アナリストは、Investigationの[ナビゲート]ビューと[イベント]ビューでデータを解析する際の、Security Analyticsのパフォーマンスや動作に影響する環境を設定できます。
これらの設定は、Security Analytics内の次の2つの場所にあり、どちらの場所で変更を行っても、もう一方のビューにも変更が適用されるようになっています。
- [Investigation]ビューの[ナビゲート]ビューおよび[イベント]ビューの[設定]ダイアログと[検索]フィールド
- [プロファイル]>[環境設定]パネル>[Investigation]タブ
Investigation設定へのアクセス
設定にアクセスするには、次のいずれかを実行します。
- [ナビゲート]ビューのツールバーで、[設定]オプションを選択します。
[ナビゲート]ビューの[設定]ダイアログが表示されます。
- [イベント]ビューのツールバーで、[設定]オプションを選択します。
[イベント]ビューの[設定]ダイアログが表示されます。
- Security Analyticsメニューで、[プロファイル]を選択します。左のナビゲーション パネルで、[環境設定]を選択します。[Investigation]タブをクリックします。
[Investigation]タブが表示されます。
[ナビゲート]ビューでの値のロード パラメータの調整
Investigation設定のいくつかは、[値]パネルで値をロードする際のSecurity Analyticsのパフォーマンスに影響します。デフォルト値は一般的な使用方法に基づいて設定されているため、アナリストはこれらの設定を自分の調査内容に合わせて調整できます。
これらの設定を調整するには、次の手順を実行します。
- [Investigation]タブに移動するか、[ナビゲート]ビューの[設定]ダイアログに移動します。
- 次のパラメータを調整します。
- 閾値:[値]パネルでメタ キー値にロードするセッションの最大数の閾値を設定します。閾値を高くすると、値が正確にカウントされますが、その分ロード時間が長くなります。デフォルト値は100000です。
- 結果の最大数:この設定は、[ナビゲート]ビューで開いているメタ キーについて、[メタ キー]メニューで[最大まで表示]を選択した場合にロードする値の最大数を制御します。デフォルト値は1000です。
- セッション エクスポートの最大数:単一のPCAPファイルまたはログファイルでエクスポートできるイベントの数を指定します。
- ログ ビューの最大文字数:[Investigation]>[イベント]>[ログ テキスト]に表示する最大文字数を設定します。デフォルト値は1000です。
- デバッグ情報の表示:Security Analyticsの[ナビゲート]ビューで階層リンクの下にwhere句を表示する場合、またBrokerで集計したサービスごとに経過したロード時間を表示する場合は、このチェックボックスをオンにします。デフォルト値はオフです。
- 値の自動ロード:Security Analyticsの[ナビゲート]ビューで選択したサービスの値を自動的にロードするには、このオプションをオンにします。このオプションを選択しない場合、Security Analyticsには[値のロード]ボタンが表示され、ロードする値のオプションを変更することができます。デフォルト値はオフです。
- [Apply]をクリックします。
設定はすぐに反映され、次に値をロードしたときに表示されます。
InvestigationでのPCAPダウンロード動作の構成
Investigationモジュールで抽出されたPCAPのダウンロードを自動化できます。これにより、抽出されたPCAPファイルがブラウザによりダウンロードされ、PCAPファイルのデフォルトのアプリケーション(Wiresharkなど)で開くことができます。
次の手順を実行します。
- PCAPを開くことのできるアプリケーションがローカルにインストールされていて、PCAPファイルのデフォルトのアプリケーションとして設定されていることを確認します。
- [Investigation]タブに移動するか、[ナビゲート]ビューまたは[イベント]ビューの[設定]ダイアログに移動します。
- [完了したPCAPのダウンロード]オプションをクリックします。
- [Apply]をクリックします。
設定はすぐに反映されます。
Investigationでのデフォルトのログ エクスポート形式の構成
Investigationからさまざまな形式でログをエクスポートできます。使用可能なオプションは、テキスト、XML、CSV、JSONです。ログ エクスポート形式のデフォルト設定はありません。ここで形式を選択しない場合は、ログのエクスポートを呼び出すときに、Security Analyticsで選択のダイアログが表示されます。
ログのエクスポート形式を選択するには、次の手順を実行します。
- [Investigation]タブに移動するか、[ナビゲート]ビューの[設定]ダイアログに移動します。
- [ログのエクスポート形式]ドロップダウン メニューからオプションを1つ選択します。
- [Apply]をクリックします。
設定がすぐに反映されます。
[イベント]ビューでの取得とデフォルトの再構築の調整
[イベント]ビューでのイベントの取得と再構築の方法を制御するパラメータをいくつか構成できます。これを行うには、以下の手順を実行します。
- [Investigation]タブに移動するか、[イベント]ビューの[設定]ダイアログに移動します。
- 次のパラメータを構成します。
Investigationページのロードの最適化 ページ表示のオプションを設定します。最適化した場合、イベント リストで可能な限り速く結果が返されますが、イベント リストのページ移動機能が無効になります。このボックスをオフにすると、イベント リストのページ移動機能が有効になり、リストの特定のページ(または最後のページ)に移動できるようになります。デフォルト値は[有効]です。 イベント パネルにイベントを追加 このオプションを選択すると、[イベント]パネルに表示されるイベントは段階的に追加されます。
たとえば、次のページ アイコンをクリックするたびに、イベントの次の増分が追加されていき、最初は1~25で、次が1~50、その次が1~75などのように増えてきます。
注:このオプションは、[Investigationページのロードの最適化]オプションが有効な場合にのみ使用できます。
デフォルト セッション表示 [イベント]ビューでのデフォルトの再構築のタイプを選択します。デフォルト値は[最適な表示]で、イベントに最も適した表示方法でイベントが表示されます。 - 変更をすぐに有効にするには、[適用]をクリックします。
Webコンテンツ再構築におけるカスケーディング スタイル シート表示の有効化または無効化
アナリストは、Webコンテンツ再構築の際のCSS(カスケーディング スタイル シート)の使用を有効化できます。有効化すると、Webの再構築にカスケード スタイル シート(CSS)とイメージが含まれるようになり、再構築の表示と元のWebブラウザの表示が一致するようになります。これには、関連するイベントのスキャンと再構築、ターゲット イベントで使用されるスタイル シートとイメージの検索が含まれます。このオプションは、デフォルトで有効化されています。特定のWebサイトの表示に問題がある場合は、このオプションを無効化してください。
注:関連する画像とスタイル シートが見つからないか、Webブラウザのキャッシュからロードされなかった場合は、再構築されたコンテンツの外観が元のWebページと完全には一致しない可能性があります。また、クライアント側のすべてのjavascriptがセキュリティ目的で削除されるため、クライアント側のjavascriptを経由して動的に実行されるレイアウトまたはスタイルは、再構築では表示されません。
このオプションを有効化または無効化するには、次の手順を実行します。
- [Investigation]タブに移動します。
- [WebビューのCSS再構築を有効化]チェックボックスをクリックします。
- [Apply]をクリックします。
設定がただちに有効になり、次のWebコンテンツ再構築時に表示されます。
(オプション)検索オプションの構成
- [検索]フィールドをクリックして、[イベントの検索]ドロップダウン メニューを表示します。
- 検索に適用するオプションを選択します。 Investigation:検索オプション では、各オプションの詳細について説明しています。
- 検索設定を保存にするには、[適用]をクリックします。
設定が保存され、すぐに反映されます。
