調査:Malware Analysis[イベントのサマリ]ビューの構成

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

[イベントのサマリ]には、調査中のスキャンのサマリが表示されます。またサマリの下にはチャートやリストなどの構成可能なダッシュレットが表示されます。デフォルトで、スキャンの[イベントのサマリ]は、デフォルトのダッシュレットが表示された状態で開きます。デフォルトのダッシュレットを追加、変更、削除して、ビューをカスタマイズできます。構成されたダッシュレットのカスタマイズは、別のスキャン調査の間も維持され、またデフォルトのダッシュレットはいつでも復元できます。デフォルトのダッシュレットは次のとおりです。

  • イベントのサマリ(固定)
  • イベント タイムライン
  • 極めて疑わしいマルウェアの上位リスト
  • メタ ツリーマップ
  • スコア ホイール
  • メタの内訳

次の図はデフォルトのイベントのサマリの例です。

Summary of Events view

このトピックの後半で、ダッシュレットの管理と構成の手順を説明します。

ダッシュレットの追加

Malware Analysisの[イベントのサマリ]には、ダッシュレットの複数のコピーを追加できます。ダッシュレットを追加するには、次の手順を実行します。

  1. ツールバーで[追加]を選択します。
    ダッシュレットのドロップダウン リストが表示されます。ビジュアル表示には、スコア ホイール、メタ ツリーマップ、メタの内訳、イベント タイムラインの4つがあります。これ以外の3つのダッシュレットは、NetWitness Suiteダッシュボードで使用できるダッシュレットと同じです (高確率IOCとハイスコアのマルウェア、極めて疑わしいマルウェアの上位リスト、ゼロデイの可能性が高いマルウェアの上位リスト)。これらの一般的なダッシュレットの詳細については、「RSA Content for RSA NetWitness Suite」の「Dashlets」を参照してください。
  2. ダッシュレットを選択します。
    新しいダッシュレットが、既存のダッシュレットの下に追加されます。
  3. ダッシュレットが既存のダッシュレットのコピーである場合は、新しいダッシュレットの名前を別の名前に変更してください。

ツールバー オプションを使用したダッシュレットの変更または削除

各ダッシュレットには、そのダッシュレットを変更するためのオプションを備えたツールバーがあります。チャートの構成設定は共通していますが、一部のダッシュレットには、他のダッシュレットにはない追加の設定があります。

Event Timeline dashlet toolbar

ツールバー オプションを使用する方法

  • ダッシュレットを閉じてタイトル バーしか表示されないようにするには、Close the dashletをクリックします。
  • 閉じているダッシュレットを開くには、Open the dashletをクリックします。
  • ダッシュレットの構成可能な設定を表示するには、View the dashlet settingsをクリックします。
    ダッシュレットの設定ダイアログが表示されます。
  • ダッシュレットを削除するには、Delete the dashletをクリックします。

複数のダッシュレットに閾値フィルタを適用

ダッシュレットには、4つのカテゴリー(静的、ネットワーク、コミュニティ、サンドボックス)の特定のスコアに一致したイベント、上回ったイベント、下回ったイベントだけを表示するように閾値を設定できます。この手順では、ダッシュレットのタイプごとに閾値を設定します。具体的には、イベント タイムライン、スコア ホイール、メタ ツリーマップです。個々のダッシュレットに閾値を設定することもできます。

  1. ツールバーで、Action menu>[閾値フィルタの適用]を選択します。
    [閾値フィルタの適用]ダイアログが表示されます。
    Apply Threshold Filter dialog
  2. 1つまたは複数のダッシュレット タイプを選択します。具体的には、イベント タイムライン、スコア ホイール、メタ ツリーマップです。
  3. 対応するスライダーをドラッグするか、数値を入力し、ドロップダウン リストから演算子として=>=<=のいずれかを選択します。
  4. 適用]をクリックします。
    [イベントのサマリ]で選択したダッシュレット タイプに閾値フィルタが適用されます。

ダッシュレットのタイトルおよびカテゴリー オプションの設定

  1. ダッシュレットの構成可能な設定を表示するには、Dashlet settingsをクリックします。
    ダッシュレットの[オプション]ダイアログが表示されます。
    Event Timeline Options dialog
  2. ダッシュレットの新しいタイトルを[タイトル]フィールドに入力します。
  3. 高確率タグのイベント(イベントに有害なコードが含まれている確率が高いことを意味する)のみを表示するには、[高確率フラグのみ]オプションをチェックします。
  4. 4つのカテゴリ(静的、ネットワーク、コミュニティ、サンドボックス)で特定の値を上回るスコアのイベントのみを表示するには、対応するスライダーをドラッグするか、数値を入力して、ドロップダウン リストから演算子として=>=<=のいずれかを選択します。
  5. 適用]をクリックします。
    タイトルとフィルタがダッシュレットに適用されます。

ダッシュレットの整列

[イベントのサマリ]でのダッシュレットの表示順序を変更する方法

  1. ツールバーで、Actions drop-down menu>[ダッシュレットの整列]を選択します。
    [ダッシュレットの整列]ダイアログが表示されます。
    Order Dashlets dialog
  2. 上または下に移動するダッシュレットを選択して、Move dashlet upまたはMove dashlet downをクリックします。
  3. 並べ換えが完了したら、[適用]をクリックします。
    ダイアログが閉じ、選択内容に合わせて[イベントのサマリ]でのダッシュレットの表示順序が変更されます。

デフォルトのダッシュレットを復元

ダッシュレットの追加、変更、並べ替えを行った後で、ダッシュレットの表示をデフォルト設定に戻すことができます。デフォルトのダッシュレットを復元する方法

  1. ツールバーで、Actions drop-down menu>[デフォルトの構成をリストア]を選択します。
    構成を復元するかどうかの確認を求めるダイアログが開きます。
  2. 次のいずれかを実行します。
    1. 構成済みのダッシュレット表示設定を維持する場合は、[いいえ]をクリックします。
    2. デフォルト設定を復元する場合は、[はい]をクリックします。
      ダッシュレットの表示がデフォルトの表示に戻ります。
Next Topic:調査の開始
You are here
Table of Contents > NetWitnessの[調査]ビューと環境設定の構成 > Malware Analysis[イベントのサマリ]ビューの構成

Attachments

    Outcomes