このトピックでは、[Investigation]>[イベント]ビューで利用できる機能について説明します。
[Investigation]>[イベント]ビューでは、セッションに関連づけられているイベントのリストを表示できます。[イベント]ビューを表示するには、次の2つの方法があります。
- Security Analyticsメニューで、[Investigation]>[イベント]を選択します。Security Analyticsは、デフォルトのサービス(設定されている場合)の直近3時間についてデフォルト クエリーを実行するか、またはサービスを選択するダイアログを表示してからデフォルト クエリーを実行します。デフォルト クエリーではすべてのイベントが選択され、選択したサービスのイベントが古い順に[イベント]ビューに表示されます。
- [ナビゲート]ビュー内でイベントをクリックします。[イベント]ビューには、[ナビゲート]ビューのドリルダウン ポイントに基づいて、選択したサービスのイベントが表示されます。
[イベント]ビューには、詳細ビュー、リスト ビュー、ログ ビューという、ビルトインの3種類の表示形式でイベント データを表示できます。リスト ビューおよび詳細ビューは、パケット データ イベントを表示するためのものであり、タイムスタンプ、イベント タイプ、イベント テーマ、サイズなど、各イベントの詳細な情報が確認できます。
- リスト ビューでは、イベントのソース アドレスおよび宛先 アドレスとポート番号がグリッドに表示されます。
- 詳細ビューでは、イベントについて収集された主なメタデータがページ ビュー形式で表示されます。
ログ ビューは、ログ情報の表示のために最適化されたビューであり、タイムスタンプ、イベント タイプ、サービス タイプ、サービス クラス、ログなど、各ログの詳細情報が確認できます。
[イベント]ビューのフィルタ表示では、クエリー、時間範囲設定、プロファイルを使用できます。[イベント]ビューのいずれの表示形式からも、ファイルの抽出、イベントのエクスポート、ログのエクスポートを行うことができます。また、イベントをダブル クリックすると、[イベントの再構築]パネルが開きます。
次の図は、詳細ビューのイベントの例です。[コンテキスト ルックアップ]パネルはContext Hubサービスが構成されている場合にのみ表示されます。
次の図は、リスト ビューのイベントの例です。
次の図は、ログ ビューの例です。
機能
[イベント]ビューには、上部に以下のオプションを備えたツールバーがあります。
| 機能 | 説明 |
|---|---|
| サービスを選択 | アイコンの横に選択したサービス名が表示されます。[調査するサービス]ダイアログを開きます。このダイアログでは、イベント リストを表示するサービスを選択できます。 |
| 時間範囲 | イベント リストに適用する時間範囲を選択するためのドロップダウン メニューが表示されます。標準的なオプションのなかから1つを選択するか、カスタム時間範囲を指定できます。 |
クエリー | [フィルターの作成]ダイアログが表示されます。ここでは、データをドリルダウンするのではなく、カスタム クエリーを直接入力できます(次のトピックを参照してください:カスタム クエリーの作成) |
プロファイルの使用 | [プロファイルの使用]メニューが表示されます。現在選択されているプロファイルがツールバーに表示されます。プロファイルでは、カスタム メタ グループ、デフォルトの列グループ、プレクエリーなどを管理および使用できます。プロファイルは、[ナビゲート]ビュー(メタ グループとクエリー)および[イベント]ビュー(列グループとクエリー)に適用されます。 |
ビューの選択のドロップダウン | イベント ビューのタイプを選択するためのドロップダウン メニューを表示します。
|
アクション | [イベント]ビューのアクションが、ドロップダウン メニューに表示されます。
|
| インシデント | ドロップダウン メニューが表示され、新しいインシデントを作成するか、既存のインシデントに追加できるようになります。 |
| イベントの検索 | 現在表示されているイベント セットに対して、テキスト パターン検索を実行します。[検索]フィールドをクリックすると、検索オプションを示すドロップダウン メニューが表示されます。[適用]をクリックすると、選択したオプションが保存され、[ナビゲート]ビューの検索オプションと[Investigation]プロファイルの検索オプションも更新されます(次のトピックを参照してください: Investigation:検索オプション). |
設定 | Investigationの[イベント]ビューに関するオプションを設定します([プロファイル]ビューでも設定可能です)。これにより、[イベント]ビューから移動せずにInvestigationの設定を変更できます。[イベント]ビューで設定を変更すると、[プロファイル]ビューでも設定が変更されます(次のトピックを参照してください:[ナビゲート]ビューおよび[イベント]ビューの構成). |
[イベント]ビュー ページの下部に表示されるツール バーには、イベント リストの各ページを移動可能な オプションがあります。
| 機能 | 説明 |
|---|---|
 | 最初のページが表示されます。 |
 | 前のページが表示されます。 |
 | [Investigationの環境設定]ダイアログで[Investigationページのロードを最適化]オプションを有効にしていない場合、特定のページ番号を入力してページを移動することができます。 |
 | 次のページが表示されます。 |
 | 最後のページが表示されます。 |
 | イベント リストを更新します。 |
| 1ページあたりのアイテム数 | 1ページに表示するアイテム数の選択リストが表示されます。 |
[コンテキスト ルックアップ]パネル
Context Hubサービスを構成した後、Investigationモジュールの[ナビゲート]ビューと[イベント]ビューで[コンテキスト検索]パネルを表示できます。Context Hubの構成の詳細については、「Context Hub構成ガイド」を参照してください。
メタ値のコンテキスト ルックアップを実行する方法については、次のトピックを参照してください: データ ポイントの追加コンテキストの表示.
Context Hubサービスでは、メタ タイプとメタ キーのデフォルトのマッピングが事前に構成されています。Context Hubのメタ タイプとメタ キーのマッピングの詳細については、「Context Hub構成ガイド」の「メタ タイプとメタ キーのマッピングの管理」を参照してください。
次の図は、メタ値を右クリックしたときの[コンテキスト ルックアップ]オプションの例です。
各データ ソースのルックアップ結果とコンテキスト情報の詳細については、「Context Hub構成ガイド」の「[コンテキスト ルックアップ]パネル」を参照してください。
