調査:ファイルの調査

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

注:このトピックに記載されている情報はRSA NetWitness® Suite バージョン11.1以降に適用されます。

アナリストは、[ファイル]ビュー([調査]>[ファイル])を使用して、ファイル名、ファイル サイズ、エントロピー、形式、会社名、シグネチャ、チェックサムを調べることにより、疑わしいファイルを識別できます。

たとえば、環境が WannaCry ランサムウェアに感染している場合は、そのファイル名を使用してファイルのリストをフィルタリングし、ランサムウェアのファイルを検索することができます。チェックサムを使用してこのランサムウェアを検索することもできます。

ファイル サイズは、ファイルを評価するときの指標になります。 トロイの木馬は、通常、1 MB未満で、大部分が500 KB未満です。

ファイルのフィルタ

オペレーティング システムによってファイルをフィルタリングしたり、[フィルタの追加]ドロップダウン メニューでフィールドを選択することもできます。

注:大量のデータからフィルタリングする場合は、パフォーマンスを向上させるために、少なくとも1つのインデックス付きフィールドとEquals演算子を使用します。次のフィールドが、データベースでインデックスされています:ファイル名、MD5、オペレーティング システム、初回確認時刻、形式

Filter Files

保存]をクリックして、名前(最大250文字の英数字)を指定し、フィルタを保存します。フィルタは、左側の[保存されたフィルタ]パネルに追加されます。フィルタを削除するには、名前にポインターを合わせて、Deleteをクリックします。

注:フィルタを保存するときに、アンダースコア(_)とハイフン(-)以外の特殊文字は使用できません。

次の例は、Equals演算子を使用してファイル名がmalware のファイルをフィルタリングしています。

Filter files using the Equals operator

注:ファイル サイズでは、1 KBが1024バイトとして計算されます。たとえば、ファイルの実際のサイズが8421バイトの場合は、UIには8.22 KBではなく、8.2 KBと表示されます。Equals演算子を使用する場合は、バイト形式を使用して検索することを推奨します。

[ナビゲート]ビューと[イベント分析]ビューへの移行

グローバル ファイルの特定のファイル名またはハッシュ(SHA256とMD5)を調査するため、特定の時間範囲の関連するアクティビティを検索する必要がある場合は、[ナビゲート]ビューと[イベント分析]ビューに移行して、アクティビティ全体のコンテキストを取得できます。デフォルトで、時間範囲は1日に設定されます。適宜、時間範囲を変更できます。

[ナビゲート]ビューまたは[イベント分析]に移行するには、次の手順を実行します。

  1. [調査]>[ファイル]に移動します。
  2. ファイル名またはハッシュの横にあるPivot to Investigateをクリックします。

Pivot to Navigate and Event Analysis views

  1. [サービスを選択]ダイアログで、調査に必要なサービスのいずれかを選択します。
  2. ナビゲート]または[イベント分析]をクリックして、データを分析します。

注: [ナビゲート]ビューまたは[イベント分析]ビューに移行するとき、インデックス付けされていない値の場合は、結果のロードに時間がかかります。詳細については、「NetWitness Investigateのトラブルシューティング」を参照してください。

ファイル環境設定の設定

デフォルトで、[ファイル]ビューにはいくつかの列が表示され、ファイルは初回確認時刻に基づいてソートされます。表示する列を変更し、特定のフィールドでデータをソートしたい場合は、次の手順を実行します。

  1. [調査]>[ファイル]に移動します。
  2. 右隅にあるSettingsをクリックして、列を選択します。次の例は、列を追加するときに表示される画面を示します。
    Select Columns for Files
  3. 必要な列でデータをソートします。

注:この設定は、[ファイル]ビューにログインするたびに表示されるデフォルト ビューとして設定されます。

グローバル ファイルのエクスポート

グローバル ファイルのリストをCSVファイルに抽出するには、次の手順を実行します。

注:大量のデータからフィルタリングする場合は、パフォーマンスを向上させるために、少なくとも1つのインデックス付きフィールドとEquals演算子を使用します。一度に最大100,000個のファイルをエクスポートすることができます。

  1. [調査]>[ファイル]に移動します。
  2. 必要なフィルタ オプションを選択して、ファイルをフィルタリングします。
  3. 右側にあるSettingsをクリックして、列を追加します。
  4. CSVにエクスポート]をクリックします。

CSVファイルを保存するか、開きます。

You are here
Table of Contents > ホストとファイルの調査 > ファイルの調査

Attachments

    Outcomes