調査:[イベント分析]ビューで調査を開始する

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

注:このトピックに記載されている情報はRSA NetWitness® Suite バージョン11.1以降に適用されます。

[イベント分析]ビューでは、[ナビゲート]ビューと[イベント]ビューの両方で使用可能な機能のほとんどが提供されます。[ナビゲート]ビューと同様に、ログ、エンドポイント、パケットのメタ キーとメタ値を表示するビューがあります。[イベント]ビューと同様に、イベント リストにイベントを時系列で表示し、RAWイベント、関連メタデータ、イベントの再構築を表示することができます。イベント分析の再構築では、調査の着目点の特定に役立つヒントが表示されます。「[イベント分析]ビューでのRAWイベントとメタデータの分析」を参照してください。

注:バージョン11.0では、[イベント分析]ビューから調査を開始することができません。代わりに、[ナビゲート]または[イベント]ビューで調査を開始し、任意のイベントを[イベント分析]ビューで開くことができます。バージョン11.1では、[調査]サブメニューから[イベント分析]ビューに直接アクセスすることができ、サービスや時間範囲を選択したり、クエリを作成する機能も提供されます。

[イベント分析]ビューへのアクセス(バージョン11.1以降)

バージョン11.1では、いくつかの方法で[イベント分析]ビューにアクセスすることができます。

  • [ナビゲート]ビューで[アクション]>[イベント分析に移動]オプションを選択し、イベントIDを入力すると、[イベント分析]ビューが開き、単一のイベントの再構築が表示されます。ビューを簡素化するために、ツールバーには、ウィンドウを拡大したり、縮小したり、閉じたりするための不要なオプションが表示されません。「[イベント分析]ビューでのRAWイベントとメタデータの分析」の説明に従って作業を開始することができます。
  • [ナビゲート]ビューでカウント(メタ値の後ろの緑色の数字)にポインターを合わせて右クリックし、[新しいタブで[イベント分析]を開く]をクリックすると、[イベント分析]ビューが開いて、選択したドリルダウン ポイントのイベントのリストが表示されます。「[イベント分析]ビューでのRAWイベントとメタデータの分析」の説明に従って作業を開始することができます。イベント リストが非常に大きくなることがあり、選択したイベントが現在のページに表示されない可能性があります。その場合は、下にスクロールすればイベントが表示されることを伝えるメッセージが表示されます。
    Message to scroll down to see an event
  • [調査]>[イベント分析]に移動するか、[イベント分析]ビューを[調査]ビューのオープニング ビューに指定している場合は、[調査]に移動することにより、[イベント分析]ビューに直接アクセスすることもできます。初めて[イベント分析]ビューにアクセスした場合は、分析を開始するサービスを選択する必要があります。[イベント分析]を開くのが初めてではない場合は、localStorageがクリアされるまで、最後に使用されたサービスが記憶されます。
    他の[調査]ビューのいずれかから[イベント分析]ビューを開いた場合は、そのビューのサービスとクエリが反映されます。[イベント分析]ビューを開く前に、結果を絞り込みたい場合は、「[イベント分析]ビューでの結果のフィルタリング」の説明に従って、サービスを変更したり、時間範囲を選択したり、クエリを入力することができます。

[イベント分析]ビューに直接アクセスするには、次の手順を実行します。

  1. 調査]>[イベント分析]に移動します。
    サービス リストの先頭のサービスが選択され、データのない状態で[イベント分析]ビューが開きます。サービスの選択]フィールドでは、サービス リストの先頭のサービス、または最後に選択されたサービスがデフォルトで選択されます。ドロップダウン メニューには、アルファベット順で使用可能なサービスのリストが表示されます。デフォルトで、使用可能なサービスのリストは12時間ごとに取得され、NetWitness Server上にキャッシュされます。NetWitness Serverにサービスを追加または削除した場合は、キャッシュが最新のサービス リストに更新されます。フィールドの先頭のアイコンが、クエリのステータスを示します。
    the database iconとサービス名なし = サービスが選択されていません。

    the database iconと選択されたサービス名 = サービスが選択されています。
    spinner icon = Investigateが選択されたサービスへの接続を試みています。
    the icon for a service that has not data = Investigateが選択されたサービスに接続できないか、データが存在しません。この状態では、サービス セレクタ コントロールも赤色に変わり、ツールチップに、接続の試行が失敗した理由と、別のサービスを選択するように勧めるメッセージが表示されます。
    example of the view when Investigate cannot connect to the service
  2. (オプション)ドロップダウン リストからサービス(通常はConcentrator)を選択します。
    the Select a Service drop-down list
    時間範囲セレクタには、デフォルトの24時間、またはこのサービスに対して最後に選択された時間範囲が表示されます。[Query Events]ボタンがアクティブになり、フィルタを入力できるようになります。ここでクエリを実行すると、選択された時間範囲がフィルタとして使用されます。
  3. (オプション)時間範囲セレクターから時間範囲を選択するには、時間範囲セレクターをクリックして、ドロップダウン リストから時間範囲を選択します。オプションは、直近5分、10分、15分、30分、直近1時間、3時間、6時間、12時間、24時間、直近2日間、5日間、7日間、14日間、30日間、すべてのデータです。(時間範囲は[イベント分析]ビューの環境設定に基づきます。時間範囲のデフォルトの基準はデータベースの時間です。この基準を現在の時間に変更できます。)
    選択した時間範囲はサービス固有の設定としてブラウザに保存され、サービスごとに異なる時間範囲を設定できます。
    the Select a Time Range drop-down list
  4. 少なくともメタ キーまたはメタ エンティティ、演算子、オプション値を含むフィルタを1つ以上作成し、クエリを入力します。クエリの入力方法については、「[イベント分析]ビューでの結果のフィルタリング」を参照してください。
  5. Query Events]をクリックします。
    [イベント分析]ビューに、管理者がユーザのロールに割り当てた権限に応じて、選択されたサービスと時間範囲のアクティビティが表示されます。サービスが選択され、データがロードされて、データを解析する準備が整います。[イベント分析]ビューの操作方法については、「[イベント分析]ビューでのRAWイベントとメタデータの分析」を参照してください。

[イベント分析]ビューへのアクセス(バージョン11.0)

[イベント分析]ビューでイベントを開くには、次の手順を実行します。

  1. [ナビゲート]>[イベント]に移動します。
  2. 一覧表示されたイベントのいずれかを右クリックし、メニューで[イベント分析]を選択します。
    Context Menu in Evenst view to go to Event Analysis

[イベント分析]ビューの操作方法については、「[イベント分析]ビューでのRAWイベントとメタデータの分析」を参照してください。

 

 

You are here
Table of Contents > 調査の開始 > [イベント分析]ビューで調査を開始する

Attachments

    Outcomes