調査:[イベント分析]ビューでの結果のフィルタリング

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

注:このトピックに記載されている情報はRSA NetWitness® Suite バージョン11.1以降に適用されます。

NetWitness Suiteバージョン11.0では、[ナビゲート]ビューまたは[イベント]ビューでクエリを実行し、[イベント分析]ビューに移動すると、読み取り専用の階層リンクに実行したクエリが表示されます。別のクエリを入力する場合は、[イベント]ビューまたは[ナビゲート]ビューに戻る必要があります。

バージョン11.1以降では、クエリ ビルダが[イベント分析]ビューの対話形式の階層リンクにクエリを入力し、階層リンクの中で<meta key> <operator> <meta value>形式のフィルタを作成したり編集することができます。加えて、[ナビゲート]ビューまたは[イベント]ビューに戻らなくても、別のサービスと時間範囲を選択できます。このセクションの後半では、バージョン11.1のクエリ ビルダ機能の使用方法について説明します。

階層リンクの仕組み

[調査]ビューで[イベント分析]オプションをクリックして[イベント分析]ビューを開くと、サービスと時間範囲のセレクタが表示されます。デフォルトで、最初のサービスが自動選択されます(事前にサービスが選択され、そのサービスがlocalStorageに存在する場合を除く)。時間範囲を選択しなかった場合は、デフォルトの時間範囲が使用されます。クエリ ビルダ フィールドは、時間範囲の右側にある空のフィールドです。次の図は、サービスと時間範囲だけが選択されている階層リンクを示しています。

Empty query builder field in the Event Analysis view

[イベント]ビューまたは[ナビゲート]ビューから[イベント分析]ビューを開くと、[イベント]ビューまたは[ナビゲート]ビューで選択されたサービス、時間範囲、すべてのフィルタが階層リンクに表示されます。サービス、時間範囲、各フィルタを変更することができます。

注:クエリ ビルダは、<meta key><operator><meta value>という形式の単純なフィルタのみをサポートしています。[イベント]ビューまたは[ナビゲート]ビューに複数の演算子、||、&&、()、REGEX、LENGTHを使用したフィルタが含まれている場合は、[イベント分析]ビューにフィルタは追加されますが、編集することはできません。

クエリ ビルダでフィルタを作成すると、階層リンクが更新され、各フィルタがフィールドに追加されます。クエリを送信するときに、すべてのフィルタがAND処理され、結果が生成されます。[Query Events]をクリックするまで、クエリは送信されません。フィルタは、作成した順に左から右に並びます。各フィルタは、<meta key> <operator> <optional value>という形式の単純な式です。フィルタをいくつも追加して、1行に表示しきれなくなると、次の行に折り返され、入力領域が縦に広がります。このため、右にスクロールしなくても、すべてのフィルタを表示できます。

フィルタを作成して編集するときには、オートコンプリートによりドロップダウン リストに有効なメタ キーと演算子の候補が表示されます。入力は、直接値を入力するか、ドロップダウン リストから選択することもできます。ドロップダウン リストでは、実行時間の長い演算子にストップウォッチ アイコンが表示されます。無効なフィルタには、赤色の枠が表示され、そのフィルタにポイントを合わせると、エラーに関するメッセージが表示されます。

[Query Events]ボタンは、必要に応じて階層リンクの右端に表示されます。[Query Events]をクリックすると、新しいフィルタが適用されます。

注:サービスを変更した場合、再構築や[イベント]パネル([さらに読み込み]を実行した場合など)に必要なデータを取得するネットワーク コールでは、以前のサービス/時間範囲/メタデータ フィルタが使用されます。これらの以前のクエリ パラメータは、新しいクエリを送信するまで使用され続けます。結果セットをロードしてから、サービス、時間範囲、フィルタを変更すると、[Query Events]ボタンが青色に変わり、表示中のデータが古くなっていることを示します。パラメータのいずれかを変更し、その後で変更を元に戻した場合でも、[Query Events]ボタンは青色に変わり、クエリを再実行する必要があることを示します。

階層リンクで使用するキーボード操作

階層リンクは、マウスを使用しなくても、キーボード入力だけでフィルタの入力、編集、削除ができるよう設計されています。マウスも使用できますが、キーボードだけで操作することもできます。この表は、カーソルが階層リンクのクエリ ビルダ部分にあるときに、使用可能なキーボード操作を示しています。これらの操作は、サービス セレクタと時間範囲では使用できません。

                                                               
操作キーボードへの入力
URLを更新して、クエリを再実行します。クエリ ビルダにフォーカスがある状態で、Enterキーを押してます。
左隣のフィルタ(存在する場合)を選択します。クエリ ビルダで何も選択されていない状態で、左矢印キーを押します。
右隣のフィルタ(存在する場合)を選択します。クエリ ビルダで何も選択されていない状態で、右矢印キーを押します。
新しいフィルタを選択したフィルタの左隣に挿入します。フィルタが選択された状態で、左矢印キーを押します。
新しいフィルタを選択したフィルタの右隣に挿入します。フィルタが選択された状態で、右矢印キーを押します。
新しいフィルタを選択したフィルタの左隣に挿入して、編集します。フィルタが選択された状態で、Shift + 左矢印キーを押します。
新しいフィルタを選択したフィルタの左隣に挿入して、編集します。フィルタが選択された状態で、Shift + 右矢印キーを押します。
現在のフィルタの右側にあるすべてのフィルタを選択します。フィルタが選択された状態で、Shift + 下矢印キーを押します。

現在のフィルタの左側にあるすべてのフィルタを選択します。

フィルタが選択された状態で、Shift + 上矢印キーを押します。

すべてのフィルタの選択を解除します。フィルタが選択された状態で、Escapeキーを押します。

選択されたすべてのフィルタを削除します。

フィルタが選択された状態で、右クリック>[選択したフィルタを削除]オプションを選択するか、Deleteキーを押すか、Backspaceキーを押します。

選択されたフィルタのみでクエリを更新します。フィルタが選択された状態で、右クリック>[選択したフィルタでクエリを実行]オプションを選択します。

選択したフィルタを使用して、新しいタブを開きます。

フィルタが選択された状態で、右クリック>[新しいタブで、選択したフィルタでクエリを実行]オプションを選択します。

階層リンクへのフィルタの追加

[イベント分析]ビューに表示されるデータをフィルタリングするには、次の手順を実行します。

  1. イベント分析]ビューに移動します。
  2. フィルタを挿入するには、空のクエリ ビルダ フィールドまたは既存のフィルタの前か後ろをクリックします。
    挿入ポイントが2つのフィルタの間にある場合は、挿入ポイントに緑色の円が表示されます。挿入ポイントが既存のフィルタの最後尾にある場合は、フィルタ入力フィールドが表示されます。次の図は、空のクエリ ビルダ フィールドです。
    Empty query builder field in the Event Analysis view

  3. 挿入ポイントをクリックすると、ドロップダウン メニューに新しいフィルタで使用可能なメタ キーが一覧表示されます。使用可能なメタ キーは、調査中のサービスから取得します。文字を入力すると、メタ キーがフィルタリングされリストが更新されます。
    the Meta Key drop-down list

  4. メタ キーを選択するには、次のいずれかを実行します。

    1. ドロップダウン メニューにオプションが1つしか存在しない場合は、スペース バーを押します。
    2. ドロップダウン メニューに複数のオプションが存在する場合は、メタ キーをクリックするか、上/下矢印キーを使用して、Enterキーを押します。
    3. メタ キーとスペースを入力します。メタ キーを入力するにつれ、リストが更に更新されます。
      メタ キーを選択すると、選択したメタ キーに有効な演算子のリストが表示されます。処理時間が長い演算子は、ストップウォッチ アイコンが表示されます。
      the operators drop-down list with a stopwatch marking operators that take more time to query
  5. 演算子を選択するには、次のいずれかを実行します。

    1. ドロップダウン メニューにオプションが1つしか存在しない場合は、スペース バーを押します。
    2. ドロップダウン メニューに複数のオプションが存在する場合は、演算子をクリックするか、上/下矢印キーを使用して、Enterキーを押します。
    3. 演算子を入力して、Enterキーを押します。
      ドロップダウン リストが閉じて、演算子に値が必要な場合は、値を追加することができます。
  6. (オプション)値を入力して、Enterキーを押します。

  7. フィルタを作成するには、Enterキーを押します。Enterキーを押す前にボックスの外側をクリックした場合は、フィルタが作成されません。
    新しいフィルタが挿入され、カーソルは最後のフィルタの後ろを再フォーカスします。
    フィルタにエラーがある場合は、赤色の枠が表示されます。フィルタにポインタを合わせると、ポップアップににエラーが表示されます。
  8. エラーのあるフィルタをすべて修正します。
  9. 階層リンクでクエリを実行する準備ができたら、[Query Events]をクリックします。
  10. クエリの結果を反映して、イベント リストが更新されます。

階層リンクでのフィルタの編集

クエリ ビルダでフィルタを編集するには、次の手順を実行します。

  1. イベント分析]ビューに移動します。
  2. フィルタを編集するには、フィルタをダブルクリックするか、フィルタをクリックしてEnterキーを押します。
  3. 編集が終了したら、Enterキーを押して、フィルタを更新します。
  4. フィルタの選択を解除するには、別のフィルタをクリックします。
  5. クエリを再度実行する場合は、[Query Events]ボタンをクリックします。
    変更したクエリの結果を反映して、イベント リストが更新されます。[126]

階層リンクのフィルタを選択してクエリを実行

階層リンクに複数のフィルタが存在する場合は、選択したフィルタだけを使用してクエリを実行することができます。結果は、現在のブラウザ タブまたは新しいブラウザ タブに表示されます。

選択されたフィルタのみでクエリを更新するには、次の手順を実行します。

  1. 階層リンクには少なくとも2つのフィルタを含む必要があります。たとえば、クエリに次の3つのフィルタが使用されているとします。risk.info = existsdirection ="lateral"threat.category exists
  2. 選択したフィルタを使用して新しいタブを開くには、query direction = "lateral"フィルタを右クリックして、ドロップダウン メニューから、[新しいタブで、選択したフィルタでクエリを実行]を選択します。
    the Query with selected filters in a new tab option selected
    新しいタブが開いて、選択したフィルタの結果が表示されます。
    results in a new tab
  3. 同じタブに選択したフィルタの結果を表示するには、direction = "lateral"threat.category existsをクリックします。その後で、右クリックして、ドロップダウン メニューから、[選択したフィルタでクエリを実行]を選択します。
    the Query with selected filters option selected in the drop-down menu

階層リンクのフィルタの削除

フィルタを削除するには、次の手順を実行します。

  1. フィルタの[X]をクリックするか、フィルタをクリックして選択し、Deleteキーを押すか、1つ以上のフィルタを選択して右クリックし、ドロップダウン メニューから[選択したフィルタを削除]を選択します。
  2. クエリを再度実行する場合は、[Query Events]ボタンをクリックします。
    選択したフィルタが削除され、イベント リストが更新されます。
You are here
Table of Contents > [イベント分析]ビューでのRAWイベントとメタ データの分析 > [イベント分析]ビューでの結果のフィルタリング

Attachments

    Outcomes