Investigate : Vue Analyse d'événements

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 3Show Document
  • View in full screen mode
 

Dans la vue Analyse d'événements, les analystes peuvent visualiser les métadonnées et les événements bruts grâce aux fonctions interactives qui améliorent la capacité à déceler des schémas significatifs dans les données. Il s'agit d'une solution alternative à la vue statique Reconstruction d'événement. Vous pouvez examiner les événements liés au réseau, aux logs et aux points de terminaison dans la vue Analyse d'événements. La vue Analyse d'événements propose la reconstruction des paquets, des textes et des logs, mais ne prend pas directement en charge la reconstruction par courrier électronique et Web. Toutefois, dans la version 11.1 ou supérieure, vous pouvez ouvrir une reconstruction des résultats actuels par courrier électronique et Web dans la vue Événements.

Remarque : L'administrateur attribue aux analystes les autorisations d'accès à cette vue. Si votre administrateur ne vous a pas octroyé d'accès et que vous accédez à la vue Analyse d'événements d'une manière ou d'une autre, le message suivant s'affichera : Forbidden. You cannot access the requested page.Par exemple, si vous visualisez une reconstruction de la vue Événements et que vous tentez d'afficher la même reconstruction dans la vue Analyse d'événements, le message Forbidden s'affichera.

Les événements affichés dans la vue Analyse d'événements concernent le point d'extraction actuel dans la vue Vue Naviguer ou Événements. À partir de la version 11.1, les événements peuvent correspondre aux résultats d'une requête saisie dans le fil d'Ariane de la vue Analyse d'événements. Quelle que soit la source de la requête, la vue Analyse d'événements affiche les événements dans l'ordre chronologique. Vous pouvez réorganiser et redimensionner les colonnes. Dans la version 11.1 ou supérieure, vous pouvez également choisir les colonnes que vous souhaitez afficher, et sélectionner l'un des groupes de colonnes intégrés ou un groupe de colonnes personnalisé.

Lorsque vous cliquez sur un événement, le panneau Détails des événements réseau, Détails des événements de consignation ou Détails des événements liés aux points de terminaison s'ouvre dans la même fenêtre de navigateur. Chaque type d'événement comprend un ou plusieurs types d'analyse : Analyse de texte, Analyse de paquets et Analyse de fichiers.

Plusieurs points d'accès à cette vue sont décrits dans la section Commencer une procédure d'enquête dans la vue Analyse d'événements.

Workflow

La figure suivante procure une vue générale du workflow illustrant les tâches que vous pouvez effectuer dans NetWitness Investigate, avec les tâches de la vue Analyse d'événements mises en surbrillance en rouge.

the Investigate Workflow with Analyze Raw Events and Metadata highlighted

Que voulez-vous faire ?

                                                                              
Rôle d'utilisateurJe souhaite...Documentation relative à la version 11.1
Responsable de la recherche des menaces

parcourir les métadonnées d'événement

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

parcourir les événements bruts

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

analyser les métadonnées et événements bruts*

Commencer une procédure d'enquête dans la vue Analyse d'événements

Responsable de la recherche des menaces

rechercher des événements dans la vue Analyse d'événements (Version 11.1)*

Filtrer les résultats dans la vue Analyse d'événements

Responsable de la recherche des menacesexporter les événements et fichiers dans la vue Analyse d'événements*Télécharger des données dans la vue Analyse d'événements

Responsable de la recherche des menaces

reconstruire des événements dans la vue Analyse d'événements*

Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements

Responsable de la recherche des menaceseffectuer des recherches externes à partir de la vue Analyse d'événements (Version 11.1)*Agir sur les données dans la vue Analyse d'événements
Responsable de la recherche des menaces rechercher des événements dans la vue Naviguer Procédure d'enquête relative aux métadonnées dans la vue Naviguer

Responsable de la recherche des menaces

rechercher des événements dans la vue Événements

Examiner les événements bruts dans la vue Événements

Responsable de la recherche des menacesexaminer les points de terminaison (Version 11.1)Examiner les hôtes

Responsable de la recherche des menaces

rechercher des fichiers de point de terminaison suspects (Version 11.1)

Examiner les fichiers

Responsable de la recherche des menacesanalyser les fichiers et les événements des programmes malveillantsMener une analyse de malware

Responsable de la réponse aux incidents

triage d'un incident dans Investigate

Guide d'utilisation de NetWitness Respond

*Vous pouvez effectuer cette tâche dans la vue actuelle.

Rubriques connexes

Aperçu rapide

Lorsque vous ouvrez Investigate pour la première fois, les champs de saisie d'une requête s'affichent afin que vous puissiez sélectionner un service avec une période, et saisir une requête facultative.

  • La version 11.0 propose des champs de saisie dans les vues Naviguer et Événements.
  • La version 11.1 propose des champs de saisie dans les vues Naviguer, Événements et Analyse d'événements.

Lorsque vous ouvrez un point d'extraction dans la vue Analyse d'événements, le service en cours d'investigation compte les résultats de la requête initiale dans une limite de 100 000 événements et les 100 premiers événements (paquets, logs et points de terminaison) sont chargés dans le panneau Événements. Les colonnes du panneau Événements sont les suivantes : Heure de l'événement, Type d'événement (Réseau, Log ou Point de terminaison), Taille des événements et Récapitulatif. Vous pouvez :

  • Faire défiler la liste, puis cliquer sur Charger davantage pour consulter les 100 événements suivants.
  • Sélectionner un groupe de colonnes (Version 11.1 ou supérieure).
  • Sélectionner les colonnes que vous souhaitez inclure (Version 11.1 ou supérieure).
  • Faire glisser les colonnes pour les réorganiser.
  • Rendre les colonnes plus larges ou plus étroites.
  • Afficher l'analyse d'un événement.

La figure suivante met en évidence les principales caractéristiques de la vue Analyse d'événements pour la version 11.1 ou supérieure.

a quick look at the Event Analysis view for Version 11.1

                                                                 
1Fil d'Ariane interactif : Lorsqu'un service est sélectionné, le sélecteur de service, le sélecteur de période et les requêtes que vous avez saisies s'affichent. Dans la version 11.1 ou supérieure, vous pouvez sélectionner un service, comme décrit dans la section Commencer une procédure d'enquête dans la vue Analyse d'événements et affiner les critères de filtre dans la requête, comme décrit dans Filtrer les résultats dans la vue Analyse d'événements. En cliquant sur le bouton Envoyer une requête, une demande est envoyée au service sélectionné afin que les données soient chargées.
2Le type d'événement en cours d'analyse est reflété dans l'en-tête : Détails des événements réseau, Détails des événements de consignation ou Détails des événements liés aux points de terminaison. Chaque vue est détaillée dans la section Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements.
3Les types d'analyse disponibles pour le type d'événement. Les événements réseau peuvent utiliser tous les types d'analyse : texte, paquet et fichier. Les événements de log et de point de terminaison utilisent l'analyse de texte uniquement.
4Les types d'analyse E-mail et Web ouvrent l'événement en cours sous la forme d'une reconstruction par e-mail ou par Web dans la vue Evénements.
5Ces options varient en fonction de différents types d'analyse. Elles sont détaillées dans la section Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements.
6

Commandes permettant d'afficher ou de masquer l'en-tête d'événement, d'afficher ou masquer des demandes et réponses et d'ouvrir le panneau Méta de l'événement (16). Ces commandes sont décrites dans Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements.

7, 11Commandes permettant de modifier la taille du panneau et de fermer le panneau.
8Ouvrez à nouveau le panneau Événements ou Panneau Méta de l'événement si vous l'avez fermé.
9 Définit les préférences de la vue Analyse d'événements (voir Configurer la vue Analyse d'événements.
10

Le panneau Événements de la version 11.1 est interactif et affiche les résultats de requête lorsque vous envoyez des requêtes mises à jour. Le panneau Événements indique le nombre d'événements. Vous pouvez réorganiser et redimensionner les colonnes. Vous pouvez faire défiler la liste jusqu'en bas et charger plus d'événements (voir Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements).

12La liste déroulante Groupe de colonnes affiche les groupes de colonnes intégrés et personnalisés que vous pouvez appliquer au panneau Evénements. Les groupes de colonnes intégrés sont les suivants : Analyse des e-mails, Analyse des points de terminaison, Analyse des programmes malveillants, HTTP sortant, SSL/TLS sortant et Liste récapitulative. Liste récapitulative est le groupe de colonnes par défaut.
13Paramètres de sélection des colonnes incluses dans le panneau Événements.
14En-tête d'événement fournissant des informations récapitulatives sur l'événement. Ces informations varient en fonction des différents types d'événement (paquet, log et point de terminaison).
15Les données d'événement (parfois appelées une charge utile pour les paquets). Les données d'événement pour un événement de log ou de point de terminaison sont généralement une ligne de texte du log brut plutôt qu'une demande et une réponse affichées pour un paquet.
16Le Panneau Méta de l'événement répertorie les clés méta et les métavaleurs contenues dans les données. Certaines métadonnées sont disponibles pour la recherche ; elles affichent une icône de jumelles sur laquelle vous pouvez cliquer pour afficher les données associées en surbrillance dans les données d'événements (voir Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements.

 

La figure suivante met en évidence les principales caractéristiques de la vue Analyse d'événements pour la version 11.0.0.x.

 

                                                 
1 Le fil d'Ariane en lecture seule affiche le service et la période sélectionnés, ainsi que la requête saisie dans la vue Naviguer ou la vue Événements.
2Il s'agit d'une liste en lecture seule des événements en fonction de la requête effectuée dans la vue Naviguer ou la vue Événements. Le panneau Événements indique le nombre d'événements. Vous pouvez réorganiser et redimensionner les colonnes. Vous pouvez faire défiler la liste jusqu'en bas et charger plus d'événements (voir Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements).
3, 8Commandes permettant de modifier la taille du panneau et de fermer le panneau.
4Le type d'événement en cours d'analyse est reflété dans l'en-tête : Détails des événements réseau, Détails des événements de consignation, ou Détails des événements liés aux points de terminaison. Chaque vue est détaillée dans la section Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements.
5Les types d'analyse disponibles pour le type d'événement. Les événements réseau peuvent utiliser les trois types d'analyse : de texte, de paquets et de fichiers. Les événements de log et de point de terminaison utilisent l'analyse de texte uniquement.
6Ces options varient en fonction de différents types d'analyse. Elles sont détaillées dans la section Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements.
7

Commandes permettant d'afficher ou de masquer l'en-tête d'événement, d'afficher ou masquer des demandes et réponses et d'ouvrir le panneau Méta de l'événement (12). Ces commandes sont décrites dans la section Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements.

9Ouvrez à nouveau le panneau Événements ou Panneau Méta de l'événement si vous l'avez fermé.
10En-tête d'événement fournissant des informations récapitulatives sur l'événement. Ces informations varient en fonction des différents types d'événement (paquet, log et point de terminaison).
11Les données d'événement (parfois appelées une charge utile pour les paquets). Les données d'événement pour un événement de log ou de point de terminaison sont généralement une ligne de texte du log brut plutôt qu'une demande et une réponse affichées pour un paquet.
12Le Panneau Méta de l'événement répertorie les clés méta et les métavaleurs contenues dans les données. Certaines métadonnées sont disponibles pour la recherche ; elles affichent une icône de jumelles sur laquelle vous pouvez cliquer pour afficher les données associées en surbrillance dans les données d'événements (voir Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements.
You are here
Table of Contents > Matériaux de référence Enquêter > Vue Analyse d'événements

Attachments

    Outcomes