Context Hub : Panneau Recherche

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Après avoir configuré le service Context Hub, vous pouvez afficher le panneau Recherche contextuelle dans la vue Naviguer et Événements du module Investigation. Lorsque vous affichez ce panneau pour la première fois, il propose des instructions pour réaliser une recherche contextuelle. Ce panneau est ensuite réduit et peut être développé si nécessaire.

Le panneau Recherche contextuelle n'affiche aucune donnée jusqu'à ce que vous réalisiez une Recherche contextuelle sur une valeur méta. Les valeurs méta disposant d'informations de contexte associées sont surlignées à l'aide d'un arrière-plan gris. Les résultats de la recherche s'affichent dans le panneau Recherche contextuelle des différentes sources configurées pour la valeur méta sélectionnée. Les procédures liées à ce panneau sont décrites dans la rubrique Afficher du contexte supplémentaire pour un point de données dans le Guide Investigation et Malware Analysis.

Pour accéder à ce panneau :

  1. Dans le menu Security Analytics, sélectionnez Investigation > Naviguer ou Événements.
  2. Cliquez avec le bouton droit sur une valeur méta et sélectionnez Recherche contextuelle dans le menu contextuel.
    Le panneau Recherche contextuelle affiche les informations contextuelles.
  3. Dans la barre d'icônes, sélectionnez la source pour laquelle vous souhaitez afficher les informations contextuelles en cliquant sur l'icône correspondante.

La figure suivante donne un exemple du panneau de Recherche.

ConLkpPnl.png

Fonctions

Le panneau Recherche contextuelle propose les contrôles et fonctions suivantes :

                               
FonctionnalitéDescription :

Barre Options de la source
lookup-icons2.png

Affiche les icônes des sources disponibles : ECAT, Incidents, Alertes et Listes. 
Nom de la source

Affiche le nom de la source en fonction des icônes sélectionnées :

  • ECAT
  • INCIDENTS
  • ALERTES
  • LISTES
TrierPropose une liste déroulante d'options pour trier les informations de contexte répertoriées. Les options de tri possibles sont Gravité - Élevée à faible, Gravité - Faible à élevée, Date - La plus ancienne à la plus récente, et Date - La plus récente à la plus ancienne. Les options de tri varient par type de source.
Actualise les résultats de la recherche.
n éléments (n premiers résultats)Le pied de page indique le nombre total de résultats et le nombre de résultats actuellement affichés. Par exemple, 50 alertes (50 premières alertes).

Résultats de la recherche

Le panneau Recherche contextuelle affiche les informations suivantes lors de la récupération des données contextuelles à partir des différentes sources configurées :

Incidents

Les incidents s'affichent d'abord selon un critère de temps (du plus récent au plus ancien), puis sur un critère de priorité. Les informations suivantes s’affichent pour les recherches d'incidents :

  • Nom et ID de l'incident
  • Priorité des incidents
  • Score de risque des incidents
  • Date de création de l'incident
  • État de l'incident
  • Personne affectée à l'incident
  • Dernière mise à jour : indique lorsque les données contextuelles ont été extraites de la source de données pour la dernière fois et mises à jour dans le cache. 
  • Time window: elle se base sur la valeur définie dans le champ « Requête dans les derniers » de Boîte de dialogue Configurer les réponses
  • Trier : Ce champ déroulant permet de modifier l'ordre de tri en fonction de la période et de la priorité.

La figure ci-après présente un exemple des résultats de recherche pour les incidents.

F-lookup-panel-incidents.png

Alertes

Les alertes s'affichent en fonction de la Gravité. Les informations suivantes s'affichent pour les recherches d'alertes :

  • Nom de l’alerte
  • Gravité de l'alerte
  • Date de création de l'alerte
  • ID d'incident : ID de l'incident associé à alerte (le cas échéant).
  • Sources : Nom de la source d'événement
  • Nombre d'événements associés à l'alerte.
  • Dernière mise à jour : indique lorsque les données contextuelles ont été extraites de la source de données pour la dernière fois et mises à jour dans le cache. 
  • Time window: elle se base sur la valeur définie dans le champ « Requête dans les derniers » de Boîte de dialogue Configurer les réponses
  • Trier : Ce champ déroulant permet de modifier l'ordre de tri en fonction de la période et de la priorité.

La figure ci-après présente un exemple des résultats de recherche pour les alertes.
F-lookup-panel-alerts.png

Listes

Les informations suivantes s’affichent pour les recherches de listes :

  • Nom de la liste
  • Propriétaire ayant créé la liste
  • Date de création
  • Date de dernière mise à jour
  • Description de la liste

La figure ci-après présente un exemple des résultats de recherche pour la source de données Listes.
F-lookup-panel-lists.png

ECAT

Les informations suivantes s’affichent pour les recherches ECAT :

  • Nom et adresse IP de la machine. 
    En cliquant sur le nom ou l'adresse IP de la machine ECAT, vous serez dirigé vers l'UI ECAT pour approfondir la procédure d'enquête.
  • Dernière mise à jour : indique lorsque les données contextuelles ont été extraites de la source de données pour la dernière fois et mises à jour dans le cache. 
  • Note de l'ordinateur : le score IIOC de la machine est agrégé en fonction des scores des modules.
  • Nombre de modules : nombre de fichiers actifs pour la machine sélectionnée. 
  • Dernière mise à jour : indique lorsque les résultats de l'analyse ont été mis à jour pour la dernière fois dans la base de données ECAT.
  • Dernière connexion utilisateur
  • Adresse MAC de la machine
  • Version du système d'exploitation
  • Notes Admin (le cas échéant)
  • État Admin (le cas échéant)
  • Modules les plus suspects (modules dont le score IIOC est supérieur à > 500). Cet élément se base sur la valeur définie dans le champ « Valeur IIOC minimale » de Boîte de dialogue Configurer les réponses. La valeur par défaut pour la « Valeur IIOC minimale » est de 500.
  • Niveaux IIOC de la machine

La figure ci-après présente un exemple des résultats de recherche pour la source de données ECAT.
F-lookup-panel-ecat.png

You are here
Table of Contents > Références du service Context Hub > Panneau Recherche contextuelle

Attachments

    Outcomes