調査:Malware Analysisのイベント リストとファイル リスト

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Malware Analysisのイベント リストとファイル リストには、イベントまたはファイルの詳細情報が表示されます。どちらかのリストでイベントまたはファイルをダブル クリックすると、新しいブラウザ タブに[解析結果]ビューが表示されます。

このビューにアクセスするには[調査]>[Malware Analysis]>[Malware Analysisサービスの選択]ダイアログに移動します。左側のパネルからサービスを選択し、右側のパネルからジョブを選択して[スキャンの表示]をクリックします。[イベントのサマリ]ビューで、次のいずれかを実行します。

  • 合計]パネルまたは[高確率]パネルで、[作成されたイベント]セクションに表示されている数をクリックします。
  • ファイル リストを表示するには、[処理されたファイル]セクションに表示されている数をクリックします。

ワークフロー

high-level Investigate workflow with Scan Files and Hosts for Malware and associated actions highlighted

実行したいことは何ですか?

                                                          
ユーザのロール実行したいこと11.1ドキュメント
脅威ハンター

イベント メタデータを参照する

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントを参照する

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントとメタデータを分析する

[イベント分析]ビューで調査を開始する

脅威ハンターエンドポイントを調査する(バージョン11.1)ホストの調査

脅威ハンター

不審なエンドポイント ファイルを探す(バージョン11.1)

ファイルの調査

脅威ハンターファイルとイベントをスキャンしてマルウェアを探す*Malware Analysisの実施

インシデント対応者

調査でインシデントを優先順位付けする

NetWitness Respondユーザ ガイド

脅威ハンターイベントとファイルをエクスポートする*リスト フォームでのスキャン ファイルおよびイベントの調査
脅威ハンター外部ルックアップを実行する*イベントの詳細なマルウェア解析の表示

*このタスクは現在のビューで実行できます。

関連トピック

簡単な説明

これは[イベント リスト]ビューの表示例です。

This is the Events List

これは[ファイル リスト]ビューの表示例です。
This is the Files List.

これらは、[イベント リスト]ツールバーの機能です。[ファイル リスト]ツールバーは同じですが、イベントを削除するオプションがありません。

This is the Events List toolbar

                                   
機能説明
サマリに戻る[イベントのサマリ]に戻ります。
イベントの削除現在のイベント リストから選択したイベントを削除します。
ファイルのダウンロード[マルウェア ファイルのダウンロード]ダイアログが表示されます。使用可能なファイルは、ここからダウンロードできます。
Sort Menu ドロップダウン メニューが表示されます。リストのソート方法をここで選択できます。ソートのオプションは次のとおりです。
  • 高確率
  • 静的
  • ネットワーク
  • コミュニティ
  • サンドボックス
  • アンチ ウィルス
  • ファイル名
  • ファイル タイプ
  • ハッシュ
  • アーカイブされた日時
  • サイズ
このドロップダウンのすぐ右にあるボタンは、リストが昇順値でソートされるか、降順値でソートされるかを示します。
Sort Menu ドロップダウン メニューが表示されます。セカンダリのソート順序をここで選択できます。このメニューには[NetWitness Suiteなし]もあります。セカンダリのソート順序を選択する必要がない場合に選択します。
Filter button ドロップダウン ウィンドウが表示されます。ここで、リストをファイル名またはMD5ハッシュでフィルタできます。

イベント リストには、次の機能があります。

                                                                           
機能説明
The High Confidence icon イベントが高確率フラグに影響されるかどうかを示します。
静的、ネットワーク、コミュニティ、サンドボックス各スコアリング モジュールのスコアを表示します。
アンチ ウィルスこのイベントが疑わしいものとしてAVフラグが設定されているかどうかを示します。
The customized rule icon イベントがカスタマイズされたルールに影響されるかどうかを示します。
アーカイブされた日時イベントがアーカイブされた日時を表示します。
セッション日時イベントのセッション時間を表示します。
Trusted icon ハッシュ値が信頼されるとしてマークされているかどうかを示します。
ファイル数イベントに含められるファイルの数を表示します。
ソース アドレスイベント ソースのアドレスを表示します。
IDイベント ソースのIDを表示します。
宛先アドレスイベンの宛先のアドレスを表示します。
宛先の国名イベントの宛先の国を表示します。
エイリアス ホストこのエイリアスのホスト名を表示します。
イベント タイプイベントのタイプを表示します。手動アップロードなど。
サービスイベントが発生したサービスを表示します。
宛先の組織宛先の組織を表示します。

ファイル リストのグリッドの機能は次のとおりです。

                                                    
機能説明
The high confidence icon イベントが高確率フラグに影響されるかどうかを示します。
静的、ネットワーク、コミュニティ、サンドボックス各スコアリング モジュールのスコアを表示します。
アンチ ウィルスこのイベントが疑わしいものとしてAVフラグが設定されているかどうかを示します。
ファイル名ファイルの名前を表示します。
ファイル タイプファイルのタイプを表示します(PDFやx86 PEなど)
MD5ハッシュMD5ハッシュを表示します。
ソース アドレスファイル ソースのアドレスを表示します。
宛先アドレスファイルの宛先のアドレスを表示します。
アーカイブされた日時ファイルがアーカイブされた日時を表示します。
サイズファイルのサイズを示します。
You are here
Table of Contents > Investigateの参考情報 > Malware Analysisのイベント リストとファイル リスト

Attachments

    Outcomes