Investigation : Reconstruire un événement

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Lors de l'affichage d'une liste d'événements dans Investigation Security Analytics > vue Événements, vous pouvez créer une reconstruction de l'événement sous une forme lisible qui corresponde à l'originale. Par défaut, la vue initiale d'un événement reconstruit est le format le plus adapté (Meilleure reconstruction). Par exemple, un contenu Web est reconstruit sous la forme d'une page Web ; une conversation de messagerie instantanée (IM) est affichée avec les deux parties de la conversation. Chaque utilisateur peut sélectionner une reconstruction par défaut différente dans la vue Profil > Préférences.

Dans la reconstruction, vous pouvez :

  • Sélectionner les informations relatives aux événements à afficher. Les valeurs possibles sont : les données de demande, les données de réponse, les données de demande et de réponse.
  • Sélectionner le type de reconstruction : détails, texte, hex, paquets, Web, Courrier électronique ou IM.
  • Exporter des logs bruts.
  • Exporter un événement au format de fichier PCAP.
  • Extraire les fichiers disponibles dans l'événement.

Attention : Soyez vigilant(e) lorsque vous cliquez sur un lien vers un fichier au cours de la reconstruction. Si votre système dispose d'une application associée au fichier, ou si le navigateur est capable d'ouvrir les pièces jointes et qu'elles sont malveillantes, elles peuvent nuire à votre système.

  • Afficher l'événement dans une fenêtre ou un onglet séparé (selon la configuration de votre navigateur).
  • En cas de prévisualisation de la reconstruction dans la vue active, faites défiler les événements (dans les deux sens) à l'aide des boutons de navigation situés dans le coin inférieur gauche.

Remarque : Les paramètres de reconstruction et les paramètres du cache de reconstruction de Security Analytics permettent à un administrateur de gérer les performances de l'application dans le cadre d'une procédure d'enquête. Lorsque les analystes reconstruisent les sessions qu'ils inspectent, deux situations peuvent affecter les performances et les résultats.
-Certains événements peuvent être très importants et contenir plusieurs milliers de paquets source. Reconstruire ces types de sessions peut dégrader les performances de l'application.
- Dans certains cas, le cache de reconstruction peut présenter un contenu incorrect ; pour cette raison, Security Analytics nettoie le cache toutes les 24 heures. Entre les nettoyages de cache quotidiens, certaines actions peuvent entraîner l'utilisation du cache obsolète pour la reconstruction, et dans ce cas, les administrateurs ont la possibilité d'effacer manuellement le cache pour un ou plusieurs services qui sont connectés au serveur Security Analytics actif.

Reconstruire un événement

  1. Ouvrez un point de recherche verticale dans la vue Événements.
  2. Pour afficher toutes les métadonnées, cliquez sur 104ShowAddlMeta.png.
  3. Pour ouvrir une reconstruction d'événement dans la vue active, effectuez ce qui suit :
    1. À la fin de l'événement, sélectionnez 104ViewDetail.png.
    2. Sélectionnez un événement à reconstruire et sélectionnez Actions > Afficher l'événement > Aperçu à la volée.
      La Reconstruction d'événement s'ouvre dans une fenêtre contextuelle au sein de la même vue. Par défaut, Security Analytics affiche la meilleure reconstruction pour l'événement déterminée par son contenu ou la reconstruction que vous avez sélectionnée dans le paramètre Visualisation des sessions par défaut pour le module Investigation. Vous pouvez utiliser les options de la barre d'outils Reconstruction d'événement pour modifier la méthode de reconstruction, afficher les résultats côte à côte, exporter un événement, ouvrir la pièce jointe d'un e-mail, extraire des fichiers et ouvrir l'événement dans un nouvel onglet.
      104EvReconTopToBot.png
  4. Pour avoir un aperçu d'une reconstruction de l'événement suivant, cliquez sur 104ReconNext.png ou pour l'événement précédent sur 104ReconPrevious.png.
  5. Pour ouvrir une reconstruction d'événement dans un nouvel onglet, effectuez ce qui suit :
    1. Dans la vue Événement, sélectionnez l'événement à reconstruire, puis choisissez Actions > Afficher l'événement> Ouvrir dans un nouvel onglet.
    2. Dans la barre d'outils Reconstruction d'événement de la reconstruction prévisualisée, cliquez sur Ouvrir l'événement dans un nouvel onglet.
      La Reconstruction d'événement s'ouvre dans un nouvel onglet.
      104NavEvReconNT.png

Afficher côte à côte ou du haut vers le bas

Pour sélectionner le mode d'affichage des demandes et des réponses relatives à un événement :

  1. Dans la barre d'outils Reconstruction d'événement, cliquez sur Du haut vers le bas ou Côte à côte.
  2. Dans le menu déroulant, sélectionnez les informations que vous souhaitez afficher dans l'événement : Côte à côte ou De haut en bas.
    La reconstruction est actualisée avec les informations sélectionnées.
    104EvenReconPreview.png

Sélectionner les informations relatives aux événements à afficher.

Pour sélectionner les informations liées aux événements à afficher :

  1. Dans la barre d'outils Reconstruction d'événement, cliquez sur Requête& et réponse.
  2. Dans le menu déroulant, sélectionnez les informations que vous souhaitez afficher dans l'événement : Requête et réponse, Requête ou Réponse.
    La reconstruction est actualisée avec les informations sélectionnées.

Sélectionner le type de reconstruction d'événement

Pour sélectionner le type de reconstruction pour un événement :

  1. Dans la barre d'outils de la section Reconstruction d'événement, cliquez sur Meilleure reconstruction.
  2. Dans le menu contextuel, sélectionnez le type de reconstruction à afficher :méta,texte,hex,paquets,web,courrier électronique ou fichiers.
    La reconstruction est actualisée avec le type de reconstruction sélectionné.

Ouvrir ou télécharger une pièce jointe à un e-mail

Lors de l'affichage de la reconstruction d'un e-mail contenant des pièces jointes, vous pouvez ouvrir les types de fichiers pris en charge ou télécharger les fichiers sur le système local.

Attention : Soyez vigilant(e) lors de la sélection des pièces jointes. Si votre système dispose d'une application associée aux fichiers joints, ou si le navigateur est capable d'ouvrir les pièces jointes et qu'elles sont malveillantes, elles peuvent nuire à votre système.

Pour ouvrir ou télécharger les pièces jointes aux e-mails :

  1. Dans la barre d'outils de la section Reconstruction d'événement, sélectionnez la liste déroulante Vue, puis sélectionnez Afficher la messagerie.
    La vue Reconstruction d'événement s'affiche.
    EmlRecatt.png
  2. Dans la section Reconstruction d'événement de l'e-mail, cliquez sur Pièce jointe.
    Si le type de fichier est pris en charge par le navigateur, la pièce jointe s'ouvrira dans un nouvel onglet.
    Si le type de fichier n'est pas pris en charge, la boîte de dialogue Télécharger s'affichera pour vous permettre de télécharger la pièce jointe.

Exporter un événement au format de fichier PCAP

L'option Exporter un PCAP permet de télécharger les sessions de la période en cours et un point de recherche verticale dans un fichier PCAP. Pour exporter un événement au format de fichier PCAP :

  1. Dans la barre d'outils de la section Reconstruction d'événement, cliquez sur Actions.
  2. Cliquez sur Exporter un PCAP.
  3. Une boîte de dialogue de confirmation s'affiche.
  4. Cliquez sur OK.
    La tâche est planifiée et une fois l'opération terminée, le fichier PCAP est téléchargé sur le système de fichiers local. Sous Profil > onglet Tâches, vous pouvez télécharger le fichier PCAP.

Extraire des fichiers d'un événement reconstruit

L'option Extraire des fichiers permet d'extraire et de télécharger les fichiers associés à l'événement. Pour extraire les fichiers :

  1. Dans la barre d'outils de la section Reconstruction d'événement, cliquez sur Actions.
  2. Cliquez sur Extraire des fichiers.
    La boîte de dialogue Extraction de fichier s'affiche.
  3. Sélectionnez les types de fichiers à extraire, puis cliquez sur OK.
  4. La tâche est planifiée et une fois l'opération terminée, les types de fichiers sélectionnés sont téléchargés sur le système de fichiers local. Sous Profil > onglet Tâches, vous pouvez télécharger les fichiers.
You are here
Table of Contents > Mener une procédure d'enquête > Examiner des événements > Reconstruire un événement

Attachments

    Outcomes