Investigate : Boîte de dialogue Paramètres pour les vues Enquêter

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 3Show Document
  • View in full screen mode
 

NetWitness SuiteVersion 11.0 dispose de deux boîtes de dialogue de paramétrage, l'une pour la vue Naviguer et l'autre pour la vue Événements. Avec l'ajout de la boîte de dialogue Paramètres de la vue Analyse d'événements dans la version 11.1, Investigate dispose de trois boîtes de dialogue de paramétrage.

Les paramètres des boîtes de dialogue Paramètres pour les vues Naviguer et Événements sont un sous-ensemble des paramètres de Procédure d'enquête définis dans Profils > panneau Préférences > onglet Procédures d'enquête. En fournissant les paramètres dans la vue Procédure d'enquête, NetWitness Suite est un gain de temps pour les analystes. Si vous modifiez un paramètre ici, le même paramètre est modifié dans la vue Profils et si vous changez un paramètre dans cette même vue, le même paramètre est modifié ici.

Pour accéder à cette boîte de dialogue, accédez à la vue Naviguer ou Événements et sélectionnez l'option Paramètres dans la barre d'outils.

Les paramètres de la vue Analyse d'événements n'ont pas de paramètres correspondants dans le panneau Profils > Préférences.

Que voulez-vous faire ?

                                                     
Rôle d'utilisateurJe souhaite...Documentation relative à la version 11.1
Responsable de la recherche des menaces

parcourir les métadonnées d'événement

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

parcourir les événements bruts

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

analyser les métadonnées et événements bruts

Commencer une procédure d'enquête dans la vue Analyse d'événements

Responsable de la recherche des menacesexaminer les points de terminaison (Version 11.1)Examiner les hôtes

Responsable de la recherche des menaces

rechercher des fichiers de point de terminaison suspects (Version 11.1)

Examiner les fichiers

Responsable de la recherche des menacesanalyser les fichiers et les événements des programmes malveillantsMener une analyse de malware

Responsable de la réponse aux incidents

triage d'un incident dans Investigate

Guide d'utilisation de NetWitness Respond

Responsable de la recherche des menaces

configurer les préférences pour Enquêter*

Configuration des vues et des préférences de NetWitness Investigate

*Vous pouvez effectuer cette tâche dans la vue actuelle.

Rubriques connexes

Aperçu rapide

Les boîtes de dialogue Paramètres des vues Naviguer et Événements ont plusieurs fonctions en commun.

Plusieurs paramètres de procédure d'enquête de la vue Naviguer influencent les performances lors du chargement de valeurs dans le panneau Valeurs. Les valeurs par défaut sont définies d'après l'usage commun. Les analystes individuels peuvent ajuster ces paramètres selon leurs propres procédures d'enquêtes. L'illustration ci-dessous est un exemple de la boîte de dialogue et le tableau suivant décrit les fonctions.
This is the Navigate view Settings dialog.

                                                               
FonctionnalitéDescription
SeuilDéfinit le seuil du nombre maximum de sessions chargées pour une valeur de clé meta dans le panneau Valeurs. Un seuil supérieur offre des décomptes précis pour une valeur, et cause également des temps de charge plus longs. La valeur par défaut est 100000.
Nb max résultats de valeursDéfinit le nombre maximal de valeurs à charger dans la vue Naviguer lorsque l'option Résultats maximum est sélectionnée dans le menu Clé méta pour ouvrir une clé méta. La valeur par défaut est 1 000.
Nb max exports de sessionDéfinit le nombre maximum de sessions pouvant être exportées. La valeur par défaut est 100000.
Format du log d'exportationDéfinit le format des logs exportés. Quatre formats sont disponibles :
  • Text
  • SML
  • CSV
  • JSON

Exporter le format de métadonnées

Définit le format de fichier des métavaleurs exportées. Quatre formats sont disponibles :

  • Text
  • SML
  • CSV
  • JSON
Utiliser le cache local par appareilLorsque cette option est désactivée, Enquêter envoie une nouvelle requête à la base de données plutôt que d'afficher les données mises en cache dans les vues d'Enquêter après le chargement initial. Si elle est activée, Enquêter utilise les données provenant du cache local.
Afficher les informations de débogageCette option contrôle l'affichage de la clause where sous le fil d'Ariane dans la vue Naviguer, ainsi que le temps de charge écoulé pour chaque service agrégé sur un Broker, cochez cette option. Si elle est activée, les informations de débogage sont affichées. Par défaut, l'option est Off (désactivée).
Ajouter des événements dans le panneau ÉvénementsCette option n'affecte la pagination dans le panneau Événements. Lorsqu'elle est activée, le groupe d'événements suivant est ajouté aux événements déjà affichés. Lorsque cette option est désactivée, la page précédente des événements est remplacée par la page suivante. Par défaut, l'option est Off (désactivée)
Charger automatiquement les valeursCette option contrôle le chargement automatique des valeurs du service sélectionné dans la vue Naviguer. Lorsqu'elle est activée, les valeurs sont automatiquement chargées quand vous sélectionnez un service à examiner. Lorsqu'elle n'est pas activée, Enquêter affiche un bouton Charger les valeurs, qui vous offre l'opportunité de modifier des options. La valeur par défaut est Off.
Téléchargement des PCAP terminésCe paramètre automatise le téléchargement des PCAP extraits dans le module Investigation pour que vous n'ayez pas à télécharger et ouvrir manuellement les fichiers PCAP extraits dans une application, telle que Wireshark, qui peut gérer l'affichage des données dans un formulaire PCAP.
Live Connect : Mettre en évidence les IP risquées Si cette option est désactivée, toutes les métavaleurs qui disposent d'un contexte disponible dans Live Connect sont mises en surbrillance dans la vue Naviguer du panneau Valeurs. Si l'option est activée, parmi les valeurs qui disposent d'un contexte dans Live Connect, seules les valeurs jugées risquées/suspectes/dangereuses par la communauté sont mises en surbrillance. Par défaut, cette option est désactivée (Off).
AppliquerApplique les paramètres immédiatement. Ils seront visibles la prochaine fois que vous chargerez les valeurs. Les mêmes modifications sont également appliquées dans la vue Profils.
AnnulerAnnule l'opération de modification et ferme la boîte de dialogue, en laissant les paramètres non modifiés.

Boîte de dialogue Paramètres - Vue Événements

L'illustration suivante est un exemple de la boîte de dialogue Paramètres pour la vue Événements et le tableau suivant décrit les fonctions.

This is the Events view Settings dialog

                                               
FonctionnalitéDescription
Format du log d'exportationDéfinit le format des logs exportés. Quatre formats sont disponibles :
  • Text
  • SML
  • CSV
  • JSON

Exporter le format de métadonnées

Définit le format de fichier des métavaleurs exportées. Quatre formats sont disponibles :

  • Text
  • SML
  • CSV
  • JSON
Téléchargement des PCAP terminésCe paramètre automatise le téléchargement des PCAP extraits dans le module Investigation pour que vous n'ayez pas à télécharger et ouvrir manuellement les fichiers PCAP extraits dans une application, telle que Wireshark, qui peut gérer l'affichage des données dans un formulaire PCAP.
Live Connect : Mettre en évidence les IP risquées Lorsque cette option est activée, Enquêter utilise un filtre pour extraire uniquement les adresses IP considérées comme présentant des risques par la communauté RSA. Lorsqu'elle n'est pas sélectionnée, NetWitness Suite affiche toutes les adresses IP. Par défaut, cette option n'est pas sélectionnée (Off).
Optimiser les charges de la page Procédure d'enquêteDéfinit une option de pagination. Lorsqu'ils sont optimisés, les résultats sont renvoyés aussi rapidement que possible, en sacrifiant la capacité originale à accéder à une page spécifique dans la liste des événements. Désactiver cette case modifie la pagination de la liste Événements pour vous permettre d'accéder à une page spécifique de la liste (ou à la dernière page). La valeur par défaut est activé.
Vue Session par défautSélectionne le type de reconstruction par défaut pour la reconstruction initiale dans la vue Événements. La valeur par défaut est Meilleure reconstruction, dans laquelle les événements sont reconstruits à l'aide de la méthode de reconstruction la plus appropriée pour l'événement.
Activer la vue CSS Reconstruction pour le WebCe paramètre contrôle la réalisation de la reconstruction de contenu Web. Si elle est activée, la reconstruction Web comprend des styles avec feuille de style en cascade (CSS) et des images pour que son apparence soit identique à celle de la vue originale dans un navigateur Web. Elle inclut l'analyse et la reconstruction des événements connexes, et la recherche de feuilles de style et d'images utilisées dans l'événement cible. Cette option est activée par défaut. Désactivez cette option en cas de problèmes avec l'affichage de sites Web spécifiques.
AppliquerApplique les paramètres immédiatement. Ils seront visibles la prochaine fois que vous afficherez les événements. Les mêmes modifications sont également appliquées dans la vue Profils.
AnnulerAnnule l'opération de modification et ferme la boîte de dialogue, en laissant les paramètres non modifiés.

Vue Analyse d'événements - Panneau Préférences

À partir de la version 11.1, la vue Analyse d'événements dispose des préférences utilisateur que vous pouvez configurer dans la vue Analyse d'événements > panneau Préférences de l'événement. Ces paramètres sont conservés afin d'être appliqués chaque fois que vous vous connectez et accédez à la vue Analyse d'événements. Le tableau suivant décrit les options.

                               
FonctionnalitéDescription
Vue Analyse d'événements par défaut

Sélectionne la vue d'analyse d'événements par défaut qui s'affiche chaque fois que vous ouvrez la vue Analyse d'événements. Par exemple, si vous sélectionnez Analyse de fichiers, le panneau Analyse de fichiers est mis en surbrillance et affiché chaque fois que vous examinez un événement dans la vue Analyse d'événements. Ces options sont les suivantes :

  • Analyse de texte : Affiche et analyse la charge utile de texte brut d'un événement.
  • Analyse de paquets : Affiche et analyse de façon interactive les paquets et la charge utile d'un événement.
  • Analyse de fichiers : Affiche la liste des fichiers et télécharge un ou plusieurs fichiers dans un événement.
Format de log par défaut

Sélectionne le format par défaut pour le téléchargement des logs :

  • Télécharger le fichier log : Log brut (log) utilisant cette option.
  • Télécharger le fichier CSV : Valeurs séparées par des virgules (CSV) utilisant cette option.
  • Télécharger le fichier XML : Fichier XML (Extensible Markup Language) utilisant cette option.
  • Télécharger JSON : Fichier JSON (JavaScript Object Notation) utilisant cette option.
Format de paquet par défaut

Sélectionne le format de paquet par défaut pour le téléchargement des paquets.

  • Télécharger le PCAP : Télécharge l'événement entier en tant que fichier de capture de paquets (*.pcap).
  • Télécharger toutes les charges utiles : Télécharge la charge utile en tant que fichier *.payload.
  • Télécharger la charge utile de la demande : Télécharge la charge utile de la demande en tant que fichier *.payload1.
  • Télécharger la charge utile de la réponse : Télécharge la charge utile de la réponse en tant que fichier *.payload2.
Format d'heure pour la requête

La vue Analyse d'événements peut afficher les résultats en fonction de l'heure de la base de données ou de l'heure actuelle de l'horloge. Le paramètre par défaut pour cette préférence est Heure de la base de données, qui est le même format que celui utilisé pour afficher les résultats de la requête dans la vue Naviguer et dans la vue Événements.
Lorsque le paramètre Heure de la base de données est sélectionné, l'heure de début et l'heure de fin d'une requête se basent sur l'heure à laquelle l'événement a été capturé.

Lorsque Temps Horloge est sélectionné, la requête est exécutée en utilisant l'heure de fin en fonction de l'heure actuelle du navigateur. L'heure de début est calculée en fonction de cette heure de fin et de la période.

Télécharger automatiquement les fichiers extraits

Permet le téléchargement automatique des fichiers s'ils sont au format par défaut sélectionné dans les champs Format de log par défaut et Format de paquet par défaut dans le panneau Préférences de l'événement.

Cochez la case pour activer le téléchargement automatique du format sélectionné dans le dossier local. Sinon, la tâche de téléchargement est placée en file d'attente, ce qui vous permet de le télécharger manuellement.

 

You are here
Table of Contents > Matériaux de référence Enquêter > Boîte de dialogue Paramètres pour les vues Enquêter

Attachments

    Outcomes