Enquêter : Configurer la vue Naviguer et la vue Événements

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 4Show Document
  • View in full screen mode
 

Les analystes peuvent configurer des préférences affectant les performances et le comportement de NetWitness Platform lors de l'analyse de données avec la vue Naviguer et la vue Événements. Ces paramètres sont disponibles à deux emplacements dans NetWitness Platform et les modifications effectuées dans l'un ou l'autre des emplacements sont répercutées dans l'autre vue :

  • Vue Enquêter > boîte de dialogue Paramètres pour la vue Naviguer et la vue Événements.
  • Profils > panneau Préférences > onglet Procédure d'enquête. 
  • Menu déroulant des options de recherche de la vue Navigation et de la vue Événements.

Accéder aux Paramètres des vues Naviguer et Événements

Pour accéder aux paramètres, procédez de l'une des façons suivantes :

  • Dans la barre d'outils de la vue Naviguer, sélectionnez l'option Paramètres.
    La boîte de dialogue Paramètres de la vue Naviguer s'affiche.

    Navigate view Settings dialog

    Remarque : La version 11.0 comprenait un paramètre permettant d'Ajouter des événements dans le panneau Événements, et il a été déplacé dans le panneau Paramètres de vue Événements dans la version 11.1.

  • Dans la barre d'outils de la vue Événements, sélectionnez l'option Paramètres.
    La boîte de dialogue Paramètres de la vue Événements s'affiche.
    Event view settings for Version 11.1

    Remarque : La version 11.1 ou supérieure inclut le paramètre Ajouter des événements dans le panneau Événements.

  • Dans le coin supérieur droit de NetWitness Platform, accédez à Profile drop-down menu > , Profile option et dans le panneau Préférences, cliquez sur l'onglet Procédure d'enquête.
    Le panneau Procédure d'enquête s'affiche. La première figure ci-dessous illustre le panneau Enquête version 11.1 et la deuxième figure illustre le panneau 11.2 avec une meilleure organisation des options de recherche.
    User Profile Preferences > Investigation tab (Version 11.1)

    User Profile Preferences > Investigation tab (Version 11.2)

Calibrer les paramètres de chargement des valeurs de la vue Naviguer

Plusieurs paramètres influencent les performances de NetWitness Platform lors du chargement de valeurs dans le panneau Valeurs. Les valeurs par défaut sont définies d'après l'usage commun. Les analystes individuels peuvent ajuster ces paramètres selon leurs propres procédures d'enquêtes. Pour ajuster ces paramètres :

  1. Accédez à l'onglet Procédure d'enquête ou à la boîte de dialogue Paramètres dans la vue Événements.
  2. Ajustez les paramètres suivants.
    • Seuil : Définissez le seuil du nombre maximum de sessions chargées pour une valeur de clé meta dans le panneau Valeurs. Un seuil supérieur offre des décomptes précis pour une valeur, et cause également des temps de charge plus longs. La valeur par défaut est 100000.
    • Nb max résultats de valeurs : Définissez le nombre maximal de valeurs à charger dans la vue Naviguer lorsque l'option Résultats maximum est sélectionnée dans le menu Clé méta pour ouvrir une clé méta. La valeur par défaut est 1000.
    • Nb max exports de session : Spécifiez le nombre d'événements pouvant être exportés dans un seul fichier PCAP ou Log.
    • Caractères max affichage logs : Définissez le nombre maximal de caractères à afficher sous Enquêter > Événements > Texte du log. La valeur par défaut est 1 000.
    • Nombre maximal de caractères métavaleurs : Définissez le nombre maximal de caractères autorisés dans un nom de métavaleur apparaissant dans la vue Naviguer, panneau Valeurs. La valeur par défaut est 60.
    • Afficher les informations de débogage Si vous souhaitez que NetWitness Platform affiche la clause where sous le fil d'Ariane dans la vue Naviguer, ainsi que le temps de charge écoulé pour chaque service agrégé sur un courtier, cochez cette option. La valeur par défaut est Off.
    • Ajouter des événements dans le panneau Événements : Cette option a une incidence sur la pagination dans la vue Événements et est décrite ci-dessous, sous « Calibrer la récupération et la reconstruction par défaut de la vue Événements ».
    • Charger automatiquement les valeurs : Si vous souhaitez que NetWitness Platform charge automatiquement les valeurs pour le service sélectionné dans la vue Naviguer, cochez cette option. Lorsqu'elle n'est pas sélectionnée, NetWitness Platform affiche un bouton Charger les valeurs, qui donne l'opportunité à l'utilisateur de modifier des options. La valeur par défaut est Off.
  1. Cliquez sur Appliquer.

Les paramètres deviennent effectifs immédiatement mais seront visibles au prochain chargement des valeurs.

Configurer les paramètres de la vue Naviguer et la vue Événements

Plusieurs paramètres influencent les performances de NetWitness Platform lors du chargement de valeurs dans la vue Naviguer et la vue Événements. Les valeurs par défaut sont définies d'après l'usage commun. Les analystes individuels peuvent ajuster ces paramètres selon leurs propres procédures d'enquêtes. Vous pouvez définir ces paramètres séparément dans la vue Naviguer et la vue Événements. Lorsqu'il est configuré dans une vue unique, le paramètre ne s'applique pas automatiquement à une autre vue. Pour ajuster ces paramètres :

  1. Accédez à l'onglet Procédure d'enquête ou à la boîte de dialogue Paramètres pour la vue Naviguer ou la vue Événements.
  2. Ajustez les paramètres suivants.
    • Live Connect : Mettre en évidence les valeurs risquées : Si vous souhaitez que NetWitness Platform mette en surbrillance et affiche uniquement les adresses IP qui sont considérées comme risquées par la Communauté RSA, activez cette option. Lorsqu’elle n’est pas sélectionnée, NetWitness Platform affiche toutes les adresses IP. Par défaut, cette option n'est pas activée (Désactivée).
    • Utiliser le cache local par appareil Vous pouvez spécifier l'utilisation des données mises en cache localement à partir du service sélectionné. Par défaut, cette option n'est pas activée (Désactivée). Lorsque cette option est désactivée, Enquêter envoie une nouvelle requête à la base de données plutôt que d'afficher les données mises en cache dans les vues d'Enquêter après le chargement initial. Si elle est activée, Enquêter utilise les données provenant du cache local.
    • Téléchargement des PCAP terminés Vous pouvez automatiser le téléchargement des fichiers PCAP extraits de la vue Naviguer et de la vue Événements afin que le navigateur télécharge le fichier PCAP extrait et l'ouvre dans l'application par défaut pour ouvrir les fichiers PCAP tels que Wireshark. Par défaut, cette option n'est pas activée (Désactivée). Si vous souhaitez activer cette option, vérifiez que l'application permettant d'ouvrir les fichiers PCAP est bien installée sur votre système de fichiers local et qu'elle est définie par défaut pour gérer les formats de fichier PCAP.
    • Live Connect : Mettre en évidence les valeurs risquées : Si cette option est désactivée, toutes les métavaleurs qui disposent d'un contexte disponible dans Live Connect sont mises en surbrillance dans la vue Naviguer du panneau Valeurs. Si l'option est activée, parmi les valeurs qui disposent d'un contexte dans Live Connect, seules les valeurs jugées risquées/suspectes/dangereuses par la communauté sont mises en surbrillance. Par défaut, cette option est désactivée (Off).
  1. Cliquez sur Appliquer.
    Les paramètres prennent effet immédiatement.

Configurer le format d'export de log par défaut

Vous pouvez exporter des logs à partir de la vue Naviguer et de la vue Événements dans différents formats. Les options disponibles sont Texte, XML, CSV et JSON. Il n'existe pas de valeur par défaut intégrée pour le format d'exportation de log. Si vous ne sélectionnez pas de format, NetWitness Platform affiche une boîte de dialogue de sélection lorsque vous invoquez l'exportation des logs. Pour sélectionner le format des logs exportés :

  1. Accédez à l'onglet Procédure d'enquête ou à la boîte de dialogue Paramètres pour la vue Naviguer ou la vue Événements.
  2. Sélectionnez l'une des options du menu déroulant Format du log d'exportation.
  3. Cliquez sur Appliquer.
    Le paramètre prend effet immédiatement.

Configurer le format d'exportation des métadonnées par défaut

Vous pouvez exporter des métavaleurs à partir de la vue Naviguer et de la vue Événements dans différents formats. Les options disponibles sont Texte, CSV, TSV et JSON. Il n'existe pas de valeur par défaut intégrée pour le format d'exportation de métadonnées. Si vous ne sélectionnez pas de format ici, NetWitness Platform affiche une boîte de dialogue de sélection lorsque vous invoquez l'exportation des valeurs méta. Pour sélectionner le format des valeurs méta exportées :

  1. Accédez à l'onglet Procédure d'enquête ou à la boîte de dialogue Paramètres pour la vue Naviguer ou la vue Événements.
  2. Sélectionnez l'une des options du menu déroulant Exporter le format de métadonnées.
  3. Cliquez sur Appliquer.
    Le paramètre prend effet immédiatement.

Calibrer la récupération et la reconstruction par défaut de la vue Événements

Vous pouvez configurer plusieurs paramètres contrôlant la manière dont NetWitness Platform récupère les événements et les reconstruit dans la vue Événements. Pour cela :

  1. Accédez à l'onglet Procédure d'enquête ou à la boîte de dialogue Paramètres pour afficher la vue Événements.
  2. Configurez les paramètres suivants.
    • Optimiser les charges de la page Procédure d'enquête : Définissez une option de pagination. Lorsqu'ils sont optimisés, les résultats sont renvoyés aussi rapidement que possible, en sacrifiant la capacité originale à accéder à une page spécifique dans la liste des événements. Désactiver cette case modifie la pagination de la liste Événements pour vous permettre d'accéder à une page spécifique de la liste (ou à la dernière page). La valeur par défaut est activée.
    • Visualisation des sessions par défaut : Sélectionne le type de reconstruction par défaut pour la reconstruction initiale dans la vue Événements. La valeur par défaut est Meilleure reconstruction, dans laquelle les événements sont reconstruits à l'aide de la méthode de reconstruction la plus appropriée pour l'événement.
  3. Accédez à l'onglet Procédure d'enquête ou à la boîte de dialogue Paramètres pour afficher la vue Naviguer (11.1) ou Événements (11.2) et définissez l'option Ajouter des événements dans le panneau Événements. Lorsque cette option est sélectionnée, les événements affichés dans le panneau Événements sont ajoutés progressivement. Par exemple, chaque fois que vous cliquez sur l'icône de la page suivante, la prochaine incrément d'événement est ajouté, au début vous voyez 1 à 25, puis 1 à 50, puis 1 à 75, et ainsi de suite. Cette option est uniquement disponible si l'option Optimiser les charges de la page Procédure d'enquête est activée.
  4. Pour activer les modifications immédiatement, cliquez sur Appliquer.

Activer ou désactiver l'affichage des feuilles de style en cascade dans les reconstructions de contenu Web

Les analystes peuvent activer l'utilisation des feuilles de style en cascade (CSS) lors de la reconstruction du contenu Web. Si elle est activée, la reconstruction Web comprend des styles CSS et des images pour que son apparence soit identique à celle de la vue originale dans un navigateur Web. Elle inclut l'analyse et la reconstruction des événements connexes, et la recherche de feuilles de style et d'images utilisées dans l'événement cible. L'option est activée par défaut. Désactivez cette option en cas de problèmes avec l'affichage de sites Web spécifiques. 

Remarque : L'apparition du contenu reconstitué peut ne pas correspondre parfaitement à la page Web d'origine si les images et les feuilles de style sont introuvables ou si elles ont été chargées à partir de la mémoire cache du navigateur Web. De plus, tout style ou mise en page effectué dynamiquement via le javascript côté client n’est pas rendu dans la reconstruction, car tout le javascript côté client est supprimé pour des raisons de sécurité.

Pour activer ou désactiver cette option :

  1. Cliquez sur l'onglet Procédure d'enquête.
  2. Cochez la case Activer la vue CSS Reconstruction pour le Web.
  3. Cliquez sur Apply.
    Le paramètre devient effectif immédiatement mais ne sera visible que dans la prochaine reconstruction de contenu Web.

Configurer les options de recherche

Vous pouvez configurer les options de recherche à appliquer lorsque vous saisissez une chaîne de recherche dans le champ de recherche. Modifiez les options de recherche dans l’onglet Profil > Panneau Préférences > Enquête ou dans le menu déroulant des options de recherche des vues Navigation et Événements. Configurer les options de recherche, en procédant comme suit :

  1. Naviguez jusqu'aux options de recherche.
    La figure suivante illustre le menu déroulant des options de recherche pour la version 11.2.
    the search options
  2. Sélectionnez une ou plusieurs options de recherche à appliquer à la recherche. Rechercher des modèles de texte pour obtenir des informations détaillées sur chaque option.
  3. Pour enregistrer les paramètres de recherche, cliquez sur Appliquer.
    Les préférences sont enregistrées et effectives immédiatement. 
You are here
Table of Contents > Configuration des vues et des préférences de NetWitness Investigate > Configurer la vue Naviguer et la vue Événements

Attachments

    Outcomes