Investigation : Configurer la vue Parcourir et la vue Événements

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Les analystes peuvent configurer des préférences affectant les performances et le comportement de Security Analytics lors de l'analyse de données dans le module Investigation > vues Naviguer et Événements.

Ces paramètres sont disponibles à deux emplacements dans Security Analytics et les modifications effectuées dans l'un ou l'autre des emplacements sont répercutées dans l'autre vue :

  • Vue Investigation > boîte de dialogue Paramètres et champ Rechercher applicables à la vue Naviguer et la vue Événements.
  • Sous Profils > panneau Préférences > onglet Procédures d'enquête. 

Accès aux paramètres de la procédure d'enquête

Pour accéder aux paramètres, procédez de l'une des façons suivantes :

  • Dans la barre d'outils de la vue Naviguer, sélectionnez l'option Paramètres.
    La boîte de dialogue Paramètres de la vue Naviguer s'affiche.
  • Dans la barre d'outils de la vue Événements, sélectionnez l'option Paramètres.
    La boîte de dialogue Paramètres de la vue Événements s'affiche.
  • Dans le menu Security Analytics, sélectionnez Profil. Ensuite, dans le panneau de navigation de gauche, sélectionnez Préférences.Cliquez sur l’onglet Procédures d'enquête.
    L'onglet Procédure d'enquête s'affiche.
    PrefInvTb.png

Calibrer les paramètres de chargement des valeurs de la vue Naviguer

Plusieurs paramètres du module Investigation influencent les performances de Security Analytics lors du chargement de valeurs dans le panneau Valeurs. Les valeurs par défaut sont définies d'après l'usage commun. Les analystes individuels peuvent ajuster ces paramètres selon leurs propres procédures d'enquêtes.

Pour ajuster ces paramètres :

  1. Accédez à l'onglet Procédure d'enquête ou à la boîte de dialogue Paramètres pour afficher la vue Naviguer.
  2. Ajustez les paramètres suivants.
  • Seuil : Définissez le seuil du nombre maximum de sessions chargées pour une valeur de clé meta dans le panneau Valeurs. Un seuil supérieur offre des décomptes précis pour une valeur, et cause également des temps de charge plus longs. La valeur par défaut est 100000.
  • Nb max résultats de valeurs : Définissez le nombre maximal de valeurs à charger dans la vue Naviguer lorsque l'option Résultats max est sélectionnée dans le menu Clé méta pour ouvrir une clé méta. La valeur par défaut est 1000.
  • Nb max exports de session : Spécifiez le nombre d'événements pouvant être exportés dans un seul fichier PCAP ou Log.
  • Caractères max affichage logs : Définissez le nombre maximal de caractères à afficher sous Investigation > Événements > Texte du log. La valeur par défaut est 1000.
  • Afficher les informations de débogage Si vous souhaitez que Security Analytics affiche la clause where sous le fil d'Ariane dans la vue Naviguer, ainsi que le temps de charge écoulé pour chaque service agrégé sur un courtier, cochez cette option. La valeur par défaut est Off.
  • Charger automatiquement les valeurs : Si vous souhaitez que Security Analytics charge automatiquement les valeurs pour le service sélectionné dans la vue Naviguer, cochez cette option. Lorsqu'elle n'est pas sélectionnée, Security Analytics affiche un bouton Charger les valeurs, qui vous l'opportunité à l'utilisateur de modifier des options. La valeur par défaut est Off.
  1. Cliquez sur Apply.

Les paramètres deviennent effectifs immédiatement mais seront visibles au prochain chargement des valeurs.

Configurer le comportement du téléchargement PCAP dans Procédure d'enquête

Vous pouvez automatiser le téléchargement des fichiers PCAP extraits du module Investigation afin que le navigateur télécharge le fichier PCAP extrait et l'ouvre dans l'application par défaut pour ouvrir les fichiers PCAP tels que Wireshark.

Pour procéder à la configuration :

  1. Vérifiez que l'application permettant d'ouvrir les fichiers PCAP est bien installée sur votre système de fichiers local et qu'elle est définie par défaut pour gérer les formats de fichier PCAP.
  2. Accédez à l'onglet Procédure d'enquête ou à la boîte de dialogue Paramètres pour afficher la vue Naviguer ou la vue Événements.
  3. Cochez l'option Téléchargement des PCAP terminés.
  4. Cliquez sur Apply.
    Le paramètre prend effet immédiatement.

Configurer le format d'export de log par défaut dans Procédure d'enquête

Vous pouvez exporter des logs dans Procédure d'enquête dans différents formats. Les options disponibles sont : Texte, XML, CSV, JSON. Il n'existe pas de valeur par défaut intégrée pour le format d'exportation de log. Si vous ne sélectionnez pas de format, Security Analytics affiche une boîte de dialogue de sélection lorsque vous invoquez l'exportation des logs.

Pour sélectionner le format des logs exportés :

  1. Accédez à l'onglet Procédure d'enquête ou à la boîte de dialogue Paramètres pour afficher la vue Naviguer.
  2. Sélectionnez l'une des options du menu déroulant Format du log d'exportation.
  3. Cliquez sur Apply.
    Le paramètre prend effet immédiatement.

Calibrer la récupération et la reconstruction par défaut de la vue Événements

Vous pouvez configurer plusieurs paramètres contrôlant la manière dont Security Analytics récupère les événements et les reconstruit dans la vue Événements.

  1. Accédez à l'onglet Procédure d'enquête ou à la boîte de dialogue Paramètres pour afficher la vue Événements.
  2. Configurez les paramètres suivants.
    Optimiser les charges de la page Procédure d'enquêteDéfinissez une option de pagination. Lorsqu'ils sont optimisés, les résultats sont renvoyés aussi rapidement que possible, en sacrifiant la capacité originale à accéder à une page spécifique dans la liste des événements. Désactiver cette case modifie la pagination de la liste Événements pour vous permettre d'accéder à une page spécifique de la liste (ou à la dernière page). La valeur par défaut est activée.
    Ajouter des événements dans le panneau Événements

    Lorsque cette option est sélectionnée, les événements affichés dans le panneau Événements sont ajoutés progressivement.

    Par exemple, chaque fois que vous cliquez sur l'icône de la page suivante, la prochaine incrément d'événement est ajouté, au début vous voyez 1 à 25, puis 1 à 50, puis 1 à 75, et ainsi de suite.

    Remarque : Cette option est uniquement disponible si l'option Optimiser les charges de la page Procédure d'enquête est activée.

    Visualisation des sessions par défautSélectionne le type de reconstruction par défaut pour la reconstruction initiale dans la vue Événements. La valeur par défaut est Meilleure reconstruction, dans laquelle les événements sont reconstruits à l'aide de la méthode de reconstruction la plus appropriée pour l'événement.

  3. Pour activer les modifications immédiatement, cliquez sur Appliquer.

Activer ou désactiver l'affichage des feuilles de style en cascade dans les reconstructions de contenu Web

Les analystes peuvent activer l'utilisation des feuilles de style en cascade (CSS) lors de la reconstruction du contenu Web. Si elle est activée, la reconstruction Web comprend des styles avec feuille de style en cascade (CSS) et des images pour que son apparence soit identique à celle de la vue originale dans un navigateur Web. Elle inclut l'analyse et la reconstruction des événements connexes, et la recherche de feuilles de style et d'images utilisées dans l'événement cible. L'option est activée par défaut. Désactivez cette option en cas de problèmes avec l'affichage de sites Web spécifiques. 

Remarque : L'apparition du contenu reconstitué peut ne pas correspondre parfaitement à la page Web d'origine si les images et les feuilles de style sont introuvables ou si elles ont été chargées à partir de la mémoire cache du navigateur Web. De plus, tout style ou mise en page effectué dynamiquement via le javascript côté client ne sera pas rendu dans la reconstruction, car tout le javascript côté client est supprimé pour des raisons de sécurité.

Pour activer ou désactiver cette option :

  1. Accédez à l'onglet Procédure d'enquête.
  2. Cochez la case Activer la vue CSS Reconstruction pour le Web.
  3. Cliquez sur Apply.
    Le paramètre devient effectif immédiatement mais ne sera visible que dans la prochaine reconstruction de contenu Web.

(Optional) Configure Search Options

  1. Cliquez dans le champ de recherche pour afficher le menu déroulant Rechercher des événements.
    SearchEvents.png
  2. Sélectionnez une ou plusieurs options de recherche à appliquer à la recherche. Investigation - Options de recherche présente des informations détaillées sur chaque option.
  3. Pour enregistrer les paramètres de recherche, cliquez sur Appliquer.
    Les préférences sont enregistrées et effectives immédiatement. 
You are here
Table of Contents > Configurer les vues et préférences de procédure d'enquête > Configurer la vue Parcourir et la vue Événements

Attachments

    Outcomes