Skip navigation
Log in to create and rate content, and to follow, bookmark, and share content with other members.

調査:[レガシー イベント]ビュー

Document created by RSA Information Design and Development Employee on Oct 19, 2018Last modified by RSA Information Design and Development Employee on Dec 7, 2020
Version 4Show Document
  • View in full screen mode
 

[レガシー イベント]ビューは廃止予定であり、[イベント]ビューが優先されます。[レガシー イベント]ビューでは、セッションに関連づけられているイベントのリストを表示できます。このビューは、RAWイベントを時系列で表示するために最適化されています。イベントのリストは複数の形式で表示できます。イベントのフィルタ、イベントの検索、イベントの再構築の表示も可能です。

[レガシー イベント]ビューを表示するには、次の2つの方法があります。

  • [調査]>[レガシー イベント]に移動します。NetWitness Platformは、デフォルトのサービス(設定されている場合)の直近3時間についてデフォルト クエリを実行するか、またはサービスを選択するダイアログを表示してからデフォルト クエリを実行します。デフォルト クエリではすべてのイベントが選択され、選択したサービスのイベントが古い順に[レガシー イベント]ビューに表示されます。
  • ナビゲート]ビュー内でイベントをダブル クリックします。[レガシー イベント]ビューには、[ナビゲート]ビューのドリルダウン ポイントに基づいて、選択したサービスのイベントが表示されます。

注: [レガシー イベント]ビューは、過去のバージョン(11.0~11.3.x.x)では、[イベント]ビューと呼ばれていました。[レガシー イベント]は不要になり、管理者が有効にしない限り、非表示になります。デフォルトでは、[イベント]ビューのみがメニューに表示されますが、[レガシー イベント]ビューが有効になっている場合は、[イベント]ビューと[レガシー イベント]ビューの両方がメニュー バーに表示されます。

実行したいことは何ですか?

                                                               
ユーザ ロール実行したいこと手順

インシデント対応者または脅威ハンター

環境内で特定された検出と信号の確認

NetWitness Platformスタート ガイド

インシデント対応者

重要なインシデントまたはアラートの確認

NetWitness Respondユーザ ガイド

脅威ハンターサービス、メタデータ、時間範囲のクエリを実行*

[イベント]ビューでの調査の開始

[ナビゲート]ビューまたは[レガシー イベント]ビューでの調査の開始

脅威ハンター

メタデータの表示

[ナビゲート]ビューでの結果のフィルタリング

[イベント]ビューでのイベントのドリルダウン(ベータ)

脅威ハンター

連続したイベントの表示*

[イベント]ビューでの結果のフィルタリング

[レガシー イベント]ビューでの結果のフィルタリング

脅威ハンター

イベントの再構築と分析*

[イベント]ビューでのイベント詳細の調査

[レガシー イベント]ビューでのイベントの再構築

脅威ハンターファイルおよび関連づけられたホストの調査*

[イベント]ビューでのデータのダウンロード

[ナビゲート]ビューでのドリルダウン ポイントのエクスポートまたは印刷

[レガシー イベント]ビューでのイベントのエクスポート

脅威ハンタールックアップの実行*

結果の追加のコンテキストを検索

メタ キーのルックアップの起動

脅威ハンターインシデントの作成またはインシデントへの追加*

[レガシー イベント]ビューでのインシデントへのイベントの追加

[イベント]ビューでのインシデントへのイベントの追加

脅威ハンター

Context Hubリストへのメタ値の追加*

結果の追加のコンテキストを検索

*このタスクは現在のビューで実行できます。

関連トピック

簡単な説明

[レガシー イベント]ビューには、詳細ビュー、リスト ビュー、ログ ビューという、標準提供の3種類の表示形式でイベント データを表示できます。リスト ビューおよび詳細ビューでは、タイムスタンプ、イベント タイプ、イベント テーマ、サイズなど、各イベントの詳細な情報が確認できます。

  • リスト ビューでは、イベントのソース アドレスおよび宛先 アドレスとポート番号がグリッドに表示されます。
  • 詳細ビューでは、イベントについて収集された主なメタデータがページ ビュー形式で表示されます。
  • ログ ビューは、ログおよびエンドポイント情報の表示のために最適化されたビューであり、タイムスタンプ、イベント タイプ、サービス タイプ、サービス クラス、ログなど、各ログの詳細情報が確認できます。

[レガシー イベント]ビューの表示をフィルタするには、クエリ、時間範囲設定、プロファイルを使用します。[レガシー イベント]ビューのいずれの表示形式からも、ファイルの抽出、イベント、エンドポイント イベント、ログ、メタ値のエクスポート、[イベントの再構築]パネルの表示を行うことができます。[詳細]ビューでは、[イベント]ビューでイベントを開くこともできます。

次の図は、詳細ビューのイベントの例です。[コンテキスト ルックアップ]パネルはContext Hubサービスが構成されている場合にのみ表示されます。

[コンテキストルックアップ]パネルが開いている[イベント]ビューの例

次の図は、リスト ビューのイベントの例です。

リスト ビュー

次の図は、ログ ビューの例です。

[ログ]ビューの例

次の図は、バージョン11.3以降のフッターに追加された情報を示しています。

結果の制限とクエリ対象サービスが表示された[イベント]ビューのフッター

詳細説明

[レガシー イベント]ビューには、上部に以下のオプションを備えたツールバーがあります。

                                               
機能説明
サービスを選択アイコンの横に選択したサービス名が表示されます。[調査]ダイアログを開きます。このダイアログでは、イベント リストを表示するサービスを選択できます。
時間範囲イベント リストに適用する時間範囲を選択するためのドロップダウン メニューが表示されます。標準的なオプションのなかから1つを選択するか、カスタム時間範囲を指定できます。
クエリ[クエリ]ダイアログが表示されます。ここでは、データをドリルダウンするのではなくクエリレガシー イベント]ビュー クエリを直接入力できます(「[ナビゲート]ビューと[レガシー イベント]ビューでのクエリの作成」を参照してください)。
プロファイル[プロファイル]メニューを表示します。現在選択されているプロファイルがツールバーに表示されます。メニュー オプションには、標準提供(デフォルト)プロファイルとカスタム プロファイル、およびプロファイルを管理するためのオプションが含まれます。各プロファイルには、メタ グループ、列グループ、イベントの調査時に[ナビゲート]ビュー(メタ グループとクエリ)と[レガシー イベント]ビュー(列グループとクエリ)に適用される開始クエリを含めることができます(「クエリ プロファイルを使用した調査の共通領域のカプセル化」を参照してください)。
ビューの選択のドロップダウンイベント ビューのタイプを選択するためのドロップダウン メニューを表示します。
  • 詳細ビューでは、各イベントの詳細情報がページ形式で表示されます。
  • リスト ビューでは、各イベントのサマリーが1行ずつテーブル形式で表示されます。
  • ログ ビューでは、各ログのサマリが1行ずつログ専用のイベント グリッドに表示されます。
  • カスタム列グループでは、ドロップダウン リストから選択した列グループを使用してイベント リストを表示します。
  • 列グループの管理では、カスタム列グループの作成および編集のためのダイアログが表示されます。
アクション[レガシー イベント]ビューのアクションが、ドロップダウン メニューに表示されます。
  • PCAPファイルとしてのイベントのエクスポート、ログのエクスポート、エンドポイント イベントのエクスポート、メタ値のエクスポートを行います。
  • ポップアップ ウィンドウまたは新しいタブにイベントの再構築を表示します。
  • [レガシー イベント]ビューのフィルタをすべてリセットします。

インシデント

Respondで新しいインシデントを作成して選択したイベントを追加するか、Respondの既存のインシデントに選択したイベントを追加します。

検索[イベントの検索]オプションを表示します。これにより、エクスポート ログを指定し、「[ナビゲート]ビューと[レガシー イベント]ビューでのテキスト パターンの検索」で説明されている追加のオプションを使用してメタ値形式をエクスポートすることができます。
設定[レガシー イベント]ビューに関する調査オプションを設定します([プロファイル]ビューでも設定可能です)。これにより、[レガシー イベント]ビューから移動せずに調査の設定を変更できます。[レガシー イベント]ビューで変更した設定は、[プロファイル]ビューでも変更されます(「[ナビゲート]ビューおよび[レガシー イベント]ビューの構成」を参照してください)。

 

この表では、[レガシー イベント]ビューのその他の機能について説明します。

                           
機能説明
[追加のメタの表示]アイコン
(イベントの詳細ビュー)
イベントの残りのメタデータを表示します。
[イベント分析]アイコン(イベントの詳細ビュー)選択したイベントを[イベント]ビューで開きます。
[イベント]ビューのページ コントロール
(フッター)

ページ移動コントロールを使用すると、イベント リストのページをより柔軟に操作できます。使用できないコントロールのイメージはグレー表示になります。たとえば、ページ1を表示しているときには、最初のページ コントロール前のページ コントロールのコントロールがグレー表示になります。

最初のページ コントロール - 最初のページに移動

前のページ コントロール - 前のページに移動

ページ番号コントロール - 特定のページに移動

次のページ コントロール - 次のページに移動

最後のページ コントロール - 最後のページに移動

1ページあたりのイベント数コントロール- 1ページあたりのパケット数を選択

1ページあたりのイベント数を選択すると、設定はブラウザのキャッシュに保存されるため、優先的に使用するイベント数をログインのたびに選択する必要がありません。この設定は、ログ ビュー、リスト ビュー、詳細ビューのすべてのビューに適用されます。

100,000個のイベントのうち1~100個を表示(フッター)

100個以上の一致したイベントのうち1~25個を表示(結果制限の100イベントに到達)
(フッター)

表示されているイベントの数と、一致したイベントの合計数を表示します。バージョン11.3以降では、管理者によって設定された結果の制限に達した場合、他にも利用可能な結果があるが表示できないことを知らせる通知がフッターに表示されます。追加の結果を表示するには、フィルタを絞り込んで結果を減らす必要があります。フッターの情報アイコン情報アイコンをクリックすると、クエリ対象のすべてのサービスのIPアドレスと接続ポート番号が表示されます。
 

You are here
Table of Contents > 調査の参考情報 > [レガシー イベント]ビュー

Attachments

    Outcomes