Cfg de SA : Panneau Configuration des procédures d'enquête

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique présente les fonctions de la vue Système > Panneau Configuration des procédures d'enquête, qui est l'interface utilisateur des administrateurs pour configurer les paramètres de l'ensemble du système que Security Analytics Investigation utilise lors de l'analyse des données et de la reconstruction d'un événement.

Les paramètres de configuration des procédures d'enquête permettent à un administrateur de gérer les performances d'application des procédures d'enquête. Alors que les analystes procèdent à l'analyse et la reconstruction de sessions sur lesquelles ils enquêtent, les opérations de chargement, recherche, visualisation et reconstruction de grandes quantités de données peuvent avoir un effet sur les performances.

Remarque : Les analystes peuvent également définir les préférences individuelles d'Investigation dans la vue Profils et la vue Navigation. 

Pour accéder au panneau Configuration des procédures d'enquête :

  1. Dans le menu Security Analytics, sélectionnez Administration > Système.
  2. Dans le panneau des options, sélectionnez Investigation.

La figure ci-dessous présente l'onglet Naviguer.

F-systems-navigate.png

La figure ci-dessous présente l'onglet Événements.

F-systems-events.png

Les procédures associées à ce panneau sont présentées dans la rubrique Procédures standard.

La figure ci-dessous illustre l'onglet Recherche contextuelle.

meta-key-mapping.png

Les procédures associées à ce panneau sont fournies dans « Gérer le mappage du type de méta et de la clé méta » dans le Guide Investigation et Malware Analysis.

Fonctions

Le panneau Configuration des procédures d'enquête compte trois onglets : Naviguer, Événements et Recherche contextuelle.

Bien que la plupart des champs des onglets disposent d'une liste de sélection avec des incréments spécifiques aux valeurs possibles, vous pouvez saisir manuellement une valeur dans la plage autorisée. Lorsqu'une valeur n'est pas valide, le champ apparaît en surbrillance de couleur rouge. Lorsque des valeurs valides sont sélectionnées, cliquez sur Appliquer dans une section donnée pour que la modification prenne effet immédiatement.

Onglet Naviguer

L'onglet Naviguer présente deux sections : Paramètre Générer les threads et Paramètres de coordonnées parallèles.

Générer les paramètres de threads

Le Paramètre Générer les paramètres de threads est une valeur sélectionnable entre 1 et 20, qui détermine le nombre de charges (valeurs) simultanées dans la vue Naviguer. La valeur par défaut est 1.

RenThrdSett.png

Paramètres de coordonnées parallèles

Les Paramètres de coordonnées parallèles s'appliquent à la visualisation des coordonnées parallèles dans la vue Naviguer. Il existe une limite fixe pour la quantité de données qui peut être affichée sous la forme d'un graphique de coordonnées parallèles. Dans Security Analytics 10.5, l'administrateur peut configurer des limites de coordonnées parallèles ici.

Remarque : Pour de meilleures performances, les paramètres recommandés sont Limite d'analyse de valeurs méta : 100000 et Limite de résultat de valeurs méta : 1000-10000

ParCorSet.png

Le tableau suivant décrit les Paramètres de coordonnées parallèles.

               
ParamètreDescription :
Limite d'analyse de valeurs métaNombre maximum de valeurs méta analysées dans la période Investigation sélectionnée par l'analyste dans la vue Naviguer. Les valeurs possibles se situent dans une plage entre 1 000 et 10 000 000. La valeur par défaut est 100 000.
Limite de résultat de valeurs métaNombre maximum de valeurs méta renvoyées dans la période Investigation sélectionnée par l'analyste dans la vue Naviguer. Les valeurs possibles se situent dans une plage entre 100 et 1 000 000 000. La valeur par défaut est 10 000.

Onglet Events

L'onglet Événements propose des paramètres configurables qui ont un impact sur la procédure d'enquête des événements. Cet onglet présente quatre sections : Paramètres de recherche d'événements, Paramètres de reconstruction, Paramètres de reconstruction de la vue Web et Paramètres du cache de reconstruction.

Paramètres de recherche d'événements

Les Paramètres de recherche d'événements aident à limiter le nombre d'événements analysés lors de la recherche dans la vue Événements.

InvEveSet.png

Le tableau suivant décrit les Paramètres de recherche d'événements.

                 
ParamètreDescription :
Limite des événements analysésNombre maximum d'événements à analyser lors de la recherche dans la vue Événements.
Limite des résultats d'événementsNombre maximum de résultats à renvoyer lors de la recherche dans la vue Événements.

Paramètres de reconstruction

Alors que les analystes reconstruisent des sessions sur lesquelles ils enquêtent, certains événements peuvent être très volumineux et contenir des milliers de paquets source. La reconstruction de ces sessions peut avoir un effet négatif sur les performances de l'application, en particulier dans un environnement avec de multiples utilisateurs. Les paramètres de reconstruction permettent à un administrateur de limiter le nombre de paquets et la taille d'un événement unique au cours de la reconstruction.

Remarque : Le remplacement de la section Paramètres de reconstruction est configurable pour la vue Web (dans Paramètres de reconstruction de la vue Web).

AdmSysRec1.png

Le tableau suivant décrit les fonctions des Paramètres de reconstruction.

                 
ParamètreDescription :
Nombre maximum de paquets pour un seul événementCe paramètre protège les performances en imposant une limite au nombre de paquets traités pour la reconstruction d'un seul événement.

Les valeurs possibles se situent dans une plage de 100 à 10 000 paquets, qu'il est possible de saisir manuellement ou de sélectionner dans la liste de sélection par incréments de 100. La valeur par défaut est 100 paquets.
Taille maximum en octets d'un seul événementCe paramètre protège les performances en imposant une limite à la taille maximum, en octets, pour la reconstruction d'un seul événement.

Les valeurs possibles se situent dans une plage de 102 400 à 104 857 600 octets, qu'il est possible de saisir manuellement ou de sélectionner dans la liste de sélection par incréments de 10 240. La valeur par défaut est 2 097 152 octets.

Paramètres de reconstruction de la vue Web

Les Paramètres de reconstruction de la vue Web permettent à un administrateur de configurer les paramètres qui améliorent la reconstruction d'une vue Web en analysant et reconstruisant les événements connexes qui contiennent les mêmes fichiers de prise en charge. Lorsque Security Analytics reconstruit une vue Web qui couvre plusieurs événements, il est possible d'améliorer la reconstruction de l'événement cible en analysant et en reconstruisant les événements connexes qui contiennent les mêmes fichiers de prise en charge, comme des images et des fichiers de feuilles de style en cascade (CSS).

  • Les seuls événements connexes qui sont analysés sont les événements de type service HTTP avec la même adresse source que l'événement cible, et un horodatage au sein d'une période spécifiée avant et après l'événement cible.
  • Le nombre maximum d'événements connexes à analyser est configurable.

Cliquez sur l'option Paramètres avancés pour afficher tous les paramètres configurables de cette section.

WbVwReconSett.png

Le tableau suivant décrit les Paramètres de reconstruction de la vue Web.

                                     
ParamètreDescription :
Activer la prise en charge des fichiers pour la vue WebCette option détermine comment les vues Web qui ont des données connexes dans d'autres sessions sont reconstruites. Le paramètre par défaut est activé.

Lorsque ce paramètre est activé, les fichiers de prise en charge provenant d'événements connexes peuvent être utilisés dans la reconstruction des vues Web. Dans cette section, d'autres paramètres pour la calibration des performances sont activés, et les analystes ont la possibilité d'activer l'utilisation des CSS dans les reconstructions.

Si le paramètre est désactivé, les fichiers de prise en charge provenant d'événements connexes ne sont pas utilisés et le paramètre permettant aux analystes d'activer les CSS dans les reconstructions est désactivé.
Période pour analyser les événements connexesDisponible lorsque l'option Activer la prise en charge des fichiers pour la vue Web est cochée. Configure la période pendant laquelle Security Analytics analyse les événements connexes qui sont de type de service HTTP et ont la même adresse source que l'événement cible. C'est une valeur comprise entre 0 et 60.
  • Secondes avant l'événement cible
  • Secondes après l'événement cible
Limiter le nombre d'événements connexes traitésPermet la configuration du nombre maximum d'événements connexes analysés par Security Analytics dans la plage spécifiée pour découvrir les fichiers de prise en charge pour l'événement cible. Par défaut, cette option est désactivée.  Lorsqu'elle est activée, le champ Maximum d'événements connexes devient actif.
Maximum d'événements connexesLorsque l'option Limiter le nombre d'événements traités est activée, ce champ spécifie le nombre maximum d'événements connexes que Security Analytics analyse dans la période de temps spécifiée pour découvrir les fichiers de prise en charge pour l'événement cible.

Il s'agit d'une valeur sélectionnable entre 10 et 1 000, avec des incréments de 100. La valeur par défaut est 100.
Limiter le nombre de paquets et la taille de chaque événement connexe
 
Remplace les paramètres généraux du nombre maximum de paquets et de la taille maximum (en octets) pour les événements individuels connexes.
Nombre maximum de paquets pour un seul événement connexeLes valeurs possibles se situent dans une plage de 100 à 10 000 paquets, par incrément de 100 à partir de la liste de sélection. La valeur par défaut est 100 paquets.
Taille maximale, en octets, d'un seul événement connexeLes valeurs possibles se situent dans une plage de 102 400 à 104 857 600 octets, par incrément de 10 240 à partir de la liste de sélection. La valeur par défaut est 524 288 octets.

Paramètres du cache de reconstruction

Dans certains cas, le cache de reconstruction peut présenter du contenu incorrect. Pour cette raison, Security Analytics supprime du cache les reconstructions qui datent de plus d'un jour.  Le cache est vidé tous les jours à minuit. Entre les vidages de cache quotidiens, certaines actions peuvent engendrer l'utilisation d'entrées de cache périmées pour une reconstruction, et en cas de besoin, les administrateurs peuvent vider le cache manuellement pour un ou plusieurs services connectés au serveur Security Analytics actuel.

AdmSysRec3.png

Le tableau suivant décrit les fonctions des Paramètres du cache de reconstruction.

                     
FonctionnalitéDescription :
Boîte de sélectionLa zone de sélection au niveau des lignes individuelles et dans la barre de titre permet la sélection d'un, de plusieurs ou de tous les services dont le cache doit être vidé manuellement.
Effacer le cache pour les services sélectionnésVide le cache de reconstruction pour chaque service sélectionné.
Effacer le cache pour tous les servicesVide le cache de reconstruction pour tous les services.

Onglet Recherche contextuelle

L'onglet Recherche contextuelle permet à l'administrateur de configurer le mappage des clés méta et du type de méta dans Investigation. L'administrateur peut ajouter ou supprimer les clés méta trouvées dans Investigation dans la liste des types de métadonnées pris en charge par le service Context Hub. Les procédures associées à ce panneau sont fournies dans la rubrique Gérer le mappage du type de méta et de la clé méta par défaut dans le Guide de configuration de Context Hub.

Fonctions

Le tableau suivant décrit les fonctions de l'onglet Recherche contextuelle.

                   
FonctionnalitéDescription :
ic-add.pngAjoute une clé méta au type de méta sélectionné pris en charge par Context Hub.
ic-delete.pngSupprime la clé méta du type de méta sélectionné.
AppliquerEnregistre les modifications apportées à l'onglet Recherche contextuelle.
You are here
Table of Contents > Références > Panneau Configuration des procédures d'enquête

Attachments

    Outcomes