[イベントの再構築]ビューは廃止予定であり、[イベント]ビューが優先されます。[レガシー イベント]ビューには、[レガシー イベント]ビューで選択したイベントの再構築が表示されます。デフォルトでは、NetWitness Platformはイベントのコンテンツから判断されたイベントに最適な再構築形式か、Investigateの[デフォルト セッション表示]の設定で選択したデフォルトの再構築形式を表示します。[イベントの再構築]ツールバーのオプションを使用して、再構築方法の変更、複数の結果の上下または並行表示、リクエストとレスポンス ビューの選択、イベントのエクスポート、メタ値のエクスポート、ファイルの展開、メールの添付ファイルの表示、新しいタブでのイベントの表示を行うことができます。
このビューにアクセスするには、次のいずれかを実行します。
- 任意の[レガシー イベント]ビューで、イベントをダブルクリックします。
- 詳細ビューを選択した[レガシー イベント]ビューで、イベントの最後の[イベント]を右クリックし、[イベントの再構築]を選択します。
- プレビューした再構築の[イベント再構築]ツールバーで、[イベントを新しいタブで開く]をクリックします。
- [ナビゲート]ビューで、[アクション]>[イベント再構築に移動]を選択し、イベントIDを入力します。
実行したいことは何ですか?
ユーザ ロール | 実行したいこと | 手順 |
---|---|---|
インシデント対応者または脅威ハンター | 環境内で特定された検出と信号の確認 | 『NetWitness Platformスタート ガイド』 |
インシデント対応者 | 重要なインシデントまたはアラートの確認 | 『NetWitness Respondユーザ ガイド』 |
脅威ハンター | サービス、メタデータ、時間範囲のクエリを実行 | |
脅威ハンター | メタデータの表示 | |
脅威ハンター | 連続したイベントの表示* | |
脅威ハンター | イベントの再構築と分析* | |
脅威ハンター | ファイルおよび関連づけられたホストの調査* | |
脅威ハンター | ルックアップの実行 | |
脅威ハンター | インシデントの作成またはインシデントへの追加* | |
脅威ハンター | Context Hubリストへのメタ値の追加 |
*このタスクは現在のビューで実行できます。
関連トピック
簡単な説明
次の図は、[イベントの再構築]ビューの例です。次の表に、ツールバーのオプションを示します。
機能 | 説明 |
---|---|
リクエストとレスポンス | ビューで次の項目を表示するかどうかを選択するためのドロップダウン メニューを表示します。
|
構成 | 情報を上下に並べて表示するか、左右に並べて表示するかを選択するためのドロップダウン メニューを表示します。 |
[再構築]ビュー | 表示する情報を選択するためのドロップダウン メニューを表示します。デフォルトでは[最適な表示]が選択されています。その他のオプションは次のとおりです。
|
アクション | [イベントの再構築]ビューで利用できるアクションが、ドロップダウン メニューに表示されます(PCAPのエクスポート、ファイルの抽出、メタのエクスポート)。 |
イベントを新しいタブで開く | 新しいブラウザ タブでイベントを開きます。 |
イベント分析 | [イベント分析]ビューでイベントを開きます。 |
ツールバーの下にはメタ キーと値の一覧が表示されます。いくつかのキーでは、利用できるアクションがドロップダウン メニューに表示されます。
ビューの下部に表示されるバーには、いくつかのオプションが表示されます。