Enquêter : Configurer la vue Naviguer et la vue Événements

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 3Show Document
  • View in full screen mode
 

Les analystes peuvent configurer des préférences affectant les performances et le comportement de NetWitness Suite lors de l'analyse de données avec la vue Naviguer et la vue Événements. Ces paramètres sont disponibles à deux emplacements dans NetWitness Suite et les modifications effectuées dans l'un ou l'autre des emplacements sont répercutées dans l'autre vue :

  • Vue Enquêter > boîte de dialogue Paramètres pour la vue Naviguer et la vue Événements.
  • Profils > panneau Préférences > onglet Procédure d'enquête. 

Il existe également des paramètres configurables dans le menu déroulant Options de recherche dans la vue Naviguer et la vue Événements.

Accéder aux Paramètres des vues Naviguer et Événements

Pour accéder aux paramètres, procédez de l'une des façons suivantes :

  • Dans la barre d'outils de la vue Naviguer, sélectionnez l'option Paramètres.
    La boîte de dialogue Paramètres de la vue Naviguer s'affiche. La version 11.0 comprenait un paramètre permettant d'Ajouter des événements dans le panneau Événements, et il a été déplacé dans le panneau Paramètres de vue Événements.
    Navigate View Settings
  • Dans la barre d'outils de la vue Événements, sélectionnez l'option Paramètres.
    La boîte de dialogue Paramètres de la vue Événements s'affiche. La version 11.1 ou supérieure inclut le paramètre Ajouter des événements dans le panneau Événements.
    Event view settings for Version 11.1
  • Dans le coin supérieur droit de NetWitness Suite, accédez à Profile drop-down menu > , Profile option et dans le panneau Préférences, cliquez sur l'onglet Procédure d'enquête.
    Le panneau Procédure d'enquête s'affiche.
    User Profile Preferences > Investigation tab

Calibrer les paramètres de chargement des valeurs de la vue Naviguer

Plusieurs paramètres influencent les performances de NetWitness Suite lors du chargement de valeurs dans le panneau Valeurs. Les valeurs par défaut sont définies d'après l'usage commun. Les analystes individuels peuvent ajuster ces paramètres selon leurs propres procédures d'enquêtes.

Pour ajuster ces paramètres :

  1. Accédez à l'onglet Procédure d'enquête ou à la boîte de dialogue Paramètres dans la vue Événements.
  2. Ajustez les paramètres suivants.
  • Seuil : Définissez le seuil du nombre maximum de sessions chargées pour une valeur de clé meta dans le panneau Valeurs. Un seuil supérieur offre des décomptes précis pour une valeur, et cause également des temps de charge plus longs. La valeur par défaut est 100000.
  • Nb max résultats de valeurs : Définissez le nombre maximal de valeurs à charger dans la vue Naviguer lorsque l'option Résultats maximum est sélectionnée dans le menu Clé méta pour ouvrir une clé méta. La valeur par défaut est 1000.
  • Nb max exports de session : Spécifiez le nombre d'événements pouvant être exportés dans un seul fichier PCAP ou Log.
  • Caractères max affichage logs : Définissez le nombre maximal de caractères à afficher sous Enquêter > Événements > Texte du log. La valeur par défaut est 1 000.
  • Nombre maximal de caractères métavaleurs : Définissez le nombre maximal de caractères autorisés dans un nom de métavaleur apparaissant dans la vue Naviguer, panneau Valeurs. La valeur par défaut est 60.
  • Afficher les informations de débogage Si vous souhaitez que NetWitness Suite affiche la clause where sous le fil d'Ariane dans la vue Naviguer, ainsi que le temps de charge écoulé pour chaque service agrégé sur un courtier, cochez cette option. La valeur par défaut est Off.
  • Ajouter des événements dans le panneau Événements : Cette option a une incidence sur la pagination dans le panneau Événements et est décrite ci-dessous, sous « Calibrer la récupération et la reconstruction par défaut de la vue Événements ».
  • Charger automatiquement les valeurs : Si vous souhaitez que NetWitness Suite charge automatiquement les valeurs pour le service sélectionné dans la vue Naviguer, cochez cette option. Lorsqu'elle n'est pas sélectionnée, NetWitness Suite affiche un bouton Charger les valeurs, qui donne l'opportunité à l'utilisateur de modifier des options. La valeur par défaut est Off.
  1. Cliquez sur Appliquer.

Les paramètres deviennent effectifs immédiatement mais seront visibles au prochain chargement des valeurs.

Configurer les paramètres de la vue Naviguer et la vue Événements

Plusieurs paramètres influencent les performances de NetWitness Suite lors du chargement de valeurs dans la vue Naviguer et la vue Événements. Les valeurs par défaut sont définies d'après l'usage commun. Les analystes individuels peuvent ajuster ces paramètres selon leurs propres procédures d'enquêtes. Vous pouvez définir ces paramètres séparément dans la vue Naviguer et la vue Événements. Lorsqu'il est configuré dans une vue unique, le paramètre ne s'applique pas automatiquement à une autre vue.

Pour ajuster ces paramètres :

  1. Accédez à l'onglet Procédure d'enquête ou à la boîte de dialogue Paramètres pour la vue Naviguer ou la vue Événements.
  2. Ajustez les paramètres suivants :
    -Live Connect : Mettre en évidence les valeurs risquées : Si vous souhaitez que NetWitness Suite mette en surbrillance et affiche uniquement les adresses IP qui sont considérées comme risquées par la Communauté RSA, activez cette option. Lorsqu'elle n'est pas sélectionnée, NetWitness Suite affiche toutes les adresses IP. Par défaut, cette option n'est pas sélectionnée (Off).
    -Utiliser le cache local par appareil : Vous pouvez spécifier l'utilisation des données mises en cache localement à partir du service sélectionné. Par défaut, cette option n'est pas activée (Désactivée). Lorsque cette option est désactivée, Enquêter envoie une nouvelle requête à la base de données plutôt que d'afficher les données mises en cache dans les vues d'Enquêter après le chargement initial. Si elle est activée, Enquêter utilise les données provenant du cache local.
    -Téléchargement des PCAP terminés : Vous pouvez automatiser le téléchargement des fichiers PCAP extraits de la vue Naviguer et de la vue Événements afin que le navigateur télécharge le fichier PCAP extrait et l'ouvre dans l'application par défaut pour ouvrir les fichiers PCAP tels que Wireshark. Par défaut, cette option n'est pas activée (Désactivée). Si vous souhaitez activer cette option, vérifiez que l'application permettant d'ouvrir les fichiers PCAP est bien installée sur votre système de fichiers local et qu'elle est définie par défaut pour gérer les formats de fichier PCAP.
    Live Connect : Mettre en évidence les valeurs risquées : Si cette option est désactivée, toutes les métavaleurs qui disposent d'un contexte disponible dans Live Connect sont mises en surbrillance dans la vue Naviguer du panneau Valeurs. Si l'option est activée, parmi les valeurs qui disposent d'un contexte dans Live Connect, seules les valeurs jugées risquées/suspectes/dangereuses par la communauté sont mises en surbrillance. Par défaut, cette option est désactivée (Off).
  1. Cliquez sur Appliquer.
    Les paramètres prennent effet immédiatement.

Configurer le format d'export de log par défaut

Vous pouvez exporter des logs à partir de la vue Naviguer et de la vue Événements dans différents formats. Les options disponibles sont Texte, XML, CSV, JSON. Il n'existe pas de valeur par défaut intégrée pour le format d'exportation de log. Si vous ne sélectionnez pas de format, NetWitness Suite affiche une boîte de dialogue de sélection lorsque vous invoquez l'exportation des logs.

Pour sélectionner le format des logs exportés :

  1. Accédez à l'onglet Procédure d'enquête ou à la boîte de dialogue Paramètres pour la vue Naviguer, la vue Événements ou la vue Analyse d'événements.
  2. Sélectionnez l'une des options du menu déroulant Format du log d'exportation.
  3. Cliquez sur Appliquer.
    Le paramètre prend effet immédiatement.

Configurer le format d'exportation des métadonnées par défaut

Vous pouvez exporter des métavaleurs à partir de la vue Naviguer et de la vue Événements dans différents formats. Les options disponibles sont Texte, CSV, TSV et JSON. Il n'existe pas de valeur par défaut intégrée pour le format d'exportation de métadonnées. Si vous ne sélectionnez pas de format ici, NetWitness Suite affiche une boîte de dialogue de sélection lorsque vous invoquez l'exportation des valeurs méta.

Pour sélectionner le format des valeurs méta exportées :

  1. Accédez à l'onglet Procédure d'enquête ou à la boîte de dialogue Paramètres pour la vue Naviguer ou la vue Événements.
  2. Sélectionnez l'une des options du menu déroulant Exporter le format de métadonnées.
  3. Cliquez sur Appliquer
    .Le paramètre prend effet immédiatement.

Calibrer la récupération et la reconstruction par défaut de la vue Événements

Vous pouvez configurer plusieurs paramètres contrôlant la manière dont NetWitness Suite récupère les événements et les reconstruit dans la vue Événements. Pour cela :

  1. Accédez à l'onglet Procédure d'enquête ou à la boîte de dialogue Paramètres pour afficher la vue Événements.
  2. Configurez les paramètres suivants.
    -Optimiser les charges de la page Procédure d'enquête : Définissez une option de pagination. Lorsqu'ils sont optimisés, les résultats sont renvoyés aussi rapidement que possible, en sacrifiant la capacité originale à accéder à une page spécifique dans la liste des événements. Désactiver cette case modifie la pagination de la liste Événements pour vous permettre d'accéder à une page spécifique de la liste (ou à la dernière page). La valeur par défaut est activée.
    -Visualisation des sessions par défaut : Sélectionne le type de reconstruction par défaut pour la reconstruction initiale dans la vue Événements. La valeur par défaut est Meilleure reconstruction, dans laquelle les événements sont reconstruits à l'aide de la méthode de reconstruction la plus appropriée pour l'événement.
  3. Accédez à l'onglet Procédure d'enquête ou à la boîte de dialogue Paramètres pour afficher la vue Naviguer et définissez l'option Ajouter des événements dans le panneau Événements. Lorsque cette option est sélectionnée, les événements affichés dans le panneau Événements sont ajoutés progressivement. Par exemple, chaque fois que vous cliquez sur l'icône de la page suivante, la prochaine incrément d'événement est ajouté, au début vous voyez 1 à 25, puis 1 à 50, puis 1 à 75, et ainsi de suite. Cette option est uniquement disponible si l'option Optimiser les charges de la page Procédure d'enquête est activée.
  4. Pour activer les modifications immédiatement, cliquez sur Appliquer.

Activer ou désactiver l'affichage des feuilles de style en cascade dans les reconstructions de contenu Web

Les analystes peuvent activer l'utilisation des feuilles de style en cascade (CSS) lors de la reconstruction du contenu Web. Si elle est activée, la reconstruction Web comprend des styles CSS et des images pour que son apparence soit identique à celle de la vue originale dans un navigateur Web. Elle inclut l'analyse et la reconstruction des événements connexes, et la recherche de feuilles de style et d'images utilisées dans l'événement cible. L'option est activée par défaut. Désactivez cette option en cas de problèmes avec l'affichage de sites Web spécifiques. 

Remarque : L'apparition du contenu reconstitué peut ne pas correspondre parfaitement à la page Web d'origine si les images et les feuilles de style sont introuvables ou si elles ont été chargées à partir de la mémoire cache du navigateur Web. De plus, tout style ou mise en page effectué dynamiquement via le javascript côté client ne sera pas rendu dans la reconstruction, car tout le javascript côté client est supprimé pour des raisons de sécurité.

Pour activer ou désactiver cette option :

  1. Cliquez sur l'onglet Procédure d'enquête.
  2. Cochez la case Activer la vue CSS Reconstruction pour le Web.
  3. Cliquez sur Appliquer.
    Le paramètre devient effectif immédiatement mais ne sera visible que dans la prochaine reconstruction de contenu Web.

Configurer les options de recherche

Vous pouvez configurer les options de recherche à appliquer lorsque vous saisissez une chaîne de recherche dans le champ de recherche.

  1. Cliquez dans le champ Rechercher de la vue Événements ou de la vue Naviguer pour afficher le menu déroulant Rechercher des événements.
    Search Preferences menu
  2. Sélectionnez une ou plusieurs options de recherche à appliquer à la recherche. Rechercher des modèles de texte pour obtenir des informations détaillées sur chaque option.
  3. Pour enregistrer les paramètres de recherche, cliquez sur Appliquer.
    Les préférences sont enregistrées et effectives immédiatement. 
You are here
Table of Contents > Configuration des vues et des préférences de NetWitness Investigate > Configurer la vue Naviguer et la vue Événements

Attachments

    Outcomes