調査:[イベント]ビュー

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

[[イベント]ビュー]では、セッションに関連付けられているイベントのリストを表示できます。このビューは、RAWイベントを時系列で表示するために最適化されています。イベントのリストは複数の形式で表示できます。イベントのフィルタ、イベントの検索、イベントの再構築の表示も可能です。

 

[イベント]ビューを表示するには、次の2つの方法があります。

  • [調査]>[イベント]に移動します。NetWitness Suiteは、デフォルトのサービス(設定されている場合)の直近3時間についてデフォルト クエリを実行するか、またはサービスを選択するダイアログを表示してからデフォルト クエリを実行します。デフォルト クエリではすべてのイベントが選択され、選択したサービスのイベントが古い順に[イベント]ビューに表示されます。
  • ナビゲート]ビュー内でイベントをダブル クリックします。[イベント]ビューには、[ナビゲート]ビューのドリルダウン ポイントに基づいて、選択したサービスのイベントが表示されます。

ワークフロー

high-level Investigate workflow with Browse Raw Events and associated actions highlighted

実行したいことは何ですか?

                                                                                   
ユーザのロール実行したいこと11.1ドキュメント
脅威ハンター

イベント メタデータを参照する

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントを参照する*

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントとメタデータを分析する

[イベント分析]ビューで調査を開始する

脅威ハンターエンドポイントを調査する(バージョン11.1)ホストの調査

脅威ハンター

不審なエンドポイント ファイルを探す(バージョン11.1)

ファイルの調査

脅威ハンターファイルとイベントをスキャンしてマルウェアを探すMalware Analysisの実施

インシデント対応者

調査でインシデントを優先順位付けする

NetWitness Respondユーザ ガイド

脅威ハンター[イベント]ビューのユーザ環境設定を設定する*[ナビゲート]ビューおよび[イベント]ビューの構成
脅威ハンターイベントの再構築*イベントの再構築
脅威ハンターイベントとファイルをエクスポートする*[イベント]ビューでのイベントのエクスポート
脅威ハンター

内部ルックアップを実行する

データ ポイントの追加コンテキストの表示

脅威ハンター外部ルックアップを実行するメタ キーの外部ルックアップの起動
脅威ハンターまたはインシデント対応者既存のインシデントまたは新規のインシデントへの1つまたは複数のイベントの追加*対応のためのインシデントへのイベントの追加
   

*このタスクは現在のビューで実行できます。

関連トピック

簡単な説明

[イベント]ビューには、詳細ビュー、リスト ビュー、ログ ビューという、ビルトインの3種類の表示形式でイベント データを表示できます。リスト ビューおよび詳細ビューは、パケット データ イベントを表示するためのものであり、タイムスタンプ、イベント タイプ、イベント テーマ、サイズなど、各イベントの詳細な情報が確認できます。

  • リスト ビューでは、イベントのソース アドレスおよび宛先 アドレスとポート番号がグリッドに表示されます。
  • 詳細ビューでは、イベントについて収集された主なメタデータがページ ビュー形式で表示されます。
  • ログ ビューは、ログ情報の表示のために最適化されたビューであり、タイムスタンプ、イベント タイプ、サービス タイプ、サービス クラス、ログなど、各ログの詳細情報が確認できます。

[イベント]ビューのフィルタ表示では、クエリ、時間範囲設定、プロファイルを使用できます。[イベント]ビューのいずれの表示形式からも、ファイルの展開、イベント、ログ、メタ値のエクスポート、[イベントの再構築]パネルの表示、イベント分析の表示を行うことができます。

次の図は、詳細ビューのイベントの例です。[コンテキスト ルックアップ]パネルはContext Hubサービスが構成されている場合にのみ表示されます。

example of the Detail View with the Context Lookup panel open

次の図は、リスト ビューのイベントの例です。

example of the List View

次の図は、ログ ビューの例です。

example of the Log View

詳細説明

[イベント]ビューには、上部に以下のオプションを備えたツールバーがあります。

                                               
機能説明
サービスを選択アイコンの横に選択したサービス名が表示されます。[調査するサービス]ダイアログを開きます。このダイアログでは、イベント リストを表示するサービスを選択できます。
時間範囲イベント リストに適用する時間範囲を選択するためのドロップダウン メニューが表示されます。標準的なオプションのなかから1つを選択するか、カスタム時間範囲を指定できます。
クエリ[フィルタの作成]ダイアログが表示されます。ここでは、データをドリルダウンするのではなく、カスタム クエリを直接入力できます(「カスタム クエリの作成」を参照してください)。
プロファイル[プロファイルの使用]メニューが表示されます。現在選択されているプロファイルがツールバーに表示されます。プロファイルでは、カスタム メタ グループ、デフォルトの列グループ、プレクエリなどを管理および使用できます。プロファイルは、[ナビゲート]ビュー(メタ グループとクエリ)および[イベント]ビュー(列グループとクエリ)に適用されます。
ビューの選択のドロップダウンイベント ビューのタイプを選択するためのドロップダウン メニューを表示します。
  • 詳細ビューでは、各イベントの詳細情報がページ形式で表示されます。
  • リスト ビューでは、各イベントのサマリが1行ずつグリッド形式で表示されます。
  • ログ ビューでは、各ログのサマリが1行ずつログ専用のイベント グリッドに表示されます。
  • カスタム列グループでは、ドロップダウン リストから選択した列グループを使用してイベント リストを表示します。
  • 列グループの管理では、カスタム列グループの作成および編集のためのダイアログが表示されます。
アクション[イベント]ビューのアクションが、ドロップダウン メニューに表示されます。
  • アクションには、ファイルの展開、PCAPファイルとしてのイベントのエクスポート、ログのエクスポート、メタ値のエクスポートなどがあります。
  • ポップアップ ウィンドウまたは新しいタブにイベントの再構築を表示します。
  • イベント分析の表示
  • [イベント]ビューのフィルタをすべてリセットします。

インシデント

Respondで新しいインシデントを作成して選択したイベントを追加するか、Respondの既存のインシデントに選択したイベントを追加します。

検索[イベントの検索]オプションを表示します。これにより、エクスポート ログを指定し、「テキスト パターンの検索」で説明されている追加のオプションを使用してメタ値形式をエクスポートすることができます
設定調査の[イベント]ビューの設定を表示します([プロファイル]ビューでも設定可能です)。これにより、[イベント]ビューから移動せずに調査の設定を変更できます。[イベント]ビューで設定を変更すると、[プロファイル]ビューでも設定が変更されます(「[ナビゲート]ビューおよび[イベント]ビューの構成」を参照してください)。
You are here
Table of Contents > Investigateの参考情報 > [イベント]ビュー

Attachments

    Outcomes