Investigation : Gérer les listes et les valeurs de liste dans Investigation

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Les analystes peuvent ajouter des listes et des valeurs de liste pour l'enrichissement de Context Hub dans les vues Investigation. Le service Context Hub est inclus dans RSA Security Analytics 10.6 et les versions ultérieures.

Lorsque le service Context Hub est activé et configuré, Security Analytics fournit des données d'enrichissement à partir d'Incident Management, des listes personnalisées et d'ECAT, directement dans la vue Naviguer et la vue Événements. Un repère visuel met en surbrillance les métavaleurs pour lesquelles des données d'enrichissement sont disponibles dans les vues Investigation. Vous pouvez cliquer sur la valeur en surbrillance pour rechercher les informations de contexte et les renseignements supplémentaires.

En outre, à partir du panneau Valeurs de la vue Naviguer et de la vue Événements, vous pouvez afficher des listes, modifier les métavaleurs d'une liste existante ou créer une liste. Lorsque vous ajoutez des métavaleurs à une liste, vous pouvez enquêter sur ces métavaleurs à l'aide de l'option de recherche contextuelle.

Conditions préalables

Pour permettre à un analyste de gérer des listes dans Investigation, l'administrateur doit :

  • Activez le service Context Hub.
  • Attribuez un rôle d'analyste avec l'autorisation Manage List from Investigation à l'utilisateur qui effectue une recherche contextuelle depuis les vues Investigation.
  • Configurez les rôles et autorisations appropriés, comme indiqué dans « Autorisations du rôle » et « Gérer les utilisateurs avec des rôles et des autorisations » dans le Guide de la sécurité du système et de la gestion des utilisateurs.

Ajouter des métavaleurs à une liste existante

Pour ajouter une valeur méta à une liste existante dans Context Hub :

  1. Lorsque vous enquêtez sur un service dans la vue Naviguer, cliquez avec le bouton droit de la souris sur une valeur méta (par exemple les valeurs situées sous IP Source, IP de destination ou Nom d'utilisateur), puis sélectionnez Ajouter à la liste/Supprimer de la liste dans le menu contextuel.
    F-rc-meta-list.png
    La boîte de dialogue Ajouter à la liste/Supprimer de la liste s'affiche.
  2. Dans le champ Liste, sélectionnez dans l'option déroulante une ou plusieurs listes auxquelles la valeur méta doit être ajoutée.
    F-add-remove-list1.png
  3. Cliquez sur Save.
    La valeur méta est ajoutée aux listes sélectionnées.

Supprimer une valeur méta d'une liste Context Hub dans Investigation

Pour supprimer une valeur méta d'une liste :

  1. Dans la boîte de dialogue Ajouter à la liste/Supprimer de la liste, dans le champ Liste, affichez les listes qui comportent la valeur méta.
  2. Cliquez sur l'icône de suppression (x) pour chaque liste ne devant pas inclure la valeur méta.
  3. Cliquez sur Save.
    La valeur méta est retirée de la liste supprimée.

Créer une nouvelle liste dans Investigation

Pour créer une liste Context Hub dans Investigation :

  1. Dans la boîte de dialogue Ajouter à la liste/Supprimer de la liste, cliquez sur Créer une nouvelle liste.
    F-add-remove-list2.png
  2. Dans le champ Nom de la liste, saisissez un nom unique pour la liste.
  3. Dans le champ Description, saisissez la description de la liste.
  4. Cliquez sur Créer pour créer la liste.
  5. Cliquez sur Enregistrer pour ajouter la valeur méta à la liste créée.
    Ces listes sont considérées comme des sources de données permettant de récupérer des informations de contexte.
You are here
Table of Contents > Mener une procédure d'enquête > Agir sur un point de recherche verticale dans la vue Naviguer > Gérer les listes et les valeurs de liste dans Investigation

Attachments

    Outcomes