Investigation - Options de recherche

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Vous pouvez rechercher des événements aussi bien dans la vue Naviguer que dans la vue Événements. Dans la vue Naviguer, vous pouvez cliquer sur une valeur méta, par exemple HTTP, pour explorer les données, puis saisir une chaîne de recherche dans le champ Rechercher pour rechercher des événements dans ce sous-ensemble de données. La recherche ouvre un onglet dans la vue Événements, met en évidence l'étendue et l'heure de votre recherche verticale, et affiche les résultats de votre recherche. Vous pouvez également effectuer une recherche verticale dans les données à l'aide des requêtes avant de démarrer une recherche.

Les procédures associées à la recherche dans les vues Investigation sont décrites dans Configurer la vue Parcourir et la vue Événements, Résultats du filtrage et de la recherche dans la vue Événements et Effectuer une recherche verticale dans les données dans le panneau Valeurs.

Les vues Naviguer et Événements de Procédure d'enquête permettent de rechercher les modèles de texte dans l'ensemble d'événements actuel. Vous pouvez effectuer une recherche par mot-clé ou mettre en correspondance des expressions régulières. 

Recherche de texte par mot-clé

La recherche de texte fournit les fonctionnalités suivantes :

  • Chaque mot séparé par un espace est relié par l'opérateur ET, pour que chaque mot soit trouvé, mais l'ordre ou la position par rapport aux autres mots est sans importance. Par exemple, si vous effectuez une recherche sur Mark Albert, Mark et Albert doivent être trouvés dans la session, mais ils doivent être ensemble ou dans un ordre spécifique.
  • Le mot OU est spécial. Si vous recherchez Mark OR Albert, Mark ou Albert doivent être trouvés dans la session pour correspondre ; les deux ne sont pas nécessaires.
  • Vous pouvez associer les opérateurs implicites ET et OU dans la chaîne de recherche. L'opérateur OU explicite a une priorité supérieure à l'opérateur ET implicite (espace blanc). Les exemples suivants ont la même instruction logique, qui exige que les deux termes fromage et boulettes soient présents dans une occurrence avec le terme toast ou pain.
    cheese toast OR bread dumplings
    cheese AND (toast OR bread) AND dumplings
  • Vous pouvez exclure des mots des résultats de la recherche en utilisant l'opérateur -. Par exemple, une recherche effectuée avec cheese -toast ne retournera aucun résultat contenant le mot fromage, sauf si le mot toast est également présent.
  • La recherche par mot-clé peut trouver des occurrences de métadonnées stockées dans les modèles suivants :
    • Adresses IPv4 et IPv6. Tout terme pouvant être reconnu comme étant une adresse IP sera converti au format de métadonnée natif pour pouvoir être trouvé dans les données indexées.
    • Plages d'adresses IPv4 CIDR. Vous pouvez utiliser la notation CIDR pour trouver des adresses IPv4 dans une plage d'adresses.
    • Horodatages. Les horodatages sont mis en correspondance avec le méta de temps natif et tous les autres champs de métadonnées de temps stockés avec le type Time. 
    • Nombres. La fonction de recherche tentera automatiquement d'identifier les termes de recherche décimaux et de les mettre en correspondance avec les champs de métadonnées numériques.

Options de contrôle du comportement de recherche

Pour accéder à la zone de recherche et aux options de recherche dans les vues Naviguer ou Événements :

  1. Dans le menu Security Analytics, sélectionnez Investigation > Naviguer ou Événements.
  2. Dans la boîte de dialogue Examiner, sélectionnez un service, puis cliquez sur Naviguer.
    Le champ Rechercher des événements s'affiche dans la barre d'outils. 
    SearchEventsField.png
    Résolution des problèmes : si vous ne voyez pas le champ Rechercher des événements dans la barre d'outils, cliquez sur ic-more.png sur le côté droit de la barre d'outils.
  3. Cliquez dans le champ de recherche pour afficher le menu déroulant Rechercher des événements.
    SearchEvents.png

Les options sélectionnées dans cette zone modifient la manière dont la recherche et exécutée. Le mode de recherche par défaut consiste à utiliser les index de recherche des mots-clés de texte dans les métadonnées et les données brutes.

Le tableau suivant décrit les options de recherche dans Procédure d'enquête.

                                 
Fonctionnalité Description :
Index de rechercheCommence par rechercher dans les index avant de rechercher dans les métadonnées ou les données brutes. Rechercher dans l'index est le moyen le plus rapide de trouver des mots-clés dans un ensemble de données volumineux. La recherche dans l'index exploite les index appropriés présents dans votre collection de données.

Attention :
- La recherche dans l'index ne renvoie que les résultats obtenus avec les données indexées.
- Les occurrences de sous-chaînes ne sont pas trouvées par les recherches dans les index. Pour trouver des occurrences de sous-chaînes, désélectionnez cette case à cocher et recherchez autrement que dans les index.

MetaRecherche les métadonnées. Votre mot-clé ou votre modèle Regex est mis en correspondance avec les métadonnées analysées.
BRUTES (Réseau/Log)Recherche dans le texte du log. Chaque événement est décodé et le contenu est exploré pour y rechercher des occurrences à l'aide du mot-clé ou du modèle Regex.
Si vous sélectionnez toutes les données sans filtres sur un générateur d'archive, la durée d'exécution peut être excessive et un avertissement peut s'afficher.

Attention : La recherche dans les sessions réseau de recherche provoque le décodage des sessions, lequel est très long. Vous pouvez désactiver les recherches brutes lorsque vous examinez les collections réseau uniquement.

Non sensible à la casseIgnore la casse lors de la recherche.
Expression régulièreles recherches avec une expression régulière Perl au lieu de texte. Par défaut, Security Analytics exécute une recherche de texte. Pour exécuter une recherche d'expression régulière, sélectionnez l'option Expression régulière.

Attention :
- Les recherches d'expression régulière peuvent être très lentes.
- Lorsque les expressions régulières et les options de recherche dans les index sont combinées, le modèle de l'expression régulière est mis en correspondance avec des valeurs d'index spécifiques au lieu de valeurs méta. Cela accélère l'obtention des résultats, mais il ne s'agit pas d'une recherche exhaustive de toutes les métadonnées ou données brutes.

AppliquerDéfinit les options de recherche par défaut à appliquer à une recherche dans les vues naviguer et Événements. cette option met aussi à jour les préférences Investigation dans votre profil (Profil > Préférences > onglet Investigation). Les préférences sont sauvegardées et effectives immédiatement.
Vous pouvez sélectionner les options de recherche à utiliser pour une recherche sans modifier vos préférences de recherche par défaut.

Syntaxe de recherche d'une expression régulière

La recherche d'une expression régulière utilise la syntaxe d'expression régulière Perl, qui est documentée en détail dans la page http://perldoc.perl.org/perlre.html.

Recherche de mot-clé de texte brut (nouvelle dans la version 10.6)

Le Log Decoder peut créer un index de texte brut pour événements de log non analysés. Cette fonctionnalité crée les éléments de métadonnées qui forment un index en texte intégral sur les services en aval tels que les Concentrators et les Archivers. Lorsque vous activez l'option Rechercher dans les index dans vos préférences de recherche, votre recherche utilise automatiquement l'index de texte. Notez que l'index de texte produit des éléments de métadonnées dotés d'une granularité grossière.  Par exemple, la configuration de l'indexeur de texte tronque les termes d'un texte. En comparant les occurrences de l'index avec les données brutes, le moteur de recherche trouvera les résultats exacts de votre recherche. Cependant, vous pouvez améliorer les temps de recherche en désactivant la case à cocher de la recherche brute. Ainsi, les résultats seront renvoyés plus rapidement, mais vous pourrez constater des occurrences de faux positifs dans les résultats de la recherche.

Exemples de recherche

Les exemples suivants illustrent les recherches effectuées dans les vues Naviguer et Événements.

Recherche dans la vue Naviguer

Pour effectuer une recherche dans les données affichées dans la vue Naviguer, procédez comme suit :

  1. Pour explorer les données, cliquez sur une valeur méta, par exemple HTTP, dans le panneau Naviguer.
    ClickMetaValueHTTP.png 
  2. Saisissez une chaîne de recherche dans le champ Rechercher et appuyez sur Entrée ou cliquez sur Rechercher
    NavViewSearchExG.png
    L'exemple suivant contient les résultats de recherche de la chaîne de recherche google dans un nouvel onglet de la vue Événements. L'exploration (Requête) et la période issues de la vue Naviguer sont exposées dans la vue Événements (service=80 et Last 24 Hours dans cet exemple). 
    NavViewSearchExG2.png
  3. Pour effacer la zone de recherche et revenir à la vue Événements normale, cliquez sur le X dans la zone de recherche.

Recherche dans la vue Événements

Pour effectuer une recherche dans les données affichées dans la vue Événements :

  1. Saisissez une chaîne de recherche dans le champ Rechercher et appuyez sur Entrée ou cliquez sur Rechercher.
    Les résultats de la recherche s'affichent dans la vue Événements. Les événements qui correspondent aux critères de recherche s'affichent dans la grille de la vue Événements. Dans la vue Détails et la vue Liste, les correspondances sont mises en surbrillance dans la colonne Détails. De plus, lors de la recherche des données BRUTES, les correspondances sont mises en surbrillance dans la vue Log - colonne Logs. Voici un exemple des résultats de la recherche du terme Washington dans la vue Détails des événements. Notez que les correspondances de recherche ne sont pas mises en surbrillance dans une reconstruction d'événement.
    EventsViewSearchEX.png
  2. Pour limiter la recherche, modifiez la requête et l'heure.
  3. Si vous souhaitez arrêter la recherche et revenir à la vue Événements, cliquez sur Annuler
    Les résultats déjà affichés restent à l'écran.
  4. Pour effacer la zone de recherche et revenir à la vue Événements normale, cliquez sur le X dans la zone de recherche.
You are here
Table of Contents > Matériaux de référence de procédure d'enquête > Options de recherche disponibles dans les vues Investigation

Attachments

    Outcomes