Investigation : Résultats du filtrage et de la recherche dans la vue Événements

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Les analystes peuvent filtrer les résultats dans la vue Investigation > Événements, en recherchant les événements ou sélectionnant le service sur lequel afficher les événements, définir la plage horaire et interroger les métadonnées. 

Si vous avez ouvert la vue Événements à partir d'un point de recherche verticale de la vue Naviguer, la vue détaillée des événements s'ouvre par défaut. Les analystes qui ne disposent pas des autorisations pour utiliser la vue Naviguer peuvent interroger les services directement à partir de la vue Événements. Il existe plusieurs options de configuration pour filtrer les informations affichées dans la vue Événements.

Remarque : Lorsqu'un service Archiver est le service actif dans la vue Événements et que vous êtes à la recherche d'un Broker ou Concentrator, l'opération est plus lente que la recherche d'un Broker ou Concentrator car les données du service Archiver sont compressées et qu'il y a généralement plus de données.

Filtrer les événements affichés dans la vue Événements

Pour filtrer les données affichées dans la vue Événements :

  1. Dans le menu Security Analytics, sélectionnez Examiner > Événements.
    La vue Événements s'affiche.
    EvDetVw.png
  2. Pour sélectionner une autre période que la période par défaut, (les 3 dernières heures), dans la barre d'outils, cliquez sur le champ de la période et sélectionnez une valeur. Par exemple, Dernière heure.
    La vue Événements s'actualise avec la période sélectionnée.
  3. Pour saisir une requête pour le service et la période sélectionnés, dans la barre d'outils, cliquez sur Requête.
    La boîte de dialogue Requête simple s'affiche.
    QueryDDSimple.png
  4. Si vous souhaitez saisir une requête simple à l'aide de la fonction de remplissage automatique pour sélectionner les méta et les opérateurs, procédez de l'une des manières suivantes :
    1. Cliquez dans le champ Sélectionner des métadonnées, puis sélectionnez une clé méta dans la liste déroulante.
    2. Sélectionnez un opérateur dans la liste déroulante sous le champ Opérateur.
    3. Saisissez une valeur de correspondance dans le champ Valeur.
    4. Sélectionnez les données Réseau ou Log et cliquez sur Appliquer.
      Les données correspondantes s'affichent dans la vue Événements.
  5. Pour saisir une requête plus complexe basée sur vos connaissances des métas et des opérateurs :
    1. Cliquez sur Advanced.
      La boîte de dialogue Requête avancée s'affiche.
      QueryDDAdv.png
    2. Saisissez une requête. Au fur et à mesure que vous saisissez la requête, commençant par la clé méta, les listes déroulantes des clés méta et des opérateurs disponibles s'affichent. Une fois terminé, cliquez sur Appliquer
  6. Si vous souhaitez sélectionner une requête dans liste des requêtes récentes :
    1. Sélectionnez Récent.
      La boîte de dialogue Requête récente s'affiche.
      QryDDRecent.png
    2. Sélectionnez une requête, puis cliquez sur Appliquer.
      Les résultats correspondants pour la requête sont affichés dans la vue Détails sous la vue Événements. Notez que le fil d'Ariane reflète la requête (tcp.dstport existe, dans l'exemple).
      EvDetVw.png
    3. Dans le fil d'Ariane, vous pouvez cliquer sur l'un des fils pour afficher le menu Requête. Vous pouvez insérer une nouvelle requête avant un fil et en ajouter une nouvelle à la fin d'un fil. Après chaque modification dans le fil, Security Analytics actualise les résultats.

Rechercher des événements dans la vue Événements

Vous pouvez rechercher les données actives affichées dans la vue Événements en saisissant une chaîne de recherche dans le champ de recherche. La chaîne de recherche peut être une regex (expression régulière) ou une recherche de texte simple. Investigation - Options de recherche fournit des informations détaillées sur ces types de recherche.

Pour effectuer une recherche dans les données affichées dans la vue Événements :

  1. Pour exécuter la recherche, placez le curseur dans la zone de recherche, saisissez une chaîne, puis appuyez sur la touche Entrée, ou cliquez sur Rechercher.
    Les résultats de la recherche s'affichent dans la vue Événements. Les événements qui correspondent aux critères de recherche s'affichent dans la grille de la vue Événements. Dans la vue Détails et la vue Liste, les correspondances sont mises en surbrillance dans la colonne Détails. De plus, lors de la recherche des données BRUTES, les correspondances sont mises en surbrillance dans la vue Log - colonne Logs. Voici un exemple des résultats de la recherche du terme India dans la vue Détails des événements. Notez que les correspondances de recherche ne sont pas mises en surbrillance dans une reconstruction d'événement.
    EventsViewSearchEX2.png
  2. Si vous souhaitez affiner la recherche, modifiez la requête et l'heure, comme décrit ci-dessus dans la rubrique Filtrer les événements affichés dans la vue Événements.
  3. Si vous souhaitez arrêter la recherche et revenir à la vue Événements, cliquez sur Annuler
    Les résultats déjà affichés restent à l'écran.
  4. Pour effacer la zone de recherche et revenir à la vue Événements normale, cliquez sur le X dans la zone de recherche.
You are here
Table of Contents > Mener une procédure d'enquête > Examiner des événements > Résultats du filtrage et de la recherche dans la vue Événements

Attachments

    Outcomes