Investigation : Lancer la recherche externe d'une clé méta

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit des instructions pour l'utilisation de plug-in Investigation prêts à l'emploi pour lancer une recherche externe de clés méta spécifiques à l'aide d'outils externes à Security Analytics lors de la procédure d'enquête sur des données dans la vue Naviguer ou Événements.

Les analystes peuvent utiliser des recherches externes Security Analytics Investigation prêtes à l'emploi pour gagner du temps pendant les procédures d'enquête. Pour accéder aux recherches prêtes à l'emploi, l'utilisateur doit cliquer avec le bouton droit de la souris sur l'une de ces métaclés :  Adresse IP (ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip),host (alias-host, domain.dst),client, et file-hash.

Pour toutes les métaclés IP et host, les recherches suivantes sont intégrées à Security Analytics :

  • Google Malware : Ouvre une recherche Google Malware dans un nouvel onglet.
  • McAfee SiteAdvisor : Ouvre une recherche McAfee SiteAdvisor dans un nouvel onglet.
  • Collecte DNS passive BFK :  Ouvre une recherche de collection DNS passive BFK dans un nouvel onglet
  • CentralOps Whois pour adresses IP et noms d'hôte : Ouvre une recherche CentralOps Whois pour adresses IP et noms d'hôte
  • Recherche Malwaredomainlist.com : Ouvre une recherche Malwaredomainlist.com dans un nouvel onglet
  • Recherche Malwaredomains.com : Ouvre une recherche Malwaredomains.com dans un nouvel onglet
  • Recherche d'adresses IP Robtex : Ouvre une recherche RobtexIP dans un nouvel onglet
  • Recherche SamSpade : Ouvre une recherche SamSpade dans un nouvel onglet
  • Recherche ThreatExpert : Ouvre une recherche ThreatExpert dans un nouvel onglet
  • Recherche UrlVoid : Ouvre une recherche UrlVoid dans un nouvel onglet

Pour les métaclés file-hash et alias-host, la recherche Google ouvre une recherche Google dans un nouvel onglet.

Pour la métaclé client, l'option ECAT Lookup ouvre un client ECAT dans un nouvel onglet si le client ECAT est installé sur le même système que celui sur lequel le navigateur est utilisé.

Les administrateurs peuvent ajouter des recherches externes supplémentaires et d'autres actions personnalisées, comme décrit dans « Ajouter des actions de menu contextuel personnalisées » dans le Guide de configuration système.

Lancer une recherche des IOC ECAT

Pour lancer une recherche de données ECAT à partir de la vue Investigation > Naviguer :

  1. Cliquez avec le bouton droit de la souris sur une valeur méta pour l'une des clés méta suivantes : ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip, alias-host, domain.dst, client.
  2. Sélectionnez Recherche externe dans le menu contextuel.
    Un sous-menu des options de recherche externes s'affiche.
    ExtLU.png
  3. Sélectionnez Recherche des IOC ECAT.
    Une boîte de dialogue vous demande de choisir une application.
  4. Sélectionnez ECAT, puis cliquez sur OK.
    La boîte de dialogue Configuration RSA ECAT apparaît.
    ecatlookup3.png
  5. Saisissez le nom d’utilisateur et le mot de passe requis pour vous connecter au client ECAT, puis cliquez sur Se connecter.
    Le point de recherche verticale s'ouvre dans RSA ECAT.
    ecatlookup4.png

Lancer d'autres recherches externes

Pour lancer une recherche externe (autre qu'ECAT IOC) de données à partir de la vue Investigation > Naviguer : 

  1. Cliquez avec le bouton droit de la souris sur une valeur méta pour l'une des clés méta suivantes : ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip, alias-host, domain.dst, client.
  2. Sélectionnez Recherche externe dans le menu contextuel.
    Un sous-menu des options de recherche externes s'affiche.
    ExtLU.png
  3. Sélectionnez l’une des options de recherche.
    La valeur méta sélectionnée s'ouvre dans la recherche sélectionnée. Par exemple, si vous avez sélectionné Historique SANS IP, les informations du point de recherche verticale s'affichent dans SANS Internet Storm Center.
    SANSIPlookup.png
You are here
Table of Contents > Mener une procédure d'enquête > Agir sur un point de recherche verticale dans la vue Naviguer > Lancer la recherche externe d'une clé méta

Attachments

    Outcomes