Investigation : Utiliser des profils d'investigation pour encapsuler les vues personnalisées

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique indique aux analystes comment utiliser des Profils qui définissent un ensemble de préférences de procédure d'enquête pour la vue Naviguer et Événements.

L'utilisation de profils est une manière rapide et simple de personnaliser les données qui s'affichent dans la vue Investigation. La boîte de dialogue Gérer les profils vous permet d'utiliser un profil pour spécifier les métagroupes et les groupes de colonnes affichés par défaut, pour ajouter une procédure d'enquête, et pour importer et exporter des profils.

Remarque : Les profils sont partagés entre les utilisateurs sur le même réseau Security Analytics. Si un utilisateur modifie ou supprime un profil, cela aura une répercussion sur les éléments disponibles aux autres utilisateurs.

Si vous disposez de plusieurs profils, vous pouvez basculer entre eux pour modifier rapidement les préférences du profil sélectionné. Si un profil est actuellement actif, le titre du menu Profil est remplacé par le nom du profil.

La figure suivante l'illustre dans la vue Naviguer. Le nom du profil s'affiche entre Requête et Méta.

NavVwTb.png

La figure suivante l'illustre dans la vue Événements. Le nom du profil s'affiche entre Requête et la vue Liste.

EvTbProf.png

Parcourir la boîte de dialogue Gérer les profils

  1. Dans le menu Security Analytics, sélectionnez Investigation > Naviguer ou Investigation > Événements.
  2. Si la boîte de dialogue Examiner s'affiche, sélectionnez un service, puis cliquez sur Naviguer.
  3. Dans la barre d'outils, sélectionnez Profil > Gérer les profils.
    La boîte de dialogue Gérer les profils s’affiche.
    ManProfDg.png

Créer et modifier des profils

  1. Dans la boîte de dialogue Gérer les profils, sélectionnez un profil existant en cliquant sur la case à cocher en regard du nom, ou cliquez sur Icône Ajouter pour créer un nouveau profil.
    Le panneau droit est disponible.
  2. Modifiez ou saisissez le nom du profil dans le champ Nom. Ce nom doit comprendre entre 2 et 80 caractères.
  3. Sélectionnez un métagroupe dans la liste déroulante Groupe méta. Vous pouvez ajouter des groupes méta personnalisés, comme décrit dans Gérer des groupes méta définis par l'utilisateur.
  4. Sélectionnez un groupe de colonnes pour la liste déroulante Groupe de colonnes. Vous pouvez ajouter des groupes de colonnes personnalisés, comme décrit dans  Gérer des groupes de colonnes dans la vue Événements.
  5. Saisissez des requêtes pour filtrer les résultats dans le champ PreQuery. PreQuery applique la même syntaxe que le Générateur de requête. Dans la figure, PreQuery utilise un groupe méta nommé crypto exists.
  6. Cliquez sur Enregistrer pour enregistrer le profil sans l'utiliser, ou cliquez sur Enregistrer et appliquer pour enregistrer le profil et l'utiliser immédiatement.
    Si vous cliquez sur Enregistrer et appliquer, une fenêtre de confirmation s'affiche avant de configurer le profil sélectionné comme étant actif.

Modifier un profil actif

Si vous ne pouvez pas visualiser un certain nombre de résultats ou les résultats appropriés dans les vues Naviguer ou Événements, c'est que vous disposez d'un profil actif. Si vous ne souhaitez pas utiliser de profils, vous pouvez cliquer sur Désactiver les profils dans le menu déroulant Profils.

Pour utiliser un profil différent :

  1. Dans la barre d'outils de la vue Naviguer ou Événements, ouvrez le menu déroulant Profils.
  2. Placez le point de la souris sur l'option Profil pour afficher la liste déroulante des profils disponibles.
  3. Sélectionnez le profil que vous souhaitez utiliser.
    Les paramètres du profil sont appliqués immédiatement.

Si vous souhaitez modifier le profil actif dans la boîte de dialogue Gérer les profils :

  1. Dans la barre d'outils de la vue Naviguer ou Événements, sélectionnez Profils > Gérer les profils.
    La boîte de dialogue Gérer les profils s’affiche.
  2. Sélectionnez un profil dans le panneau gauche, puis cliquez sur Enregistrer et appliquer.
    Une boîte de dialogue de confirmation s'affiche.
  3. Cliquez sur Yes.
    Les paramètres du profil sont appliqués immédiatement.

Importer les profils

Vous pouvez télécharger en amont ou importer des fichiers .jsn qui ont été téléchargés à partir d'un autre service.

  1. Dans la boîte de dialogue Gérer les profils, cliquez sur Import.png dans la barre d'outils du panneau gauche.
  2. La boîte de dialogue Importation du profil s'affiche.
  3. Cliquez dans le champ Parcourir ou Télécharger le fichier pour sélectionner un fichier à partir de votre ordinateur.
  4. Lorsque le fichier est sélectionné, cliquez sur Télécharger.
    Ce profil s'affiche dans le panneau gauche.

Télécharger des profils

Les profils sont téléchargés sous la forme de fichiers .jsn.

  1. Dans la boîte de dialogue Gérer les profils, sélectionnez un ou plusieurs profils dans le panneau gauche.
  2. Dans la barre d'outils du panneau gauche, cliquez sur Export.png.
    Le téléchargement commence immédiatement.
You are here
Table of Contents > Mener une procédure d'enquête > Filtrer les informations dans la vue Naviguer > Utiliser des profils d'investigation pour encapsuler les vues personnalisées

Attachments

    Outcomes