Investigation : Gérer et appliquer des clés méta par défaut dans une procédure d'enquête

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Lorsque les analystes mènent une procédure d'enquête sur les données capturées, un ensemble de clés méta par défaut est chargé et affiché dans une séquence par défaut dans la vue Naviguer > panneau Valeurs. Le contenu par défaut et la séquence sont basés sur les clés méta pour le service en cours d'étude. Les analystes peuvent spécifier les clés méta à afficher pendant la navigation en sélectionnant les clés méta par défaut ou en sélectionnant un groupe de clés méta définies par l'utilisateur, ce qui offre une grande souplesse pour définir les clés méta. Cela peut aider à approfondir la recherche des données souhaitées et à réduire le temps de chargement en empêchant le chargement des méta qui n'ont pas d'intérêt pour la procédure d'enquête en cours.

Si aucun groupe de méta personnalisé n'est effectif, la vue Naviguer est affichée avec la visibilité des clés méta spécifiées dans la boîte de dialogue Clés méta par défaut. Pour optimiser le chargement des clés méta dans la vue Naviguer > panneau Valeurs, Security Analytics n'ouvre pas les clés méta non indexées par défaut. Lorsque vous ouvrez une clé méta non indexée dans la vue Valeurs, Security Analytics commence à charger les valeurs de cette clé méta. Si le temps de chargement est excessif, un message d'expiration met fin au chargement de la clé méta. Les titres, les valeurs et les nombres des clés méta non indexées ne sont pas accessibles dans le panneau Valeurs. Un étiquetage supplémentaire dans la procédure d'enquête identifie les clés méta non indexées, qui étaient également présentes dans les versions précédentes.

Pour sélectionner les clés méta à appliquer à votre procédure d'enquête, vous pouvez :

  • Sélectionner les clés méta par défaut.
  • Sélectionner un ensemble de clés méta définies par l'utilisateur, appelé métagroupe.

Remarque :  Security Analytics ne dispose pas de métagroupes intégrés en plus du groupe par défaut. Les autres métagroupes doivent être définis avant qu'ils apparaissent dans le menu Utiliser le groupe méta. Une fois créés, les métagroupes définis par l'utilisateur peuvent être modifiés, supprimés, importés pour être utilisés sur d'autres services, et importés dans le service concerné par la procédure d'enquête. Toutes ces procédures sont fournies dans une rubrique distincte : Gérer des groupes méta définis par l'utilisateur.

La boîte de dialogue Clés méta par défaut vous permet de spécifier la vue par défaut et la séquence d'affichage des clés méta pendant la navigation dans Investigation > vue Naviguer pour un service spécifique. Pour chaque clé ou pour toutes les clés, vous pouvez définir la vue par défaut :

  • Masqué : Les résultats d'une clé méta par défaut sont masqués et ne peuvent pas être chargés.
  • Ouvert : Les résultats d'une clé méta par défaut sont ouverts avec toutes les valeurs et les nombres affichés.
  • Fermé : Les résultats d'une clé méta par défaut sont fermés avec uniquement le nom du méta visible.
  • Auto : Le chargement des clés méta par défaut doit être indexé par la valeur, autrement dit, il est contrôlé par le niveau d'index. 

Lorsque vous utilisez les clés méta par défaut, sachez qu'elles peuvent être modifiées pour les différents services, et qu'il se peut que vous ne visualisiez pas le même ensemble de clés méta par défaut lors de la navigation à un point de recherche verticale sur les différents services. Si vous ne voyez pas les données souhaitées, vous devrez peut-être modifier l'affichage initial des clés méta par défaut.

Lorsque vous modifiez l'état initial des clés méta par défaut à partir de la vue Naviguer, la modification reste appliquée à ce service. Lorsque de nouvelles clés sont ajoutées au fichier d'index personnalisé pour un service Core (par exemple, broker-custom-index.xml, decoder-custom-index.xml), les nouvelles clés sont ajoutées à la liste des clés méta par défaut. Les modifications apportées à la vue Naviguer s'appliquent uniquement au service actif.

Utiliser les clés méta par défaut

Pour spécifier que la vue Naviguer initiale s'ouvre à l'aide des clés méta par défaut :

  1. Dans le menu Security Analytics, sélectionnez Investigation > Naviguer.
  2. Sélectionnez un service, puis Naviguer.
  3. Dans le menu Méta, sélectionnez Utiliser les clés méta par défaut.
    Si une procédure d'enquête est déjà en cours, les données seront rechargées dans la vue active et une icône mettra en évidence l'option sélectionnée. Si aucune donnée n'est encore chargée, les clés méta par défaut seront utilisées pour le chargement suivant.

Configurer les clés méta par défaut

Pour configurer la vue par défaut des clés méta dans la vue Investigation > Naviguer :

  1. Dans la barre d'outils de la vue Naviguer, sélectionnez Méta > Gérer les clés méta par défaut.
    La boîte de dialogue Gérer les clés méta par défaut s'affiche avec la liste des clés méta disponibles pour le service.
    ManDefMetKeyDg.png
  2. (Facultatif) Pour modifier l'ordre des clés, sélectionnez une ou plusieurs clés, puis faites glisser les valeurs de la liste des clés vers le haut ou vers le bas.
  3. Exécutez l'une des opérations suivantes :
    1. (Facultatif) Pour modifier l'affichage par défaut pour toutes les clés méta, assurez-vous qu'aucune clé n'est sélectionnée, puis dans la barre d'outils, sélectionnez ViewOption.png.
    2. (Facultatif) Pour modifier la vue par défaut d'une ou de plusieurs clés, sélectionnez les clés, puis dans la barre d'outils, sélectionnez  ViewOption.png.
      La liste déroulante des vues initiales possibles pour toutes les clés méta par défaut s'affiche.
    3. (Facultatif) Pour restaurer la vue par défaut des clés méta comme spécifié dans le fichier d'index du service, vérifiez qu'aucune clé n'est sélectionnée, puis dans la barre d'outils sélectionnez ViewOption.png > Auto.
      ManDefMetKeyMenu.png
      Lorsque vous modifiez les clés méta par défaut pour une clé méta non indexée, vous ne pouvez pas définir la clé sur OUVERT. Si vous modifiez la vue par défaut d'un groupe de clés méta sur OUVERT et si certaines des clés méta ne sont pas indexées, ces dernières reprennent la valeur AUTO. La clé méta est donc automatiquement chargée uniquement si elle est indexée, et les clés méta non indexées adoptent l'état FERMÉ jusqu'à ce qu'elles soient ouvertes manuellement.
  4. Sélectionnez l'une des vues.
  5. Pour enregistrer les modifications, cliquez sur Appliquer.
    Les clés méta affichées dans la vue Naviguer sont définies en fonction de vos spécifications. Si les clés méta par défaut sont masquées, leurs valeurs n'apparaîtront pas du tout dans la procédure d'enquête. Si les clés méta par défaut sont fermées, leurs valeurs ne seront pas chargées par défaut, mais vous pourrez les charger individuellement et manuellement dans la vue Naviguer.
You are here
Table of Contents > Mener une procédure d'enquête > Filtrer les informations dans la vue Naviguer > Gérer et appliquer des clés méta par défaut dans une procédure d'enquête

Attachments

    Outcomes