Investigation : Afficher un contexte supplémentaire pour un point de données

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Lors d'une procédure d'enquête dans la vue Naviguer ou la vue Événements, les analystes peuvent rechercher des informations de contexte et des renseignements supplémentaires sur une valeur méta ou un point de données provenant des diverses sources configurées, par exemple ESA.

Un analyste avec l'autorisation Context Lookup peut effectuer une recherche contextuelle dans les vues Investigation. Un administrateur doit configurer les rôles et autorisations, comme décrit dans « Autorisations du rôle » et « Gérer les utilisateurs à l'aide de rôles et d'autorisations » dans le Guide de la sécurité du système et de la gestion des utilisateurs.

Pour effectuer une recherche contextuelle, l'administrateur doit :

  • Ajoutez le service Context Hub dans Security Analytics. (Le service Context Hub est inclus dans Security Analytics 10.6 et les versions ultérieures.)
  • configurer les sources de données du service Context Hub, comme indiqué dans le Guide de configuration de Context Hub.

Visualiser le contexte supplémentaire à l'aide de la recherche contextuelle 

Pour visualiser le contexte supplémentaire d'un point de données à partir des vues Investigation :

  1. Lorsque vous menez une procédure d'enquête ou que vous examinez des événements dans le menu Security Analytics, accédez à la vue Naviguer.
    La vue Naviguer comporte le panneau Valeurs sur la gauche et le panneau Recherche contextuelle sur la droite, comme illustré cidessous. Le panneau Recherche contextuelle ne montre aucune donnée tant que vous n'effectuez pas une recherche contextuelle. Les valeurs méta disposant d'informations de contexte associées sont surlignées à l'aide d'un arrière-plan gris.
    F-Navigate-view1.png
  2. Si vous souhaitez afficher le type de données de contexte disponible pour une valeur méta mise en surbrillance, placez le pointeur de la souris sur la valeur méta en question.
    Un indicateur en ligne affiche le type de données contextuelles disponible pour la méta : ECAT, Incidents, Alertes ou Listes.
    F-Navigate-view-inline-indicator.png
  3. Pour afficher les données de la recherche contextuelle à partir du panneau Valeurs, cliquez avec le bouton droit de la souris sur une valeur méta en surbrillance, puis sélectionnez Recherche contextuelle dans le menu contextuel.
    F-rc-meta-context-lookup.png

Le panneau Recherche contextuelle affiche les résultats de la recherche en fonction des données disponibles dans les sources configurées.

Remarque : L'indicateur en ligne des métavaleurs est uniquement pris en charge dans la vue Naviguer. Pour la vue Événements, vous devez effectuer une recherche à la demande sur les métavaleurs.

Afficher les résultats à partir du panneau Recherche contextuelle

Dans le panneau Recherche contextuelle, vous pouvez visualiser les résultats de la recherche et explorer des données spécifiques pour approfondir la procédure d'enquête. Par exemple, lorsque vous cliquez sur une valeur particulière du type de données Incidents, le détail de l'incident est affiché dans la vue Gestion des incidents.

Pour une description détaillée des informations affichées dans le panneau Recherche contextuelle, consultez Investigation - panneau Recherche contextuelle.

You are here
Table of Contents > Mener une procédure d'enquête > Agir sur un point de recherche verticale dans la vue Naviguer > Afficher un contexte supplémentaire pour un point de données

Attachments

    Outcomes