収集したネットワーク データから脅威の可能性をハンティングするために、さまざまなポイントからドリル ダウンしてデータを分析することができます。特定のセッションに疑わしいイベントが含まれる場合は、そのセッションのイベントのリストを調査し、イベントの再構築を安全に表示し、パターンを特定することもできます。([イベント分析]ビューにアクセスするさまざまな方法については、「調査の開始」を参照してください)。
注:11.0 NetWitness Serverから10.6.xまたは11.0.0.xサービス上のイベントを解析している場合、[イベント分析]ビューのダウンロード動作は、ファイル、PCAP、ログ、ペイロード、メタ値によって変わります。権限がない10.6.xまたは11.0.0.xサービス上でイベント ペイロードを表示することはできますが、ファイルまたはペイロードをダウンロードすることはできません。
[イベント分析]ビューで、再構築の形式を、パケット分析、 ファイル分析、テキスト分析、メール(バージョン11.1以降)、Web(バージョン11.1以降)の中から選択できます。mediumメタ キーによってイベントがログ イベントまたはエンドポイント イベントとしてタグ付けされているときは、テキスト分析しか使用できません。ネットワーク イベントのデフォルトの再構築はテキスト分析です。ただし、最後に開いていた再構築形式が、デフォルトを上書きします。メールとWebの再構築ではイベントが[イベント]ビューに表示されます。説明については、を参照してください。
この図は、ネットワーク イベントの詳細の例です。Webブラウザ ウィンドウの幅が十分あるため、[テキスト分析]パネルには再構築形式のすべてのオプションが1行で表示されています。
ブラウザ ウィンドウの幅が足りないと、再構築形式のすべてのオプションを横並びに表示できないため、ドロップ ダウン リストが表示されます。
各タイプの分析では、分析機能を拡張するための設定が用意されています。設定の変更は、ブラウザの表示を更新しても、同じブラウザで再ログインしても、保持されます。次の設定が保持されます。
- 現在選択されている再構築:テキスト分析、パケット分析、ファイル分析。
- [イベント メタ]パネルの表示、非表示。
- [イベント]ヘッダーの表示、非表示。
- リクエスト、レスポンス、またはその両方の表示、非表示。
- [パケット分析]パネルにパケット ペイロードのみを表示するかどうか。
- [パケット分析]パネルでバイトを濃淡化するかどうか。
- [パケット分析]パネルにその他の一般的なファイル タイプを強調表示するかどうか。
- [パケット分析]パネルのページあたりのパケット数。
- [テキスト分析]パネルで圧縮したテキストと展開したテキストのどちらを表示するか。
- ネットワーク イベントの[テキスト分析]パネルのテキスト デコード設定。
[テキスト分析]パネル
[テキスト分析]パネルでは、すべてのタイプのイベント(ネットワーク イベント、ログ イベント、エンドポイント イベント)を元々のテキスト形式で表示できます。
注:エンドポイント イベントは、バージョン11.1以降の調査に使用できます。
ネットワーク イベントによっては[テキスト分析]パネルが非常に大きくなることがあります。最適な表示ができるようにするために、1個のイベントで表示できるパケットの数は2500に制限されます。[テキスト分析]パネルにすべてのパケットが表示されていない場合は、フッターに、2500パケットの制限に到達したため、このイベントの追加のパケットは表示されないことが示されます。次の図は、2727パケットのうちの2500パケットしか表示されていない再構築を示しています。この再構築ではこれ以上のパケットは表示されません。
注:ネットワーク イベントには、パケット数は大量でもペイロードのサイズは非常に小さいものがあります。この場合、最初の2500パケットにペイロード全体が含まれていれば、実質的にすべてのパケットを表示したと見なします。このため、すべてのパケットが表示されていないことを示すメッセージは表示されません。
[テキスト分析]パネルでは、ネットワーク イベント、ログ イベント、エンドポイント イベントの表示は異なります。
- ネットワーク イベントでは、パケットの方向(リクエストまたはレスポンス)と、各パケットの内容がテキスト形式で表示されます。ネットワーク イベントを再構築している場合は、[テキスト分析]パネルはスクロールできます。リクエストとレスポンスのラベルと同様にテキストの識別情報もスクロールして表示し続けることができます。
- ログ イベントとエンドポイント イベントにはリクエストまたはレスポンスがありません。RAWイベントのみが[テキスト分析]パネルに表示されます。
各タイプのイベント(ネットワーク、ログ、エンドポイント)には、いくつかの違いがあります。
- イベントのヘッダーには、各タイプのイベントに関連する情報が含まれています。
- エクスポートのオプションに違いがあります。
次に各タイプのイベント(ネットワーク イベント、ログ イベント、エンドポイント イベント)の[テキスト分析]パネルの例を示します。
注:イベント ヘッダー内の計算済みパケット数、計算済みパケット サイズ、計算済みペイロード サイズが、[イベント メタ]パネル内の同じ統計と異なっている場合があります。これは、イベントのパースが完了する前にメタデータが書き込まれ、パケットが重複して計算されることがあるためです。
[パケット分析]パネル
[パケット分析]パネルは、ネットワーク イベントのみを対象としています。[パケット分析]パネルはスクロールできます。リクエストとレスポンスのラベルと同様にパケットの識別情報もスクロールして表示し続けることができます。
[パケット分析]パネルの見出しには、パケットの方向(リクエストまたはレスポンス)、パケット番号、パケットの開始時刻、パケットIDと順序、ペイロード サイズが表示されます。すべてのパケットはヘッダーで始まり、一部のパケットにはフッターがあります。一部のパケットには、ペイロードがあります。
バージョン11.1では、ページネーション コントロールによって、パケット間の移動が柔軟になります。
16進形式とASCII形式の両方で、メタデータは青色でハイライト表示されます。ハイライト表示されたメタデータ上にカーソルを合わせると、ポップアップにメタ キーとメタ値の情報が表示されます。
一般的なファイル シグネチャは、オレンジ色の背景色でハイライト表示されます。ハイライト表示されたテキスト上にカーソルを置くと、ポップアップにファイルのタイプの説明が表示されます。
[ファイル分析]パネル
[ファイル分析]パネルは、選択したネットワーク イベントに関連づけられたファイルの一覧を表示します。これは、[ファイル分析]パネルの例です。
1個のファイル、複数のファイル、すべてのファイルを選択してローカル ファイル システムにエクスポートできます。ファイルを選択したら、[ファイルのダウンロード]ボタンがアクティブになり、選択したファイルの数が反映されます。
注意:デフォルトのアプリケーションに関連づけられているファイルを解凍または開くときは、十分に注意してください。たとえば、Excelスプレッドシートは、ファイルの安全性を検証する前にExcelで自動的に開かれる可能性があります。
各イベント タイプの分析ツール
[イベント分析]ビューの分析ツールは、アナリストがさまざまなタイプのイベント(ネットワーク イベント、ログ イベント、エンドポイント イベント)に関連する情報を検索しやすいように設計されています。この表は、イベント タイプごとに実行できるアクションを示します。このセクションの残りの部分では、これらのアクションを実行するための手順を説明します。
