Investigate : Vue Naviguer

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 3Show Document
  • View in full screen mode
 

La vue Vue Naviguer ( ENQUÊTER > Parcourir) affiche les métadonnées d'événement--les clés méta et les valeurs méta-- ayant été trouvés dans les données capturées pour le service sélectionné. Les données sont filtrées et affichées conformément aux options que vous avez définies pour le profil, la période, le groupe méta et la requête. Vous pouvez aussi explorer les données en cliquant sur les clés méta et les valeurs méta. La vue Naviguer est le point d'entrée par défaut dans NetWitness Investigate ; vous pouvez modifier le point d'entrée par défaut à l'une des autres vues dans les préférences du profil utilisateur.

Workflow

La figure ci-dessous illustre le workflow général pour l'examen des métadonnées d'événement.

high-level Investigate workflow with Browse Event Data and associated actions highlighted

Voici les tâches que vous pouvez effectuer dans Vue Naviguer :

  • Sélectionner un service pour enquêter et charger des données.
  • Afficher les résultats d'une requête et les filtrer par période, profil, groupe méta.
  • Trier les résultats et sélectionner une méthode de quantification.
  • Enregistrer les événements, accéder à un événement à l'aide de l'ID d'événement, visualiser un événement et imprimer l'événement.
  • Afficher des données contextuelles supplémentaires pour des clés méta et des valeurs spécifiques.
  • Accéder à Vue Événements ou à la vue Analyse d'événements, où vous pouvez voir une liste chronologique des événements, reconstruire un événement et réaliser l'analyse interactive d'un événement. Lors de l'affichage et l'analyse des événements, vous pouvez exporter des événements, des fichiers et des logs vers votre système de fichiers local.

Que voulez-vous faire ?

                                                                         
Rôle d'utilisateurJe souhaite...Documentation relative à la version 11.1
Responsable de la recherche des menaces

parcourir les métadonnées d'événement*

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

parcourir les événements bruts*

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

analyser les métadonnées et événements bruts

Commencer une procédure d'enquête dans la vue Analyse d'événements

Responsable de la recherche des menacesexaminer les points de terminaison (Version 11.1)Examiner les hôtes

Responsable de la recherche des menaces

rechercher des fichiers de point de terminaison suspects (Version 11.1)

Examiner les fichiers

Responsable de la recherche des menacesanalyser les fichiers et les événements des programmes malveillantsMener une analyse de malware

Responsable de la réponse aux incidents

triage d'un incident dans Investigate

Guide d'utilisation de NetWitness Respond

Responsable de la recherche des menacesdéfinir les préférences utilisateur pour la vue Naviguer*Configurer la vue Naviguer et la vue Événements
Responsable de la recherche des menacesenvoyer une requête ou effectuer une recherche verticale dans le jeu de données*Procédure d'enquête relative aux métadonnées dans la vue Naviguer
Responsable de la recherche des menacesaffiner les résultats de la requête*Interrogation et action sur les données dans les vues Naviguer et Événements
Responsable de la recherche des menaces

effectuer des recherches interne*

Afficher un contexte supplémentaire pour un point de données

Responsable de la recherche des menaceseffectuer des recherches externes*Lancer la recherche externe d'une clé méta

*Vous pouvez effectuer cette tâche dans la vue actuelle.

Rubriques connexes

Aperçu rapide

the Navigate view with Context Panel and Visualization open

La vue Naviguer se compose des fonctions suivantes :

  • Barre d'outils
  • Bouton Suspendre/Recharger et fil d'Ariane
  • Bannière Temps
  • Informations de débogage facultatives.
  • Panneau Visualisation réductible
  • Panneau Valeurs
  • Panneau Recherche contextuelle
  • Menus contextuels

Barre d'outils

La barre d'outils permet d'effectuer les opérations suivantes :

  • Modifier le service en cours de recherche.
  • Contrôler la plage des données affichées : vous pouvez sélectionner des profils d'utilisation, définir une période, utiliser des groupes méta et créer des requêtes à appliquer aux données.
  • Définir la méthode de quantification et la méthode de tri des données dans le panneau Valeurs.
  • Effectuer des actions sur les résultats. Vous pouvez exporter et imprimer les résultats, accéder à un événement pour lequel vous avez un ID d'événement dans la vue Événements ou la vue Analyse d'événements, et transmettre une requête à Informer.
  • Configurer les paramètres d'investigation sans avoir à naviguer hors des vues Investigation.

Certaines options de la barre d'outils sont libellées avec la valeur par défaut ou la valeur sélectionnée plutôt que d'afficher le nom de l'option. Ainsi, l'option de période dans l'exemple ci-dessus est libellée 5 dernières minutes afin de refléter la valeur actuellement sélectionnée. Voici les options de la barre d'outils :

                                                           
OptionDescription
Service icon Affiche le nom de service sélectionné en regard de l'icône. Cliquer sur l'icône permet d'ouvrir la boîte de dialogue Rechercher un service, dans laquelle vous pouvez sélectionner un service à rechercher et définir le service par défaut à rechercher (voir Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements). La modification du service ne provoque pas un rechargement des données.
Période Affiche les options Période ; l'option actuellement sélectionnée s'affiche dans la barre d'outils (voir Filtrer les résultats dans la vue Naviguer). Les choix possibles sont les suivants :
  • Toutes les données
  • 5, 10, 15 ou 30 dernières minutes
  • Dernière heure, 3, 6, 12 ou 24 dernières heures
  • 2 ou 5 derniers jours
  • Début de matinée
  • Matin
  • Après-midi
  • Soir
  • Toute la journée
  • Hier
  • Cette semaine
  • La semaine dernière
  • Personnalisé

Remarque : si vous spécifiez une heure de début ou de fin personnalisée en secondes, l'heure de début en secondes a toujours la valeur par défaut :00, alors que l'heure de fin en secondes a toujours la valeur par défaut :59. Par exemple, si vous utilisez du temps de recherche verticale dans un problème, la durée de la recherche sera interprétée en tant que HH:MM:00 - HH:MM:59. Les secondes s'affichent dans ce format dans les fonctions Procédure d'enquête.

Requête Affiche la boîte de dialogue Requête qui vous permet de saisir directement une requête personnalisée au lieu d'effectuer une recherche verticale dans les données. Voir la rubrique Boîte de dialogue Requête pour une description de la boîte de dialogue.
Profil Affiche le menu Profil ; le profil actuellement sélectionné s'affiche dans la barre d'outils. Un profil vous permet de gérer et d'utiliser des profils qui peuvent inclure des groupes méta personnalisés, un groupe de colonne par défaut et une requête de début. Les Profils s'appliquent à la vue Naviguer (groupes et requêtes méta) et à la vue Événements (groupes et requêtes de colonne). Pour plus d'informations, voir la rubrique Utiliser des profils pour encapsuler les vues personnalisées.
MétaAffiche le menu Groupe méta. Vous pouvez utiliser la fonctionnalité Clés méta par défaut ou un groupe méta personnalisé. Vous disposez également de l'option permettant de modifier les deux types de groupes (voir la rubrique Gérer les groupes méta).
Champ TrierAffiche le menu du champ Trier ; l'option actuellement sélectionnée s'affiche dans la barre d'outils. Le menu dispose de deux options : Classer par total et Classer par valeur. Le champ Trier est un complément de l'option Ordre de tri, les données de chaque clé méta sont classées en fonction du total (nombre en vert) ou de la valeur méta (texte en bleu) (voir Filtrer les résultats dans la vue Naviguer).
Ordre de tri Affiche le menu Ordre de tri ; l'option actuellement sélectionnée s'affiche dans la barre d'outils. Le menu dispose de deux options : Trier par ordre croissant et Trier par ordre décroissant. Le champ Ordre de tri est un complément de l'option de tri d'un champ ; le champ sélectionné pour chaque clé méta est trié par ordre croissant ou décroissant (voir Filtrer les résultats dans la vue Naviguer).
Méthode de quantification Affiche le menu Méthode de quantification ; l'option actuellement sélectionnée s'affiche dans la barre d'outils. La méthode de quantification s'applique uniquement aux résultats de clé méta dans le panneau Valeurs. Cela ne s'applique pas à la chronologie.
Le menu déroulant contient trois options pour le calcul de la quantité (nombre en vert entre parenthèses) pour une valeur méta : Quantifier par nombre d'événements, Quantifier par taille d'événement et Quantifier par nombre de paquets (voir Filtrer les résultats dans la vue Naviguer).
Ces options sont appliquées différemment en fonction du type de données affichées.
Pour les données de paquets :
  • L'option Quantifier par nombre d'événements affiche le nombre de sessions.
  • L'option Quantifier par taille d'événement affiche la taille en octets.
  • L'option Quantifier par nombre de paquets affiche le nombre de paquets.
Pour les données de log :
  • L'option Quantifier par nombre d'événements affiche le nombre de logs.
  • L'option Quantifier par taille d'événement affiche la taille en octets.
  • L'option Quantifier par nombre de paquets affiche le nombre de logs.
Enregistrer les événementsAffiche le menu Enregistrer les événements dans lequel vous pouvez utiliser les options permettant d'effectuer les tâches suivantes : extraire les fichiers associés à un événement, exporter le point de recherche verticale actif en tant que fichier PCAP, et exporter le point de recherche verticale actif en tant que fichier log (voir la rubrique Exporter un point de recherche verticale).
Actions Le menu Actions contient des actions que vous pouvez effectuer dans la vue Naviguer (voir Procédure d'enquête relative aux métadonnées dans la vue Naviguer). Dans la Version 11.0.0.x, les options sont : Visualiser, Accéder à un événement et Imprimer. Dans la version 11.1 ou supérieure, les options sont Visualiser, Accéder à un événement dans Reconstruction d'événement, Accéder à un événement dans Analyse d'événements et Imprimer).
Rechercher des événements Permet de rechercher des modèles de texte dans l'ensemble des événements en cours. Si vous cliquez dans le champ Rechercher, un menu déroulant affiche les options de recherche. Si vous cliquez sur Appliquer, les options sélectionnées sont enregistrées et les options de recherche sont mises à jour dans la vue Événements et le profil Procédures d'enquête (voir la rubrique Rechercher des modèles de texte).
ParamètresAffiche les paramètres de la vue Naviguer (qui sont également modifiables dans la vue Profil) pour que vous puissiez modifier les paramètres d'enquête sans avoir à naviguer hors de la vue Naviguer. Lorsque vous modifiez un paramètre dans la vue Naviguer, le paramètre est également modifié dans la vue Profil (voir la rubrique Configurer la vue Naviguer et la vue Événements).

Bouton Suspendre/Recharger et fil d'Ariane

Le fil d'Ariane fait le suivi de chaque requête pour laquelle vous effectuez une recherche verticale via les métadonnées du service. Chaque requête est répertoriée avec un menu déroulant dans une chaîne séparée par des traits verticaux. Le dernier point correspond au point actuel, aussi appelé extrémité. L'icône en regard du fil d'Ariane vous permet d'interrompre le chargement des valeurs méta ou de recharger les valeurs méta.

Le fil d'Ariane ne comprend pas le nom du service et apparaît uniquement si une requête est active. Si un nombre trop important de recherches verticales doit être affiché, le dépassement de capacité s'affiche sous la forme de doubles crochets, >>, à la fin du fil d'Ariane.

Chaque menu déroulant dans le fil d'Ariane est identique, avec une légère variation en fonction de la position du fil.

Le tableau suivant décrit les commandes et options de menu du fil d'Ariane.

                                           
FonctionnalitéDescription
Pause icon
Bouton Suspendre et Recharger. Contrôle le chargement des données dans la vue. Trois fonctions sont disponibles : la suspension du chargement, la poursuite du chargement et le rechargement.
Naviguer iciOuvre le point de recherche verticale sélectionné dans le panneau Valeurs actuel.
Naviguer ici (nouvel onglet)Ouvre le point de recherche verticale sélectionné dans un nouvel onglet.
Insérer avantInsère une requête avant le point de recherche verticale actif. La boîte de dialogue Créer un filtre s'ouvre pour vous permettre de définir une requête personnalisée à insérer dans le fil d'Ariane (voir la rubrique Créer une requête personnalisée).
Ajouter Ajoute une requête après le point de recherche verticale actif. La boîte de dialogue Créer un filtre s'ouvre pour vous permettre de définir une requête personnalisée à ajouter à la fin du fil d'Ariane (voir la rubrique Créer une requête personnalisée).
SupprimerSupprime le point de recherche verticale sélectionné du fil d'Ariane.
Modifier Ouvre le point de recherche verticale sélectionné dans la boîte de dialogue Créer un filtre afin que vous puissiez modifier la requête.
>> Cliquer sur les crochets permet d'afficher le menu déroulant du dépassement de capacité du fil d'Ariane.

(Facultatif) Informations de débogage

Si vous avez activé le paramètre Afficher les informations de débogage et que le service dans lequel vous vous trouvez est un Broker 10.4, NetWitness Suite affiche les informations de débogage en dessous du fil d'Ariane.

Les informations de débogage correspondent à la clause where de la requête actuelle. Le seul cas où il n'y a pas de clause where , c'est lorsque la période s'applique à toutes les données et qu'il n'y a aucun point de recherche verticale. Si le Broker dispose au minimum d'un service agrégé en ligne, les informations de débogage afficheront également le service hors ligne.

Par exemple :

(attachment exists)&&(tcp.dstport = '80')&&(risk.info exists)$$time='2014-05-04 18:50:00"-"2014-05-09 18:59:59(attachment exists) && (tcp.dstport = '80') && (risk.info exists) && time="2014-05-04 18:50:00"-"2014-05-09 18:50:59"

De plus, le temps de chargement s'affiche à la fin de chaque clé méta dans le panneau Valeurs.

Bannière Temps

Juste en dessous du fil d'Ariane et des informations de débogage, (si disponibles), la bannière Temps affiche la période utilisée pour créer le graphique.

Visualisation

La visualisation du point de recherche verticale actif figure en haut de la vue Naviguer. Vous pouvez l'utiliser pour effectuer une recherche verticale dans les données du panneau Visualisation (voir Filtrer les résultats dans la vue Naviguer). Vous pouvez afficher ou masquer la visualisation, et choisir une des options de visualisation suivantes : Chronologie ou Coordonnées. La fonctionnalité Visualisation s'ouvre généralement à la dernière visualisation.

Graphique chronologique

La chronologie est le décompte du nombre d'événements qui se produisent à une instance spécifique. La chronologie fournit les nombres d'événements afin que vous pouvez voir si le nombre d'événements augmente considérablement à un point donné dans le temps. La chronologie affiche une activité pour le service et la période spécifiés, comme un graphique linéaire ou un graphique à barres en fonction de votre choix dans le menu Options. La deuxième figure illustre un graphique linéaire et la troisième figure illustre un graphique à barres.

Visualization Options dialog

example of a line chart

example of a bar chart

La chronologie affiche une activité pour le service et la période spécifiés, comme un graphique linéaire ou un graphique à barres en fonction de votre choix dans le menu Options.

                                       
FonctionnalitéDescription
Nombre d'événements (Chronologie) Axe Y du graphique basé sur des milliers d'événements.
Chronologie Axe X du graphique basé sur l'heure à laquelle les événements se sont produits.
Point d'événement (Chronologie) Si vous souhaitez explorer une section spécifique, sélectionnez simplement la plage correspondante dans le graphique. La nouvelle période sera reflétée dans le graphique.
Examiner (Chronologie) Affiche les valeurs méta du sous-ensemble sélectionné.
Réinitialiser le zoom (Chronologie) Pour revenir à la période d'origine, cliquez sur Réinitialiser le zoom.
Options Affiche la boîte de dialogue Options de visualisation. Les points de données peuvent être affichés sous la forme d'un graphique linéaire (par défaut), d'un graphique à barres ou d'un graphique de coordonnées. Lorsqu'un type de graphique est sélectionné, les options correspondantes s'affichent.
Masquer Réduit le graphique.

Graphique de coordonnées parallèles

Le graphique de coordonnées parallèles est l'un des choix du menu Options pour visualiser le point de recherche verticale actif. Avec le paramètre Coordonnées sélectionné dans la boîte de dialogue Options de visualisation, vous pouvez sélectionner les métadonnées à afficher (voir Visualiser des métadonnées en tant que coordonnées parallèles).

example of a parallel coordinates visualization

                                   
FonctionnalitéDescription
Axes Chaque axe est une clé méta. Le nombre de clés méta affecte le temps de charge du graphique. Toutes les clés méta sont chargées, mais le nombre d'événements par clé méta est limité.
Lignes Les lignes représentent des événements, qui relient des valeurs sur les axes pour montrer la corrélation entre plusieurs clés méta.
Options Affiche la boîte de dialogue Options de visualisation. Les points de données peuvent être affichés sous la forme d'un graphique linéaire (par défaut), d'un graphique à barres ou d'un graphique de coordonnées. Lorsqu'un type de graphique est sélectionné, les options correspondantes s'affichent.
Seul un sous-ensemble d'événements s'affiche. Ce message est une notification indiquant que tous les événements du panneau Valeurs sont tracés dans le graphique. La suppression des axes ou le filtrage des données dans le panneau Valeurs permet d'afficher tous les événements.
Événements trouvés | Chemins uniques Affiche le nombre total d'événements représentés dans le graphique par rapport au nombre de chemins uniques représentés dans le graphique. La définition de l'option Toutes les clés méta doivent exister dans un événement retrace le graphique afin qu'il soit plus ciblé et lisible.
InexistantIndique que l'événement ne contient aucune valeur pour cette clé méta.

Dans la boîte de dialogue Options de visualisation pour les coordonnées, vous pouvez sélectionner les clés méta à représenter dans le graphique.

                                               
FonctionnalitéDescription
Sélection de visualisations Affiche une liste déroulante des types de visualisation : Chronologie et coordonnées
Toutes les clés méta doivent exister dans un événement Limite les données représentées dans la visualisation à uniquement ces événements qui incluent toutes les clés méta sélectionnées. Il en résulte une visualisation plus nette et plus ciblée.
Add icon Affiche la boîte de dialogue Ajouter des clés à la visualisation des coordonnées parallèles afin de pouvoir ajouter des axes à la visualisation. Cela est utile si vous recherchez des relations entre les clés méta par défaut et les autres.
Delete icon Supprime les clés sélectionnées afin qu'elles n'apparaissent pas sous la forme d'axes dans la visualisation. Ainsi, la visualisation apparaît moins encombrée et peut inclure plus de points de données.
Reverse icon Rétablit les clés méta par défaut de la visualisation, se composant de toutes les clés méta dans le point de recherche verticale actif.
Info icon Contrôle l'affichage d'informations supplémentaires relatives au nombre d'axes sélectionnés par rapport au nombre recommandé. Cela vous permet de prendre conscience des améliorations de performances en supprimant les axes.
Axes Affiche les clés méta sélectionnées en tant qu'axes dans la visualisation.
Annuler Annule les modifications appliquées aux options de visualisation.
Appliquer Enregistre les modifications effectuées dans les options de visualisation et les applique à la visualisation actuelle.

Dans la boîte de dialogue Ajouter des clés à la visualisation des coordonnées parallèles, vous pouvez sélectionner les clés méta ou les groupes méta à utiliser en tant qu'axes dans la visualisation des coordonnées parallèles.

                           
FonctionnalitéDescription
Sélection de visualisations Sélectionner les clés : Les deux options qui permettent de sélectionner les clés méta sont les suivantes :
  • À partir des clés méta par défaut
  • À partir des groupes méta
Chaque option fournit une liste déroulante à partir de laquelle effectuer la sélection.
Avec les clés méta sélectionnées... Les options de la méthode d'ajout des clés méta vous permettent d'effectuer les opérations suivantes :
  • Remplacer la liste actuelle de clés
  • Ajouter à la liste actuelle de clés
  • Insérer au début de liste actuelle de clés
Annuler Ferme la boîte de dialogue et n'ajoute aucune clé.
Ajouter Ferme la boîte de dialogue et ajoute les clés sélectionnées comme spécifié.

Panneau Valeurs

La fonctionnalité principale de la vue Naviguer est le panneau Valeurs, que vous pouvez utiliser pour analyser les données (voir Filtrer les résultats dans la vue Naviguer).

La vue par défaut concerne les 3 dernières heures de collecte, en utilisant les clés méta par défaut et les clés méta non indexées fermées. Les clés méta au sein des groupes méta sont affichées dans l'ordre dans lequel NetWitness Suite interroge les clés. Au fur et à mesure que le chargement des données s'effectue dans le panneau Valeurs, NetWitness Suite est optimisé pour afficher les résultats partiels, la progression du chargement et l'état du service au moment du chargement des données.

Le comportement du chargement est déterminé par plusieurs paramètres de configuration. Les paramètres de niveau les plus élevés sont configurés par l'administrateur pour chaque utilisateur. Elles sont les suivantes :

  • La durée maximale autorisée pour l'exécution d'une requête par cet utilisateur (Délai d'expiration de la requête).
  • La limite à laquelle NetWitness Suite cesse de compter le nombre de métavaleurs dans une session (Seuil de session). Si un seuil est défini pour une session, la vue Naviguer montre que le seuil a été atteint et affiche le pourcentage de résultats chargés. Toute session qui n'affiche pas un pourcentage est exacte et a été traitée jusqu'à la fin. S'il existe un pourcentage, il reflète la quantité de traitement effectuée. Le pourcentage affiché est estimé en extrapolant à partir de la valeur à la fin du traitement, compte tenu du volume de travail restant. Des pourcentages plus élevés sont généralement plus précis, car ils nécessitent moins d'extrapolation.
  • La limite à laquelle NetWitness Suite cesse de compter le nombre de métavaleurs dans une session (Seuil de session). Si un seuil est défini pour une session, la vue Naviguer montre que le seuil a été atteint et affiche le pourcentage de temps de requête utilisé pour atteindre le seuil.

Remarque : les valeurs des clés méta non indexées prennent plus de temps à se charger dans le panneau Valeurs. Pour optimiser le chargement, NetWitness Suite n'ouvre pas les clés méta non indexées par défaut. Pour une description détaillée des clés méta non indexées dans Procédure d'enquête, reportez-vous à la rubrique Gérer et appliquer des clés méta par défaut dans une procédure d'enquête.

Lorsque vous avez lancé une procédure d'enquête de service, NetWitness Suite affiche les résultats dans le panneau Valeurs.

  1. NetWitness Suite charge les clés méta et les métavaleurs dans le panneau Valeurs. Pour chaque chargement de clé méta, les étapes de chargement sont les suivantes :
    1. En attente de chargement ou Fermé. Si le paramètre Fermé est défini, aucune donnée relative à cette clé ne sera chargée.
    2. Chargement
      1. Progression du chargement : NetWitness Suite reçoit et affiche les messages de progression.
      2. Résultats partiels : NetWitness Suite reçoit des messages de valeurs et des résultats partiels sont affichés dans le panneau Valeurs.
    3. Chargement terminé : Le chargement de tous les résultats est terminé.
  2. À la fin du chargement d'une clé méta et de l'affichage de ses valeurs finales, le chargement de la clé méta suivante est lancé. Le nombre et les valeurs affichés pour chaque clé méta sont spécifiés par la valeur Générer des threads dans les paramètres de préférences de procédure d'enquête. Le chargement se poursuit jusqu'à ce que toutes les clés soient complètement chargées.
  3. Si l'option Afficher les informations de débogage est active et que le service utilisé est un service Broker 10.4 ou de version ultérieure, NetWitness Suite affichera les informations de temps de chargement sous les valeurs de chaque clé méta, ainsi que d'autres détails de chargement relatifs aux services agrégés. NetWitness Suite affiche également les informations de débogage sous le fil d'Ariane.

Résultats itératifs

Les résultats itératifs contiennent des commentaires sur l'état des requêtes au sein des interfaces afin de fournir un contexte supplémentaire quant à la durée de chargement des données et l'absence de données de service. Par exemple, si vous interrogez un service Broker qui agrège deux services Concentrator, NetWitness Suite commence à afficher les résultats du premier service Concentrator dès qu'ils sont disponibles, même si le second service Concentrator attend toujours les résultats.

Les résultats itératifs comprennent également une notification indiquant que des données de service sont manquantes parce que le service est inaccessible.

Résultats partiels

Lorsque les valeurs partielles du service Core sont retournées mais non terminées, un message à la fin de la liste des clés méta indique la progression des valeurs chargées. Par exemple, Currently looking at 38 ip.src values 71% indique que le chargement des valeurs de la clé méta est exécuté à 71 %.

Informations de débogage

Si le paramètre Afficher les informations de débogage est activé, un champ à la fin des valeurs affiche l'état des différents systèmes que vous interrogez dans NetWitness Suite. Par exemple, lorsque vous interrogez un service Broker 10.4 extrayant ses données de plusieurs services Concentrator, NetWitness Suite affiche l'état de la requête sur chacun des services Concentrator, ce qui donne un aperçu de la vitesse relative du chargement des données de chacun des services Concentrator. Chaque service ayant participé à la requête est indiqué avec la durée d'exécution totale de la requête.

Chaque service ayant participé à la requête est indiqué avec la durée d'exécution totale de la requête. Dans l'exemple ci-dessus, deux services ont indiqué 3,207 secondes, localhost:50005 a pris 2 secondes pour retourner les résultats. En outre, la clause where de la requête est affichée sous le fil d'Ariane. Vous pouvez copier cette syntaxe directement dans la clause where d'une règle d'application ou du Reporting.

Chargement terminé

Pour chaque clé méta, il y a une liste de valeurs (texte en bleu) et des nombres (texte en vert) trouvés au niveau du point de recherche verticale actif. Lorsque vous cliquez sur une valeur pour effectuer une recherche verticale dans un sous-ensemble de données sélectionnées, l'affichage est mis à jour et le nouveau point de recherche verticale est enregistré dans le fil d'Ariane. Vous pouvez spécifier les méthodes de tri et de quantification pour la liste des valeurs en utilisant les options correspondantes dans la barre d'outils.

Remarque : le titre, les valeurs et les chiffres relatifs aux clés méta non indexées ne peuvent pas faire l'objet d'une recherche verticale ; les valeurs et les chiffres sont en noir.

                                           
FonctionnalitéDescription
Clé métaNom de la clé méta qui est affiché. Par exemple, Type de service est une clé méta.
Nombre de valeurs affichées par rapport aux nombres de valeurs disponibles pour le chargement Le nombre et les valeurs affichés sont spécifiés par la valeur Générer des threads dans les paramètres de préférences de procédure d'enquête. Dans l'exemple ci-dessus, la clé méta est Type de service et les valeurs 20 sur 20+ correspondent aux valeurs actuellement affichées. Vous pouvez afficher d'autres valeurs en cliquant sur ...show more.
the Search icon Cliquer sur The search icon sur une clé méta indexée permet d'ouvrir la boîte de dialogue Rechercher dans laquelle vous pouvez sélectionner un filtre pour la clé méta actuelle. La fonction de recherche n'est pas disponible pour les clés méta non-indexées, et elle est basée sur la valeur méta plutôt que sur l'alias. La recherche verticale dans la boîte de dialogue Rechercher en utilisant des alias n'est pas prise en charge.
REMARQUE : contactez votre administrateur pour obtenir la liste des alias pouvant être utilisés avec une clé méta dans Procédure d'enquête. Lorsqu'un alias est utilisé, cette boîte de dialogue de recherche ne fournit pas de résultats. En revanche, vous devez interroger la clé méta à l'aide de la fonctionnalité de requête accessible par clic droit ou à l'aide de la boîte de dialogue Requête.
Services hors ligne : xxx.xxx.xxx.xxx:50004 Indique les services hors ligne interrogés par un service Broker 10.4.
Nombre de méta, par exemple
(3)
Nombre d'instances trouvées pour un méta particulier dans la session.
Valeur méta, par exemple
other src
Nom spécifique associé aux méta trouvés.
...show moreSi le nombre de valeurs méta a été limité (par exemple, 20), cliquer sur cette fonctionnalité permet d'afficher d'autres valeurs méta pour la clé méta sélectionnée.
Loaded in 0.418 secs. Durée totale en cours d'exécution 0,434 secondes. (localhost:50005 loaded in 1 secs...Les statistiques de débogage affichent les durées de chargement en fonction du paramètre Afficher les informations de débogage.

Menu déroulant Clé méta

Les clés méta contenues dans le panneau Valeurs fournissent des menus déroulants. En regard de chaque libellé de méta, une flèche déroulante affiche les options qui peuvent être appliquées à cet élément. Vous pouvez les utiliser pour modifier le mode d'affichage des résultats de la clé méta dans la vue actuelle. Les modifications apportées aux clés méta s'affichent dans la vue active, sauf si vous actualisez la page ou sélectionnez un nouveau service dans la barre d'outils de la vue Naviguer. Voir Effectuer une recherche verticale dans les données dans le panneau Valeurs.

L'actualisation rétablit la vue actuelle des clés méta, telle que définie dans la boîte de dialogue Gérer les clés méta par défaut (voir la rubrique Gérer et appliquer des clés méta par défaut lors d'une procédure d'enquête). Si vous n'avez effectué aucune modification dans la boîte de dialogue Gérer les clés méta par défaut, NetWitness Suite restaure les clés méta par défaut à partir du service de base.

  • Autres résultats
  • Résultats maximum
  • Masquer les résultats
  • Info sur la clé méta
  • Afficher au format CSV (version 11.0.0.x) ou Exporter des valeurs (version 11.1 et ultérieure)

Panneau Recherche contextuelle

La vue Naviguer et la vue Événements disposent d'un panneau Recherche contextuelle sur le côté droit. Le panneau Recherche contextuelle ne s'affiche que si vous avez installé et configuré le service Context Hub. Pour plus d'informations sur la configuration du service Context Hub, reportez-vous au Guide de configuration du service Context Hub.

Le panneau Recherche contextuelle affiche les données pertinentes lorsqu'un analyste recherche des données contextuelles pour une valeur méta dans le panneau Valeurs.

Navigate view with the Context Lookup panel open

Une fois que l'administrateur a configuré le service Context Hub, vous pouvez afficher les informations contextuelles des métavaleurs dans la vue Naviguer et la vue Événements. Pour plus d'informations sur la configuration du service Context Hub, reportez-vous au Guide de configuration du service Context Hub. Pour plus d'informations sur l'exécution de la recherche contextuelle des valeurs méta, consultez la rubrique Afficher un contexte supplémentaire pour un point de données.

Le service Context Hub est pré-configuré avec un mappage du type de méta et de la clé méta par défaut. Pour plus d'informations sur le mappage de la métavaleur du service Context Hub avec une clé méta de procédure d'enquête, consultez la rubrique « Gérer le mappage du type de métadonnées et de la clé méta » du Guide de configuration de Context Hub

Vous pouvez afficher le type de données contextuelles disponible pour une valeur méta en surbrillance en positionnant le pointeur de la souris sur une valeur méta mise en surbrillance. Un indicateur en ligne affiche le type de données contextuelles disponible pour la méta : Point de terminaison, Incidents, Alertes ou Listes.

En cliquant sur une valeur méta avec le bouton droit de la souris, un menu s'affiche avec l'option de recherche contextuelle. La figure suivante illustre l'option Recherche contextuelle lorsque vous cliquez sur une valeur méta avec le bouton droit de la souris.

This menu is an example of the context menu.

Pour les clés méta comme IP, Hôte et Adresse Mac, les détails des valeurs qui sont marqués sont collectés à partir de Point de terminaison, Incident, Alertes et Listes.

Pour les clés méta comme Fichier, Hachage de fichier, Domaine, Utilisateur, les détails des valeurs qui sont signalés sont collectés à partir de Point de terminaison, Incident, Alertes et Listes.

Les données sont affichées dans le panneau Contexte, uniquement si des données sont disponibles.

Pour plus d'informations sur les résultats des recherches et les données contextuelles pour différentes sources de données, consultez la rubrique Panneau Recherche contextuelle.

You are here
Table of Contents > Matériaux de référence Enquêter > Vue Naviguer

Attachments

    Outcomes