Investigation : Commencer une investigation

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Les analystes peuvent commencer une procédure d'enquête sur les données d'un service ou une collection Security Analytics, ce qui entraîne le chargement de valeurs.

Pour commencer une procédure d'enquête dans Security Analytics, un service doit être spécifié.

  • Security Analytics ouvre la vue Naviguer avec le service par défaut spécifié par l'utilisateur sélectionné.
  • Si aucun service par défaut n'est actuellement spécifié et que l'identifiant de service ne se trouve pas dans l'URL, Security Analytics présente une boîte de dialogue permettant de sélectionner le service ou la collection à examiner.
  • Lorsqu'un service a été sélectionné manuellement ou par défaut dans la vue Naviguer, vous pouvez modifier le service ou la collection à examiner en sélectionnant le nom du service dans la barre d'outils. Security Analytics présente la boîte de dialogue de sélection du service à examiner.

Remarque : Le service Archiver ne figure pas dans la vue Naviguer pour réduire au minimum un ralentissement des performances lors de l'exécution des enquêtes au niveau de l’expérience utilisateur. Le service Archiver est disponible dans la vue Événements pour les exportations de logs et les fonctions de recherche améliorée. 

Avec un service sélectionné ou une collection sélectionnée, Security Analytics est prêt à charger les données du service ou de la collection. Plusieurs paramètres de la vue Naviguer et de la boîte de dialogue Paramètres de la vue Événements ou Profils > panneau Préférences > onglet Procédures d'enquête affectent le processus de chargement : la page Seuil, Nb max résultats de valeurs, Afficher les informations de débogage, Charger automatiquement les valeurs et Optimiser l'investigation se charge (voir la section Configurer les vues et préférences de procédure d'enquête).

Remarque : Si vous avez indiqué Charger automatiquement les valeurs, Security Analytics remplit automatiquement les données. Sinon, vous devez sélectionner le bouton Charger. Security Analytics remplit les métadonnées dans le panneau Valeurs de la vue Naviguer et les résultats deviennent visibles presque immédiatement.

Le reste de cette rubrique fournit des instructions pour commencer la procédure d'enquête des données sur un service.

Remarque : Seuls les utilisateurs ayant le rôle d'administrateur peuvent créer une collection, et seul le créateur de la collection est en mesure d'enquêter sur elle.

Procédures

Commencer une procédure d'enquête (aucun service par défaut)

  1. Dans le menu Security Analytics, sélectionnez Investigation > Naviguer.
    La boîte de dialogue Examiner s'affiche.
    INVDgServ.png
  2. Double-cliquez sur un service ou sélectionnez un service, puis cliquez sur Naviguer.
    Le panneau qui en résulte affiche l'activité pour le service sélectionné.
  3. Si vous souhaitez modifier les options de procédure d'enquête avant le chargement, vous pouvez créer ou modifier un profil personnalisé, appliquer une période différente, créer ou appliquer un groupe méta, et effectuer une requête personnalisée comme décrit dans Filtrer les informations dans la vue Naviguer.
  4. Lorsque vous êtes prêt, cliquez sur 103-SP2Icon-LoadValues.png.
    Les données du service sélectionné commence le chargement.
    NavVwBrok.png
    Avec le service sélectionné et les données chargées, vous êtes prêt à commencer à analyser les données.

Définir ou effacer le service par défaut

Vous pouvez configurer le service par défaut et désactiver le service par défaut dans la boîte de dialogue Rechercher un service.

  1. Cliquez sur le nom du service dans la barre d'outils.
    La boîte de dialogue Examiner s'affiche.
    INVDgServ.png
  2. Sélectionnez un service dans la grille des Services, puis cliquez sur ic-DefServ.png.
    Le service devient la valeur par défaut, (indiqué par Par défaut entre parenthèses après le nom du service).
  3. Pour effacer le service par défaut, sélectionnez-le dans la grille, cliquez sur ic-DefServ.png,puis cliquez sur Annuler pour fermer la boîte de dialogue.
    Aucun service par défaut n'est défini. 

Remarque : Le bouton Annuler n'annule pas votre sélection du service par défaut. Il ferme simplement la boîte de dialogue sans avoir à naviguer vers le service actuellement sélectionné dans la grille. La définition d'un service par défaut, différent du service actuellement à l'étude, n'actualise pas la vue Naviguer. Vous devez le sélectionner explicitement et naviguer vers un autre service.

Commencer une procédure d'enquête (service par défaut spécifié)

  1. Dans le menu Security Analytics, sélectionnez Investigation > Naviguer.
    Si le paramètre Charger automatiquement les valeurs est désactivé, la vue Naviguer s'affiche avec le service par défaut sélectionné et est prête à charger les données. Si le paramètre Charger automatiquement les valeurs est activé, les valeurs sont chargées comme indiqué à l'étape 3.
    NavVwLoadVal.png
  2. Si vous souhaitez modifier les options de procédure d'enquête avant le chargement, vous pouvez créer ou modifier un profil personnalisé, appliquer une période différente, créer ou appliquer un groupe méta, et effectuer une requête personnalisée.
  3. Lorsque vous êtes prêt, cliquez sur 103-SP2Icon-LoadValues.png.
    Les valeurs du service sont chargées selon les options choisies.
    NavVwBrok.png
    Avec le service sélectionné et les données chargées, vous êtes prêt à commencer à analyser les données.

Modifier le service ou la collecte à examiner

  1. Dans la vue Naviguer, cliquez sur 103-SP2DeviceName.png (le nom du service) en haut du panneau d'options.
    La boîte de dialogue Examiner s'affiche.
    INVDgServ.png
  2. Double-cliquez sur un service ou sélectionnez un service, puis cliquez sur Naviguer. Le panneau qui en résulte affiche l'activité pour le service sélectionné.
    Si le paramètre Charger automatiquement les valeurs est activé, les valeurs sont chargées comme indiqué à l'étape 3. Dans le cas contraire, la vue Naviguer s'affiche avec le service sélectionné par défaut et les données prêtes à charger. 
    NavVwLoadVal.png
  3. Lorsque vous êtes prêt, cliquez sur 103-SP2Icon-LoadValues.png.
    Les valeurs du service commencent à se charger selon les options choisies.
    NavVwBrok.png
    Avec le service sélectionné et les données chargées, vous êtes prêt à commencer à analyser les données.

Examiner des collections de restauration Workbench

Cette procédure permet aux administrateurs de sélectionner le contenu à partir d'une collection existante pour le retraiter en vue d'une étude plus approfondie.

Remarque : Seul un utilisateur avec des privilèges d'administration peut créer une collection. Vous pouvez afficher uniquement les collections que vous avez créées.

Pour retraiter des données en vue d'une étude plus approfondie :

  1. Dans le menu Security Analytics, sélectionnez Investigation > Naviguer.
    La boîte de dialogue Examiner s'affiche.
    INVDgCollect.png
  2. Sélectionnez un service Workbench et le nom du Workbench que vous souhaitez étudier.
  3. Cliquez sur Naviguer pour effectuer une procédure d'enquête sur votre service Workbench sélectionné.
    Cliquez sur Annuler pour sélectionner un service Workbench différent à examiner.
    La vue Procédure d'enquête s'affiche.
    investwbsvc2020415.png
    Avec la collection sélectionnée et les données chargées, vous êtes prêt à commencer à analyser les données.
You are here
Table of Contents > Mener une procédure d'enquête > Commencer une investigation

Attachments

    Outcomes