株式会社ディアイティはサイバーセキュリティとネットワークの企業

Omnipeekを使いこなそう
~Omnipeekの使い方~ (不定期連載)


第8回:Omnipeek ver.10の新機能紹介

Omnipeek ver.10では、セキュリティ調査を支援する新しい機能が追加されました。また、一部の既存機能でも改良が加えられ、使い勝手が非常によくなりました。今回はこれらの新しい機能をご紹介します。

Overview

Overview

Overviewにはパケットデータから集計された各種項目のカウント数とエキスパート解析イベント、またはネットワーク使用率のグラフを表示するエリアです。Overviewは、パケットファイルを開いたときにのみ使用できる機能で、パケットキャプチャ中の画面には表示されません。
Overviewでカウントされる項目には次のようなものがあります。
表示される値は、パケット抽出などにより対象のパケットが変化するたびに再計算されます。

  • 【Packets】パケット数
  • 【Flows】エキスパート解析で検出されたフロー数
  • 【Files】Webトラフィック解析で検出されたファイル数
  • 【Events】エキスパート解析等で検出されたイベント数
  • 【Applications】アプリケーション解析で検出されたアプリケーション数
  • 【IP Addresses】IPアドレス数
  • 【Countries】ロケーション解析で検出された国の数

カウント数とともに表示されるグラフは、3種類あります。


Eventsグラフ
Eventsグラフは、エキスパート解析等のイベント発生の時間推移を棒グラフで表示したものになります。
棒グラフの色は、イベントの各レベルの色に相当します。

  • 【青】 Information(情報)
  • 【緑】 Minor(軽度)
  • 【黄】 Major(重要)
  • 【赤】 Severe(重大)

Eventsグラフ(選択)

グラフをマウスでクリックすると、上の図のような範囲を選択するカーソルが表示され、ドラッグで範囲を指定することができます。
範囲を指定すると、自動的にこの範囲で選択されたイベントに関連するパケットが抽出され表示されます。また、抽出されたパケットに対する各種統計解析が再実行されます。カウント数には、選択した範囲に該当するものの値が表示されます。(カッコの中の数値は抽出前の全パケット数)
エキスパートイベントの発生状況からパケット抽出、調査をする場合に便利です。
選択範囲をすべてのパケットに戻す場合は、グラフのエリアで右クリックし、メニューから「Clear Selection」を選択してください。


ネットワーク利用率のグラフ

グラフのエリアで右クリックし、メニューから「Network Utilization」を選択すると上の図のようなネットワーク利用率のグラフが表示されます。


ネットワーク利用率のグラフ(選択)

このグラフもEventsグラフと同様に、マウスで範囲を選択してパケット抽出が行えます。
ネットワーク利用率の急激な変化を調査する場合など、グラフからまずざっくりエリアを指定してパケットを抽出しておくことで、調査に不要なパケットを減らすことができます。


イベントタイムライン

Events、Network Utilizationグラフの下には、Event Timelineが表示されます。Event TimelineはEventsグラフの棒グラフで表現しているイベント数を丸の大きさで表現したものになります。
Network Utilizationグラフを表示したときに、Event数との相関を確認することができます。


Viewメニュー

Overviewは、「View」メニューより、表示/非表示を選択できます。パケットのエリアを広くして解析を行いたい場合は、ここで非表示にしてください。

パケットファイルをフィルタリングして開く

通常Omnipeekでパケットファイルを開く場合、パケットファイルに保存されているすべてのパケットを読み込み、すべての解析オプションを使用して解析が行われます。
パケットデータは、メモリー内に展開されるため多くのメモリーを消費します。例えば、1GBのファイルサイズのパケットデータをOmnipeekで開く場合、1GB以上のメモリーを消費することになります。PCの空きメモリーが不足している場合、パケットファイルを開くことができません。

また、開いたパケットの解析は、デフォルトですべての解析オプションが有効になっています。有効になっている解析オプションが多いほど、パケットファイルを開いたときに解析にかかる時間が長くなります。
Omnipeek v10では、不要なパケットのフィルタリングと使用する解析オプションを、パケットファイルを開く際に選択できるようになりました。


パケットファイルを開く(フィルタリング)

「Open Capture File」をクリックし表示されたパケット選択画面で、「Filter...」ボタンをクリックします。


フィルタ項目

上の図のような画面が表示されますので、パケットをフィルターして開く場合は、「Filters」タブを開いてフィルターを選択します。(フィルターの使い方は、第5回第6回で紹介していますので、ご参照してください。)
「Analysis Options」タブでは、パケットを開いたあとで実行される解析オプションを選択できます。目的の調査にこの解析は明らかに不要だと思われるオプションは、無効にしておくと若干ですが解析にかかる時間が短くなります。パケット数が多いほど解析には時間がかかりますので、大きなサイズのパケットデータを開く場合には差が出てくると思います。


プ分割して開く

パケットファイルが大きすぎて開けないが、フィルタリングする対象を決められないという場合は、パケットファイル分割機能(「Tools」メニューの「Split Packet File」)でパケットファイルサイズを小さくすることができますので、こちらも併せてご利用ください。

パケットリストからフローの確認

音声や映像、Webトラフィック等の調査では、フロー単位で調査をすることが多いと思います。以前のバージョンのOmnipeekでもフローの解析はできましたが、ver.10ではこの機能がより使いやすいものになりました。
これまでは、[Expert]-[Flows]などから、対象のフロー解析結果を探し、「Select Related Packets」などを使ってパケットを抽出するという流れで使用するものでしたが、ver.10では、パケットからフロー解析結果への遷移が可能になりました。
この表示は、パケットキャプチャ中にリアルタイムに表示されます。また、パケットファイルを開いたときにも同様に表示されます。


見やすくなったパケットリスト

パケットリストで、1つのパケットを選択すると上の図のように同一フローのパケットが水色に塗られて表示されるようになりました。
以前のバージョンでもフローを「Select Related Packets」を使ってパケットを抽出し、ラベルで色をつけるなどをすることで同様なことをできましたが、一手間かかっていました。
ver.10では、パケットが選択されているときだけ同一フローを色分けしてくれますので、パケットを流し見ながら同一フローのパケットを確認でき、その他のパケットとの関連も簡単に把握することが可能になっています。


Select Ralated Flow

パケットを右クリックし、「Select Related Flow」を選択すると、[Expert]-[Flows]の該当のフローにジャンプしてくれます。


Flow Visualizerの表示

パケットリストのアイコンに上の図のようなアイコン(Flow Visualizer)が追加されています。パケットを選択し、このアイコンをクリックすると、「Flow Visualizer」の画面が表示されます。旧バージョンでは「Visual Expert」と呼んでいました。


Flow Visualizer画面

内容は以前のVisual Expertと同じで、ラダー図やPayload、Throughput、Latencyなどグラフが表示されます。

ファイルコンテンツビュー

Omnipeek上でName Tableを1つずつ作成するのではなく、予めCSV形式のファイルに一覧を準備しておいて、一括インポートする手順をご紹介します。

ファイルコンテンツビューは、Webトラフィック解析の機能に新たに追加された機能で、HTTPトラフィックに含まれる各種ファイル(htmlファイル、CSSファイル、gifなどの画像ファイル、ダウンロードされたファイルなど)の一覧を表示します。以前のバージョンでも、これらのファイルを確認することはできましたが([Web]-[Requests]から探すことができる)、特に画像などはサムネイルの一覧で表示されていないと探しづらいものでした。
ファイルコンテンツビューは、HTTPトラフィックに含まれるファイル(セキュリティ調査では主にダウンロードされたファイルなどになるかと思います)から、関連のフロー、含まれるパケット、対象のノードなどを追跡することを簡単な操作で実現します。
また、ファイルの内容表示やファイルとして取り出すこともできるようになり、セキュリティ調査でファイル自身が必要になる場合などには非常に有効です。(ウイルスに感染している恐れがありますので注意が必要です)
ファイルコンテンツビューは、Omnipeek Enterpriseでパケットファイルを開いたときに使用できる機能です。


ファイルコンテンツビュー

[Visual]-[Files]をクリックすると、上図のように画像ファイルはサムネイルで、その他のファイルはアイコンで一覧表示されます。
ファイルを選択すると、右側のペインにそのファイルを含む通信の詳細な情報が表示されます。


ファイルの検索

一覧は上部のアイコンでリスト表示に変更することもでき、検索バーよりファイルの検索も可能です。


コンテキストメニュー

ファイルを右クリックすると表示されるコンテキストメニューから、次のような様々な操作ができます。

  • ① Flow Visualizer:ファイルを含むフローをFlow Visualizerを表示します。
  • ② Save Payload “xxx”:選択したファイルを保存します。(“xxx”はファイル名)
  • ③ Open Payload “xxx” in Associated Viewer:選択したファイルをビューワーで表示します。(“xxx”はファイル名)
  • ④ Select Related Packets:ファイルに関連した情報をもとにパケットを抽出します。
  • ⑤ Select Related Flow:ファイルを含むフローを表示します。([Expert]-[Flows]の情報にジャンプします)
  • ⑥ Select Related Request:ファイルを含むリクエストを表示します。([Web]-[Requests]の情報にジャンプします)

カスタマイズ可能なDecodeカラム

Omnipeekはパケットリストに標準でも60種類の項目(カラム)を選択して表示することができますが、Decodeのすべての情報を網羅することはできません。Decodeカラムは、標準にないDecode内の項目をカラムとして設定できる機能です。
以前のバージョンでは、カラム選択画面でDecodeカラムを選択してパケットリストに表示すると、Decode内の選択した値をDecodeカラムに表示することができるようになっていました。(ver.10では、「Dynamic Decode」と呼んでいます)


Name Tableのエクスポート/インポート

新しく追加されたDecodeカラムの機能は、Decode内の値をカラムに登録して使用します。Dynamic Decodeカラムは、Decode内で選択されている間だけその項目を表示するものになりますので、使い方が若干異なります。
新しいDecodeカラムは複数登録が可能です。登録できるカラム数に制限はありませんが、多く登録しすぎるとキャプチャパフォーマンスを低下させる原因となりますので注意が必要です。
登録のしかたは簡単で、まずDecodeビューより目的の値を右クリックし(①)、メニューより「Add as Decode Column」を選択します(②)。すると、パケットリストの一番右に選択した値を表示するカラムが追加されます(③)。複数登録する場合は、この操作を繰り返し行います。

廃止になった機能

Omnipeek ver.10では、多くの機能が追加、改善された一方、廃止になった機能もあります。
次の機能は廃止、または現状まだ使用可能にはなっているがサポートの対象から除外された機能になります。

  • Monitor mode(Start Menuからの「Start Monitor」アイコン、および機能)
  • AppleTalk、IPX、DECnet、WANのサポート
  • Newsgroup解析モジュール
  • 「Cumulative bytes」カラム
  • Send packets機能

この製品に関するお問い合わせ

03-5634-7652電話受付時間/平日9:00-18:00
メールでのお問い合わせ

24時間受付