Skip navigation
Log in to create and rate content, and to follow, bookmark, and share content with other members.

調査:[イベント]ビューでのデータのダウンロード

Document created by RSA Information Design and Development Employee on Oct 19, 2018Last modified by RSA Information Design and Development Employee on Dec 7, 2020
Version 4Show Document
  • View in full screen mode
 

[イベント]ビューでは、[イベント]パネルと再構築からデータをダウンロードできます。バージョン11.4以降の[イベント]パネルのダウンロード機能では、すべてのイベント タイプのログおよびネットワーク イベントが一括ダウンロードされます。

  • バージョン11.4.1には、すべてのイベント タイプの表示中のメタデータをダウンロードする機能が追加されています。再構築内からは、イベント、ログ、ファイルをダウンロードできます。
  • バージョン11.5には、[イベント]パネルとイベント再構築ですべてのイベント タイプのメタデータをダウンロードする機能が追加されています。

注: 表示およびダウンロードできる情報は、管理者が実装したロールベース アクセス制御(RBAC)によって管理されます。特定のデータがダウンロードされるのを防ぐようにRBACが設定されている場合、ダウンロード権限のないイベントが正常にダウンロードされたように見えることがありますが、サイズは0バイトです。特定のイベントが再構築されるのを防ぐようにRBACが設定されている場合、再構築は[イベント]パネルで無効になりますが、一括ダウンロード ボタンは有効なままになります。

[イベント]パネルでのイベントまたはメタデータのダウンロード

クエリの送信後に、ログ イベント、ネットワーク イベント、表示中のメタデータ(バージョン11.4.1)、またはすべてのメタデータ(バージョン11.5)を、[イベント]パネルから直接、指定した形式でダウンロードできます。環境設定は[イベント環境設定]ダイアログで設定され、変更はすべて[ダウンロード]メニューに反映されます。環境設定の詳細については、「[イベント]ビューの構成」を参照してください。

[イベント]パネルでは、検索で返されたイベントを個別に選択するか、すべてのイベントを選択できます。選択チェックボックスは、イベントをダウンロードする権限がある場合にのみ表示されます。新しいクエリを送信すると、すべてのチェックボックスが選択解除されます。イベントを選択して[ダウンロード]をクリックすると、[ダウンロード]メニューが表示されます。各イベント タイプの選択されているイベント数は、各オプションの横に「Events of this type selected/ Total number of events selected」の形式で表示されます。特定のイベント タイプでイベントが選択されていない場合は、対応するダウンロード オプションが無効になり、選択したイベントの数が「0 / Total number of events selected」と表示されます(次の図を参照)。バージョン11.5には、すべてのメタデータ、または表示中のメタデータをダウンロードするオプションがあります。バージョン11.4.1のメニューには、表示中のメタデータをダウンロードするオプションがあり、バージョン11.4のメニューには、これらのオプションがありません。

バージョン11.5の[ダウンロード]メニュー 8,697個のイベントが選択された[イベント]パネルの[ダウンロード]ドロップダウン メニュー

[イベント]リストで[すべて選択]チェックボックスが選択されている場合は、[すべてダウンロード]オプションを使用できます。バージョン11.5には、すべてのログまたはネットワーク イベントをダウンロードするオプションに加えて、すべてのメタデータまたは表示中のメタデータをダウンロードするオプションがあります。バージョン11.4.1のメニューには、表示中のメタデータをダウンロードするオプションがあり、バージョン11.4のメニューには、これらのオプションがありません。

バージョン11.5の[すべてダウンロード]オプション [すべてダウンロード]ドロップダウン メニュー [イベント]ビューの[すべてダウンロード]メニュー

[すべてのメタ]オプションと[表示中のメタ]オプションの違いは次のとおりです。

  • バージョン11.4.1以降では、選択したイベントの表示中のメタデータが、[イベント環境設定]メニューで選択した形式(表示中のメタの形式:テキスト表示中のメタの形式:CSV表示中のメタの形式:JSON表示中のメタの形式:TSV)、またはダウンロード時に[ダウンロード]メニューの[その他のオプション]で選択する形式でダウンロードされます。各イベントに対してダウンロードされるメタデータは、メタデータをダウンロードするときに表示中の列に対応しています。表示される列は、選択した列グループと列セレクターによって決まります。列の選択の詳細については、「イベント リストでの列と列グループの使用」を参照してください。[イベント]パネルで「Summary List」列グループが選択されている場合は、イベントのすべてのメタデータがダウンロードされます。[表示中のメタのダウンロード]オプションのいずれかを使用すると、ダウンロードされたメタデータは、[イベント]パネルの現在のソート順ではなく、収集時間の順でソートされます。
  • バージョン11.5では、選択したイベントのすべてのメタデータが、[イベント環境設定]メニューで選択したデフォルト形式(すべてのメタの形式:テキストすべてのメタの形式:CSVすべてのメタの形式:JSONすべてのメタの形式:TSV)、またはダウンロード時に[すべてダウンロード]メニューの[その他のオプション]で選択する形式でダウンロードされます。生成されたダウンロードには、イベント リストに表示される列に関係なく、選択したイベントのメタデータがすべて含まれます。たとえば、メタ データベースに40個のメタ キーがある場合、イベント リストの列グループによって10個の列が表示されている場合でも、そのイベントの40個のメタ キーはすべて、ダウンロードしたファイルに含まれています。

注: すべてのイベントをダウンロードするよう選択すると、現在の結果セット内のイベントのみがダウンロードされます。すべての結果が返される前にクエリをキャンセルした場合は、ロードされたイベントのみがダウンロードされます。

[イベント]パネルで単一イベント、複数イベント、またはすべてのイベントのイベント データをダウンロードするには、次の手順を実行します。

  1. 次のいずれかを実行します。
    1. イベントを個別に選択するには、ダウンロードする各イベントの横にあるチェックボックスをオンにして、[ダウンロード]メニュー ボタンの下向き矢印をクリックしてオプションを表示します。
      バージョン11.5の[ダウンロード]メニュー すべてではなく一部のイベントが選択されている[ダウンロード]ドロップダウン メニュー
    2. [イベント]パネルに表示されているすべてのイベントを選択するには、[イベント]パネルの上部にあるチェックボックスをオンにして、[すべてダウンロード]メニュー ボタンをクリックします。
      バージョン11.5の[すべてダウンロード]オプション すべてのイベントが選択されている[ダウンロード]ドロップダウン メニュー
  2. メニューの上部で有効になっている[デフォルト オプション]を確認します。デフォルトの形式を使用しない場合は、メニューの[その他のオプション]セクションで別の形式を選択できます。

    • [イベント環境設定]メニューで選択した形式(ログの形式:テキストログの形式:CSVログの形式:JSONログの形式:XM)でログがダウンロードされます。このダウンロードに異なる形式を選択する場合は、[その他のオプション]にあるいずれかの形式を選択します。

    • ネットワーク イベントはPCAPとしてダウンロードされます。[イベント]パネルで複数のネットワーク イベントをダウンロードする場合、形式は常にPCAPとなります。[イベント環境設定]メニューで指定した形式(ネットワークの形式:PCAPネットワークの形式:ペイロードネットワークの形式:リクエスト ペイロードネットワークの形式:レスポンス ペイロード)はこのメニューでは無視されます。指定した形式は、ネットワーク再構築パネルでの単一ネットワーク イベントのダウンロードにのみ適用されます。
    • 表示中のメタデータは、[イベント環境設定]メニューで選択した形式(表示中のメタの形式:テキスト表示中のメタの形式:CSV表示中のメタの形式:JSON表示中のメタの形式:TSV)でダウンロードされます。このダウンロードに異なる形式を選択する場合は、[その他のオプション]にあるいずれかの形式を選択します。各イベントに対してダウンロードされるメタデータは、メタデータをダウンロードするときに表示中の列に対応しています。[イベント]パネルで「Summary List」列グループが選択されている場合は、イベントのすべてのメタデータがダウンロードされます。
    • すべてのメタデータは、[イベント環境設定]メニューで選択した形式(テキスト形式のすべてのメタCSV形式のすべてのメタJSON形式のすべてのメタTSV形式のすべてのメタ)でダウンロードされます。このダウンロードに異なる形式を選択する場合は、[その他のオプション]にあるいずれかの形式を選択します。各イベントに対してダウンロードされたメタデータには、表示中の列だけではなく、すべてのメタデータが含まれます。
  3. メニュー ラベル[ダウンロード]または[すべてダウンロード]をクリックします。
    環境設定([イベント]ビュー>環境設定を開くアイコン)で、[抽出したファイルを自動ダウンロード]が設定されている場合、ダウンロードはブラウザ ウィンドウ内でただちに始まります。この環境設定が設定されていない場合は、選択したイベントのダウンロード ジョブがジョブ トレイに追加され、そこからイベントをダウンロードできるようになります。
    ダウンロードが失敗した場合は、ダウンロードが失敗した理由についてのフィードバックがメッセージに表示されます。ダウンロード ボタンが再度有効になり、選択したイベントが選択されたままになります。ダウンロードが失敗した理由の例として、X分経過によりタイムアウト、接続障害、イベント制限に到達、権限の拒否などがあります。
  4. ジョブ トレイを表示するには、[調査]>[ナビゲート]または[調査]>[レガシー イベント]に移動して、ストップウォッチに似ているジョブ アイコンジョブ アイコンをクリックします。
    ジョブがジョブ トレイに表示されます。
    ジョブ トレイでのジョブのダウンロード

テキスト再構築でのログのダウンロード

ログ イベントのテキスト再構築を表示しているときに、[ログのダウンロード]メニューのオプションを使用して、次の形式でログ ファイルをダウンロードすることができます。

  • RAWログ(ログ):[ログのダウンロード](11.3)、[テキストのダウンロード](11.4以降)、または[テキスト形式でログをダウンロード](11.5以降)オプションを使用します。
  • カンマ区切り値(CSV):[CSVのダウンロード]または[CSV形式でログをダウンロード](11.5以降)オプションを使用します。
  • Extensible Markup Language(XML):[XMLのダウンロード]または[XML形式でログをダウンロード](11.5以降)オプションを使用します。
  • JavaScript Object Notation(JSON):[JSONのダウンロード]または[JSON形式でログをダウンロード](11.5以降)オプションを使用します。

バージョン11.5以降では、次のいずれかのオプションを使用してログのメタデータをダウンロードすることもできます。

テキスト形式でメタをダウンロード]、[CSV形式でメタをダウンロード]、[JSON形式でメタをダウンロード]、[TSV形式でメタをダウンロード]。

次の図は、[ログのダウンロード](11.3)、[テキストのダウンロード](11.4以降)、[テキスト形式でログをダウンロード](11.5以降)オプションを含んだメニューの例です。バージョン11.5には、選択したログのメタデータをダウンロードするための追加のオプションがあります。

ログ再構築での[ログのダウンロード]メニュー バージョン11.4の[ログのダウンロード]メニュー バージョン11.5の[ログのダウンロード]オプション

 

注: エンドポイント イベントの場合、[ログのダウンロード]、[テキストのダウンロード]、[テキスト形式でログをダウンロード]オプションは、少なくとも1つのメタ値が256文字を超えるイベントでのみ選択できます。エンドポイント イベントでは、メタ値が256文字を超える場合にのみ、RAWログに値が追加されます。長時間実行中であったり、ダウンロード履歴のファイルは、ダウンロードできません。たとえば、起動の引数のようなメタ値は256文字を超える可能性があります。この場合、256文字がメタ値として表示され、完全な値はRAWログに含まれます。

ダウンロードしたログ ファイルにはログが含まれ、ログを収集したサービス、セッションID、ファイル タイプが識別できるようファイル名が付けられます。RAWログのファイル名は「Concentrator_SID2.log」のようになります。エクスポートされたログ ファイルの名前は、次の規則で決まります。

<service-ID or host name>_SID<n>.<filetype>

各項目の意味は次のとおりです。

  • <service-ID or host name>は、セッションが保存されたサービスの名前(たとえばConcentratorまたはBroker)です。
  • SID<n>は、セッションID番号です。
  • <filetype>は、ダウンロードしたログの形式です。ログの形式には、RAWログ、CSV、XML、JSONがあります。デフォルトの形式は、RAWログです。

注: 一部の形式では、タイム スタンプまたはイベントが生成されたデバイスIPが含まれません。このためCSV、XML、JSON形式でダウンロードされたログには、RAWログの内容に加えて、timestampという追加の値が含まれます。追加の情報は「Log timestamp="1490824512" source="10.12.35.65"」の形式でログに含まれます。

ログまたはログのメタデータをダウンロードするには、次の手順を実行します。

ログ イベントのテキスト再構築で、次のいずれかを実行します。

  1. RAWログ(デフォルトの形式)としてログをダウンロードするには、[ログのダウンロード]、[テキストのダウンロード]、または[テキスト形式でログをダウンロード]をクリックします。
  2. 別の形式でログをダウンロードするには、[ログのダウンロード]、[テキストのダウンロード]、または[テキスト形式でログをダウンロード]ボタンの下向き矢印をクリックして、ファイル形式を選択します。
  3. ログのメタデータをダウンロードするには、[ログのダウンロード]、[テキストのダウンロード]、または[テキスト形式でログをダウンロード]ラベルの下向き矢印をクリックして、[テキスト形式でメタをダウンロード]、[CSV形式でメタをダウンロード]、[JSON形式でメタをダウンロード]、または[TSV形式でメタをダウンロード]を選択します。

ログ ファイルまたはログのメタデータが、指定した形式で、ローカル ファイル システムにダウンロードされます。ダウンロードを選択してから、ダウンロードが開始する前にログを抽出している途中でブラウザのページを移動すると、ログはダウンロードされません。ジョブ キューからログをダウンロードできるというメッセージが通知されます。

テキスト再構築またはパケット再構築でのネットワーク イベント データのダウンロード

ネットワーク イベントのパケット再構築またはテキスト再構築を表示しているときに、さらなる分析のためにネットワーク データ ファイルをエクスポートできます。バージョン11.5以降では、再構築されたイベントのメタデータをダウンロードすることもできます。

バージョン11.5の[PCAPのダウンロード]メニュー

ダウンロードには、現在の時間範囲やドリル ポイントのイベントが含まれています。次の形式でデータをダウンロードすることができます。

  • イベント全体をパケット キャプチャ(*.pcap)ファイルとして。[PCAPのダウンロード]オプションを使用。
  • ペイロードを*.payloadファイルとして。[すべてのペイロードのダウンロード](11.3)または[ペイロードのダウンロード](11.4)オプションを使用。
  • リクエスト ペイロードを*.payload1ファイルとして。[リクエスト ペイロードのダウンロード]オプションを使用。
  • レスポンス ペイロードを*.payload2ファイルとして。[レスポンス ペイロードのダウンロード]オプションを使用。
  • (バージョン11.5)イベントのメタデータ。[テキスト形式でメタをダウンロード]、[CSV形式でメタをダウンロード]、[JSON形式でメタをダウンロード]、[TSV形式でメタをダウンロード]のいずれかのオプションを使用。

ダウンロード メニューボタンのラベルは、[イベント環境設定]ダイアログで選択した設定に基づいており、これらの形式のいずれかです。イベントにそのタイプのデータが含まれていない場合、そのメニュー ボタンはグレー表示になります。メニュー ボタンの下向き矢印をクリックして、どのオプションが使用可能かを確認できます。たとえば、イベントにリクエスト ペイロードがあり、レスポンス ペイロードがない場合、[レスポンス ペイロードのダウンロード]ラベルはグレー表示になります。ボタン上の下向き矢印をクリックして、[リクエスト ペイロードのダウンロード]をこのダウンロードに選択できます。有効な形式を選択した後でボタンをクリックすると、ダウンロードが実行されます。

PCAPファイルのファイル名は「C01 - Concentrator_SID1697309.pcap」のようになります。エクスポートされたネットワーク データ ファイルの名前は、次の規則で決まります。

<service-ID or host name>_SID<n>.<filetype>

各項目の意味は次のとおりです。

  • <service-ID or host name>は、セッションが保存されたサービスの名前(たとえばConcentratorまたはBroker)です。
  • SID<n>は、セッションID番号です。
  • <filetype>は、pcap、payload、payload1、payload2のいずれかです。

ネットワーク データは、ダウンロードが迅速な場合、ブラウザに直接ダウンロードされます。ネットワーク要因やファイル サイズによりダウンロードに時間がかかる場合、ファイルは、バックグラウンドでダウンロードされ、タスクはジョブキューでトラッキングされます。この場合は、キューでジョブを確認し、ダウンロードが完了するとファイルを取得できます。

注: ダウンロードを選択してから、ダウンロードが開始する前にファイルを抽出している途中でブラウザのページを移動すると、ファイルはダウンロードされません。ジョブ キューからファイルをダウンロードできるというメッセージが通知されます。

イベントをネットワーク データ ファイルとしてエクスポートしたり、イベントのメタデータをダウンロードしたりするには、次のようにします。

ネットワーク イベントのパケット再構築に移動し、次のいずれかを実行します。

  1. イベントをPCAPファイル(システム定義のデフォルト形式)としてダウンロードするか、ユーザ定義のデフォルト形式でダウンロードするには、[<形式>のダウンロード]ボタンをクリックします。ラベルは、[イベント環境設定]ダイアログで設定されているダウンロード オプションと同じです。
  2. 別の形式でイベントをダウンロードするには、ボタン上の下向き矢印をクリックして、ダウンロードするイベント データのファイル形式を選択します。
  3. イベントのメタデータをダウンロードするには、ボタン上の下向き矢印をクリックして、ダウンロードするメタデータのファイル形式を選択します。

指定された形式でネットワーク データ ファイルがローカル ファイル システムにダウンロードされるか、指定された形式でイベントのメタデータがダウンロードされます。

ファイル再構築でのネットワーク イベントからのファイルのダウンロード

ファイル再構築でファイルを含むネットワーク イベントを表示しているときに、1つまたは複数のファイル、あるいはすべてのファイルを選択してローカル ファイル システムにダウンロードすることができます。

注: ダウンロードを選択してから、ダウンロードが開始する前にファイルを抽出している途中でブラウザのページを移動すると、ファイルはダウンロードされません。ジョブ キューからファイルをダウンロードできるというメッセージが通知されます。

ファイルを選択したら、[ファイルのダウンロード]ボタンがアクティブになり、選択したファイルの数が反映されます。

2つのファイルが選択されたファイル再構築

[ファイルのダウンロード]をクリックすると、選択したファイルがパスワード保護されたzipアーカイブとしてエクスポートされます。エクスポートされたアーカイブを開くためのパスワードはnetwitnessです。この形式でファイルをエクスポートすることにより、次のことが保証されます。

  • アーカイブは、ウイルス対策ソフトウェアによって隔離されません。
  • 悪意のある可能性のあるファイルがデフォルトのアプリケーションによって自動的に開かれたり、実行されません。

ファイル再構築からファイルをダウンロードする場合、エクスポートされたアーカイブの形式は「<service-name>SID<service ID><file-count>_FILES_FILES」になります(たとえば「Broker_SID8_1_FILES_FILES.zip」)。zipアーカイブを開くためのパスワードはnetwitnessです。

<service-ID or host name>_SID<n>_<file-count>FILES_FILES.zip

各項目の意味は次のとおりです。

  • <service-ID or host name>は、セッションが保存されたサービスの名前(たとえばConcentratorまたはBroker)です。
  • SID<n>は、セッションID番号です。
  • <file-count> FILESは、アーカイブ内のファイルの数です。
  • FILESは、ファイルのダウンロード元である再構築のタイプを識別します。

注意: デフォルトのアプリケーションに関連づけられているファイルを解凍または開くときは、十分に注意してください。たとえば、Excelスプレッドシートは、ファイルの安全性を検証する前にExcelで自動的に開かれる可能性があります。

再構築されたイベントからファイルをエクスポートするには、次の手順を実行します。

  1. イベント]ビューで、ファイルを含んでいるイベントのファイル再構築に移動します。
    2つのファイルが選択されたファイル再構築
  2. 抽出する1つまたは複数のファイルをクリックして、[ファイルのダウンロード]または[ファイルのダウンロード(複数)]をクリックします。
    ジョブがスケジュールされ、完了すると、選択したファイルがパスワード保護されたzipアーカイブ形式でローカル ファイル システムにダウンロードされます。
  3. ローカル ファイル システム上のアーカイブを開くには、プロンプトが表示されたら、パスワードnetwitnessを入力します。

メール再構築からの添付ファイルのダウンロード

添付ファイルが含まれているメール再構築を表示しているときに、1つまたは複数の添付ファイル、あるいはすべての添付ファイル(バージョン11.4.1)を選択して、ローカル ファイル システムにダウンロードすることができます。この機能により、選択したファイルが、パスワード保護されたzipアーカイブとしてエクスポートされます。エクスポートされたアーカイブを開くためのパスワードはnetwitnessです。この形式でファイルをエクスポートすることにより、次のことが保証されます。

  • アーカイブは、ウイルス対策ソフトウェアによって隔離されません。
  • 悪意のある可能性のあるファイルがデフォルトのアプリケーションによって自動的に開かれたり、実行されません。

メール再構築からファイルをダウンロードする場合、ファイル名の形式は「<service-name>_SID<n>_EMAIL」になります(たとえば「Broker-_SID34_EMAIL.zip」)。zipアーカイブを開くためのパスワードはnetwitnessです。エクスポートされたアーカイブの名前には、次の規則が適用されます。

<service-ID or host name>_SID<n>_EMAIL.zip

各項目の意味は次のとおりです。

  • <service-ID or host name>は、セッションが保存されたサービスの名前(たとえばConcentratorまたはBroker)です。
  • SID<n>は、セッションID番号です。
  • EMAILは、ファイルのダウンロード元である再構築のタイプです。

注意: デフォルトのアプリケーションに関連づけられているファイルを解凍または開くときは、十分に注意してください。たとえば、Excelスプレッドシートは、ファイルの安全性を検証する前にExcelで自動的に開かれる可能性があります。

メールの添付ファイルをダウンロードするには、次の手順を実行します。

  1. イベント]ビューに移動し、添付ファイルのあるメールを含んだイベントをクリックして、メール再構築を開きます。
  2.  [添付ファイル]ドロップダウン リストを展開して、次のいずれかの操作を実行します。
    1. (バージョン11.5以降)添付ファイルへのリンクをクリックします。
      再構築されたメールで開いた添付ファイル リスト
      ダウンロードしたメール添付ファイルに悪意のあるデータが含まれている可能性があることを示すダイアログが表示され、ダウンロードのキャンセルまたは確認を求められます。ダウンロードを完了する場合は、[ダウンロード]をクリックします。それ以外の場合は、[キャンセル]をクリックしてダウンロードをキャンセルします。
      [添付ファイルのダウンロード]ダイアログの例
    2. (バージョン11.4.1.x)1つまたは複数の添付ファイル、あるいは[すべての添付ファイル]を選択します。
      バージョン11.4.1でのメール添付ファイルのダウンロード
      警告メッセージが再構築に表示されます。[ファイルのダウンロード]または[ファイルのダウンロード(複数)]ボタンをクリックします。添付ファイルがダウンロードされ、キャンセルする機会はありません。

You are here
Table of Contents > 結果のダウンロードと処理 > [イベント]ビューでのデータのダウンロード

Attachments

    Outcomes