Investigation : Vue Configurer le récapitulatif des événements de malware

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Le récapitulatif des événements fournit un résumé de l'analyse qui fait l'objet d'une enquête. Les dashlets configurables tels que les graphiques de visualisation et les listes se situent en dessous. Par défaut, le récapitulatif des événements d'une analyse s'ouvre avec les dashlets par défaut affichés. Vous pouvez personnaliser l'affichage en ajoutant, modifiant et en supprimant des dashlets par défaut. La personnalisation configurée des dashlets persiste à travers différentes procédures d'enquêtes. Vous pouvez restaurer les dashlets par défaut à tout moment. Les dashlets par défaut sont :

  • Récapitulatif des événements (fixe)
  • Chronologie d'événements
  • Liste des principaux malwares fortement suspects
  • Compartimentage des méta
  • Roue des scores
  • Répartition des méta

La figure suivante est un exemple de récapitulatif des événements par défaut.

104MWSumEvents2.png

Le reste de cette rubrique fournit des instructions sur la gestion et la configuration de dashlets.

Ajouter un dashlet

Vous pouvez ajouter plusieurs copies de dashlets dans le récapitulatif des événements d'analyse de Malware Analysis. Pour ajouter un dashlet :

  1. Dans la barre d'outils, sélectionnez Ajouter.
    La liste déroulante des dashlets s'affiche. Vous disposez de quatre options de visualisation : Roue des scores, Compartimentage des méta, Répartition des méta et Chronologie d'événements. Les trois autres dashlets sont les mêmes dashlets disponibles dans le tableau de bord unifié : Malware à forte probabilité d'indicateur de compromission et scores élevés, Liste des principaux malwares fortement suspects, Liste des principaux malwares de type Zero Day.
    104MWADdDshltMn.png
  2. Sélectionnez un dashlet.
    Le nouveau dashlet est ajouté comme dernier dashlet sous les dashlets existants.
  3. Si le dashlet est un réplica d'un dashlet existant, changez le nom du nouveau dashlet afin qu'il soit unique.

Modifier ou supprimer un dashlet à l'aide des options de la barre d'outils

Chaque dashlet dispose d'une barre d'outils qui offre des options pour modifier le dashlet. Les graphiques de visualisation ont les mêmes paramètres de configuration, tandis que certains des autres dashlets comportent d'autres paramètres supplémentaires.

104DshletTb.png

Pour utiliser les options de la barre d'outils :

  • Pour fermer un dashlet pour afficher uniquement la barre de titre, cliquez sur 104DshletClos.png.
  • Pour ouvrir un dashlet qui est fermé, cliquez sur 104DshletExp.png.
  • Pour afficher les paramètres configurables pour un dashlet, cliquez sur 104DshletSet.png.
    La boîte de dialogue des paramètres s'affiche.
  • Pour supprimer un dashlet, cliquez sur 104DshletDel.png.

Appliquer un filtre de seuil à plusieurs dashlets

Dans les dashlets, vous pouvez définir un seuil pour afficher uniquement les événements égaux, supérieurs ou inférieurs à un certain score dans les quatre catégories (statique, réseau, communauté et Sandbox). Cette procédure définit les seuils par type de dashlet pour ces dashlets : Chronologie d'événements, Roue des scores et Méta Treemap. Vous pouvez également définir le seuil pour des dashlets individuels.

  1. Dans la barre d'outils, sélectionnez ic-actns.png > Appliquer le filtre de seuil.
    La boîte de dialogue Appliquer le filtre de seuil s'affiche.
    MAThrFilDg.png
  2. Sélectionne un ou plusieurs types de dashlet : Chronologie d'événements, Roue des scores et Méta Treemap.
  3. Faites glisser le curseur ou saisissez une valeur numérique, puis sélectionnez un opérateur dans la liste déroulante : =, >= ou <=.
  4. Cliquez sur Apply.
    Les filtres de seuil sont appliqués aux types de dashlet sélectionnés dans le Récapitulatif des événements.

Définir les options de titre et catégorie pour un dashlet

  1. Pour afficher les paramètres configurables pour un dashlet, cliquez sur 104DshletSet.png.
    La boîte de dialogue Options s'affiche.
    104ScrWheelOpt.png
  2. Saisissez un nouveau titre pour le dashlet dans le champ Titre.
  3. Si vous voulez voir uniquement les événements qui sont influencés par une balise de forte probabilité, ce qui signifie qu'il y une grande probabilité que l'événement contienne un code malveillant, cochez l'option Influencé par la forte probabilité uniquement.
  4. Si vous voulez afficher uniquement les événements avec un score supérieur à un certain score dans les quatre catégories (statique, réseau, communauté et Sandbox), faites glisser le curseur correspondant ou saisissez une valeur numérique, puis sélectionnez un opérateur dans la liste déroulante : =, >= ou <=.
  5. Cliquez sur Apply.
    Le titre et les filtres sont appliqués au dashlet.

Organiser les dashlets

Pour changer l'ordre des dashlets tels qu'ils apparaissent sous le Résumé des événements :

  1. Dans la barre d'outils, sélectionnez ic-actns.png > Organiser les dashlets.
    La boîte de dialogue Organiser les dashlets s'affiche.
    104OrderDshltDg.png
  2. Sélectionnez un dashlet que vous souhaitez déplacer vers le haut ou vers le bas, puis cliquez sur 104UpBtn.png ou 104DownBt.png.
  3. Une fois cette organisation terminée, cliquez sur Appliquer.
    La boîte de dialogue se ferme et l'ordre des dashlets sous le Résumé des événements est modifié en fonction de vos choix.

Restaurer les dashlets par défaut

Une fois que vous avez ajouté, modifié et réorganisé les dashlets, vous pouvez revenir aux paramètres par défaut pour l'affichage des dashlets. Pour restaurer les dashlets par défaut :

  1. Dans la barre d'outils, sélectionnez ic-actns.pngRestaurer la configuration par défaut.
    Une boîte de dialogue vous demande de confirmer que vous souhaitez restaurer la configuration.
  2. Exécutez l'une des opérations suivantes :
    1. Si vous décidez de conserver la réorganisation du dashlet que vous avez configuré, cliquez sur Non.
    2. Si vous voulez vraiment restaurer les paramètres par défaut, cliquez sur Oui.
      L'affichage du dashlet revient à l'affichage par défaut.
You are here
Table of Contents > Configurer les vues et préférences de procédure d'enquête > Vue Configurer le récapitulatif des événements de malware

Attachments

    Outcomes