Config. de SA : Configurer les paramètres du module Investigation

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit des instructions pour les administrateurs qui configurent les paramètres qui s'appliquent à toutes les procédures d'enquête sur l'instance Security Analytics en cours de configuration. Les paramètres permettant de configurer et de régler le comportement d'une procédure d'enquête Security Analytics sont disponibles dans la vue Système > panneau Investigation. Ces paramètres s'appliquent à toutes les procédures d'enquête et reconstructions sur l'instance active de Security Analytics.

Configurer les paramètres Naviguer, Événements et Recherche contextuelle

  1. Dans le menu Security Analytics, sélectionnez Administration > Système.
  2. Dans le panneau des options, sélectionnez Investigation.
    Le panneau Configuration des procédures d'enquête s’affiche.
  3. Sous l'onglet Naviguer, dans le champ Générer les paramètres de threads, sélectionnez le nombre maximal de valeurs de clé méta qui sont chargées par un même utilisateur dans la vue Naviguer. Cliquez sur Apply.
  4. Sous l'onglet Naviguer, dans la section Paramètres de coordonnées parallèles, définissez les limites maximales des métavaleurs analysées et des résultats des métavaleurs pouvant être incluses dans une visualisation de coordonnées parallèles. Pour obtenir de meilleures performances, voici les paramètres recommandés : Limite d'analyse de valeurs méta -100000 et Limite de résultat de valeurs méta à 1 000-10 000
    Cliquez sur Apply.
  5. Sous l'onglet Événements, dans la section Paramètres de recherche d'événements, définissez le nombre maximal d'événements analysés et de résultats d'événements affichés lorsqu'un analyste mène une recherche d'événements dans la vue Événements. Cliquez sur Apply.
  6. Sous l'onglet Événements, dans la section Paramètres de reconstruction, définissez les limites de la quantité de données traitées dans le cadre de la reconstruction d'un seul événement. Les valeurs par défaut sont 100 paquets et 2 097 152 octets au maximum. Si les analystes constatent un ralentissement des performances lors de la reconstruction des sessions en mode Investigation, les paramètres de reconstruction peuvent nécessiter un ajustement. Cliquez sur Appliquer.

Attention : La définition d'une valeur plus élevée affecte les performances du serveur Security Analytics en augmentant le temps et la mémoire utilisés pour créer la reconstruction d'un événement. Définir la valeur à zéro désactive toutes les limites et peut conduire à une panne du serveur Security Analytics.

  1. (Facultatif) Sous l'onglet Événements, dans la section Paramètres de reconstruction de la vue Web, activez l'utilisation des fichiers de prise en charge dans une reconstruction de vue Web, puis configurez les paramètres supplémentaires pour calibrer les reconstructions des vues Web. Cela comprend l'intervalle de temps (en secondes) pour analyser les événements connexes, le nombre maximum d'événements liés à l'analyse et les remplacements des paramètres de reconstruction pour une utilisation avec des reconstructions de vue Web. Cliquez sur Apply.
  2. Sous l'onglet Recherche contextuellegérez le mappage des types méta du service Context Hub avec les clés méta dans Investigation. Vous pouvez ajouter des clés méta à la liste des types méta pris en charge par le service Context Hub sous Investigation, ou les supprimer. Les procédures associées à cet onglet sont fournies dans la rubrique « Gérer le mappage du type de méta et de la clé méta » dans le Guide Investigation et Malware Analysis.

Effacer le cache de reconstruction pour les services

Sous Paramètres du cache de reconstruction, les administrateurs peuvent effacer le cache pour un ou plusieurs services. Par exemple, l'administrateur peut effacer le cache pour un Broker seulement, un Broker et Decoder ou tous les services connectés. Voici quelques exemples des causes de cache obsolète utilisé dans une reconstruction.

  • Les services en aval peuvent avoir leurs sessions invalidées ou leurs données réinitialisées. À titre d'exemple, si la procédure d'enquête parcourt un Broker et un Concentrator ou si un Decoder fait l'objet d'une réinitialisation de données, les métadonnées et les données de session du service de procédure d'enquête (Broker) ne correspondent pas au contenu si le service en aval a été réinitialisé et renseigné à nouveau. La reconstruction en mode Procédure d'enquête affiche le contenu du cache, ce qui ne correspond pas au contenu réel. Même si le Decoder est hors ligne, le contenu est toujours affiché dans la reconstruction du Broker. Effacer le cache sur le Broker contraint Security Analytics à prendre contact avec le service Decoder et un message d'erreur est renvoyé car le Decoder est hors ligne.
  • L'autre cas où le cache peut être obsolète, c'est lorsque l'ID d'un service en aval change. Cela peut se produire lors de l'exportation, l'importation, la suppression et l'ajout de services à Security Analytics car Security Analytics peut réutiliser les ID de service. Dans ce cas, l'effacement du cache sur le Broker permet à Security Analytics de demander à récupérer les données des services.

Pour effacer le cache de reconstruction, exécutez l'une des opérations suivantes :

  1. Pour effacer le cache d'un ou de plusieurs services, sélectionnez les services, puis cliquez sur Effacer le cache pour les services sélectionnés.
  2. Pour effacer le cache de tous les services répertoriés, cliquez sur Effacer le cache pour tous les services.
    Le cache de reconstruction des services sélectionnés est effacé. Security Analytics envoie une demande de données pour les services.
You are here
Table of Contents > Procédures standard > Configurer les paramètres du module Investigation

Attachments

    Outcomes