Investigation : Exporter des événements et extraire des fichiers

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Lorsque les analystes consultent une reconstruction d'événement dans Security Analytics Investigation, le menu Actions contient une option permettant d'extraire des fichiers de l'événement consulté et de les exporter dans une archive.

Remarque : Vous ne pouvez exporter que les fichiers de session sur lesquels vous disposez de droits d'accès ou d'affichage.

La fonction d'exportation de fichiers recherche dans le service toutes les sessions comprises dans la période et le point d'extraction sélectionnés afin d'extraire le contenu de chaque session. Les détails exportés sont affectés par la plage temporelle et le point d'extraction au moment de l'exportation. Dans la boîte de dialogue Extraction de fichier, vous pouvez choisir :

  • Le type de contenu à exporter : archives, BitTorrent audio, documents, fichiers exécutables, images, autres, fichiers vidéo, contenus Internet. 
  • Le fichier de l'archive exportée : Fichier ZIP ou GZIP.

Une fois la requête envoyée, une tâche est planifiée. Vous pouvez alors la suivre dans la barre d'état Tâches. En cas de problème de récupération du journal ou du fichier PCAP auprès du service, Security Analytics affiche une notification d'erreur.

Pour extraire les fichiers d'un événement :

  1. Dans la vue Détail ou Liste d'une reconstruction d'événement, cliquez sur un événement.
  2. Cliquez sur le menu Actions dans la barre d'outils Reconstruction d'événement.
  3. Pour exporter l'événement, sélectionnez Exporter un PCAP dans le menu déroulant.
    Un message vous informe que le PCAP est en cours de téléchargement.
  4. Pour extraire des fichiers, sélectionnez Extraire des fichiers.
    EvReconExtFiles.png
  5. La boîte de dialogue d'extraction de fichiers s'affiche.
    NavViewFileExtractionDialog.png
  6. Dans la colonne Nom, sélectionnez les types de contenus à extraire.
  7. Pour générer une archive des types de fichiers sélectionnés contenus dans l'événement, cliquez sur Exporter.
    La liste déroulante des types d'archives de l'exportation s'affiche.
  8. Sélectionnez Exporter au format zip ou Exporter au format gzip.
    Le contenu spécifié est extrait dans une archive et téléchargé sur le système de fichier local.
You are here
Table of Contents > Mener une procédure d'enquête > Examiner des événements > Exporter des événements et extraire des fichiers

Attachments

    Outcomes