Investigation : Créer une requête personnalisée

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Dans le panneau des options de la vue Investigation > Naviguer, vous pouvez créer une requête plutôt que de cliquer à travers les clés et les métavaleurs pour effectuer une recherche verticale dans les métadonnées. Les boîtes de dialogue pour créer une requête offrent une aide à la syntaxe grâce à des listes déroulantes de clés méta applicables et d'opérateurs. Lors de l'affichage de la liste déroulante, vous pouvez développer et réduire chaque métagroupe pour afficher ou masquer les clés métas individuelles de ce groupe.

Lorsque vous sélectionnez un groupe méta, Security Analytics génère la requête complexe égale à une requête avec toutes les clés méta de ce groupe ORed ensemble. Par conséquent, si un métagroupe ip.src et ip.dst, la requête générée est ip.src = <value> OR ip.dst = <value>. Si le métagroupe contient des clés méta qui comportent des types de métavaleurs différents, l'entrée de la valeur est désactivée et la requête utilise des instructions exists. Par exemple, un métagroupe qui contient ip.src, ip.dst et alias.host inclut des clés méta qui comportent des types de valeurs différents ; ip.src et ip.dst sont des adresses IP et alias.host est un texte. La requête générée est ip.src exists OR ip.dst exists OR alias.host exists.

Une requête de base se présente sous la forme suivante :

<metakey> <operator> [<metavalue>]

Voici quelques exemples :

action exists
action = 'get'
alias.host = '10.25.55.115'
extension = 'exe'
orig_ip != "10.0.0.0" - "10.255.255.255"

Créer une requête en utilisant la méthode de base

Lorsque vous créez une requête en utilisant la méthode de base, Security Analytics fournit des listes déroulantes de métas et d'opérateurs.

  1. Dans la barre d'outils de la vue Navigation, sélectionnez Requête.
    La boîte de dialogue Requête s'affiche avec l'option Simple sélectionnée.
    QueryDDSimple.png
  2. Dans le champ Sélectionner les méta, cliquez pour afficher la liste déroulante. La liste déroulante comporte deux sections : Groupes méta et Toutes les méta.
  3. Sélectionnez une clé méta unique dans Toutes les méta ou sélectionnez un groupe méta dans Groupes méta. Vous pouvez également saisir une clé méta ou un métagroupe dans le champ.
  4. Dans le champ Opérateur, saisissez un opérateur ou cliquez sur la liste déroulante pour sélectionner un opérateur valide.
  5. (Facultatif) Si vous avez sélectionné un opérateur qui nécessite une valeur, par exemple, begins dans le troisième champ, saisissez la valeur de la clé méta.
  6. Dans les cases à cocher Réseau et Log, choisissez le type de données à interroger. Exécutez l'une des opérations suivantes :
    1. Pour limiter la requête aux paquets, sélectionnez Réseau et désactivez Log. Dans la requête, medium 1 = paquet.
    2. Pour limiter la requête aux logs, sélectionnez Log et désactivez Réseau. Dans la requête, medium 32 = logs.
    3. Pour appliquer la requête aux paquets et aux logs, sélectionnez Réseau et Log.
  7. Exécutez l'une des opérations suivantes :
    1. Cliquez sur OK.
      La fenêtre est fermée et la vue est mise à jour avec les résultats de la nouvelle requête. La requête s’affiche dans le fil d'Ariane.
    2. Cliquez sur Cancel.
      La fenêtre est fermée et aucun changement n'est apporté à la vue ou à la requête en cours.

Créer une requête en utilisant la méthode avancée

  1. Dans la barre d'outils de la vue Naviguer, sélectionnez Requête.
    La boîte de dialogue Requête s'affiche.
    QueryDDSimple.png
  2. Sélectionnez Avancé.
    Le champ Requête avancée s'affiche.
    QueryDDAdv.png
  3. Dans le champ, créez une requête qui peut inclure la clé méta, l'opérateur et la valeur. Lorsque vous commencez à saisir une clé méta dans le champ, une liste déroulante des clés métas disponibles du service sélectionné s'affiche.
  4. Sélectionnez la clé méta pour votre requête.
    L'affichage se met à jour. Si l'expression n'est pas encore terminée, l'état indique que la requête n'est pas valide.
  5. Continuez avec un opérateur, dans la liste déroulante, puis une valeur si nécessaire. L'affichage se met à jour pendant que vous continuez à saisir la requête. Si vous saisissez un opérateur, comme exists ou !exists, qui n'utilise pas le champ Valeur, celui-ci est désactivé et l'état non valide est effacé. Si vous saisissez un opérateur, comme =, qui exige le champ Valeur, l'état reste défini sur non valide jusqu'à ce que vous entriez une valeur. Lorsque la requête est valide, l'état non valide ne s'affiche plus.
    InvalidQuery.png
  6. Exécutez l'une des opérations suivantes :
    1. Cliquez sur OK.
      La fenêtre est fermée et la vue est mise à jour avec les résultats de la nouvelle requête. La requête s’affiche dans le fil d'Ariane.
    2. Cliquez sur Cancel.
      La fenêtre est fermée et aucun changement n'est apporté à la vue ou à la requête en cours.

Appliquer une requête récente

Vous pouvez afficher les requêtes récentes et en sélectionner une à appliquer au service actuel à l'étude. Pour sélectionner une requête récente :

  1. Dans la barre d'outils de la vue Naviguer, sélectionnez Requête.
    La boîte de dialogue Requête s'affiche avec l'option Simple sélectionnée.
    QueryDDSimple.png
  2. Sélectionnez l'option Récente.
    La liste des requêtes récentes s'affiche dans la partie inférieure de la boîte de dialogue.
    QryDDRecent.png
  3. Dans la liste des requêtes récentes, cliquez pour sélectionner une requête.
  4. Exécutez l'une des opérations suivantes :
    1. Double-cliquez sur une requête.
    2. Sélectionnez une requête et cliquez sur OK.
      La fenêtre est fermée et la vue est mise à jour avec les résultats de la nouvelle requête. La requête s’affiche dans le fil d'Ariane.
    3. Cliquez sur Cancel.
      La fenêtre est fermée et aucun changement n'est apporté à la vue ou à la requête en cours.
You are here
Table of Contents > Mener une procédure d'enquête > Interroger les données dans la vue Naviguer > Créer une requête personnalisée

Attachments

    Outcomes