Enquêter : Commencer une procédure d'enquête

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 3Show Document
  • View in full screen mode
 

NetWitness Suite propose différents points de départ en fonction de la question à laquelle vous tentez de répondre : Vue Naviguer, vue Événements, Vue Analyse d'événements (version 11.1), vue Hôtes (version 11.1), vue Fichiers (version 11.1) et vue Malware Analysis.

Remarque : Des rôles d'utilisateurs et des autorisations spécifiques sont requis pour qu'un utilisateur puisse mener des procédures d'enquête et des analyses de programmes malveillants dans NetWitness Suite. Si vous ne pouvez pas réaliser de tâche d'analyse ou afficher une vue, il se peut que l'administrateur doive ajuster les rôles et autorisations configurés pour vous. Les vues Fichiers et Hôtes sont disponibles dans les versions 11.1 et supérieures. La vue Analyse d'événements est disponible dans la version 11.0, mais le mode d'accès s'effectue via la vue Événements.

Se concentrer sur les vues Métadonnées, Événements bruts et Analyse d'événements

Pour rechercher les événements qui génèrent le flux de travail de réponse aux incidents et effectuer une analyse stratégique après qu'un autre outil ait généré un événement, vous devez commencer dans la vue Naviguer, la vue Evénements ou la vue Analyse d'événements. Analysez les métadonnées d'un seul service Broker ou Concentrator. Dans chacune de ces vues, démarrez la recherche en ouvrant la vue, où vous pouvez exécuter une requête et filtrer les résultats en réduisant la plage de temps et en interrogeant les métadonnées. Ces rubriques fournissent des détails sur l'ouverture d'une enquête dans chaque vue :

Se concentrer sur les vues Hôtes et Fichiers

Pour rechercher des informations sur les hôtes sur lesquels l'agent est en cours d'exécution, lancez l'analyse dans la vue Hôtes (Procédure d'enquête > Hôtes). Pour chaque hôte, vous pouvez voir les processus, les pilotes, les DLL, les fichiers (exécutables), les services et les exécutions automatiques en cours d'exécution, ainsi que les informations relatives aux utilisateurs connectés. (Reportez-vous à la section Examiner les hôtes)

Vous pouvez commencer la procédure d'enquête sur les fichiers de votre déploiement dans la vue Fichiers (Enquête > Fichiers). (Reportez-vous à la section Examiner les fichiers.)

Se concentrer sur la recherche de programmes malveillants dans les fichiers

Pour analyser les fichiers à la recherche de programmes malveillants potentiels ou configurer une analyse continue d'un service, commencez dans la vue Malware Analysis. Les résultats sont exprimés en quatre types d'analyse : réseau, statique, communautaire et sandbox avec un indicateur de compromis (IOC). Il existe plusieurs façons de commencer à travailler dans Malware Analysis :

  • Vous pouvez lancer Malware Analysis à partir des dashlets Malware Analysis dans la vue Moniteur pour afficher rapidement les menaces potentielles les plus dangereuses.
  • Vous pouvez accéder à Procédure d'enquête > Malware Analysis pour ouvrir le récapitulatif des événements Malware Analysis.
  • Vous pouvez cliquer avec le bouton droit sur une clé méta dans la vue Naviguer, puis sélectionnez Analyser les malwares.

Reportez-vous à la section Mener une analyse de malware pour plus d'informations sur l'utilisation de la vue Malware Analysis.


You are here
Table of Contents > Commencer une procédure d'enquête

Attachments

    Outcomes