Investigation - vue Naviguer

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

La vue Naviguer affiche l'activité et les valeurs du service sélectionné en conformité avec les options d'investigation dans le panneau Options : profil, intervalle de temps, groupe méta et requête. Au fur et à mesure que les analystes recherchent des événements pertinents, les clés méta et les valeurs méta s'affichent.

Pour accéder à la vue Naviguer, sélectionnez Investigation > Naviguer dans le menu Security Analytics. Lorsqu'une recherche de service est en cours, la vue est similaire à la figure ci-dessous.

La vue Naviguer se compose des fonctions suivantes :

  • Barre d’outils
  • Bouton Suspendre/Recharger et fil d'Ariane
  • Bannière Temps
  • Informations de débogage facultatives.
  • Panneau Visualisation réductible
  • Panneau Valeurs
  • Panneau Recherche contextuelle

Barre d’outils

La barre d'outils permet d'effectuer les opérations suivantes :

  • Modifier le service en cours de recherche.
  • Contrôler la plage des données affichées : vous pouvez sélectionner des profils d'utilisation, définir une période, utiliser des groupes méta et créer des requêtes à appliquer aux données.
  • Définir la méthode de quantification et la méthode de tri des données dans le panneau Valeurs.
  • Effectuer des actions sur les résultats. Vous pouvez exporter et imprimer les résultats, accéder à un événement pour lequel vous avez un ID d'événement, et transmettre une requête à Informer.
  • Configurer les paramètres d'investigation sans avoir à naviguer hors des vues Investigation.

Certaines options de la barre d'outils sont libellées avec la valeur par défaut ou la valeur sélectionnée plutôt que d'afficher le nom de l'option. Ainsi, l'option de période dans l'exemple ci-dessus est libellé Toutes les données afin de refléter la valeur actuellement sélectionnée. Il s'agit des options de la barre d'outils.

                                                           
OptionDescription :
Affiche le nom de service sélectionné en regard de l'icône. Cliquer sur l'icône permet d'ouvrir la boîte de dialogue Rechercher un service, dans laquelle vous pouvez sélectionner de rechercher et de définir le service par défaut à examiner (voir Commencer une procédure d'enquête d'un service ou d'une collection). La modification du service ne provoque pas un rechargement des données.
Période

Affiche les options Période ; l'option actuellement sélectionnée s'affiche dans la barre d'outils (voir Définir la période d'investigation). Les choix possibles sont les suivants :

  • Toutes les données
  • 5, 10, 15 ou 30 dernières minutes
  • Dernière heure, 3, 6, 12 ou 24 dernières heures
  • 2 ou 5 derniers jours
  • Début de matinée
  • Matin
  • Après-midi
  • Soir
  • Toute la journée
  • Hier
  • Cette semaine
  • La semaine dernière
  • Custom

Remarque : Si vous spécifiez une heure de début ou de fin personnalisée en secondes, l'heure de début en secondes a toujours la valeur par défaut :00, alors que l'heure de fin en secondes a toujours la valeur par défaut :59. Par exemple, si vous utilisez l'heure pour appliquer une recherche verticale à un problème, l'heure de la recherche sera interprétée comme suit : HH: HH:MM:00 - HH:MM:59. Les secondes s'affichent dans ce format dans les fonctions Investigation > Naviguer.

Query

Affiche la boîte de dialogue Requête qui vous permet de saisir directement une requête personnalisée au lieu d'effectuer une recherche verticale dans les données. Voir Investigation - boîte de dialogue Requête pour obtenir une description de la boîte de dialogue.

Profil Affiche le menu Profil ; le profil actuellement sélectionné s'affiche dans la barre d'outils. Un profil vous permet de gérer et d'utiliser des profils qui peuvent inclure des groupes méta personnalisés, un groupe de colonne par défaut et une requête de début. Les Profils s'appliquent à la vue Naviguer (groupes et requêtes méta) et à la vue Événements (groupes et requêtes de colonne). Voir Utiliser des profils d'investigation pour encapsuler les vues personnalisées pour plus d'informations.
MetaAffiche le menu Groupe méta. Vous pouvez utiliser la fonctionnalité Clés méta par défaut ou un groupe méta personnalisé. Vous disposez également de l'option permettant de modifier les deux types de groupes (voir Gérer des groupes méta définis par l'utilisateur).
Champ TrierAffiche le menu du champ Trier ; l'option actuellement sélectionnée s'affiche dans la barre d'outils. Le menu dispose de deux options : Classer par total et Classer par valeur. Le champ Trier est un complément de l'option Ordre de tri, les données de chaque clé méta sont classées en fonction du total (nombre en vert) ou de la valeur méta (texte en bleu) (voir Définir la méthode de quantification et trier la séquence des résultats de clé méta).

Ordre de tri

Affiche le menu Ordre de tri ; l'option actuellement sélectionnée s'affiche dans la barre d'outils. Le menu dispose de deux options : Trier par ordre croissant et Trier par ordre décroissant. Le champ Ordre de tri est un complément de l'option de tri d'un champ ; le champ sélectionné pour chaque clé méta est trié par ordre croissant ou décroissant (voir Définir la méthode de quantification et trier la séquence des résultats de clé méta)).

Méthode de quantification

Affiche le menu Méthode de quantification ; l'option actuellement sélectionnée s'affiche dans la barre d'outils. Le menu déroulant contient trois options pour le calcul de la quantité (nombre en vert entre parenthèses) pour une valeur méta : Quantifier par nombre d'événements, Quantifier par taille d'événement et Quantifier par nombre de paquets (voir Définir la méthode de quantification et trier la séquence des résultats de clé méta)).

Ces options sont appliquées différemment en fonction du type de données affichées.

Pour les données de paquets :

  • L'option Quantifier par nombre d'événements affiche le nombre de sessions.
  • L'option Quantifier par taille d'événement affiche la taille en octets.
  • L'option Quantifier par nombre de paquets affiche le nombre de paquets.

Pour les données de log :

  • L'option Quantifier par nombre d'événements affiche le nombre de logs.
  • L'option Quantifier par taille d'événement affiche la taille en octets.
  • L'option Quantifier par nombre de paquets affiche le nombre de logs.

Actions

Le menu Actions contient plusieurs actions (Visualiser, Accéder à l'événement et Imprimer) que vous pouvez effectuer dans la vue Naviguer (voir Agir sur un point de recherche verticale dans la vue Naviguer).

Enregistrer les événementsAffiche le menu Enregistrer les événements dans lequel vous pouvez utiliser les options permettant d'effectuer les tâches suivantes : extraire les fichiers associés à un événement, exporter le point de recherche verticale actif en tant que fichier PCAP, et exporter le point de recherche verticale actif en tant que fichier log (voir la rubrique Exporter un point de recherche verticale).

Rechercher des événements

Permet de rechercher des modèles de texte dans l'ensemble des événements en cours. Si vous cliquez dans le champ Rechercher, un menu déroulant affiche les options de recherche. Si vous cliquez sur Appliquer, les options sélectionnées sont enregistrées et les options de recherche sont mises à jour dans la vue Événements et le profil Investigations (voir Investigation - Options de recherche).

ParamètresAffiche les paramètres Investigation de la vue Naviguer (qui sont également modifiables dans la vue Profil) pour que vous puissiez modifier les paramètres Investigation sans avoir à naviguer hors de la vue Naviguer. Lorsque vous modifiez un paramètre dans la vue Naviguer, le paramètre est également modifié dans la vue Profil (voir Configurer la vue Parcourir et la vue Événements).

Bouton Suspendre/Recharger et fil d'Ariane

Le fil d'Ariane fait le suivi de chaque requête pour laquelle vous effectuez une recherche verticale via les métadonnées du service. Chaque requête est répertoriée avec un menu déroulant dans une chaîne séparée par des traits verticaux. Le dernier point correspond au point actuel, aussi appelé extrémité. L'icône en regard du fil d'Ariane vous permet d'interrompre le chargement des valeurs méta ou de recharger les valeurs méta.

Le fil d'Ariane ne comprend pas le nom du service et apparaît uniquement si une requête est active. Si un nombre trop important de recherches verticales doit être affiché, le dépassement de capacité s'affiche sous la forme de doubles crochets, >>, à la fin du fil d'Ariane.

Chaque menu déroulant dans le fil d'Ariane est identique, avec une légère variation en fonction de la position du fil.

Le tableau suivant décrit les commandes et options de menu du fil d'Ariane.

                                           
FonctionnalitéDescription :

Bouton Suspendre et Recharger. Contrôle le chargement des données dans la vue. Trois fonctions sont disponibles : la suspension du chargement, la poursuite du chargement et le rechargement.
Naviguer iciOuvre le point de recherche verticale sélectionné dans le panneau Valeurs actuel.
Naviguer ici (nouvel onglet)Ouvre le point de recherche verticale sélectionné dans un nouvel onglet.
Insérer avantInsère une requête avant le point de recherche verticale actif. La boîte de dialogue Créer un filtre s'ouvre pour vous permettre de définir une requête personnalisée à insérer dans le fil d'Ariane (voir Créer une requête personnalisée).

Ajouter

Ajoute une requête après le point de recherche verticale actif. La boîte de dialogue Créer un filtre s'ouvre pour vous permettre de définir une requête personnalisée à ajouter à la fin du fil d'Ariane (voir la rubrique Créer une requête personnalisée).

Supprimer Supprime le point de recherche verticale sélectionné du fil d'Ariane.

Modifier

Ouvre le point de recherche verticale sélectionné dans la boîte de dialogue Créer un filtre afin que vous puissiez modifier la requête.

>>

Cliquer sur les crochets permet d'afficher le menu déroulant du dépassement de capacité du fil d'Ariane.

(Facultatif) Informations de débogage

Si vous avez activé le paramètre Afficher les informations de débogage et que le service dans lequel vous vous trouvez est un Broker 10.4, Security Analytics affiche les informations de débogage en dessous du fil d'Ariane.

Les informations de débogage correspondent à une clause where de la requête actuelle. Le seul cas où il n'y a pas de clause where, c'est lorsque la période s'applique à toutes les données et qu'il n'y a aucun point de recherche verticale. Si le Broker dispose au minimum d'un service agrégé en ligne, les informations de débogage afficheront également le service hors ligne.

Par exemple :

(attachment exists)&&(tcp.dstport = '80')&&(risk.info exists)$$time='2014-05-04 18:50:00"-"2014-05-09 18:59:59(attachment exists) && (tcp.dstport = '80') && (risk.info exists) && time="2014-05-04 18:50:00"-"2014-05-09 18:50:59"

De plus, le temps de chargement s'affiche à la fin de chaque clé méta dans le panneau Valeurs.

Bannière Temps

Juste en dessous du fil d'Ariane et des informations de débogage, (si disponibles), la bannière Temps affiche la période utilisée pour créer le graphique.

Visualisation

La visualisation du point de recherche verticale actif figure en haut de la vue Naviguer. Vous pouvez l'utiliser pour effectuer une recherche verticale dans les données à partir du panneau Visualisation (voir Effectuer une recherche verticale dans les données au sein du graphique chronologique de la vue Naviguer). Vous pouvez afficher ou masquer la visualisation, et choisir une des options de visualisation suivantes : Chronologie ou Coordonnées. La fonctionnalité Visualisation s'ouvre généralement à la dernière visualisation.

Graphique chronologique

La chronologie affiche une activité pour le service et la période spécifiés, comme un graphique linéaire ou un graphique à barres en fonction de votre choix dans le menu Options. La deuxième figure illustre un graphique linéaire et la troisième figure illustre un graphique à barres.

                                       
FonctionnalitéDescription :
Nombre d'événements (Chronologie)

Axe Y du graphique basé sur des milliers d'événements.

Chronologie

Axe X du graphique basé sur l'heure à laquelle les événements se sont produits.

Point d'événement (Chronologie) Si vous souhaitez explorer une section spécifique, sélectionnez simplement la plage correspondante dans le graphique. La nouvelle période sera reflétée dans le graphique.
Examiner (Chronologie) Affiche les valeurs méta du sous-ensemble sélectionné.

Réinitialiser le zoom (Chronologie)

Pour revenir à la période d'origine, cliquez sur Réinitialiser le zoom.

Options Affiche la boîte de dialogue Options de visualisation. Les points de données peuvent être affichés sous la forme d'un graphique linéaire (par défaut), d'un graphique à barres ou d'un graphique de coordonnées. Lorsqu'un type de graphique est sélectionné, les options correspondantes s'affichent.

Masquer

Réduit le graphique.

Graphique de coordonnées parallèles

Le graphique de coordonnées parallèles est l'un des choix du menu Options pour visualiser le point de recherche verticale actif. Avec le paramètre Coordonnées sélectionné dans la boîte de dialogue Options de visualisation, vous pouvez sélectionner les métadonnées à afficher (voir Visualiser des métadonnées en tant que coordonnées parallèles).

                                   
FonctionnalitéDescription :
Axes

Chaque axe est une clé méta. Le nombre de clés méta affecte le temps de charge du graphique. Toutes les clés méta sont chargées, mais le nombre d'événements par clé méta est limité.

Lignes

Les lignes représentent des événements, qui relient des valeurs sur les axes pour montrer la corrélation entre plusieurs clés méta.

Options

Affiche la boîte de dialogue Options de visualisation. Les points de données peuvent être affichés sous la forme d'un graphique linéaire (par défaut), d'un graphique à barres ou d'un graphique de coordonnées. Lorsqu'un type de graphique est sélectionné, les options correspondantes s'affichent.

Seul un sous-ensemble d'événements s'affiche.

Ce message est une notification indiquant que tous les événements du panneau des valeurs sont tracés dans le graphique. La suppression des axes ou le filtrage des données dans le panneau Valeurs permet d'afficher tous les événements.

Événements trouvés | Chemins uniques

Affiche le nombre total d'événements représentés dans le graphique par rapport au nombre de chemins uniques représentés dans le graphique. La définition de l'option Toutes les clés méta doivent exister dans un événement retrace le graphique afin qu'il soit plus ciblé et lisible.

Inexistant Indique que l'événement ne contient aucune valeur pour cette clé méta.

Dans la boîte de dialogue Options de visualisation pour les coordonnées, vous pouvez sélectionner les clés méta à représenter dans le graphique.

                                               
FonctionnalitéDescription :
Sélection de visualisations

Affiche une liste déroulante des types de visualisation : Chronologie et coordonnées

Toutes les clés méta doivent exister dans un événement

Limite les données représentées dans la visualisation à uniquement ces événements qui incluent toutes les clés méta sélectionnées. Il en résulte une visualisation plus nette et plus ciblée.

Affiche la boîte de dialogue Ajouter des clés à la visualisation des coordonnées parallèles afin de pouvoir ajouter des axes à la visualisation. Cela est utile si vous recherchez des relations entre les clés méta par défaut et les autres.

Supprime les clés sélectionnées afin qu'elles n'apparaissent pas sous la forme d'axes dans la visualisation. Ainsi, la visualisation apparaît moins encombrée et peut inclure plus de points de données.

Rétablit les clés méta par défaut de la visualisation, se composant de toutes les clés méta dans le point de recherche verticale actif.

Contrôle l'affichage d'informations supplémentaires relatives au nombre d'axes sélectionnés par rapport au nombre recommandé. Cela vous permet de prendre conscience des améliorations de performances en supprimant les axes.

Axes

Affiche les clés méta sélectionnées en tant qu'axes dans la visualisation.

Annuler

Annule les modifications appliquées aux options de visualisation.

Appliquer

Enregistre les modifications effectuées dans les options de visualisation et les applique à la visualisation actuelle.

Dans la boîte de dialogue Ajouter des clés à la visualisation des coordonnées parallèles, vous pouvez sélectionner les clés méta ou les groupes méta à utiliser en tant qu'axes dans la visualisation des coordonnées parallèles.

                           
FonctionnalitéDescription :
Sélection de visualisations

Sélectionner les clés : Les deux options qui permettent de sélectionner les clés méta sont les suivantes :

  • À partir des clés méta par défaut
  • À partir des groupes méta

Chaque option fournit une liste déroulante à partir de laquelle effectuer la sélection.

Avec les clés méta sélectionnées...

Les options de la méthode d'ajout des clés méta vous permettent d'effectuer les opérations suivantes :

  • Remplacer la liste actuelle de clés
  • Ajouter à la liste actuelle de clés
  • Insérer au début de liste actuelle de clés
Annuler

Ferme la boîte de dialogue et n'ajoute aucune clé.

Add

Ferme la boîte de dialogue et ajoute les clés sélectionnées comme spécifié.

Panneau Valeurs

La fonctionnalité principale de la vue Naviguer est le panneau Valeurs, que vous pouvez utiliser pour analyser les données (voir Effectuer une recherche verticale dans les données dans le panneau Valeurs). La première figure ci-dessous illustre le panneau Valeurs en mode normal ; la deuxième figure illustre les informations ajoutées lorsque le paramètre Afficher les informations de débogage est actif.

La vue par défaut concerne les 3 dernières heures de collecte, en utilisant les clés méta par défaut et les clés méta non indexées fermées. Les clés méta au sein des groupes méta sont affichées dans l'ordre dans lequel Security Analytics interroge les clés. Au fur et à mesure que le chargement des données s'effectue dans le panneau Valeurs, Security Analytics est optimisé pour afficher les résultats partiels, la progression du chargement et l'état du service au moment du chargement des données.

Le comportement du chargement est déterminé par plusieurs paramètres de configuration. Les paramètres de niveau les plus élevés sont configurés par l'administrateur pour chaque utilisateur. Elles sont les suivantes :

  • La durée maximale autorisée pour l'exécution d'une requête par cet utilisateur (Délai d'expiration de la requête).
  • La limite à laquelle Security Analytics cesse de compter le nombre de valeurs méta dans une session (Seuil de session). Si un seuil est défini pour une session, la vue Navigation montre que le seuil a été atteint et affiche le pourcentage de temps de requête utilisé pour atteindre le seuil.

Remarque : Les valeurs des clés méta non indexées prennent plus de temps à se charger dans le panneau Valeurs. Pour optimiser le chargement, Security Analytics n'ouvre pas les clés méta non indexées par défaut. Pour une description détaillée des clés méta non indexées dans Investigation, reportez-vous à la rubrique Gérer et appliquer des clés méta par défaut dans Investigation.

Lorsque vous lancez la procédure d'enquête d'un service, Security Analytics affiche les résultats dans le panneau Valeurs.

  1. Security Analytics charge les clés méta et les valeurs méta dans le panneau Valeurs. Pour chaque chargement de clé méta, les étapes de chargement sont les suivantes :
    1. En attente de chargement ou Fermé. Si le paramètre Fermé est défini, aucune donnée relative à cette clé ne sera chargée.
    2. Chargement
      1. Progression du chargement : Security Analytics reçoit et affiche les messages de progression.
      2. Résultats partiels : Security Analytics reçoit des messages de valeurs et des résultats partiels sont affichés dans le panneau Valeurs.
    3. Chargement terminé : Le chargement de tous les résultats est terminé.
  2. À la fin du chargement d'une clé méta et de l'affichage de ses valeurs finales, le chargement de la clé méta suivante est lancé. Le nombre et les valeurs affichés pour chaque clé méta sont spécifiés par la valeur Générer des threads dans les paramètres de préférences d'investigation. Le chargement se poursuit jusqu'à ce que toutes les clés soient complètement chargées.
  3. Si l'option Afficher les informations de débogage est active et que le service utilisé est un service Broker 10.4 ou de version ultérieure, Security Analytics affichera les informations de temps de chargement sous les valeurs de chaque clé méta, ainsi que d'autres détails de chargement relatifs aux services agrégés. Security Analytics affiche également les informations de débogage sous le fil d'Ariane.

Résultats itératifs

Les résultats itératifs contiennent des commentaires sur l'état des requêtes au sein des interfaces afin de fournir un contexte supplémentaire quant à la durée de chargement des données et l'absence de données de service. Par exemple, si vous interrogez un service Broker qui agrège deux services Concentrator, Security Analytics commence à afficher les résultats du premier service Concentrator dès qu'ils sont disponibles, même si le second service Concentrator attend toujours les résultats.

Les résultats itératifs comprennent également une notification indiquant que des données de service sont manquantes parce que le service est inaccessible.

Résultats partiels

Lorsque les valeurs partielles du service Core sont retournées mais non terminées, un message à la fin de la liste des clés méta indique la progression des valeurs chargées. Dans l'exemple ci-dessous, Currently looking at 38 ip.src values 71% indique que le chargement des valeurs de la clé méta est exécuté à 71 %.

Informations de débogage

Si le paramètre Afficher les informations de débogage est activé, un champ à la fin des valeurs affiche l'état des différents systèmes que vous interrogez dans Security Analytics. Par exemple, lorsque vous interrogez un service Broker 10.4 extrayant ses données de plusieurs services Concentrator, Security Analytics affiche l'état de la requête sur chacun des services Concentrator, ce qui donne un aperçu de la vitesse relative du chargement des données de chacun des services Concentrator. Chaque service ayant participé à la requête est indiqué avec la durée d'exécution totale de la requête.

Chaque service ayant participé à la requête est indiqué avec la durée d'exécution totale de la requête. Dans l'exemple ci-dessus, deux services ont indiqué 3 207 secondes, localhost:50005 a pris 2 secondes pour retourner les résultats. En outre, la clause where de la requête est affichée sous le fil d'Ariane. Vous pouvez copier cette syntaxe directement dans la clause where d'une règle d'application ou du Reporting.

Chargement terminé

Voici un exemple de valeurs une fois chargées.

Pour chaque clé méta, il y a une liste de valeurs (texte en bleu) et des nombres (texte en vert) trouvés au niveau du point de recherche verticale actif. Lorsque vous cliquez sur une valeur pour effectuer une recherche verticale dans un sous-ensemble de données sélectionnées, l'affichage est mis à jour et le nouveau point de recherche verticale est enregistré dans le fil d'Ariane. Vous pouvez spécifier les méthodes de tri et de quantification pour la liste des valeurs en utilisant les options correspondantes dans la barre d'outils.

Remarque : Le titre, les valeurs et les chiffres relatifs aux clés méta non indexées ne peuvent pas faire l'objet d'une recherche verticale ; les valeurs et les chiffres sont en noir. Reportez-vous aux sections suivantes Gérer et appliquer des clés méta par défaut dans une procédure d'enquête pour obtenir une description détaillée des clés méta non indexées dans Investigation.

                                           
FonctionnalitéDescription :
Clé métaNom de la clé méta qui est affiché. Par exemple, Service Type est une clé méta.

Nombre de valeurs affichées par rapport aux nombres de valeurs disponibles pour le chargement

Le nombre et les valeurs affichés sont spécifiés par la valeur Générer des threads dans les paramètres de préférences d'investigation. Dans l'exemple ci-dessus, la clé méta est Service Type et 20 of 20+ values correspond aux valeurs actuellement affichées. Vous pouvez afficher d'autres valeurs en cliquant sur ...show more.
104InvSearch.png Cliquer sur 104InvSearch.png sur une clé méta indexée permet d'ouvrir la boîte de dialogue Rechercher dans laquelle vous pouvez sélectionner un filtre pour la clé méta actuelle. La fonction de recherche n'est pas disponible pour les clés méta non-indexées, et elle est basée sur la valeur méta plutôt que sur l'alias. La recherche verticale dans la boîte de dialogue Rechercher en utilisant des alias n'est pas prise en charge.
REMARQUE : Contactez votre administrateur pour obtenir la liste des alias pouvant être utilisés avec une clé méta dans le module Investigation. Lorsqu'un alias est utilisé, cette boîte de dialogue de recherche ne fournit pas de résultats. En revanche, vous devez interroger la clé méta à l'aide de la fonctionnalité de requête accessible par clic droit ou à l'aide de la boîte de dialogue Requête.
104InvSearchDg.png
Services hors ligne : xxx.xxx.xxx.xxx:50004 Indique les services hors ligne interrogés par un service Broker 10.4.
Nombre de méta, par exemple  Inves_Navigate_DeviceView_MetaDataCount.pngNombre d'instances trouvées pour un méta particulier dans la session.
Valeur méta, par exemple Inves_Navigate_DeviceView_MetaDataValue.pngNom spécifique associé aux méta trouvés.
...show moreSi le nombre de valeurs méta a été limité (par exemple, 20), cliquer sur cette fonctionnalité permet d'afficher d'autres valeurs méta pour la clé méta sélectionnée.
Loaded in 0.418 secs. Durée totale en cours d'exécution 0,434 secondes. (localhost:50005 loaded in 1 secs...Les statistiques de débogage affichent les durées de chargement en fonction du paramètre Afficher les informations de débogage.

Menus contextuels des clés méta

Les clés méta contenues dans le panneau Valeurs fournissent des menus contextuels. En regard de chaque libellé de méta, une flèche déroulante affiche les options qui peuvent être appliquées à cet élément. Vous pouvez les utiliser pour modifier le mode d'affichage des résultats de la clé méta dans la vue actuelle. Les modifications apportées aux clés méta s'affichent dans la vue active lors d'une recherche verticale, sauf si vous actualisez la page ou sélectionnez un nouveau service dans la barre d'outils de la vue Naviguer. UneGérer et appliquer des clés méta par défaut dans une procédure d'enquête actualisation rétablit la vue actuelle des clés méta, telle que définie dans la boîte de dialogue Gérer les clés méta par défaut (voir la rubrique Gérer et appliquer des clés méta par défaut lors d'une procédure d'enquête). Si vous n'avez effectué aucune modification dans la boîte de dialogue Gérer les clés méta par défaut, Security Analytics restaure les clés méta par défaut à partir du service de base.

  • Autres résultats
  • Résultats maximum
  • Masquer les résultats
  • Info sur la clé méta

Panneau Recherche contextuelle

Outre l'ajout d'un nouveau service Context Hub, la vue Naviguer se compose d'un nouveau panneau situé à droite de l'écran nommé Recherche contextuelle. Le panneau Recherche contextuelle ne s'affiche que si vous avez installé et configuré le service Context Hub. Pour plus d'informations sur la configuration du service Context Hub, reportez-vous au Guide de configuration du service Context Hub.

Le panneau Recherche contextuelle affiche les données pertinentes lorsqu'un analyste recherche des données contextuelles pour une valeur méta dans le panneau Valeurs.

Une fois que l'administrateur a configuré le service Context Hub, vous pouvez afficher les informations contextuelles des valeurs méta dans la vue Naviguer et la vue Événements. Pour plus d'informations sur la configuration du service Context Hub, reportez-vous au Guide de configuration du service Context Hub.

Pour plus d'informations sur l'exécution de la recherche contextuelle des valeurs méta, reportez-vous à la rubrique Afficher un contexte supplémentaire pour un point de données. Afficher un contexte supplémentaire pour un point de données.

Le service Context Hub est pré-configuré avec un mappage du type de méta et de la clé méta par défaut. Pour plus d'informations sur le mappage de la valeur méta du service Context Hub avec une clé méta d'investigation, reportez-vous à la rubrique « Gérer le mappage du type de méta et de la clé méta » dans le Guide de configuration de Context Hub.

Vous pouvez afficher le type de données contextuelles disponible pour une valeur méta en surbrillance en positionnant le pointeur de la souris sur une valeur méta mise en surbrillance. Un indicateur en ligne affiche le type de données contextuelles disponible pour la méta : ECAT, Incidents, Alertes ou Listes.
F-Navigate-view-inline-indicator.png

En cliquant sur une valeur méta avec le bouton droit de la souris, un menu s'affiche avec l'option de recherche contextuelle. La figure suivante illustre l'option Recherche contextuelle lorsque vous cliquez sur une valeur méta avec le bouton droit de la souris.

F-rc-meta-context-lookup.png

Pour plus d'informations sur les résultats des recherches et les données contextuelles pour différentes sources de données, reportez-vous à la section Investigation - panneau Recherche contextuelle.

Previous Topic:Vue Analyse de malware
You are here
Table of Contents > Matériaux de référence de procédure d'enquête > Vue Naviguer

Attachments

    Outcomes