調査：メタ キーのルックアップの起動

［ナビゲート］ビュー、［イベント］ビュー、または［レガシー イベント］ビューで興味のあるデータが見つかったら、NetWitness EndpointやRSA Liveへの内部ルックアップを実行したり、SANS IP HistoryやThreatExpert検索などのコミュニティ リソースでメタ値の外部ルックアップを実行することができます。

アナリストは、外部ルックアップを使用して、調査の時間を短縮できます。外部ルックアップを使用するには、次のいずれかのメタ キーを右クリックします。IPアドレス（ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip)、host (alias-host、, domain.dst)およびclient,

ipおよびhostの各メタ キーについては、NetWitness Platformに次の検索機能が組み込まれています。

• Google Malware：Google Malware検索を新しいタブで開きます。
• SANS IP History：SANS IP History検索を新しいタブで開きます。
• McAfee SiteAdvisor：McAfee SiteAdvisor検索を新しいタブで開きます。
• Endpoint Thick Client Lookup：NetWitness Endpoint Thick Client検索を新しいタブで開きます。
• BFK Passive DNS Collection：BFK Passive DNS Collection検索を新しいタブで開きます。
• CentralOps Whois（IPおよびホスト名検索）：CentralOps Whois（IPおよびホスト名検索を新しいタブで開きます。
• Malwaredomainlist.com検索：Malwaredomainlist.com検索を新しいタブで開きます。
• Robtex IP検索：Robtex IP検索を新しいタブで開きます。
• ThreatExpert検索：ThreatExpert検索を新しいタブで開きます。
• IPVoid検索：UrlVoid検索を新しいタブで開きます。

file-hashおよびalias-hostの各メタ キーで外部ルックアップからGoogleを選択すると、Google検索が新しいタブで開きます。

clientメタ キーでは、ブラウザと同じマシンにEndpoint Thick Clientがインストールされている場合、NetWitness Endpointルックアップ オプションによってEndpoint Thick Clientが新しいタブで開きます。

管理者は、外部ルックアップやその他のカスタム アクションを追加できます（「システム構成ガイド」の「コンテキスト メニューのカスタム アクションの追加」を参照してください）。

［イベント］ビューでのEndpoint Thick Clientルックアップの起動

［テキスト］パネルでエンドポイント イベントを表示しているときに、同じイベントを分析するためにNetWitness Endpointに移行できます。

注： バージョン4.4.0.xのNetWitness Endpoint（NWE）Thick Clientを同じサーバにインストールする必要があります。NWEメタ キーがLog Decoderのtable-map.xmlファイル内に存在する必要があります。また、NWEメタ キーがindex-concentrator-custom.xmlファイル内に存在する必要があります。NWE Thick Clientは、Windows専用のアプリケーションです。完全なセットアップ手順は、バージョン 4.4の『NetWitness Endpointユーザ ガイド』を参照してください。

NetWitness Endpointでイベントを開くには、次の手順を実行します。

1. ［ナビゲート］ビューを開き、次の手順を実行します。
   1. ［クエリ］ドロップダウンで、［詳細］を選択して、次のクエリのいずれかを入力します。nwe.callback_id exists または device.type='nwendpoint'
      エンドポイント データが［値］パネルに表示されます。
   2. イベントを右クリックし、メニューで［イベント］を選択します。
2. （バージョン11.1以降）［調査］＞［イベント］に移動します。［クエリ］ドロップダウンで、［詳細］を選択して、次のクエリのいずれかを入力します。nwe.callback_id exists または device.type='nwendpoint'
   エンドポイント データが［値］パネルに表示されます。
3. イベントを選択します。
   ［イベント］ビューが開き、選択したイベントが［テキスト］ビューに表示されます。
   
4. イベント ヘッダーで、［エンドポイントへの移行］をクリックします。
   新しいブラウザ タブでURL ecatui://<id>が開き、NWE Thick Clientが起動されます。NetWitness Endpoint Thick Clientがインストールされていない場合は、データが表示されず、次のメッセージが表示されます。Applicable for hosts with 4.x Endpoint agents installed, please install the NetWitness Endpoint Thick Client.

［ナビゲート］ビューでのEndpoint Thick Clientルックアップの起動

［ナビゲート］ビューからデータのEndpoint Thick Clientルックアップ機能を起動する方法：

1. 次のいずれかのメタ キーのメタ値を右クリックします。ip-src, ip-dst、ipv6-src、ipv6-dst、orig_ip、alias-host、domain.dst、またはclient.
2. コンテキスト メニューで［外部ルックアップ］を選択します。
   外部ルックアップ オプションのサブメニューが表示されます。
   
   
3. ［Endpoint Thick Clientルックアップ］を選択します。
   ［サーバに接続］ダイアログが表示されます。
   
4. Endpoint Thick Clientへのログインに必要なユーザ名とパスワードを入力して、［接続］をクリックします。
   NetWitness Endpointでドリル ポイントが開きます。
   

イベントでのメタ値のルックアップの実行

［イベント］ビューでは、特定のメタ値を右クリックして、ドロップダウン メニューのオプションを使用することにより、イベント内のメタ値をさらに調査することができます。すべてのフィールドに右クリック アクションがあるわけではありません。内部ルックアップと外部ルックアップを実行するには、次の手順を実行します。

1. ［イベント分］ビューで、イベント リスト、［イベント メタ］パネル、またはイベント ヘッダー内のメタ値を右クリックします。一部のメタ値にドロップダウン メニューがあります。
   

2. 次の内部ルックアップのいずれかを選択します。

   • コピー：メタ値をクリップボードにコピーします。
   • 新しいタブで再フォーカスして調査：新しいタブで、選択したメタ値に焦点を当てた別の調査を起動します。
   • 新しいタブでドリルダウン：ドリルダウンを適用して、新しいタブで起動し、［ナビゲート］ビュー内のデータをドリルダウンします。
   • 新しいタブで!EQUALSドリルダウン：（!EQUALS）をメタに適用して、新しいタブを起動すると、結果からメタ値が効率的に除外されます。
   • ホスト ルックアップ：［調査］＞［ホスト］ビューで値を検索します。
   • Endpoint Thick Clientルックアップ：Endpoint Thick Clientでメタ値を分析します（Endpointエージェントがインストールされたクライアントの場合）。
   • Liveルックアップ：さらに分析するためにLiveでメタ値を検索します。
3. 外部ルックアップの場合は、メタ値にポインタを合わせて、右クリックし、［外部ルックアップ］を選択します。
   
   

4. サブメニューで、使用可能な外部ルックアップのいずれかを選択します。

   • Google：Google.comでメタ値を検索します
   • SANS IP History：SANS IP Historyでメタ値を検索します（domain = http://isc.sans.org/ipinfo.html?ip=ipaddress）
   • CentralOps Whois（IPおよびホスト名検索）：CentralOps Whois（IPおよびホスト名検索）でメタ値を検索します（domain = http://centralops.net/co/DomainDossier.aspx?addr=domain&dom_whois=true&dom_dns=true&net_whois=true）
   • Robtex IP Search：Robtext IP Searchでメタ値を検索します（domain = https://www.robtex.com/cidr/domain.ipaddress）
   • IPVoid：IPVoidでメタ値を検索します（domain = http://www.ipvoid.com/scan/domain/）
   • URLVoid：URLVoidでメタ値を検索します（domain = http://www.urlvoid.com/scan/ipaddress/）
   • ThreatExpert検索：ThreatExpert検索でIPメタ値を検索します（domain = http://www.threatexpert.com/reports.aspx?find=IP address）

［ナビゲート］ビューからのその他の外部ルックアップの起動

［ナビゲート］ビューからデータの外部ルックアップ（NetWitness Endpoint Thick Clientルックアップ以外）を起動するには、次の手順を実行します。 

1. 次のいずれかのメタ キーのメタ値を右クリックします。ip-src、ip-dst、ipv6-src、ipv6-dst、orig_ip、alias-host、domain.dst、またはclient.
2. コンテキスト メニューで［外部ルックアップ］を選択します。
   外部ルックアップ オプションのサブメニューが表示されます。
   
   
3. いずれかのルックアップ オプションを選択します。
   選択したメタ値が指定された検索機能で開きます。たとえば、SANS IP Historyを選択した場合は、ドリルダウン ポイントの情報がSANS Internet Storm Centerに表示されます。