調査:[ナビゲート]または[イベント]ビューで調査を開始する

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

ナビゲートビューは、オープニング ビューとして別のビューが選択されない限り、[調査]ビューのデフォルト ビューです。このユーザ環境設定は、「NetWitnessの[調査]ビューおよび環境設定の構成」の説明に従って、アプリケーション レベルで設定されます。これらのビューでは、クエリを実行して、興味のあるイベントをハンティングします。[ナビゲート]ビューでは、メタ キーとメタ値をクリックして結果を絞り込むこともできます。興味のあるイベントを発見したら、他の[調査]ビューでそのイベントをより詳しく調べることができます。

[ナビゲート]ビューまたは[イベント]ビューで調査を開始するには、サービスを指定する必要があります。

  • NetWitness Suiteは、ユーザが指定したデフォルトのサービスが選択された状態で[ナビゲート]ビューまたは[イベント]ビューを開きます。
  • デフォルトのサービスが指定されておらず、サービスIDがURLに含まれていない場合、NetWitness Suiteは、調査するサービスまたはコレクションを選択するダイアログを表示します。
  • [ナビゲート]ビューまたは[イベント]ビューでサービスが手動でまたはデフォルトで選択されている場合は、ツールバーでサービス名を選択することにより、調査するサービスまたはコレクションを変更できます。NetWitness Suiteは、調査するサービスを選択するためのダイアログを表示します。

注:調査の実行時にユーザ操作のパフォーマンス低下を最小限に抑えるために、Archiverサービスは[ナビゲート]ビューに表示されません。Archiverは[イベント]ビューでログのエクスポートや強化された検索機能に使用できます。 

サービスまたはコレクションを選択されると、NetWitness Suiteは、サービスまたはコレクションのデータをロードする準備が整います。結果がより速くロードされるように、時間範囲も選択することを推奨します。[ナビゲート]ビューおよび[イベント]ビューの[設定]ダイアログまたは[プロファイル]>[環境設定]パネル>[調査]タブのいくつかの設定がロード処理に影響します。このような設定には、[閾値]、[結果の最大数]、[デバッグ情報の表示]、[値の自動ロード]、[調査ページのロードを最適化]などが含まれます(「NetWitnessの[調査]ビューおよび環境設定の構成」を参照してください)。

注:[イベント]ビューでは、データが自動的にロードされます。[ナビゲート]ビューでは、環境設定で[値の自動ロード]を選択している場合、NetWitness Suiteがデータを自動的にロードします。それ以外の場合は、ユーザが[値のロード]ボタンをクリックする必要があります。NetWitness Suiteが[ナビゲート]ビューにメタ データを読み込むと、結果はほぼ即時に表示されます。

このトピックの後半では、サービスのデータの調査を開始するための手順について説明します。

注:コレクションを作成できるのは管理者ロールを持つユーザだけであり、コレクションを調査できるのはコレクションの作成者だけです。

 

[ナビゲート]ビューまたは[イベント]ビューにデータがロードされたら、次の操作を実行します。

  1. 結果の絞り込み、データのビジュアル化、ドリルダウン ポイントの操作を行います(「[ナビゲート]ビューでのメタデータの調査」と「[イベント]ビューでのRAWイベントの調査」を参照)。たとえば、データ ポイントの追加コンテキストの表示[ナビゲート]ビューからのMalware Analysisスキャンの起動対応のためのインシデントへのイベントの追加を行うことができます。
  2. イベントの再構築(「イベントの再構築」を参照)または対話形式でのイベント分析の表示(「[イベント分析]ビューで調査を開始する」を参照)を行います。

調査の開始(デフォルトのサービスが指定されていない場合)

  1. [調査]>[ナビゲート]または[イベント]に移動します。
    [調査]ダイアログが表示されます。
    Investigate dialog
  2. サービスをダブル クリックするか、またはサービス(通常はConcentrator)を選択して、[ナビゲート]をクリックします。
    [イベント]ビューでは、データが自動的にロードされます。[ナビゲート]ビューでは、結果パネルに、選択したサービスのアクティビティが表示されますが、データは自動的にロードされません。
  3. (推奨)結果がより速くロードされるように、特定の時間範囲を選択します。
  4. ロードする前に調査オプションを変更する場合は、カスタム プロファイルの作成または変更、別の時間範囲の適用、メタ グループの作成または適用、カスタム クエリの実行(「[ナビゲート]ビューおよび[イベント]ビューでのクエリとデータの処理」を参照)を行うことができます。これらのオプションは調査中いつでも変更することができます。
  5. [ナビゲート]ビューにデータをロードするには、the Load Values buttonをクリックします。
    選択したサービスのデータのロードが始まります。
    Navigate view with data loading
    サービスが選択され、データがロードされて、データを解析する準備が整います。

デフォルトのサービスの設定またはクリア

[調査]ダイアログでは、デフォルトのサービスを設定およびクリアできます。

  1. ツールバーでサービス名をクリックします。
    [調査]ダイアログが表示されます。
    Investigate dialog
  2. サービス]グリッドでサービスを選択し、Default Service buttonをクリックします。
    このサービスがデフォルトになります(サービス名の後に括弧に囲まれてデフォルトと表示されます)。
  3. デフォルトのサービスをクリアするには、グリッドでデフォルトのサービスを選択し、Default Service buttonをクリックして[キャンセル]をクリックし、ダイアログを閉じます。
    デフォルトのサービスが設定されていない状態になります。

注:[キャンセル]ボタンでは、デフォルトのサービスの選択はキャンセルされません。グリッド内で現在選択されているサービスに移動せずに、ダイアログが閉じるだけです。現在調査中のサービスとは異なるサービスをデフォルトに設定しても、[ナビゲート]ビューは更新されません。明示的に選択して、別のサービスに移動する必要があります。

調査の開始(デフォルトのサービスが指定されている場合)

  1. 調査>[ナビゲート]または[イベント]に移動します。
    [値の自動ロード]がオフの場合、[ナビゲート]ビューが表示され、デフォルトのサービスが選択された状態になり、データをロードする準備が整います。[値の自動ロード]がオンの場合、ステップ3に示すように、値がロードされます。[イベント]ビューでは、データが自動的にロードされます。
  2. ロードする前に[ナビゲート]ビューの調査オプションを変更する場合は、カスタム プロファイルの作成または変更、別の時間範囲の適用、メタ グループの作成または適用、カスタム クエリの実行ができます。
  3. 準備が完了したら、Load Values buttonをクリックします。
    選択したオプションに従って、サービスの値がロードされます。
    Navigate view with data loading
    サービスが選択され、データがロードされて、データを解析する準備が整います。

調査するサービスまたはコレクションの変更

  1. [ナビゲート]ビューまたは[イベント]ビューで、オプション パネルの上部のサービス名をクリックします。
    [調査]ダイアログが表示されます。
    Investigate dialog
  2. サービスをダブル クリックするか、またはサービスを選択して、[ナビゲート]をクリックします。結果パネルには、選択したサービスのアクティビティが表示されます。
    [値の自動ロード]がオンの場合、ステップ3に示すように、値がロードされます。オンでない場合は[ナビゲート]ビューは、サービスが選択された状態になり、データをロードする準備が整います。[イベント]ビューでは、データが自動的にロードされます。
    Investigate Navigate view with Load Values button
  3. 準備が完了したら、Load Values buttonをクリックします。
    選択したオプションに従って、サービスの値のロードが開始されます。
    Investigate Navigate view
    サービスが選択され、データがロードされて、データを解析する準備が整います。

Workbenchのリストア コレクションの調査

管理者がこの手順を実行すると、既存のコレクションからコンテンツを選択して、再調査のために再度処理することができます。これは、Workbenchサービスを使用するDecoderに適用されます。

注:コレクションを作成できるのは管理権限を持つユーザだけです。また表示できるのは自身が作成したコレクションだけです。

再調査のためにデータを再度処理するには、次の手順を実行します。

  1. 調査>[ナビゲート]または[イベント]に移動します。
    [調査]ダイアログが表示されます。
    Investigate dialog
  2. 調査するWorkbenchサービスとWorkbench名を選択します。
  3. ナビゲート]をクリックして、選択したWorkbenchサービスに対する調査を実行します。
    キャンセル]をクリックして、調査する別のWorkbenchサービスを選択します。
    [調査]ビューが表示されます。
    コレクションが選択され、データがロードされて、データを解析する準備が整います。
Previous Topic:調査の開始
You are here
Table of Contents > 調査の開始 > [ナビゲート]または[イベント]ビューで調査を開始する

Attachments

    Outcomes