調査：［イベントの再構築］ビュー

Document created by RSA Information Design and Development on Oct 19, 2018•Last modified by RSA Information Design and Development on Apr 29, 2019

Version 2Show Document

Like • Show 0 Likes0
Comment • 0
View in full screen mode

［イベントの再構築］ビューでは、［イベント］ビューから選択したイベントの再構築を提供します。デフォルトでは、NetWitness Platformはイベントのコンテンツから判断されたイベントに最適な再構築形式か、調査の［デフォルトセッション表示］の設定で選択したデフォルトの再構築形式を表示します。［イベントの再構築］ツールバーのオプションを使用して、再構築方法の変更、複数の結果の上下または並行表示、リクエストとレスポンスビューの選択、イベントのエクスポート、メタ値のエクスポート、ファイルの展開、メールの添付ファイルの表示、新しいタブでのイベントの表示を行うことができます。

このビューにアクセスするには、次のいずれかを実行します。

任意の［イベント］ビューで、イベントをダブルクリックします。
詳細ビューを選択した［イベント］ビューで、イベントの最後の［イベント分析］を右クリックし、［イベントの再構築］を選択します。
プレビューした再構築の［イベント再構築］ツールバーで、［イベントを新しいタブで開く］をクリックします。
［ナビゲート］ビューで、［アクション］＞［イベント再構築に移動］を選択し、イベントIDを入力します。

ワークフロー

実行したいことは何ですか?

ユーザのロール	実行したいこと	手順
脅威ハンター	イベントメタデータを参照する	［ナビゲート］または［イベント］ビューで調査を開始する
脅威ハンター	RAWイベントを参照する	［ナビゲート］または［イベント］ビューで調査を開始する
脅威ハンター	RAWイベントとメタデータを分析する	［イベント分析］ビューで調査を開始する
脅威ハンター	エンドポイントを調査する（バージョン11.1）	ホストの調査
脅威ハンター	不審なエンドポイントファイルを探す（バージョン11.1）	ファイルの調査
脅威ハンター	ファイルとイベントをスキャンしてマルウェアを探す	Malware Analysisの実施
インシデント対応者	調査でインシデントを優先順位付けする	NetWitness Respondユーザガイド
脅威ハンター	イベントの再構築	イベントの再構築
脅威ハンター	再構築されたイベントからのファイルの抽出	イベントの再構築

*このタスクは現在のビューで実行できます。

簡単な説明

次の図は、［イベントの再構築］ビューの例です。次の表に、ツールバーの各オプションについて説明します。

機能	説明
リクエストとレスポンス	ビューで次の項目を表示するかどうかを選択するためのドロップダウンメニューを表示します。リクエストとレスポンスリクエストレスポンス
構成	情報を上下に並べて表示するか、左右に並べて表示するかを選択するためのドロップダウンメニューを表示します。
表示	表示する情報を選択するためのドロップダウンメニューを表示します。デフォルトでは［最適な表示］が選択されています。その他のオプションは次のとおりです。メタの表示テキストの表示 16進数の表示パケットの表示 Webの表示メールの表示ファイルの表示
アクション	［イベントの再構築］ビューで利用できるアクションが、ドロップダウンメニューに表示されます。
イベントを新しいタブで開く	新しいブラウザタブでイベントを開きます。

ツールバーの下にはメタキーと値の一覧が表示されます。いくつかのキーでは、利用できるアクションがドロップダウンメニューに表示されます。

ビューの下部に表示されるバーには、いくつかのオプションが表示されます。

機能	説明
	前のイベントが表示されます。
	次のイベントが表示されます。
再構築ログの表示	ビューの下部に再構築ログが表示されます。このボタンをクリックすると、［再構築ログの非表示］に変わります。