンクの位置に応じた多少の違いがあります。

次の表は、階層リンクのコントロールとメニュー オプションについて説明したものです。

                                           
機能説明
Pause icon
一時停止/再ロード ボタン。ビューへのデータのロードを制御します。ロードの一時停止、ロードの続行、再ロードという3つの機能を備えています。
ここからナビゲート選択されているドリルダウン ポイントを現在の値パネルで開きます。
ここからナビゲート(新しいタブ)選択されているドリルダウン ポイントを新しい タブで開きます。
前にクエリを挿入現在のドリルダウン ポイントの前にクエリを挿入します。[フィルタの作成]ダイアログが開き、階層リンクに挿入するカスタム クエリを定義できるようになります(「カスタム クエリの作成」を参照してください)。
後にクエリを挿入 現在のドリルダウン ポイントの後にクエリを追加します。[フィルタの作成]ダイアログが開き、階層リンクに挿入するカスタム クエリを定義できるようになります(「カスタム クエリの作成」を参照してください)。
削除選択されているドリルダウン ポイントを階層リンクから削除します。
編集 選択されているドリルダウン ポイントが[フィルタの作成]ダイアログで開き、クエリを編集できるようになります。
>> 二重山括弧をクリックすると、階層リンクに表示しきれなかったドロップ ポイントがドロップダウン メニューに表示されます。

(オプション)デバッグ情報

[デバッグ情報の表示]設定を有効化していて、ナビゲートしているサービスが10.4以降のBrokerである場合、階層リンクの下にデバッグ情報が表示されます。

デバッグ情報とは、現在のクエリに含まれているwhere 句を指します。[時間範囲]オプションで[すべてのデータ]が選択され、ドリルダウン ポイントがない場合に限ってwhere 句は表示されません。Brokerにオフラインの集計サービスが少なくとも1つある場合は、デバッグ情報にもオフラインのサービスが表示されます。

次に例を示します。

(attachment exists)&&(tcp.dstport = '80')&&(risk.info exists)$$time='2014-05-04 18:50:00"-"2014-05-09 18:59:59(attachment exists) && (tcp.dstport = '80') && (risk.info exists) && time="2014-05-04 18:50:00"-"2014-05-09 18:50:59"

また、ロードに要する時間は値パネルの各メタ キーの末尾に表示されます。

時間バナー

階層リンクとデバッグ情報(ある場合)のすぐ下にある時間バナーには、チャートの作成に使用される時間範囲が示されます。

ビジュアル画像

[ナビゲート]ビューの上部には、現在のドリルダウン ポイントが表示されます。これを使用して、[チャート]パネルのデータをドリル ダウンできます(「[ナビゲート]ビューでの結果のフィルタリング」を参照してください)。チャートの表示では、表示と非表示を切り替えたり、オプション (タイムライン表示または座標表示のいずれか)を選択することができます。最初に表示されるのは、前回保存したチャート設定です。

タイムライン チャート

タイムラインは、特定のインスタンスで発生するイベント数のカウントです。タイムラインでは、イベント数が特定のポイント イン タイムで急増したかどうかを確認できるように、イベントのカウントを提供します。タイムラインには、指定したサービスと時間範囲のアクティビティが表示されます。表示の形式は、[オプション]メニューでの選択に応じて、折れ線グラフか棒チャートになります。2番目の図は折れ線チャート、3番目の図は棒チャートを示しています。

Visualization Options dialog

example of a line chart

example of a bar chart

タイムラインには、指定したサービスと時間範囲のアクティビティが表示されます。表示の形式は、[オプション]メニューでの選択に応じて、折れ線グラフか棒チャートになります。

                                       
機能説明
イベント数(タイムライン) チャートのY軸はイベント数を表しています。
時間軸(タイムライン) チャートのX軸は、イベントが発生した時刻を表しています。
イベント ポイント(タイムライン) 特定の時間範囲のセッションについて調査する場合は、チャートから範囲を選択します。新しい時間範囲がチャートに反映されます。
Investigate(タイムライン) 選択した時間範囲のメタ値が結果パネルに表示されます。
ズームのリセット(タイムライン) 元の時間範囲に戻るには、[ズームのリセット]をクリックします。
オプション [チャート オプション]ダイアログが表示されます。データ ポイントは折れ線チャート(デフォルト)、棒チャート、座標チャートのいずれかで表示できます。チャートのタイプを選択すると、関連するオプションが表示されます。
非表示 チャートを折りたたみます。

座標表示チャート

座標表示チャートは、現在のドリルダウン ポイントをビジュアル化するために[オプション]メニューから選択できるオプションの1つです。[チャート オプション]ダイアログで[座標表示]が選択されている場合は、表示するメタ データを選択できます(「座標表示チャートへのメタデータの追加」を参照してください)。

example of a parallel coordinates visualization

                                   
機能説明
各軸はメタ キーです。メタ キーの数は、チャートのロード時間に影響します。すべてのメタ キーがロードされますが、メタ キーあたりのイベント数は制限されています。
線はイベントを表し、軸上の値を接続することで、複数のメタ キー間の相関関係を示します。
オプション [チャート オプション]ダイアログが表示されます。データ ポイントは折れ線チャート(デフォルト)、棒チャート、座標チャートのいずれかで表示できます。チャートのタイプを選択すると、関連するオプションが表示されます。
イベントのサブセットのみが表示されます。 このメッセージは、値パネルのすべてのイベントがチャートに表示されているわけではないことを示す通知メッセージです。値パネルで軸を削除するか、データをフィルタすると、すべてのイベントを表示できる場合があります。
見つかったイベントの数 | 一意のパスの数 チャートに表示されているイベントの総数とチャートに表示されている一意のパスの数の比率が表示されます。[すべてのメタ キーを含むイベントのみ表示]オプションを設定すると、チャートが再描画され、目的が明確で分かりやすくなります。
DNEこのメタ キーの値がイベント内にないことを示します。

座標表示の[チャート オプション]ダイアログでは、チャートに含めるメタ キーを選択できます。

                                               
機能説明
チャートの選択 ビジュアル化タイプのドロップダウン リストを表示します。タイムライン表示と座標表示
すべてのメタ キーを含むイベントのみ表示 チャートに表示するデータを、選択したメタ キーをすべて含んでいるイベントのみに制限します。これにより、目的が明確で整然としたチャートになります。
Add icon [座標表示チャートへのキーの追加]ダイアログが表示され、チャートに軸を追加できるようになります。この機能は、デフォルトのメタ キーと追加のメタ キーとの間の関係を調べる場合に便利です。
Delete icon 選択したキーを削除して、チャートの軸に表示されないようにします。これにより、チャートが整然とし、より多くのデータ ポイントをチャートに含められるようになります。
Reverse icon チャートのメタ キーを、現在のドリルダウン ポイント内のすべてのメタ キーで構成されるデフォルト値に戻します。
Info icon 選択された軸の数と推奨される軸の数の比較に関する追加情報の表示を制御します。これにより、軸を削除することによるパフォーマンス向上の可能性について認識できます。
チャートで軸として選択されているメタ キーが表示されます。
キャンセル チャート オプションに対して加えられたすべての変更を取り消します。
適用 チャート オプションに対する変更を保存し、現在のチャートに変更を適用します。

[座標表示チャートへのキーの追加]ダイアログでは、座標表示チャートの軸として使用するメタ キーまたはメタ グループを選択できます。

                           
機能説明
チャートの選択 キーの選択:メタ キーを選択するためのオプションは次の2つです。
  • デフォルトのメタ キーから追加
  • メタ グループから追加
いずれのオプションにも、メタ キーを選択するためのドロップダウン リストがあります。
選択したメタ キーの追加オプション メタ キーの追加方法に関するオプションにより、次の操作を実行できます。
  • 現在のキーのリストを置き換え
  • 現在のキーのリストの後に挿入
  • 現在のキーのリストの先頭に挿入
キャンセル キーを追加せずにダイアログが閉じられます。
追加 ダイアログが閉じられ、選択したキーが指定したとおりに追加されます。

値パネル

[ナビゲート]ビューの主要機能である値パネルは、データを分析するために使用されます(「[ナビゲート]ビューでの結果のフィルタリング」を参照してください)。

デフォルトのビューは、デフォルトのメタ キーと折りたたみ表示されたインデックスなしのメタ キーで構成され、過去3時間の収集データが表示されます。メタ グループ内のメタ キーは、NetWitness Suiteによるキーのクエリ順に表示されます。NetWitness Suiteは、値パネルへのデータのロード中に、結果の一部、ロードの進行状況、サービスのステータスを表示するよう最適化されています。

ロード動作は、複数の構成設定によって決まります。管理者によって構成された設定が最も優先されます。以下の設定があります。

  • このユーザに許可されているクエリの最大実行時間(クエリ タイムアウト)。
  • NetWitness Suiteがセッション内のメタ値のカウントを停止する限界値(セッション閾値)。セッションの閾値を設定し、実際にユーザによるスキャンが閾値に達した場合、[ナビゲート]ビューは閾値に達したこと、またロードされた結果の割合を表示します。割合を表示しないセッションは正確であり、処理が完了しています。割合がある場合は、処理が完了した割合を反映しています。表示される割合は、残りの作業量を考慮し、処理が完了した時点の値から推定することよって見積もられます。推定があまり必要ないため、一般的に大きな割合ほど正確です
  • NetWitness Suiteがセッション内のメタ値のカウントを停止する限界値(セッション閾値)。セッションの閾値を設定し、実際にユーザによるスキャンが閾値に達した場合、[ナビゲート]ビューは閾値に達したこと、また閾値に達するまでに要したクエリの時間の割合を表示します。

注:インデックスなしのメタ キーの値は、値パネルにロードされるのに時間がかかります。ロードを最適化するため、デフォルトではインデックスなしのメタ キーは展開されません。調査での非インデックス メタ キーの詳細については、「調査でのデフォルト メタ キーの管理と適用」を参照してください。

サービスの調査を開始すると、NetWitness Suiteによって結果が値パネルに表示されます。

  1. NetWitness Suiteによってメタ キーとメタ値が値パネルにロードされます。各メタ キーのロードは次の段階に分けて行われます。
    1. ロードの待機中、または折りたたみ表示:折りたたみ表示の場合、そのキーのデータはロードされません。
    2. ロード中
      1. ロードの進行状況:NetWitness Suiteによって進行状況メッセージが受信され、表示されます。
      2. 部分的結果:NetWitness Suiteによって値のメッセージが受信され、部分的な結果が値パネルに表示されます。
    3. ロード完了:すべての結果のロードが完了しました。
  2. 各メタ キーのロードが完了すると、最終的な値が表示され、次のメタ キーのロードが開始されます。メタ キーごとに同時にロードされる値の数は、調査の環境設定の表示スレッド値によって指定されます。すべてのキーのロードが完了するまで、ロードが継続します。
  3. デバッグ情報の表示]が有効で、ナビゲートしているサービスが10.4以降のBrokerの場合は、NetWitness Suiteでは各メタ キーの値の下にロード時間情報が表示され、集計されたサービスに関するロードの詳細情報が表示されます。また、NetWitness Suiteでは階層リンクの下にはデバッグ情報も表示されます。

反復的結果

反復的結果では、クエリのステータスに関するフィードバックがインタフェース内に表示され、データ ロードの所要時間とサービス データの欠落の有無についてのコンテキストが提供されます。たとえば、2つのConcentratorから集計しているBrokerに対してクエリを実行する場合、2番目のConcentratorからの結果を待っている途中でも、最初のConcentratorからの結果が利用可能になり次第、NetWitness Suiteは結果を表示します。

また、反復的結果には、サービスにアクセスできないことが原因でサービス データが欠落している場合に、そのことを示す通知も表示されます。

部分的結果

完全ではない部分的な値がコアサービスから返されると、値のロードの進行状況を示すメッセージがメタ キー リストの末尾に表示されます。たとえば、現在38 ip.src値を処理中(71%)とは、メタ キー値のロードが71%完了していることを示しています。

デバッグ情報

[デバッグ情報の表示]設定が有効な場合、値の末尾にあるフィールドには、NetWitness Suite内でクエリしている各システムのステータスが表示されます。たとえば、複数のConcentratorからデータを取得する10.4 Brokerに対してクエリを実行している場合は、各Concentratorに対するクエリのステータスがNetWitness Suiteに表示され、各Concentratorからのデータ ロードの相対的な速度を把握できます。クエリで使用される各サービスは、クエリ全体の経過時間とともに表示されます。

クエリで使用される各サービスは、クエリ全体の経過時間とともに表示されます。前掲の例では、2つのサービスが3.207秒で結果を返し、localhost:50005は結果を2秒で返していることを示しています。また、階層リンクの下には、クエリのWHERE句も表示されます。この構文は、アプリケーション ルールまたはルールのReporting WHERE句に直接コピーできます。

ロード完了

現在のドリルダウン ポイントで見つかった各メタ キーの値(青のテキスト)とその数(緑のテキスト)のリストが表示されます。表示されているデータの特定のサブセットを詳しく調べるには、調査する値をクリックします。表示が更新され、新しいドリルダウン ポイントに移動します。ツールバーのオプションを使用して、値のソート方法と集計方法を指定することもできます。

注:インデックスなしのメタ キーについては、タイトル、値、数でのドリル ダウンができません。これらのメタ キーの値と数は黒いテキストで表示されます。

                                           
機能説明
メタ キーリストに表示されているメタの名前。たとえば、Service Typeはメタ キーです。
表示されている値の数とロード可能な値の数の比較 ロードする値の数は、調査の環境設定の表示スレッド値によって指定されます。前の例では、メタ キーはService Typeで、20個以上ある値のうちの20個が現在表示されています。[表示範囲の拡大]をクリックすると、追加の値を表示できます。
the Search icon インデックス付きのメタ キーに対してThe search iconをクリックすると、[検索]ダイアログが開き、現在のメタ キーに適用するフィルタを入力できるようになります。検索機能は、インデックスなしのメタ キーでは使用できず、エイリアスではなく実際のメタの値に基づいています。エイリアスを使用した[検索]ダイアログのドリル ダウンはサポートされていません。
注:調査でメタ キーに使用されるエイリアスのリストを取得するには、管理者に問い合わせてください。エイリアスが使用されると、[検索]ダイアログには結果が表示されません。メタ キーのクエリには、エイリアスを使用するのではなく、右クリックのクエリ機能または[クエリ]ダイアログを使用する必要があります。
オフライン サービス:xxx.xxx.xxx.xxx:50004 10.4 Brokerによってクエリされたオフライン サービスが一覧表示されます。
メタの数。例:
(3)
セッションで特定のメタに対して見つかったインスタンスの数。
メタ値。例:
other src
見つかったメタに関連づけられている値。
表示範囲の拡大メタ値の数が制限されている場合に(たとえば20個)、これをクリックすると、選択されているメタ キーの追加のメタ値が表示されます。
ロード時間:0.418秒 合計ランタイム0.434秒(localhost:50005のロード時間:1秒....)デバッグ統計には、[デバッグ情報の表示]設定に基づくロード時間が表示されます。

メタ キーのドロップダウン メニュー

[値]パネルのメタ キーにはドロップダウン メニューがあります。各メタ ラベルの隣にある矢印をクリックすると、そのメタ キーに適用可能なオプションが表示されます。オプションを選択して、現在のビューにおけるメタ キーの結果の表示方法を変更できます。現在のビューのメタ キー表示に対して行った変更は、ページの表示を更新するか、[ナビゲート]ビューのツールバーで新しいサービスを選択するまで維持されます。「[値]パネルでのデータのドリルダウン」を参照してください。

ページの表示を更新すると、[デフォルトのメタ キーの管理]ダイアログで定義されているとおりに、メタ キーの現在のビューが復元されます(「調査でのデフォルト メタ キーの管理と適用」を参照してください)。[デフォルトのメタ キーの管理]ダイアログで変更を行ったことがない場合は、コア サービスに設定されているデフォルトのメタ キーが復元されます。

  • 表示範囲の拡大
  • 最大まで表示
  • 結果を折りたたみ表示
  • メタ キー情報
  • [CSVとして表示](バージョン11.0.0.x)または[値のエクスポート](バージョン11.1以降)

[コンテキスト ルックアップ]パネル

[ナビゲート]ビューおよび[イベント]ビューの右側には[コンテキスト ルックアップ]パネルがあります。[コンテキスト ルックアップ]パネルは、Context Hubサービスがインストールされ、構成されている場合にのみ表示されます。Context Hubの構成の詳細については、「Context Hub構成ガイド」を参照してください。

アナリストが[値]パネルでメタ値のコンテキスト データを検索すると、[コンテキスト ルックアップ]パネルに関連データが表示されます。

Navigate view with the Context Lookup panel open

管理者がContext Hubサービスを構成した後、[ナビゲート]ビューと[イベント]ビューに、メタ値に関するコンテキスト情報を表示できます。Context Hubの構成の詳細については、「Context Hub構成ガイド」を参照してください。メタ値のコンテキスト ルックアップを実行する方法については、「データ ポイントの追加コンテキストの表示」を参照してください。

Context Hubサービスでは、メタ タイプとメタ キーのデフォルトのマッピングが事前に構成されています。Context Hubのメタ値と調査のメタ キーのマッピングの詳細については、「Context Hub構成ガイド」の「メタ タイプとメタ キーのマッピングの管理」を参照してください。

ハイライト表示されているメタ値にマウス ポインターを合わせると、利用可能なコンテキスト データのタイプが表示されます。インライン インジケータには、そのメタ値で利用可能なコンテキスト データのタイプとして、エンドポイント、インシデント、アラート、リストを示します。

メタ値を右クリックすると、メニューと[コンテキスト ルックアップ]オプションが開きます。次の図は、メタ値を右クリックしたときの[コンテキスト ルックアップ]オプションの例です。

This menu is an example of the context menu.

IP、ホスト、MACアドレスなどのメタ キーでは、フラグが設定された値の詳細は、エンドポイント、インシデント、アラート、リストから収集されます。

ファイル、ファイル ハッシュ、ドメイン、ユーザなどのメタ キーでは、フラグが設定された値の詳細は、インシデント、アラート、リストから収集されます。

データは利用できる場合にのみ、コンテキスト パネルに表示されます。

各種データ ソースのルックアップ結果とコンテキスト情報の詳細については、「[コンテキスト ルックアップ]パネル」を参照してください。

You are here
Table of Contents > Investigateの参考情報 > [ナビゲート]ビュー

Attachments

    Outcomes