調査:[イベント分析]ビューでのデータのダウンロード

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

[イベント分析]ビューで、イベント、ログ、ファイルをダウンロードすることができます。

[テキスト分析]パネルでログをダウンロードする

[テキスト分析]パネルでログの再構築を表示しているときに、[ログのダウンロード]ドロップ ダウン メニューのオプションを使用して、次の形式でログ ファイルをダウンロードすることができます。

  • RAWログ(log)。[ログのダウンロード]オプションを使用
  • コンマ区切り値(CSV)。[CSVのダウンロード]オプションを使用
  • 拡張可能マークアップ言語(XML)。[XMLのダウンロード]オプションを使用
  • JavaScript Object Notation(JSON)。[JSONのダウンロード]オプションを使用

注:ダウンロードを選択してから、ダウンロードが開始する前にログを抽出している途中でブラウザのページを移動すると、ログはダウンロードされません。ジョブ キューからログをダウンロードできるというメッセージが通知されます。

次の図は、[ログのダウンロード]メニュー オプションが表示されているログ再構築の例です。

example of the Download Log menu

ダウンロードしたログ ファイルにはログが含まれ、ログを収集したサービス、セッションID、ファイル タイプが識別できるようファイル名が付けられます。

注:長時間実行されているか、履歴をダウンロードしたファイルはダウンロード可能ではありません。

RAWログのファイル名は次のようになります:Concentrator_SID2.log。エクスポートされたログ ファイルの名前は、次の規則で決まります。

<service-ID or host name>_SID<n>.<filetype>

ここで、

  • <service-ID or host name>は、セッションが保存されたサービスの名前(たとえばConcentratorまたはBroker)です。
  • SID<n>は、セッションID番号です。
  • <filetype>は、ダウンロードしたログの形式です。ログの形式には、RAWログ、CSV、XML、JSONがあります。デフォルトの形式は、RAWログです。

注:いくつかの形式では、タイム スタンプまたはイベントが生成されたデバイスIPが含まれません。このためCSV、XML、JSON形式でダウンロードされたログには、RAWログの内容とともにtimestampという追加の値が含まれます。追加の情報は次の形式でログに含まれます:Log timestamp="1490824512" source="10.12.35.65"

セッションのログをダウンロードするには、次の手順を実行します。

ログ イベントの[テキスト分析]パネルで、ダウンロードするログのファイル形式を選択します。
-RAWログ(デフォルトの形式)としてログをダウンロードするには、[ログのダウンロード]をクリックします。
-他のいずれかの形式でログをダウンロードするには、[ログのダウンロード]ボタン上の下向き矢印をクリックして、ファイル形式を選択します。
Text Analysis with Download Log menu
ログ ファイルは、指定した形式で、ローカル ファイル システムにダウンロードされます。

[テキスト分析]パネルまたは[パケット分析]パネルでのネットワーク イベント データのダウンロード

[パケット分析]パネルまたは[テキスト分析]パネルで再構築されたネットワーク イベントを表示しているときに、詳細な分析用にネットワーク データ ファイルをエクスポートすることができます。ダウンロードには、現在の時間範囲やドリル ポイントのイベントが含まれています。次の形式でデータをダウンロードすることができます。

  • イベント全体をパケット キャプチャ(*.pcap)ファイルとして。[PCAPのダウンロード]オプションを使用。
  • ペイロードを*.payloadファイルとして。[すべてのペイロードのダウンロード]オプションを使用。
  • リクエスト ペイロードを*.payload1ファイルとして。[リクエスト ペイロードのダウンロード]オプションを使用。
  • レスポンス ペイロードを*.payload2ファイルとして。[レスポンス ペイロードのダウンロード]オプションを使用。

PCAPファイルのファイル名は次のようになります:C01 - Concentrator_SID1697309.pcap。エクスポートされたネットワーク データ ファイルの名前は、次の規則で決まります。

<service-ID or host name>_SID<n>.<filetype>

ここで、

  • <service-ID or host name>は、セッションが保存されたサービスの名前(たとえばConcentratorまたはBroker)です。
  • SID<n>は、セッションID番号です。
  • <filetype>は、pcap、payload、payload1、payload2のいずれかです。

ネットワーク データは、ダウンロードが迅速な場合、ブラウザに直接ダウンロードされます。ネットワーク要因やファイル サイズによりダウンロードに時間がかかる場合、ファイルは、バック グラウンドでダウンロードされ、タスクはジョブキューでトラッキングされます。この場合は、キューでジョブを確認し、ダウンロードが完了するとファイルを取得できます。

注:ダウンロードを選択してから、ダウンロードが開始する前にファイルを抽出している途中でブラウザのページを移動すると、ファイルはダウンロードされません。ジョブ キューからファイルをダウンロードできるというメッセージが通知されます。

イベントをネットワーク データ ファイルにエクスポートするには、次の手順を実行します。

ネットワーク イベントの[パケット分析]パネルに移動して、ダウンロードするファイルのファイル形式を選択します。
-イベントをPCAPファイル(デフォルトの形式)としてダウンロードするには、[PCAPのダウンロード]をクリックします。
-他のいずれかの形式でイベントをダウンロードするには、[PCAPのダウンロード]ボタン上の下向き矢印をクリックして、ファイル形式を選択します。
Download PCAP menu in the Packet Analysis panel
ネットワーク データ ファイルは、指定した形式で、ローカル ファイル システムにダウンロードされます。

[ファイル分析]パネルでネットワーク イベントからファイルをダウンロードする

[ファイル分析]パネルでファイルを含む再構築ネットワーク イベント表示しているときに、1個のファイル、複数のファイル、すべてのファイルを選択してローカル ファイル システムにダウンロードすることができます。

注:ダウンロードを選択してから、ダウンロードが開始する前にファイルを抽出している途中でブラウザのページを移動すると、ファイルはダウンロードされません。ジョブ キューからファイルをダウンロードできるというメッセージが通知されます。

ファイルを選択したら、[ファイルのダウンロード]ボタンがアクティブになり、選択したファイルの数が反映されます。

example of the File Analysis with files selected

ボタンをクリックすると、選択したファイルがパスワード保護されたzipアーカイブとしてエクスポートされます。エクスポートしたアーカイブを開くためのパスワードはnetwitnessです。このフォームでファイルをエクスポートすると、以下が保証されます。

  • アーカイブは、ウイルス対策ソフトウェアによって隔離されません。
  • 悪意のある可能性のあるファイルがデフォルトのアプリケーションによって自動的に開かれたり、実行されません。

アーカイブのファイル名は次のようになります:C01 - Concentrator_SID1697309_FC1.zip。エクスポートされたアーカイブの名前は、次の規則により決まります。

<service-ID or host name>_SID<n>_FC<n>.zip

ここで、

  • <service-ID or host name>は、セッションが保存されたサービスの名前(たとえばConcentratorまたはBroker)です。
  • SID<n>は、セッションID番号です。
  • FC<n>は、ファイル数またはアーカイブ内のファイルの数です。

注意:デフォルトのアプリケーションに関連づけられているファイルを解凍または開くときは、十分に注意してください。たとえば、Excelスプレッドシートは、ファイルの安全性を検証する前にExcelで自動的に開かれる可能性があります。

再構築されたイベントでファイルをエクスポートするには、次の手順を実行します。

  1. イベント分析]ビューで、ファイルを含んでいるイベントの[ファイル分析]パネルに移動します。
    example of File Analysis with Files selected
  2. 抽出する1個または複数のファイルをクリックして、[ファイルのダウンロード]をクリックします。
    ジョブがスケジュールされ、完了すると、選択したファイルが、パスワード保護されたzipアーカイブの形式でローカル ファイル システムにダウンロードされます。
  3. ローカル ファイル システム上のアーカイブを開くには、プロンプトが表示されたら、次のパスワードを入力します:netwitness
You are here
Table of Contents > [イベント分析]ビューでのRAWイベントとメタ データの分析 > [イベント分析]ビューでのデータのダウンロード

Attachments

    Outcomes