調査：［イベント］ビューでのイベント詳細の調査

［ナビゲート］ビューまたは［イベント］ビューの［イベントの絞り込み］パネルで関心のあるセッションを見つけたら、そのセッションのイベントのリストを［イベント］ビューの［イベント］パネルでシーケンシャルに表示できます。リスト内のイベントをクリックすると、そのタイプのイベント詳細パネル（［ネットワーク イベントの詳細］、［ログ イベントの詳細］、［エンドポイント イベントの詳細］）が開きます。［イベントの詳細］パネルでは、イベントの再構築を表示するタブ（テキスト、パケット、ファイル、メール、Web）、またはエンドポイント データにより拡充されたネットワーク イベントのホスト情報を表示するタブを選択できます。

注： （バージョン11.5以降）ネットワーク（パケット）導入環境にある既存のネットワーク イベントの可視化を拡張するため、ネットワーク イベントにエンドポイント データが付加されます。具体的には、ネットワーク イベントをトリガーしたホストとプロセスのほか、ユーザ名、リスク スコア、レピュテーション、などの情報が表示されます。
エンドポイント データは次の方法で表示できます。
- （クイック ビュー）［調査］＞［イベント］ - イベント サマリー ヘッダー
- （詳細ビュー）［調査］＞［イベント］＞［ホスト］
拡張ネットワーク可視化の構成については、『Endpoint構成ガイド』の「グループとポリシーの作成」を参照してください。

注： 拡張ネットワーク可視化を使用する場合は、Endpoint Log DecoderのデータをEndpoint Concentratorで集計するために使用するサービス ユーザ アカウントに、decoder.manage権限が割り当てられている必要があります。ロールと権限の割り当て方法の詳細については、『システム セキュリティとユーザ管理ガイド』の「ロールの追加と権限の割り当て」を参照してください。

各イベント タイプのイベントの詳細

［イベントの詳細］パネルには、次の表に示すように、イベント タイプごとにさまざまなタブが表示されます。［イベントの詳細］パネルでの作業手順については、「［イベント］ビューでのイベントの分析」を参照してください。

                                                   

各タブには、分析を強化するための設定があります。設定の変更は、ブラウザの表示を更新したり、同じブラウザで再ログインした場合は保持されます。次の設定が保持されます。

• 現在選択されている再構築。つまり、テキスト、パケット、ファイル、（バージョン11.5以降）ホスト、メールのいずれか。
• ［イベント メタ］パネルの表示、非表示。
• ［イベント］ヘッダーの表示、非表示。
• リクエスト、レスポンス、またはその両方の表示、非表示。
• パケット再構築でパケット ペイロードのヘッダーを表示するかどうか。
• パケット再構築でバイトを濃淡化するかどうか。
• パケット再構築で一般的なファイル タイプを強調表示するかどうか。
• パケット再構築のページあたりのパケット数。
• テキスト再構築で圧縮したテキストと展開したテキストのどちらを表示するか。

テキスト再構築

［テキスト］タブでは、すべてのタイプのイベント（ネットワーク イベント、ログ イベント、エンドポイント イベント）を元々のテキスト形式で表示できます。ネットワーク イベントでは、テキスト再構築のサイズが非常に大きくなる場合があります。最適なレンダリングを保証するために、過度に大きなペイロードはトランケートされます。再構築されたイベントで、1つの再構築されたリクエストまたはレスポンスが最大バイト数を超える場合、ヘッダーには表示中のバイト数の比率が示されます。ページ移動コントロールにより、イベントのテキスト再構築のページを柔軟に移動できます。次の図は、最大バイト数を超えているためにトランケートされた単一のレスポンスを示しています（バージョン11.2以降）。

注： バージョン11.1は大きなペイロードを異なる方法で処理します。1つのイベントのペイロードは2500パケットに制限されます。パケット数の制限に達すると、フッターに警告が表示され、制限に達したことを通知し、イベント内のパケットの総数を示します。バージョン11.1の場合、［さらに表示］オプションは、トランケートされたメッセージでも使用できます。ただし、RAWペイロードをダウンロードしないと、メッセージのテキスト全体が表示されません。

テキスト再構築では、ネットワーク イベント、ログ イベント、エンドポイント イベントの表示は異なります。

• ネットワーク イベントでは、パケットの方向（リクエストまたはレスポンス）と、各パケットの内容がテキスト形式で表示されます。ネットワーク イベントを再構築している場合、テキスト再構築はスクロールできます。テキストの識別情報とリクエストとレスポンスのラベルは、スクロールしても表示から消えません。
• ログ イベントとエンドポイント イベントにはリクエストまたはレスポンスがありません。RAWイベントのみが［テキスト］タブに表示されます。エンドポイント イベントには、エンドポイント イベントに関連する追加情報が含まれています。

イベント ヘッダーとイベントのダウンロード オプションは、イベントのタイプ（ネットワーク、ログ、エンドポイント）ごとに異なります。次に各タイプのイベント（ネットワーク イベント、ログ イベント、エンドポイント イベント）のテキスト再構築の例を示します。

 

 

注： イベント ヘッダー内の計算パケット数、計算パケット サイズ、計算ペイロード サイズが、［イベント メタ］パネルの同じ統計と異なっている場合があります。これは、イベントのパースが完了する前にメタデータが書き込まれ、パケットが重複して計算されることがあるためです。

パケット再構築

パケット再構築はネットワーク イベント用です。このパネルはスクロールできます。パケットの識別情報とリクエストとレスポンスのラベルは、スクロールしても表示から消えません。［パケット］タブでは、パケットのヘッダーにパケットの方向（リクエストまたはレスポンス）、パケット番号、パケットの開始時刻、パケットIDとシーケンス番号、ペイロード サイズが表示されます。すべてのパケットはヘッダーで始まり、一部のパケットにはフッターがあります。ページ移動コントロールによって、パケットのページ移動が柔軟になります。

16進形式とASCII形式の両方で、メタデータは青色でハイライト表示されます。ハイライト表示されたメタデータ上にカーソルを合わせると、ポップアップにメタ キーとメタ値の情報が表示されます。

一般的なファイル シグネチャは、オレンジ色の背景色でハイライト表示されます。ハイライト表示されたテキスト上にカーソルを置くと、ポップアップにファイルのタイプの説明が表示されます。

ファイル再構築

ファイル再構築では、選択されたネットワーク イベントに関連するファイルのリストが表示されます。次の図は、ファイル再構築の例です。

1つまたは複数のファイル、あるいはすべてのファイルを選択してローカル ファイル システムにエクスポートできます。ファイルを選択すると、［ファイルのダウンロード］オプションがアクティブになり、選択したファイルの数が反映されます。

注意： デフォルトのアプリケーションに関連づけられているファイルを解凍または開くときは、十分に注意してください。たとえば、Excelスプレッドシートは、ファイルの安全性を検証する前にExcelで自動的に開かれる可能性があります。

ホスト情報

ホスト情報は、エンドポイント データが存在するネットワーク イベントに関する情報です。

注： エンドポイント データが表示されるのは、Endpointを導入し、Endpointエージェントで拡張ネットワーク可視化が構成されている場合のみです。拡張ネットワーク可視化を構成する方法の詳細については、『Endpoint構成ガイド』の「グループとポリシーの作成」を参照してください。

注： 拡張ネットワーク可視化を使用する場合は、Endpoint Log DecoderのデータをEndpoint Concentratorで集計するために使用するサービス ユーザ アカウントに、decoder.manage権限が割り当てられている必要があります。ロールと権限の割り当て方法の詳細については、『システム セキュリティとユーザ管理ガイド』の「ロールの追加と権限の割り当て」を参照してください。

次の図はホスト情報の例です。

• イベント サマリー ヘッダーには、エンドポイント データからの次の情報が表示されます。

  • ホスト名：イベントが生成されたホスト。
  • プロセス：イベントをトリガーしたソース プロセス。
  • ユーザ：トリガーされたプロセスに関連づけられているユーザ。

• 次の情報が表示されます。

  • ホストの詳細：ホストのオペレーティング システムと、ホストに関連づけられているオーナー（ログインしているユーザ）の詳細が表示されます。
    • ホスト名について調査するには、青色でハイライト表示されている［ホスト名］リンクをクリックします。詳細は、『NetWitnessエンドポイント ユーザ ガイド』で「ホストの調査」を参照してください。
    • ユーザに関連づけられているアラートを調査するには、青色でハイライト表示されている［オーナー］リンクをクリックします。詳細は、『NetWitness UEBAユーザ ガイド』で「ハイリスク エンティティの調査」を参照してください。
  • プロセスの詳細：リスク スコア、プロセス名、レピュテーション、ホストでのイベント時間、署名ステータス、プロセスID、署名者、ユーザ、起動引数、SHA256、パスなどの詳細が表示されます。
    • プロセスについて調査するには、青色でハイライト表示されている［プロセス］リンクをクリックします。詳細は、『NetWitnessエンドポイント ユーザ ガイド』で「ファイルの調査」を参照してください。
    • ユーザに関連づけられているアラートを調査するには、青色でハイライト表示されている［ユーザ］リンクをクリックします。詳細は、『NetWitness UEBAユーザ ガイド』で「ハイリスク エンティティの調査」を参照してください。

特定のメタデータに関する追加情報を表示するには、ホスト名、プロセス、ユーザ、オーナー、SHA256のメタ値の上にカーソルを合わせます。コンテキスト検索の詳細については、「結果の追加のコンテキストを検索」を参照してください。

次の図は、選択したネットワーク イベントに関連づけられている単一のホスト、プロセス、ユーザを表示した［ホスト情報］タブの例です。svch0st.exeは、ホストINENJOHNAJI3Cとログイン中のユーザjohnaに関連づけられているプロセスです。

注： 選択したネットワーク イベントに対して複数のホストとプロセスが表示されることがあります。このような場合には、イベントをトリガーした最初のホストが最初に表示され、同様のイベントをトリガーした他のホストがその後に表示されます。
たとえば、10.63.0.240というIPアドレスがHost1に関連づけられ、このマシンにUser1がログインし、Chromeを使用してwww.nyu.edu/にアクセスします。Host1の電源がオフになり（30分以内）、同じIPアドレスがHost2に割り当てられます。User2がログインし、Internet Explorerを使用してwww.nyu.edu/にアクセスします。この場合、ネットワーク イベントのエンドポイント データは次のようになります。
- ホスト名 - Host1、Host2
- プロセス - chrome.exe、iexplore.exe
- ユーザ - User1、User2

メール再構築

メール再構築は、選択したネットワーク イベントに関連づけられたメールの一覧を表示します。次の図は、メール再構築の例です。

 

• デフォルトでは、1つのメールが展開され、複数のメールは折りたたまれます。
• メールに添付ファイルが含まれている場合は、「［イベント］ビューでのデータのダウンロード」の説明に従って添付ファイルをダウンロードできます。
  

• 注意： メールから添付ファイルをダウンロードして開くと、悪意のあるデータがファイルに含まれている可能性があります。

  メール内の外部リンクにはアクセスできません。外部リンクをクリックすると、［リンク アドレス］ポップアップ ウィンドウが開き、実際のリンクが表示されます。
• メールの本文が長すぎると、メールの先頭に［%を表示］が表示されます。残りのコンテンツを表示するには、メールの最後尾にある［残り%を表示］をクリックします。

• mail.google.comメタデータにmail.live.com、mail.yahoo.com、またはalias.hostが含まれ、これらのWebメールがイベントに含まれている場合、［イベント再構築］ページで関連するセッションを再構築するリンクを含んだメッセージが表示されます。それ以外の場合は、「このイベントではメール再構築を使用できません」というメッセージが表示されます。