Investigation - vue Événements

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique décrit les fonctionnalités disponibles dans la vue Investigation > Événements.

Une liste d'événements associée à une session est disponible dans la vue Investigation > Événements. Il existe deux façons d'afficher la vue Événements :

  • Sélectionnez Investigation > Événements dans le menu Security Analytics. Security Analytics exécute une requête par défaut sur les trois dernières heures pour le service par défaut (si l'un est défini) ou affiche une boîte de dialogue dans laquelle vous pouvez sélectionner un service, puis exécute la requête par défaut. La requête par défaut sélectionne tous les événements et la vue Événements affiche des événements sur le service sélectionné, avec les événements les plus anciens en premier. 
  • Dans la vue Naviguer, cliquez sur un événement. La vue Événements affiche les événements sur le service sélectionné d'après le point de recherche verticale dans la vue Naviguer. 

La vue Événements fournit trois présentations intégrées des données d'événement : la vue Détails, la vue Liste et la vue Log. La vue Liste et la vue Détails sont destinées à l'affichage des événements de données de paquets. Elles fournissent plus d'informations pour chaque événement, notamment l'horodatage, le type d'événement, le thème de l'événement et la taille. 

  • La vue Liste affiche les informations relatives à l'adresse et au port source et de destination pour les événements sous forme de résumé dans une grille.
  • La vue Détails affiche toutes les métadonnées collectées pour l'événement dans une vue de page.

La vue Log est optimisée pour l'affichage des informations du log, et fournit plus d'informations pour chaque log, notamment l'horodatage, le type d'événement, le type de service, la classe de service et les logs.

Vous pouvez utiliser des requêtes, le paramètre de plage temporelle et les profils pour filtrer les événements répertoriés dans la vue Événements. Depuis tous les types de vue dans la vue Événements, vous pouvez extraire des fichiers, exporter des événements, exporter des logs et ouvrir le panneau Reconstruction d'événement en double-cliquant sur un événement.

La figure suivante est un exemple d'événements de la vue Détails. Le panneau Recherche contextuelle est visible uniquement si le service Context Hub est configuré.

EvDetVw.png

La figure suivante est un exemple d'événements de la vue Liste.

EvVwListVw.png

La figure suivante donne un exemple de la vue Log.

EvLogVw1.png

Fonctions

La vue Événements contient une barre d'outils située en haut de l'écran avec les options suivantes.

                                               
FonctionnalitéDescription :
Sélectionner un serviceAffiche le nom de service sélectionné en regard de l'icône. Ouvre la boîte de dialogue Sélectionner un service qui vous permet de sélectionner un service pour lequel la liste des événements s'affiche.
PériodeAffiche un menu déroulant pour la sélection de la période à appliquer à la liste des événements. Vous pouvez choisir une des options standard ou spécifier une période personnalisée.
Query
103-IconInvQuery.png
Affiche la boîte de dialogue Créer un filtre qui vous permet de saisir directement une requête personnalisée au lieu d'effectuer une recherche verticale dans les données (voir Créer une requête personnalisée)
Profil d'utilisation
104UseProfilesMenu.png
Affiche le menu Profil d'utilisation ; le profil actuellement sélectionné s'affiche dans la barre d'outils. Un profil vous permet de gérer et d'utiliser des profils qui peuvent inclure des groupes méta personnalisés, un groupe de colonne par défaut et une requête de début. Les Profils s'appliquent à la vue Naviguer (groupes et requêtes méta) et à la vue Événements (groupes et requêtes de colonne).
Afficher le menu déroulant Vue
EventVViewMnu.png
Affiche un menu déroulant permettant de sélectionner le type de vue d'événement.
  • La vue Détails affiche les événements dans un format de page avec des informations détaillées pour chaque événement.
  • La vue Liste affiche les événements sous forme de grille avec un résumé de chaque événement sur une ligne distincte.
  • La vue Log affiche une grille des événements liés aux logs avec un résumé de chaque log sur une ligne distincte.
  • La section Groupes de colonnes personnalisées affiche la liste des événements utilisant un groupe de colonnes sélectionné dans une liste déroulante de groupes de colonnes personnalisées.
  • La section Gérer les groupes de colonnes affiche la boîte de dialogue permettant de créer et de modifier les groupes de colonnes personnalisées.
Actions
104EventsVActions.png
Affiche un menu déroulant avec des actions dans la vue Événements :
  • Extraire des fichiers - exporte les événements au format de fichier PCAP, ou les logs d'exportation.
  • Afficher une reconstruction de l'événement dans une fenêtre contextuelle ou dans un nouvel onglet.
  • Réinitialiser tous les filtres dans la vue Événements.
IncidentsAffiche un menu déroulant dans lequel vous pouvez créer un nouvel incident ou ajouter un incident à un incident existant.
Rechercher des événementsPermet de rechercher des modèles de texte dans l'ensemble des événements en cours d'affichage. Si vous cliquez dans le champ Rechercher, un menu déroulant affiche les options de recherche. Si vous cliquez sur Appliquer, les options sélectionnées sont enregistrées et les options de recherche sont mises à jour dans la vue Naviguer et le profil Investigations (voir Investigation - Options de recherche).
Paramètres
104NavSettingsIcon.png
Affiche les paramètres de la vue Procédure d'enquête pour la vue Événements (qui sont également disponibles dans la vue Profil) pour que vous puissiez modifier les paramètres de la vue Procédure d'enquête sans avoir à naviguer hors de la vue Événements. Lorsque vous modifiez un paramètre dans la vue Naviguer, le paramètre est également modifié dans la vue Profil (voir Configurer la vue Parcourir et la vue Événements).

La barre de pagination de la vue Événements située en bas de la page comporte des options de pagination dans la liste Événements.

                                       
FonctionnalitéDescription :
104EventsVFirstPg.png Affiche la première page.
104EventsVPrevPg.png Affiche la page précédente.
104EventsVPgN.png Si vous n'avez pas activé l'option Pagination de la liste des événements liés à la procédure d'enquête optimisée pour la vitesse  dans la boîte de dialogue Préférences des procédures d'enquête, la pagination est activée en saisissant un numéro de page spécifique.
104EventsVNextPg.png Affiche la page suivante.
104EventsVLastPg.png Affiche la dernière page.
104EventsVPgRef.png Actualise la liste des événements.
Éléments par pageAffiche une liste de sélection du nombre d'éléments à afficher sur une page.

Panneau Recherche contextuelle

Après avoir configuré le service Context Hub, vous pouvez afficher les informations contextuelles des valeurs méta dans la vue Naviguer et la vue Événements du module Investigation. Pour plus d'informations sur la configuration du service Context Hub, reportez-vous au guide de configuration du service Context Hub.

Pour plus d'informations sur l'exécution de la recherche contextuelle des valeurs méta, voir Afficher un contexte supplémentaire pour un point de données.

Le service Context Hub est pré-configuré avec un mappage du type de méta et de la clé méta par défaut. Pour plus d'informations sur le mappage de la valeur méta du service Context Hub avec une clé méta d'investigation, reportez-vous à la rubrique « Gérer le mappage du type de méta et de la clé méta » dans le Guide de configuration de Context Hub.

La figure suivante illustre l'option Recherche contextuelle lorsque vous cliquez sur une valeur méta avec le bouton droit de la souris.
F-Events-view.png

Pour plus d'informations sur les résultats des recherches et les données contextuelles pour différentes sources de données, reportez-vous à la rubrique « Panneau Recherche contextuelle » dans le Guide de configuration de Context Hub.

You are here
Table of Contents > Matériaux de référence de procédure d'enquête > Vue Événements

Attachments

    Outcomes