Investigation : Filtrer les données de dashlet dans la vue Récapitulatif des événements

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit des instructions permettant aux analystes de filtrer les données des dashlets affichés dans le récapitulatif des événements de la vue Security Analytics Malware.

Le récapitulatif des événements fournit un résumé de l'analyse à l'étude avec des dashlets sélectionnables. Le récapitulatif des événements est fixe, mais les analystes peuvent configurer chaque dashlet pour filtrer les informations et effectuer une recherche verticale dans les données.

104MWSumEvents2.png

Le reste de cette rubrique fournit des instructions sur la gestion et la configuration de dashlets.

Configurer le dashlet Roue des scores

La roue des scores est une visualisation de haut niveau des sessions analysées qui ont obtenu des scores haut, moyen ou faible dans chacune des catégories de notation : Statique, Réseau, Communauté et Sandbox La roue des scores est un moyen rapide d'effectuer une recherche verticale dans des sessions pour les passer en revue. Chaque anneau représente une catégorie de notation différente pour que vous puissiez comparer visuellement les résultats par catégorie.

104ScrWheel.png

Vous pouvez modifier l'ordre des anneaux pour mettre en évidence des indicateurs de compromission qui ont été marqués dans une catégorie, mais pas dans une autre. La comparaison des mêmes résultats dans un ordre d'anneaux différent offre une visibilité sur les vulnérabilités supplémentaires dans une session. Vous pouvez effectuer une recherche verticale dans des sessions d'intérêt. Les exemples suivants montrent deux exemples d'utilisation possibles.

Exemple de candidat de type Zero Day.

Cet exemple indique comment réaliser une recherche verticale dans des sessions que la Communauté n'a pas signalé comme malveillantes, mais qui ont été repérées par toutes les autres catégories de notation. La liste des sessions met en évidence les candidats Zero Day.

  1. Configurez les bagues Roue des scores dans l'ordre suivant :
    Communauté (le plus à l'intérieur) > Statique > Réseau > Sandbox (le plus à l'extérieur)
  2. Cliquez sur la tranche rouge dans l'anneau situé le plus à l'extérieur (Sandbox) qui s'aligne avec une tranche verte sur l'anneau le plus à l'intérieur (Communauté) : vert (le plus à l'intérieur) -> Statique : rouge -> Réseau : rouge -> Sandbox : rouge (le plus à l'extérieur). 
    ScoreWheelLabelExample.png

Exemple de sessions malveillantes

Cet exemple montre comment réaliser une recherche verticale dans des sessions dans lesquelles toutes les catégories de notation identifient la liste des sessions comme malveillantes, en indiquant que Malware Analysis a confiance qu'il s'agisse de programmes malveillants.

  1. Configurez les bagues Roue des scores dans l'ordre suivant :
    Communauté (le plus à l'intérieur) > Statique > Réseau > Sandbox (le plus à l'extérieur)
  2. Cliquez sur la tranche rouge dans l'anneau situé le plus à l'extérieur (Sandbox) qui s'aligne avec une tranche rouge sur l'anneau le plus à l'intérieur (Communauté) : rouge (le plus à l'intérieur) -> Statique : rouge -> Réseau : rouge -> Sandbox : rouge (le plus à l'extérieur). 

Réorganiser la séquence d'anneaux par module de notation

Dans la roue des scores, vous pouvez réorganiser la séquence d'anneaux par module de notation. Dans un premier temps, la séquence d'anneaux de l'intérieur vers l'extérieur est statique, réseau, communauté et Sandbox.

Pour modifier la séquence des anneaux :

  1. Exécutez l'une des opérations suivantes :
    1. Cliquez et faites glisser chaque module de notation vers le haut ou vers le bas.
    2. Sélectionnez chaque module de notation et utilisez les boutons Haut et Bas pour les déplacer. 
  2. Lorsque la séquence d'anneaux correspond à ce que vous souhaitez, cliquez sur le bouton Mettre à jour.
    La roue des scores est actualisée avec la nouvelle séquence.
    ScoreWheelViewEvents.png

Configurer le dashlet de Compartimentage des méta

Dans le graphique de compartimentage des méta, vous pouvez visualiser et filtrer les répartitions des méta, par type, nombre et analyse. Utilisez les trois listes de sélection pour définir le filtre et le graphique de compartimentage des méta se met à jour immédiatement.

104MetTreMap.png

Configurer le dashlet de Répartition des méta

Le dashlet de répartition des méta est une visualisation des valeurs d'une clé méta spécifique dans un graphique circulaire. Dans le graphique de répartition des méta, vous pouvez filtrer les répartitions des méta par type et nombre. Utilisez les deux listes de sélection pour définir le filtre et le graphique de répartition des méta se met à jour immédiatement.

104MetaBDDshlt.png

Configurer le dashlet Chronologie d'événements

Le dashlet de la Chronologie d'événements est une visualisation des événements le long d'une chronologie. Aucun filtre supplémentaire n'est disponible pour la chronologie des événements.

104EvTimeln.png

Ouvrir Tous les événements dans la liste des événements

À partir de la chronologie des événements, vous pouvez ouvrir la liste complète des événements dans la liste des événements. Pour ce faire, cliquez sur 104ViewEventsIc.png. Cette option n'est pas identique au fait de cliquer sur le nombre à côté des événements, ce qui est similaire pour tous les graphiques de visualisation. Elle ouvre le point de recherche verticale en cours dans la liste des événements.

Configurer le dashlet Liste des principaux malwares fortement suspects

Le dashlet Liste des principaux malwares fortement suspects présente les 10 événements les plus suspects dans la liste des événements ou dans la liste des fichiers. Ce dashlet est également disponible dans le tableau de bord unifié, et les options de configuration sont décrites dans le Guide de mise en route de Security Analytics.


Configure le Dashlet Malware à forte probabilité d'indicateur de compromission et scores élevés

Le dashlet Malware à forte probabilité d'indicateur de compromission et scores élevés présente des indicateurs de compromission qui ont à la fois des scores élevés et une forte probabilité que les événements sont susceptibles de contenir des programmes malveillants. Ce dashlet est également disponible dans le tableau de bord unifié, et les options de configuration sont décrites sous Dashlet Malware à forte probabilité d'indicateur de compromission et scores élevés dans Malware dans le Guide de mise en route de Security Analytics.

Configurer le Dashlet Liste des principaux malwares de type Zero Day

Le dashlet Liste des principaux malwares de type Zero Day présente les événements de type Zero Day potentiels dans la liste des événements ou la liste des fichiers. Le dashlet est également disponible dans le tableau de bord unifié, et les options de configuration sont décrites dans le Guide de mise en route de Security Analytics.

You are here
Table of Contents > Mener une analyse de malware > Filtrer les données de dashlet dans la vue Récapitulatif des événements

Attachments

    Outcomes