調査:[イベント分析]ビューの構成

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

注:このトピックに記載されている情報はRSA NetWitness® Suite バージョン11.1以降に適用されます。

バージョン11.1以降では、アナリストが[調査]>[イベント分析]ビューを使用してデータを分析する際に、環境設定によりNetWitness Suiteの動作を調整することができます。[イベント分析]ビューを開いている間は、[調査]ビューのメイン ツールバーの外観が異なります。次の2つのボタンから環境設定ダイアログにアクセスすることができます:User Profile iconOpen Preferences icon。[ユーザ]メニュー(User Profile icon)はタイム ゾーンなどのグローバルなユーザ環境設定が中心であるのに対して、イベント環境設定メニュー(Open Preferences icon)は[イベント分析]ビュー内の動作に関するユーザ環境設定が中心です。このセクションの後半では、両方の環境設定について説明します。

デフォルトの[調査]ビューの設定

デフォルトの[調査]ビューは、グローバルな[ユーザ環境設定]ダイアログ(NetWitness Suiteブラウザ ウィンドウの右上にあるUser Profile iconを選択)で設定します。
[ユーザ環境設定]ダイアログに、調査ビューの現在の環境設定が表示されます。ここで、[調査]ビューを開いた時に表示されるデフォルトのビューを選択できます。[ナビゲート]ビュー、[イベント]ビュー、[イベント分析]ビュー、[ホスト]ビュー、[ファイル]ビュー、[Malware Analysis]ビューのいずれかを選択します。
User Preferences in the Respond and Investigate views

グローバルなユーザ環境設定については、「NetWitness Suiteスタート ガイド」に詳細が記載されています。NetWitness Suite 11.xのすべてのドキュメントの一覧を確認するには、NetWitness Logs & Packets 11.xの「マスター目次」に移動します。

[イベント分析]ビューの構成

バージョン11.1では、[イベント分析]ビューに関連した環境設定を設定できます。ここで選択した環境設定は、ユーザ単位で維持され、特定のユーザがアプリケーションにログインするたびに適用されます。

[イベント分析]ビュー操作時のデフォルト値を設定するには、次の手順に従います。

  1. [イベント分析]ビューが開いた状態で、Open Preferences iconをクリックします。
  2. デフォルトの[イベント分析]ビュー]ドロップダウン メニューで、[イベント分析]パネルでイベントを開いたときに表示するデフォルトの再構築タイプを選択します。[テキスト分析]、[パケット分析]、[ファイル分析]のいずれかを選択します。
    デフォルトの再構築タイプを選択しなかった場合は、ログ イベントおよびエンドポイント イベントではテキスト分析が、それ以外のイベントではパケット分析がデフォルトの再構築タイプとして選択され、パケット分析が表示されます。デフォルトの再構築タイプを選択した場合は、指定したタイプが、デフォルトの再構築タイプとして使用されます。どちらの場合も、デフォルトの再構築タイプは出発点であり、作業中にタイプを変更して、選択したタイプで再構築を表示することができます。
  3. デフォルトのログ形式]ドロップダウンで、ログをエクスポートするときのダウンロード形式を選択します。[ログのダウンロード]、[XMLのダウンロード]、[CSVのダウンロード]、[JSONのダウンロード]のいずれかを選択します。ここで形式を選択しなかった場合、デフォルトのダウンロード形式は[ログのダウンロード]です。これらのオプションは、ダウンロード時にドロップダウン メニューから選択することもできます。
  4. デフォルトのパケット形式]ドロップダウン メニューで、パケットをダウンロードするときのデフォルトの形式を選択します。このオプションは、ダウンロード時にドロップダウン メニューから選択することもできます。
    PCAPのダウンロード]は、イベント全体をパケット キャプチャ(*.pcap)ファイルとしてダウンロードします
    すべてのペイロードのダウンロード]は、ペイロードを*.payloadファイルとしてダウンロードします
    リクエスト ペイロードのダウンロード]は、リクエスト ペイロードを*.payload1ファイルとしてダウンロードします
    レスポンス ペイロードのダウンロード]は、レスポンス ペイロードを*.payload2ファイルとしてダウンロードします
  5. クエリの時間形式]では、[データベースの時間]と[現在の時間]のどちらかを選択します。[イベント分析]ビューには、データベースの時間または現在の時間に基づいて結果を表示できます。ここで時間形式を設定すると、ユーザ固有の環境設定として、再度変更されるまで設定が維持されます。この環境設定のデフォルト設定は[データベースの時間]です。これは[ナビゲート]ビューと[イベント]ビューでクエリ結果を表示するために使用される時間形式と同じです。
    データベースの時間]を選択した場合、クエリの開始時刻と終了時刻はイベントが保存された時刻に基づきます。
    現在の時間]を選択した場合は、ユーザ環境設定に設定されたタイムゾーンの現在の時刻に基づいてクエリが実行されます。
You are here
Table of Contents > NetWitnessの[調査]ビューと環境設定の構成 > [イベント分析]ビューの構成

Attachments

    Outcomes