Workbench : Gérer les collections

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

 

Un administrateur peut créer et supprimer des collections Workbench, et afficher les statistiques et logs Workbench. Cette section fournit toutes les procédures et un exemple de procédure de restauration d’une collection pour Reporting et Investigation.

  • Monter des répertoires Archiver
  • Créer une collection
  • Supprimer une collection
  • Enquêter sur une collection
  • VueWorkbenchCollection Statistics
  • Afficher les logs Workbench
 

Monter des répertoires Archiver

Si les données se trouvent dans un stockage hors ligne ou à froid, vous devez monter les répertoires Archiver afin de restaurer les données à des fins de reporting et de procédure d’enquête :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un Archiver à partir de la grille Services et sélectionnez104NavSettingsIcon.png > Vue> Explorer.
    La vue Explorer d'Archiver s'affiche
  3. Cliquez avec le bouton droit de la souris sur le nœud Base de données dans l'arborescence de gauche puis sélectionnez les propriétés Base de données pour les ouvrir dans le volet de droite.
  4. Exécutez la commande manifest pour une période, du 1er au 10 avril 2015.
    La recherche renvoie tous les fichiers qui ont besoin d'être restaurés pour la requête sélectionnée.

Créer une collection

Les administrateurs peuvent créer des collections de données restaurées à partir d’une sauvegarde ou d’un ensemble existant de données.

Remarque : Vous pouvez indiquer l'emplacement des fichiers de base de données comme chemin source et la commande de restauration les copie vers Workbench. Vous devez monter ces répertoires dans Archiver (où Workbench est installé) avant de pouvoir créer une collection de restauration.

Pour créer une collection à l'aide de données restaurées à partir des données sauvegardées ou d'un sous-ensemble existant de données :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la vue Services, sélectionnez un Workbench,  puis cliquez sur 104NavSettingsIcon.png > Vue > Config.
    La vue Configuration des services s'ouvre sur l'onglet Général.
  3. Cliquez sur l'onglet Collections.
    La grille Collections s'affiche.
  4. Cliquez sur Icon-Add.png dans la barre d’outils.
    La boîte de dialogue Collection de restauration s'affiche.

    restorecoll031015.png

  5. Fournissez les informations suivantes :
    • Nom : Nom de la collection Workbench que vous souhaitez restaurer.
    • Source: Emplacement où les fichiers de base de données Archiver ont été déplacés du stockage à froid.

    Remarque : La cible est l'emplacement où la collection est créée.

  6. Cliquez sur Enregistrer pour restaurer la collection.

    Remarque : Si le chemin source proposé pour créer la collection de restauration n'existe pas, le message d'erreur suivant apparaît :
    Ce chemin source n'existe pas « /xxx/xxx/ ».

    Si vous ne disposez pas d'assez de stockage pour restaurer la collection, le message d'erreur suivant s'affiche :
    Une erreur est survenue lors de la vérification de l'espace disque. Espace disque insuffisant à l'emplacement « /xxx/xxx ».

     La boîte de dialogue Planifier une tâche s'affiche avec le message suivant :
    Restauration des données dans une nouvelle collection. Consultez la page des tâches pour afficher la progression.

  7. Cliquez sur l'icône Tâches dans la barre d'outils Security Analytics pour développer la liste de tâches de la collection de restauration et afficher son état actuel.

4.png

Remarque : La restauration d'une collection supérieure à 550 Go peut prendre plusieurs heures à traiter.

Supprimer une collection

Les administrateurs peuvent supprimer des collections à partir du service Workbench.

Procédez comme suit pour supprimer une collection :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. À partir de la vue Services, sélectionnez un Workbench, puis cliquez sur 104NavSettingsIcon.png > Vue > Config.
    La vue Configuration des services s'ouvre en affichant l'onglet Général.
  3. Sélectionnez l'onglet Collections.
    La grille Collections s'affiche.
    collgrid031715.png
  4. Dans la grille Collections, sélectionnez la collection que vous souhaitez supprimer.
  5. Cliquez sur del031715.png dans la barre d’outils.
    Une boîte de dialogue d'avertissement demande confirmation.
  6. Si vous voulez supprimer la collection, cliquez sur Oui.
    La collection est supprimée du service Workbench.

Exemple de procédure : Comment restaurer une collection pour reporting et analyse

Les étapes suivantes indiquent comment restaurer des données situées dans un stockage hors ligne ou à froid (données peu actives) dans un but de reporting et d'investigation. Dans l'exemple suivant, les données sont restaurées pour une période de temps allant du 1er avril 2015 au 10 avril 2015.

Pour restaurer des données à des fins de reporting et d'analyse :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez Archiver dans la grille Services.
  3. Naviguez jusqu'à la vue Explorer de l'appliance Archiver en sélectionnant 104NavSettingsIcon.png > Vue > Explorer.
    La vue Explorer d'Archiver s'affiche
  4. Cliquez avec le bouton droit de la souris sur le nœud Base de données dans l'arborescence de gauche puis sélectionnez les propriétés Base de données pour les ouvrir dans le volet de droite.
  5. Exécutez la commande manifest pour la période sélectionnée : du 1er au 10 avril 2015.
    La recherche renvoie tous les fichiers qui ont besoin d'être restaurés pour la requête sélectionnée.

Exemple de recherche :

time1="2015-04-01 00:00:00" time2="2015-04-10 00:00:00" timeFormat=simple

archiver_wb042715.png

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la vue Services, sélectionnez un Workbench,  puis cliquez sur 104NavSettingsIcon.png > Vue > Config.
    La vue Configuration des services s'ouvre sur l'onglet Général.
  3. Sélectionnez l'onglet Collections.
  4. Créez une collection de restauration avec le chemin source menant à des fichiers répertoriés dans le résultat de commande de manifeste.
  5. Enregistrez la collection.
    Après avoir réussi la création d'une collection, vous pouvez l'utiliser à des fins de reporting et d'analyse.

Enquêter sur une collection

Pour réaliser une procédure d'enquête sur une collection Workbench :

  1. Dans le menu Security Analytics, sélectionnez Procédure d'enquête > Naviguer.
    La boîte de dialogue Examiner s'affiche.
  2. Cliquez sur l'onglet Collections dans la boîte de dialogue Enquêter.
  3. Sélectionnez un service Workbench dans le volet de gauche.
  4. Sélectionnez la collection que vous souhaitez analyser dans le panneau de droite.
  5. Cliquez sur Naviguer.

La vue Naviguer s’affiche et affiche les données relatives à la collection Workbench que vous avez sélectionnée.

invnavms040215.png

Remarque : Pour obtenir des informations détaillées sur l’utilisation de l'Investigation, reportez-vous à la section Investigation et Malware Analsis.

Vue Workbench Collection Statistics

Les mêmes statistiques disponibles pour d'autres services sont fournies pour le service Workbench. La vue Statistiques des services affiche les statistiques clés et les informations système qui se rapportent à votre service Workbench sélectionné. Les informations s'affichent dans plusieurs sections différentes de la vue Statistiques : Workbench, Jauges, Graphiques chronologiques et Barre de statistiques graphiques. La barre de statistiques graphiques répertorie toutes les statistiques disponibles pour le Workbench.  Toute statistique de la barre de statistiques graphiques peut être affichée sous forme de graphique en jauge ou chronologique.

Procédez comme suit pour afficher les statistiques Workbench :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.

  2. Dans la vue Services, sélectionnez un Workbench, puis cliquez sur 104NavSettingsIcon.png > Vue > Statistiques.
  3. La vue Statistiques des services s'affiche.

stats021915.png

Remarque : Pour plus d'informations sur les statistiques Workbench, reportez-vous à Guide de mise en route de l'hôte et des services.

Afficher les logs Workbench

Procédez comme suit pour afficher les logs sur un service Workbench :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la vue Services, sélectionnez un Workbench, puis cliquez sur 104NavSettingsIcon.png > Vue > Logs.
    La grille Logs de services s'affiche.

Remarque : Pour plus d'informations sur l'affichage et la configuration des logs d'audit, reportez-vous à Configuration système.

Next Topic:Références
You are here
Table of Contents > Procédures de configuration > Gérer les collections

Attachments

    Outcomes