調査:[ナビゲート]ビューおよび[イベント]ビューの構成

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

アナリストは、[ナビゲート]ビューと[イベント]ビューでデータを解析する際の、NetWitness Suiteのパフォーマンスや動作に影響する環境を設定できます。これらの設定の一部はNetWitness Suite内の次の2つの場所にあり、どちらの場所で変更を行っても、もう一方のビューに変更が適用されるようになっています。

  • [ナビゲート]ビューおよび[イベント]ビューの[調査]ビュー>[設定]ダイアログ。
  • [プロファイル]>[環境設定]パネル>[Investigation]タブ。 

[ナビゲート]ビューおよび[イベント]ビューには、[検索]フィールドの[検索オプション]ドロップダウンで構成可能な設定もあります。

[ナビゲート]ビューと[イベント]ビューの設定へのアクセス

設定にアクセスするには、次のいずれかを実行します。

  • ナビゲート]ビューのツールバーで、[設定]オプションを選択します。
    [ナビゲート]ビューの[設定]ダイアログが表示されます。バージョン11.0で[イベント]パネルにイベントを挿入するための設定が追加され、これが[イベント]ビューの[設定]パネルに移動されました。
    Navigate View Settings
  • イベント]ビューのツールバーで、[設定]オプションを選択します。
    [イベント]ビューの[設定]ダイアログが表示されます。バージョン11.1以降で、[イベント パネルにイベントを挿入]設定が追加されました。
    Event view settings for Version 11.1
  • NetWitness Suiteの右上で、[Profile drop-down menu]>[Profile option]に移動し、[環境設定]パネルで、[Investigation]タブをクリックします。
    [Investigation]パネルが表示されます。
    User Profile Preferences > Investigation tab

[ナビゲート]ビューでの値のロード パラメータの調整

いくつかの設定は、[値]パネルで値をロードする際のNetWitness Suiteのパフォーマンスに影響します。デフォルト値は一般的な使用方法に基づいて設定されているため、アナリストはこれらの設定を自分の調査内容に合わせて調整できます。

これらの設定を調整するには、次の手順を実行します。

  1. Investigation]タブに移動するか、[ナビゲート]ビューの[設定]ダイアログに移動します。
  2. 次のパラメータを調整します。
  • 閾値: [値]パネルでメタ キー値にロードするセッションの最大数の閾値を設定します。閾値を高くすると、値が正確にカウントされますが、その分ロード時間が長くなります。デフォルト値は100000です。
  • 結果の最大数: この設定は、[ナビゲート]ビューで開いているメタ キーについて、[メタ キー]メニューで[最大まで表示]を選択した場合にロードする値の最大数を制御します。デフォルト値は1000です。
  • セッション エクスポートの最大数: 単一のPCAPファイルまたはログファイルでエクスポートできるイベントの数を指定します。
  • ログ ビューの最大文字数: [調査]>[イベント]>[ログ テキスト]に表示する最大文字数を設定します。デフォルト値は1000です。
  • メタ値の最大文字数: [ナビゲート]ビューの[値]パネルに表示されるメタ値名の最大文字数を設定します。デフォルト値は60です。
  • デバッグ情報の表示: NetWitness Suiteの[ナビゲート]ビューで階層リンクの下にwhere句を表示する場合、またBrokerで集計したサービスごとに経過したロード時間を表示する場合は、このチェックボックスをオンにします。デフォルト値はオフです。
  • [イベント パネルのイベントを挿入モードで表示]: このオプションは[イベント]パネルのページングに影響します。詳細については、「[イベント]ビューでの取得とデフォルトの再構築の調整」で説明します。
  • 値の自動ロード: NetWitness Suiteの[ナビゲート]ビューで選択したサービスの値を自動的にロードするには、このオプションをオンにします。このオプションを選択しない場合、NetWitness Suiteには[値のロード]ボタンが表示され、ロードする値のオプションを変更することができます。デフォルト値はオフです。
  1. 適用]をクリックします。

設定はすぐに反映され、次に値をロードしたときに表示されます。

[ナビゲート]ビューおよび[イベント]ビューのパラメータの構成

いくつかの設定は、[ナビゲート]ビューと[イベント]ビューで値をロードする際のNetWitness Suiteのパフォーマンスに影響します。デフォルト値は一般的な使用方法に基づいて設定されているため、アナリストはこれらの設定を自分の調査内容に合わせて調整できます。[ナビゲート]ビューと[イベント]ビューでこれらのパラメータを別々に設定できます。1つのビューで構成された設定が自動的にもう1つのビューに適用されることはありません。

これらの設定を調整するには、次の手順を実行します。

  1. Investigation]タブに移動するか、[ナビゲート]ビューまたは[イベント]ビューの[設定]ダイアログに移動します。
  2. 次のパラメータを調整します。
    -Live Connect:リスクのある値をハイライト表示:NetWitness SuiteでRSAコミュニティによりリスクが高いと見なされるIPアドレスのみをハイライト表示して表示する場合は、このオプションをオンにします。選択しない場合、NetWitness SuiteではすべてのIPアドレスが表示されます。このオプションはデフォルトではオフになっています。
    -デバイスごとのローカル キャッシュを使用:選択したサービスからローカルにキャッシュされるデータの使用を指定することができます。このオプションはデフォルトではオフになっています。オフにすると、最初のロード後にInvestigateのビューにキャッシュされたデータを表示するのではなく、Investigateが新しいクエリをデータベースに送信します。オンにすると、Investigateがローカル キャッシュのデータを使用します。
    -完了したPCAPのダウンロード:[ナビゲート]ビューと[イベント]ビューで抽出されたPCAPのダウンロードを自動化できます。これにより、抽出されたPCAPがブラウザによりダウンロードされ、PCAPファイルのデフォルトのアプリケーション(Wiresharkなど)で開くことができます。このオプションはデフォルトではオフになっています。このオプションを有効にする場合は、PCAPを開くことができるアプリケーションがローカル ファイル システムにインストールされており、PCAPファイル形式を処理するデフォルトのアプリケーションとして設定されていることを確認します。
    Live Connect:リスクのある値をハイライト表示: このオプションをオフにすると、Live Connectで使用可能なコンテキストを持つすべてのメタ値が、[ナビゲート]ビューの[値]パネルでハイライト表示されます。このオプションをオンにすると、Live Connectでコンテキストを持つ値のうち、コミュニティによってリスクが高い/不審である/安全でないと判断された値のみがハイライト表示されます。デフォルトでは、このオプションはチェックが外れています(オフ)。
  1. 適用]をクリックします。
    設定はすぐに反映されます。

デフォルトのログ エクスポート形式の構成

[ナビゲート]ビューと[イベント]ビューでは、ログをさまざまな形式でエクスポートすることができます。使用可能なオプションは、テキスト、XML、CSV(コンマ区切り値)、JSONです。ログ エクスポート形式のデフォルト設定はありません。ここで形式を選択しない場合、ログのエクスポートを呼び出すときに、NetWitness Suiteで選択のダイアログが表示されます。

ログのエクスポート形式を選択するには、次の手順を実行します。

  1. Investigation]タブに移動するか、[ナビゲート]ビュー、[イベント]ビュー、[イベント分析]ビューの[設定]ダイアログに移動します。
  2. ログのエクスポート形式]ドロップダウン メニューからオプションを1つ選択します。
  3. 適用 ]をクリックします。
    設定がすぐに反映されます。

デフォルトのメタ エクスポート形式の構成

[ナビゲート]ビューと[イベント]ビューから、メタ値をさまざまな形式でエクスポートすることができます。使用可能なオプションは、テキスト、CSV、TSV(タブ区切り値)、JSONです。メタ エクスポート形式のデフォルト設定はありません。ここで形式を選択しない場合、メタ値のエクスポートを呼び出すときに、NetWitness Suiteで選択のダイアログが表示されます。

メタ値のエクスポート形式を選択するには、次の手順を実行します。

  1. Investigation]タブに移動するか、[ナビゲート]ビューまたは[イベント]ビューの[設定]ダイアログに移動します。
  2. メタ エクスポート形式]ドロップダウン メニューからオプションを1つ選択します。
  3. 適用]をクリックします。
    設定がすぐに反映されます。

[イベント]ビューでの取得とデフォルトの再構築の調整

[イベント]ビューでのNetWitness Suiteによるイベントの取得と再構築の方法を制御するパラメータをいくつか構成できます。これを行うには、以下の手順を実行します。

  1. Investigation]タブに移動するか、[イベント]ビューの[設定]ダイアログに移動します。
  2. 次のパラメータを構成します。
    -Investigationページのロードの最適化:ページ表示のオプションを設定します。最適化した場合、イベント リストで可能な限り速く結果が返されますが、イベント リストのページ移動機能が無効になります。このボックスをオフにすると、イベント リストのページ移動機能が有効になり、リストの特定のページ(または最後のページ)に移動できるようになります。デフォルト値は[有効]です。
    -デフォルト セッション表示:[イベント]ビューでのデフォルトの再構築のタイプを選択します。デフォルト値は[最適な表示]で、イベントに最も適した表示方法でイベントが表示されます。
  3. Investigation]タブに移動するか、[ナビゲート]ビューの[設定]ダイアログに移動して、[イベント パネルにイベントを挿入]オプションを設定します。このオプションを選択すると、[イベント]パネルに表示されるイベントは段階的に追加されます。たとえば、次のページ アイコンをクリックするたびに、イベントの次の増分が追加されていき、最初は1~25で、次が1~50、その次が1~75などのように増えてきます。このオプションは、[Investigationページのロードの最適化]オプションが有効な場合にのみ使用できます。
  4. 変更をすぐに有効にするには、[適用]をクリックします。

Webコンテンツ再構築におけるカスケーディング スタイル シート表示の有効化または無効化

アナリストは、Webコンテンツ再構築の際のCSS(カスケーディング スタイル シート)の使用を有効にできます。有効にすると、Webの再構築にCSSスタイルとイメージが含まれるようになり、再構築の表示と元のWebブラウザの表示が一致するようになります。これには、関連するイベントのスキャンと再構築、ターゲット イベントで使用されるスタイル シートとイメージの検索が含まれます。このオプションは、デフォルトで有効化されています。特定のWebサイトの表示に問題がある場合は、このオプションを無効化してください。 

注:関連する画像とスタイル シートが見つからないか、Webブラウザのキャッシュからロードされなかった場合は、再構築されたコンテンツの外観が元のWebページと完全には一致しない可能性があります。また、クライアント側のすべてのjavascriptがセキュリティ目的で削除されるため、クライアント側のjavascriptを経由して動的に実行されるレイアウトまたはスタイルは、再構築では表示されません。

このオプションを有効化または無効化するには、次の手順を実行します。

  1. Investigation]タブに移動します。
  2. WebビューのCSS再構築を有効化]チェックボックスをクリックします。
  3. 適用]をクリックします。
    設定がただちに有効になり、次のWebコンテンツ再構築時に表示されます。

検索オプションの構成

[検索]フィールドに検索文字列を入力するときに適用される検索オプションを構成することができます。

  1. [イベント]ビューまたは[ナビゲート]ビューの[検索]フィールドをクリックして、[イベントの検索]ドロップダウン メニューを表示します。
    Search Preferences menu
  2. 検索に適用するオプションを選択します。各オプションの詳細については、「テキスト パターンの検索」を参照してください。
  3. 検索設定を保存にするには、[適用]をクリックします。
    設定が保存され、すぐに反映されます。 
You are here
Table of Contents > NetWitnessの[調査]ビューと環境設定の構成 > [ナビゲート]ビューおよび[イベント]ビューの構成

Attachments

    Outcomes