Skip navigation
Log in to create and rate content, and to follow, bookmark, and share content with other members.

調査:NetWitness Investigateの仕組み

Document created by RSA Information Design and Development Employee on Oct 19, 2018Last modified by RSA Information Design and Development Employee on Dec 7, 2020
Version 4Show Document
  • View in full screen mode
 

NetWitness Investigateは、RSA NetWitness Platformによって収集されたイベントを分析する手段をアナリストに提供します。アナリストはInvestigateを使用して、パケット、ログ、エンドポイント データを検証し、環境内の内部または外部からの潜在的な脅威を特定することができます。アナリストは複数のビューを使用して、環境内のデータをさまざまな視点から把握できます。すべてのビューに共通する重要な要素は、メタ データです。

注: バージョン11.1以降では、[ホスト]ビューおよび[ファイル]ビューにエンドポイント データが表示されます。以前のバージョンでは、スタンドアロンのNetWitness Endpointサーバを経由してエンドポイント データにアクセスできます。

メタデータ、メタ キー、メタ値、メタ エンティティ

RSA NetWitness Platformは、環境内のすべてのデータ通信を監査および監視します。サービスの1つであるDecoderは、ネットワークからキャプチャされたパケット、デバイスから転送されたログ、エンドポイント エージェントが観察したエンドポイント イベントを取得、解析、保存します。Decoderに構成されたルール、パーサ、フィードは、取得したログ、パケット、エンドポイント データをアナリストが調査できるよう、メタデータを作成します。もう1つのタイプのサービスは、Concentratorと呼ばれ、メタデータのインデックスを作成して格納し、あらゆるタイプのメタデータを効率的に検索できるようにします。

メタデータは、元のデータに含まれる重要な参照ポイントをアナリストに提供するために作成されます。これによりアナリストは、イベントの詳細をすべて調べなくても、何が発生したかをすばやく把握できるようになります。メタデータは、メタ キーとそのメタ値で構成されます。たとえば、ip.srcはメタ キーであり、トラフィックのソースIPアドレス(192.168.1.1)は、ip.srcがタグ付けされたメタ値です。[調査]ビューでデータを表示すると、メタ キーip.srcと、そのキーがタグ付けされているすべてのIPアドレス(メタ値)が表示されます。標準提供のメタ キーもあれば、管理者が定義した環境固有のカスタム キーもあります。データの提供元に関係なく、すべてのメタデータはRSA NetWitness Platformの統合データ モデルに正規化され、同様のメタデータの概念が同様のメタ キーにグループ化されます(https://community.rsa.com/community/products/netwitness/rsa-content/udmを参照)。

メタ エンティティは、バージョン11.1以降で使用できます。メタ エンティティは、異なるメタ キーの結果をグループ化するエイリアスです。メタ エンティティは、同様のメタ キーを単一の使いやすいメタ タイプにまとめます。たとえば、デフォルトのコア データベース言語には、ソースIP用と宛先IP用に別々のメタ キーが含まれています。標準提供のメタ エンティティの1つであるip.allは、ソースIPと宛先IPを合わせたすべてのIPアドレスを表します。一部のメタ エンティティはデフォルトで提供されますが、管理者がカスタム メタ エンティティを作成することもできます。アナリストは、クエリ、メタ グループ、列グループ、クエリ プロファイルの中でメタ エンティティを使用できます。座標表示チャートはメタ エンティティをサポートしていません。管理者は、メタ エンティティを使用して、ユーザ ロールとユーザに適用するクエリ プレフィックスを定義できます(『システム セキュリティとユーザ管理ガイド』を参照)。「Decoder構成ガイド」に、メタ エンティティの作成に関する追加情報と、ルールでの使用方法が記載されています。

注: メタ エンティティは、すべてのアップストリームのConcentratorで構成する必要があります。いずれかのConcentratorにメタ エンティティが構成されていない場合、Brokerでクエリを実行すると、そのメタ エンティティは空になります。

アナリストは通常、脅威を検出するためにBrokerまたはConcentratorに対してクエリを実行します。Concentratorはクエリを処理し、RAWログまたはエンドポイント イベント、あるいはネットワーク イベントの完全な再構築が必要な場合にのみDecoderが使用されます。ESA、Malware Analysis、Reporting EngineもConcentratorに対してクエリを実行し、各Decoderをクエリすることなく、イベントに関連づけられたすべてのメタデータをすばやく取得して、情報を生成できます。一部の特殊なケースでは、アナリストがDecoderに対してクエリを実行することがあります。

調査のトリガー

調査のトリガーの例をいくつか示します。

  • 新しいActive Directoryハッキングに関するインテリジェンス情報が送られてきます。[イベント]ビューを開き、そのインテリジェンス情報を使用して、Active Directoryの過去24時間のすべてのRAWログ データに対して検索を実行します。
  • SOCマネージャーから、話題になっているPokemon Goマルウェアを検索するように依頼されます。[ナビゲート]ビューを開き、SOCマネージャーがセキュリティ ブログで見つけたマルウェアに関連する特定のユーザ エージェントを使用したHTTPセッションを検索するクエリを作成します。
  • インシデント対応者が、特定のホストに関連したいくつかの不自然なインジケータを示すチケットをエスカレーションします。[ホスト]ビューを開き、そのホストを調査してより明確な情報を探します。
  • 新しいゼロデイ攻撃を探すため、[ナビゲート]ビュー(または[イベント]ビューの[イベントの絞り込み]パネル)を開き、ネットワーク メタデータのドリルダウンを開始し、会社の外へ向かう異常な自動化セッションを探します。
  • 解雇されて間もない従業員のユーザ アカウントjarvisに関連した情報を検索するようにSOCマネージャーから依頼されます。[ユーザ]ビューを開き、そのユーザ名でフィルタリングし、そのユーザのアクティビティがなくなったことを確認し、そのユーザが解雇される前に通常の動作から逸脱していなかったかどうかを調べることができます。
  • 検出されたフィッシング攻撃には、添付ファイルが関連づけられています。環境内のどのデバイスでそのファイルが閲覧されたかを調べるため、[ファイル]ビューでファイル ハッシュを検索します。

  • 悪意のあるファイルが環境内で自動的に検出されたため、そのファイルに対する静的および動的な分析と、そのファイルに感染したシステムの数を確認する必要があります。[調査]>[マルウェア分析]を開き、分析結果を確認できます。

調査のワークフロー

アナリストは、NetWitness Platformによって収集されたデータを調査し、NetWitness Platformダッシュボード上の情報、スプリングボード(バージョン11.5以降)、NetWitness Respondのインシデントまたはアラート、NetWitness Platform Reporting Engineによって作成されたレポート、またはサードパーティ アプリケーションの情報を掘り下げて調べることができます。調査の過程で、アナリストは様々なビュー([ナビゲート]ビュー、[イベント]ビュー、[レガシー イベント]ビュー、[ホスト]ビュー、[ファイル]ビュー、[ユーザ(エンティティ)]ビュー、[マルウェア分析]ビュー)をシームレスに移動することができます。次の図は、バージョン11.4以前のNetWitness Investigateサブメニューを示しています。

[レガシー イベント]ビューが有効になった[調査]メニュー

次の図は、[ユーザ]、[ホスト]、[ファイル]が最上位メニューに移動し、アナリストのワークフローに最適化された、バージョン11.5のメニューを示しています。

バージョン11.5のメニュー

注:
- [ファイル]ビューと[ホスト]ビューはバージョン11.1以降で使用可能です。11.5より前のバージョンでは、[調査]ビューのサブメニューでした。
- [ユーザ]ビューはバージョン11.2以降で使用できます。バージョン11.4では、[エンティティ]ビューという名前でした。11.5より前のバージョンでは、[調査]ビューのサブメニューでした。
- [レガシー イベント]ビューはバージョン11.4ではデフォルトで無効になっていますが、『システム構成ガイド』の説明に従って管理者が有効にできます。
- ユーザがNetWitness Platformで調査とマルウェア分析を行うには、特定のユーザ ロールと権限が必要です。ビューを表示できない場合は、管理者によりロールや権限の変更が必要となる可能性があります。

1つのビューから別のビューに移動する必要を減らすため、ビューは緊密に統合されています。調査の開始場所はユースケースごとに決まりますが、見つけようとしている情報の種類に応じて状況は変化します。何かを突き止めてから、その結果に基づいて次の調査ポイントに移動する必要があるため、多くの調査は、1つのビューで始まって、別のビューで終わります。経験豊富なアナリストは、[ナビゲート]ビューまたは[イベント]ビューで調査を開始する傾向があります。経験の浅いアナリストは、ダッシュボード、[対応]ビュー、またはスプリングボード(バージョン11.5以降)から開始できます。これらのビューでは、インシデントとアラートのリンクをクリックして、別のビューに詳細情報と分析を表示できます。

                                       
開始場所調査の焦点
[ナビゲート]ビュー

[ナビゲート]ビュー(デフォルトの[調査]ビュー)には、ログ、エンドポイント、およびネットワーク イベントのメタ キーとメタ値が表示されるため、特定の時間範囲に環境で起こったことの概要を把握するのに適しています。メタ値をドリルダウンした後、[イベント]ビューに移動してRAWイベントを確認します(「[ナビゲート]ビューでの結果のフィルタリング」を参照)。

[イベント]ビュー

[イベント]ビューは、アナリストがイベントをインタラクティブに操作するためのワークフローであり、隣接するパネルに同じデータのさまざまな側面を表示します。バージョン11.5では、メタ値をドリルダウンするために[ナビゲート]ビューに移動する必要はありません。

(「結果セットの絞り込み」、「イベントの再構築と分析」、「結果のダウンロードと処理」を参照してください)。

[レガシー イベント]ビュー

[レガシー イベント]ビューは、バージョン11.0~11.3.x.xでは、イベントの詳細を確認するワークフローでした。[レガシー イベント]ビューは、11.4以降は[イベント]ビューに置き換えられ、管理者が有効にしない限り非表示になります。

(「結果セットの絞り込み」、「イベントの再構築と分析」、「結果のダウンロードと処理」を参照してください)。

[ホスト]ビュー

[ホスト]ビューは、バージョン11.5でメイン メニューに移動しました。NetWitness Endpointエージェントが実行されているホストが表示されます。ホストごとに、プロセス、ドライバ、DLL、ファイル(実行可能ファイル)、サービス、異常、実行中のAutorun、ログイン ユーザに関連する情報が表示されます。(『NetWitness Endpointユーザ ガイド』を参照。)

[ファイル]ビュー

[ファイル]ビューは、バージョン11.5でメイン メニューに移動しました。導入環境内のPE、Macho、ELFなどのファイルが表示されます。ファイルごとに、ファイル名、レピュテーション ステータス、ファイルのステータス、リスク スコア、署名、チェックサムなどの詳細を表示できます。(『NetWitness Endpointユーザ ガイド』を参照。)

[マルウェア分析]ビュー

Malware Analysisアプライアンスを実行している場合は、ファイルをスキャンして、4種類の分析(ネットワーク、静的、コミュニティ、サンドボックス)の結果を表示できます。ファイルがマルウェアの場合は、[ホスト]ビューに移動して、どのホストがそのファイルをダウンロードしたかを確認することができます。(『Malware Analysis ユーザ ガイド』を参照してください。)

[ユーザ]ビュー

[ユーザ]ビュー(バージョン11.4では[エンティティ]ビュー)は、バージョン11.5でメイン メニューに移動しました。このビューでは、NetWitness UEBAを使用して、エンタープライズ全体で危険なユーザの行動を可視化できます。環境内の高リスク ユーザのリストと、高リスク行動を示す上位アラートのサマリーが表示されます。ユーザまたはアラートを選択すれば、高リスク行動の詳細と、発生のタイムラインを表示できます。管理者またはUEBAアナリスト ロールを割り当てられたNetWitness Platformユーザは、このビューにアクセスできます(『RSA NetWitness UEBAユーザ ガイド』を参照してください)。

メタデータ、クエリ、時間に焦点を当てた調査

次の図は、メタデータ、クエリ、時間範囲に焦点を当てた調査のワークフローを示しています。

調査の基本ワークフロー

アナリストは、インシデント対応ワークフローを進めるために必要なイベントを追跡したり、別のツールがイベントを生成した後で戦略的な分析を行う場合に、Nwtwitness Investigateを使用します。[ナビゲート]ビュー、[イベント]ビュー、[レガシー イベント]ビューのいずれかを開き、次のように調査します。

  1. まず、サービスから特定の時間範囲のデータを取得するクエリを実行します。次に、結果をフィルタリングしてイベントのサブセットを取得し、フィルタリングされたイベントの1つを再構築または分析し、別のイベントに対しても再構築または分析の処理を繰り返します。標準提供のクエリ プロファイル、メタ グループ、列グループは、適切な開始点となります。たとえば、RSA Email Analysisクエリ プロファイルを選択すると、メールのリスクを調査するときに役立つメタデータのみを表示することができます。
  2. イベントを詳しく確認する場合は、そのイベントに関連するコンテキストを表示し、インシデントを作成するか、イベントを既存のインシデントに追加するかを決定します。イベントをインシデントに追加しない場合は、さらに洞察を進めるため、別のクエリを実行できます。つまり、再度ワークフローの先頭から開始します。
  3. ネットワーク内の特定のホストでの疑わしいアクティビティまたはファイルに気付いた場合は、[ホスト]ビューと[ファイル]ビューまたはスタンドアロンNetWitness Endpoint Serverで、ホストとそのホストで見つかったファイルに関する追加情報を収集します。
  4. マルウェアを含む可能性があるファイルまたはイベントを見つけた場合は、ファイルに対してマルウェア分析スキャンを実行するか、[マルウェア分析]ビューを開いてイベントが表示されたサービスのスキャンを開始します。

シンプルなユースケースを1つ示します。たとえば、特定の国との不審なトラフィックを危惧する場合、Destination Countryメタ キーを確認することにより、実際のすべての宛先と通信の頻度を明らかにすることができます。これらの値を掘り下げていくと、送信元と宛先のIPアドレスなど、トラフィックの特性が分かります。他のメタ データを調べると、この2つのIPアドレス間で交換されているファイルの特性を明らかにできる場合があります。疑わしいIPアドレスを特定したら、時間範囲を広げて[ナビゲート]ビューまたは[イベント]ビューでそのアドレスを調べ、調査対象のイベントの前後に起きた手がかりを得ることができます。

もう1つのユースケースとして、特定のIPアドレスから知的財産や機密データを窃取しているネットワーク内の悪意のある内部関係者を検出するアラートを調査します。調査は、メタ値「Upload without change request followed by download alert」から開始します。始めに[ナビゲート]ビューまたは[イベント]ビューで、アラートが生成された時間範囲のデータを、特定のIPアドレスの値で絞り込みます。Alertsメタデータには、リスク インジケータがメタ値として表示されるため、別のメタ値をクリックして、イベント リストを絞り込んだ後で、イベントを再構築できます。次にファイルを抽出し、ファイルを調べて何が起きたかを理解します。この情報を元に、時間範囲を広げて、同じIPアドレスのデータをフィルタリングし、イベントの前後のアクティビティを表示することができます。

[対応]ビューのインシデントとアラートに焦点を当てた調査

[対応]ビューで、インシデントまたはアラートを処理するアナリストは、[調査]ビューでインシデントを開いて、イベントまたはアラートのより深い分析を実行できます。

  • 通常、インシデント対応のワークフローは[対応]ビューから始まります。このビューでインシデントを調査するアナリストは、[調査]ビューでインシデントに関するインテリジェンス情報を収集する必要があります。IPアドレスなど、インシデントまたはアラートにある下線付きのエンティティにカーソルを合わせて、[調査]>[ナビゲート]への移行アクションを選択します。[ナビゲート]ビューが開き、選択したエンティティでフィルタされたデータが表示されます。定義済みのメタ キーでクエリが実行され、収集されたパケット、ログ、エンドポイント イベントが[ナビゲート]ビューに表示されます。
  • インシデントに関連したイベントを見つけた場合は、NetWitness Respondのインシデントにイベントを追加します。[調査]ビューで見つけたイベントから、Respondの新しいインシデントを作成することもできます。
  • [対応]>[インシデントの詳細]ビューの[インジケータ]パネルから、[イベント]ビューを開いて、インジケータのイベントをよりよく理解することができます。

NetWitness Investigate[調査]ビュー

このセクションでは、[ナビゲート]ビュー、[イベント]ビュー、[レガシー イベント]ビューの簡単な説明と例、およびこれらのビューで使用できるコンテキスト情報、イベントの詳細、再構築について説明します。[マルウェア分析]ビューの機能については、『Malware Analysisユーザ ガイド』を参照してください。

[ナビゲート]ビュー

[ナビゲート]ビューでは、Broker、Concentrator、Decoder上にあるネットワーク、ログ、エンドポイント イベントのメタ データをドリル ダウンし、クエリを実行することができます(ただし、Decoderに対する調査は一般的ではありません)。IPアドレスやホスト名などの特定の構成済みメタ キーの場合は、Context Hubを使用して値に関する追加のコンテキスト情報を表示できます。[ナビゲート]ビューでは、データを時系列にビジュアル化して表示することもできます。次の図は、[ナビゲート]ビューを示しています。

  • リスト内の各メタ キーには、それらの値を持つイベントの数に基づいて上位20個の値が表示されます。
  • 値を連続して左クリックまたは右クリックしてメタ値をドリルダウンすると、クリックした各値が追加のフィルタとしてクエリに適用されます。ドリルダウンするに伴い、表示されるメタデータのサブセットは、適用したフィルタに基づいて小さくなります。たとえば、HTTP(service=80)のみを表示するようにフィルタリングした場合、表示される残りのメタデータはすべて、指定したHTTPイベント内に含まれるものになります。
  • 結果を絞り込んで少なくしたら、[イベント]ビューに移動してイベントの詳細をさらに調べたり、NetWitness Platformの内外で追加のルックアップを実行してさらに洞察を得ることができます。


[ナビゲート]ビュー

[イベント]ビュー

[イベント]ビューでは、イベントのリストをシーケンシャルに表示し、RAWイベント データとメタデータを分析し、(バージョン11.5以降では)[ナビゲート]ビューと同様にメタデータをドリルダウンすることができます。

  • イベント]パネルには、ネットワーク イベント、エンドポイント イベント、ログ イベントのリストが時間順に表示されます。RAWイベントの表示、フィルタリング、ソート、検索、詳細と再構築の表示、イベントのダウンロードを行うことができます。イベントをクリックすると、そのイベントの[イベントの詳細]パネルが開きます。[イベント]ビューでは、着目点(着目すべきバイト、ファイル タイプ、エンコード データなど)の特定に役立つヒントとともに、パケット、テキスト、ファイル、メール、Webなどのさまざまな再構築を表示できます。
  • イベント メタ]パネルでは、[イベントの詳細]パネルに表示されているイベントの関連メタデータを表示できます。メタデータを確認するアナリストは、メタデータの表示順序を変更して、目的のメタデータをより的確に追跡することができます。メタデータのリストは、出現した順やアルファベット順に並べ替えることができます。
  • イベントの絞り込み]パネル(バージョン11.5のベータ機能)では、リスト内のイベントのメタ値をドリルダウンして、結果を[イベント]パネルに反映できます。[イベントの絞り込み]パネルをブラウザの幅いっぱいに展開表示すると、[イベント]パネルにイベントを表示する前に、メタ値をドリルダウンして特定の情報を探すことができます([ナビゲート]ビューでデータをドリルダウンする機能に相当)。
  • イベントの詳細]パネルでは、ネットワーク、ログ、またはエンドポイント イベントの詳細を表示し、元の形式に似た形式でイベントを安全に再構築できます。このパネルのタブは、[テキスト]、[パケット]、[ファイル]、[ホスト]、[ユーザ]、[メール]、[Web]です。
  • [イベント]ビューのさまざまなポイントから、スタンドアロンEndpointに移行したり、Liveを検索したり、その他の内部ルックアップを実行したりできます。外部ルックアップでは、調査したいメタ値をインターネット上で検索したり、IPアドレスに関連したパッシブDNS情報を特定したり、URLがブラックリストに登録されているかどうかを確認したり、他のサード パーティ製品とコンテキスト統合することができます
  • (バージョン11.5)ネットワーク イベントがEndpointの情報で拡充され、Endpointエージェントの拡張ネットワーク可視化が構成されている場合、ネットワーク イベントのホスト情報も、[イベント]ビューのヘッダーと[ホスト]タブに表示されます。

    注: 拡張ネットワーク可視化を使用する場合は、Endpoint Log DecoderのデータをEndpoint Concentratorで集計するために使用するサービス ユーザ アカウントに、decoder.manage権限が割り当てられている必要があります。ロールと権限の割り当て方法の詳細については、『システム セキュリティとユーザ管理ガイド』の「ロールの追加と権限の割り当て」を参照してください。

  • IPアドレスやホスト名などの特定の構成済みメタ キーの場合は、Context Hubを使用して値に関する追加のコンテキスト情報を検索できます。追加のコンテキストには、インシデント、アラート、STIX、値が記載されたその他のソースが含まれます。
  • さまざまなタイプのデータをエクスポートできます。[ファイル]ビューでは、ローカル ファイル システムにzipアーカイブでファイルをエクスポートできます。メール再構築を表示している場合は、添付ファイルをダウンロードできます。テキスト再構築からログをダウンロードし、パケット再構築からパケットをエクスポートできます。[イベント]リストから複数のイベントをダウンロードすることができます。

次の図は、[イベント]リストで選択されたネットワーク イベントが中央のパネルで分析され、関連するメタデータが右側のパネルに表示された[イベント]ビューの例です。

分析中のネットワーク イベントを含んだ[イベント]ビューの例

次の図は、左側に[イベントの絞り込み]パネルが開いた[イベント]ビューを示しています。このビューでは、メタ値をドリルダウンして結果セットをフィルタリングします。

メタ値を調査する[イベントの絞り込み]パネルが開いている[イベント]ビューの例

[レガシー イベント]ビュー

[レガシー イベント]ビューは、アナリストがRAWイベント データを調べるために使用する以前のユーザ インタフェースでした(11.0〜11.3.x.x)。[レガシー イベント]ビューはバージョン11.4では不要になり、管理者が『システム構成ガイド』の「調査の設定の構成」の説明に従って有効にしない限り、表示されません。[レガシー イベント]ビューが有効になっている場合は、[イベント]ビューと[レガシー イベント]ビューの両方がメニュー バーに表示されます。[レガシー イベント]ビューには、イベントのシーケンシャル表示と安全な再構築を行えるよう、パケット、ログ、エンドポイント イベントがリスト形式で表示されます。

  • [ナビゲート]ビューで表示しているメタ値の[レガシー イベント]ビューを開くことができます。
  • アナリストにサービスをナビゲートするための十分な権限がない場合、[レガシー イベント]ビューを単独の[調査]ビューとして使用できます。アナリストは、最初にメタデータをドリル ダウンすることなく、NetWitness Platformコア サービスのネットワーク、ログ、エンドポイント イベントのリストにアクセスできます。
  • [レガシー イベント]ビューでは、イベント情報が3つの標準形式(イベントの簡単なリスト、イベントの詳細なリスト、ログ ビュー)で表示されます。
  • IPアドレスやホスト名などの特定の構成済みメタ キーの場合は、Context Hubを使用して値に関する追加のコンテキスト情報を表示できます。追加のコンテキストには、インシデント、アラート、値が記載されたその他のソースが含まれます。
  • イベントや関連ファイルをエクスポートしたり、イベントからインシデントを作成することができます。

次の図は、[レガシー イベント]ビューを示しています。

[レガシー イベント]ビューの例

イベントのコンテキスト情報

[ナビゲート]ビュー、[イベント]ビュー、[レガシー イベント]ビューの[コンテキスト ルックアップ]パネルには、Context Hubに定義されたイベントの構成要素(IPアドレス、ユーザ、ホスト、ドメイン、MACアドレス、ファイル名、ファイル ハッシュのメタ タイプ)に関する詳細情報が表示されます。さらに、時間を除くすべてのメタ キーを右クリックして、追加のコンテキストを表示することもできます。

イベントの要素をインタラクティブに操作して、関連するインシデント、アラート、カスタム リスト、Archer資産、Active Directoryの詳細、NetWitness Endpoint IIOC、STIXデータ ソース(つまり、ファイル、TAXIIサーバ、RESTサーバ)などのより深い洞察を得ることができます(「結果の追加のコンテキストを検索」を参照)。

注: Archer資産情報とActive Directory詳細情報は、[イベント]ビューのコンテキスト ルックアップで使用できます。Endpointのコンテキスト ルックアップは、NetWitness Endpoint 4.4.0.2以降のホストで使用でき、NetWitness Endpoint 11.1以降のホストでは使用できません。

次の図は、[イベント]ビューの[イベント]パネルの右側に表示される[コンテキスト ルックアップ]パネルを示しています。

「イベント分析」ビューの[コンテキスト ルックアップ]パネルの例

次の図は、[レガシー イベント]ビューの[イベント]リストの右側に表示される[コンテキスト ルックアップ]パネルを示しています。

「イベント」ビューで開いている[コンテキスト ルックアップ]パネルの例

再構築とイベントの分析

追加の調査に値するイベントを発見した場合は、そのイベントのコンテンツに最も適した形式で分析できます。分析の形式によっては、パケット、テキスト、メール、Webコンテンツなど、元の形式と同様の形式でイベントを安全に再構築します。イベントの表示中は、お使いのシステムやブラウザへの悪影響を制限するため、イベントに含まれる動的コードまたはアクティブ コードの使用は制限されます。キャッシュを使用して、以前に表示されたイベントを表示するときのパフォーマンスを向上させることができます。各アナリストには再構築データ用に個別のキャッシュがあり、自身のキャッシュにある再構築イベントにのみアクセスできます。

Endpointが導入されており、Endpointエージェントに拡張ネットワーク可視化が構成されている場合は、一部のネットワーク イベントにはホスト データが付加されます。このようなイベントでは、ホストの詳細を表示できます。

[イベント]ビューを使用すると、イベントをインタラクティブに分析して、RAWデータ、メタ キー、メタ値を調べることができます。次の図は、[イベント]ビューでパケットとして表示されているネットワーク イベントの例です。

パケットに焦点を合わせたネットワーク イベントの詳細

[レガシー イベント]ビューのイベント再構築には、イベントのRAWデータ、メタ キーとメタ値がリスト形式で表示されます。次の図は、イベントの再構築の例です。

 

[イベントの再構築]ビュー

 

You are here
Table of Contents > NetWitness Investigateの仕組み

Attachments

    Outcomes