Enquêter : Reconstruire un événement

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 3Show Document
  • View in full screen mode
 

Lors de l'affichage d'une liste d'événements dans la vue Événements, vous pouvez créer une reconstruction de l'événement sous une forme lisible qui corresponde à l'originale. Par défaut, la vue initiale d'un événement reconstruit est le format le plus adapté (Meilleure reconstruction). Par exemple, un contenu Web est reconstruit sous la forme d'une page Web ; une conversation de messagerie instantanée (IM) est affichée avec les deux parties de la conversation. Chaque utilisateur peut sélectionner une reconstruction par défaut différente dans la vue Profil > Préférences.

Vous pouvez également ouvrir une reconstruction à partir de la vue Naviguer si vous connaissez l'ID de l'événement.

Dans la reconstruction, vous pouvez :

  • Sélectionner les informations relatives aux événements à afficher. Les valeurs possibles sont : les données de demande, les données de réponse, les données de demande et de réponse.
  • Sélectionner le type de reconstruction : détails, texte, hex, paquets, Web, Courrier électronique ou IM.
  • Exporter des logs bruts.
  • Exporter un événement au format de fichier PCAP.
  • Extraire les fichiers disponibles dans l'événement.
  • Extraire toutes les métadonnées associées à l'événement.

Attention : Soyez vigilant(e) lorsque vous cliquez sur un lien vers un fichier au cours de la reconstruction. Si votre système dispose d'une application associée au fichier, ou que le navigateur est capable d'ouvrir les pièces jointes et qu'elles sont malveillantes, celles-ci peuvent nuire à votre système.

  • Afficher l'événement dans une fenêtre ou un onglet séparé (selon la configuration de votre navigateur).
  • En cas de prévisualisation de la reconstruction dans la vue active, faites défiler les événements (dans les deux sens) à l'aide des boutons de navigation situés dans le coin inférieur gauche.

Remarque : Les paramètres de reconstruction et les paramètres du cache de reconstruction permettent à un administrateur de gérer les performances de l'application dans le cadre d'une procédure d'enquête. Lorsque les analystes reconstruisent les sessions qu'ils inspectent, deux situations peuvent affecter les performances et les résultats.
- Certains événements peuvent être très importants et contenir plusieurs milliers de paquets source. Reconstruire ces types de sessions peut dégrader les performances de l'application.
- Dans certains cas, le cache de reconstruction peut présenter un contenu incorrect ; pour cette raison, NetWitness Suite nettoie le cache toutes les 24 heures. Entre les nettoyages de cache quotidiens, certaines actions peuvent entraîner l'utilisation du cache obsolète pour la reconstruction, et dans ce cas, les administrateurs ont la possibilité d'effacer manuellement le cache pour un ou plusieurs services qui sont connectés au Serveur NetWitness actif.

Reconstruire un événement à partir de la vue Naviguer

Vous pouvez reconstruire un événement directement à partir de la vue Naviguer avec un ID d'événement connu. Vous pouvez utiliser cette option sans exécuter de requête, comme vous le faites habituellement au début d'une procédure d'enquête. Un service et une période doivent être sélectionnés pour être en mesure d'accéder directement à un événement en utilisant simplement son eventid.

Pour afficher une analyse de reconstruction ou d'événement directement à partir de la vue Naviguer :

  1. Accédez à ENQUÊTER > Parcourir et sélectionnez Actions > Accéder à un événement dans Analyse d'événements ou Accéder à un événement dans Reconstruction d'événement.
    the Actions menu for Version 11.1
    La boîte de dialogue Accéder à l'événement s'ouvre. Deux boîtes de dialogue sont disponibles, l'une pour Analyse d'événements et l'autre pour Reconstruction d'événement. Toutes deux invitent à indiquer l'ID de l'événement.
    Go to event in Event Reconstruction dialog
  2. Dans le champ ID d'événement, saisissez l'ID et cliquez sur Atteindre.
    L'événement spécifié est reconstruit dans la vue Reconstruction d'événement ou la vue de Analyse d'événements.

Reconstruire un événement

  1. Ouvrez un point de recherche verticale dans la vue Événements.
  2. Pour afficher toutes les métadonnées, cliquez sur Show Additional Meta button.
  3. Pour ouvrir une reconstruction d'événement dans la vue actuelle, sélectionnez un événement à reconstruire, puis choisissez Actions > Afficher l'événement > Aperçu à la volée.
    La Reconstruction d'événement s'ouvre dans une fenêtre contextuelle au sein de la même vue. Par défaut, NetWitness Suite affiche la meilleure reconstruction pour l'événement déterminée par son contenu ou la reconstruction que vous avez sélectionnée dans le paramètre Visualisation des sessions par défaut pour la Procédure d'enquête. Vous pouvez utiliser les options de la barre d'outils Reconstruction d'événement pour modifier la méthode de reconstruction, afficher les résultats côte à côte, exporter un événement, ouvrir la pièce jointe d'un e-mail, extraire des fichiers et ouvrir l'événement dans un nouvel onglet. Les options de la barre d'outils varient en fonction du type d'événement en cours de reconstruction (événement de réseau, événement de log ou événement de point de terminaison). Cette figure est un exemple de reconstruction d'un événement de réseau.
    Event Reconstruction panel
  4. Pour avoir un aperçu d'une reconstruction de l'événement suivant, cliquez sur Right arrow ou pour l'événement précédent sur Left arrow.
  5. Pour ouvrir une reconstruction d'événement dans un nouvel onglet, effectuez ce qui suit :
    1. Dans la vue Événements, sélectionnez l'événement à reconstruire, puis choisissez Actions > Afficher l'événement> Ouvrir dans un nouvel onglet.
    2. Dans la barre d'outils Reconstruction d'événement de la reconstruction prévisualisée, cliquez sur Ouvrir l'événement dans un nouvel onglet.
      La Reconstruction d'événement s'ouvre dans un nouvel onglet.
      Event Reconstruction in a new tab

Afficher côte à côte ou du haut vers le bas

Pour sélectionner le mode d'affichage des demandes et des réponses relatives à un événement :

  1. Dans la barre d'outils Reconstruction d'événement, cliquez sur Du haut vers le bas ou Côte à côte.
  2. Dans le menu déroulant, sélectionnez les informations que vous souhaitez afficher dans l'événement : Côte à côte ou De haut en bas.
    La reconstruction est actualisée avec les informations sélectionnées.

Sélectionner les informations relatives aux événements à afficher.

Pour sélectionner les informations liées aux événements à afficher :

  1. Dans la barre d'outils Reconstruction d'événement, cliquez sur Requête et réponse.
  2. Dans le menu déroulant, sélectionnez les informations que vous souhaitez afficher dans l'événement : Requête et réponse, Requête ou Réponse.
    La reconstruction est actualisée avec les informations sélectionnées.

Sélectionner le type de reconstruction d'événement

Pour sélectionner le type de reconstruction pour un événement :

  1. Dans la barre d'outils Reconstruction d'événement, cliquez sur Meilleure reconstruction.
  2. Dans le menu contextuel, sélectionnez le type de reconstruction à afficher : méta, texte, hex, paquets, web, courrier électronique ou fichiers.
    La reconstruction est actualisée avec le type de reconstruction sélectionné.

Ouvrir ou télécharger une pièce jointe à un e-mail

Lors de l'affichage de la reconstruction d'un e-mail contenant des pièces jointes, vous pouvez ouvrir les types de fichiers pris en charge ou télécharger les fichiers sur le système local.

Attention : Soyez vigilant(e) lors de la sélection des pièces jointes. Si votre système dispose d'une application associée aux fichiers joints, ou si le navigateur est capable d'ouvrir les pièces jointes et qu'elles sont malveillantes, elles peuvent nuire à votre système.

Pour ouvrir ou télécharger les pièces jointes aux e-mails :

  1. Dans la barre d'outils de Reconstruction d'événement, sélectionnez la liste déroulante Vue, puis sélectionnez Afficher la messagerie.
    La vue Reconstruction d'événement s'affiche.
  2. Dans la section Reconstruction d'événement de l'e-mail, cliquez sur Pièce jointe.
    Si le type de fichier est pris en charge par le navigateur, la pièce jointe s'ouvrira dans un nouvel onglet.
    Si le type de fichier n'est pas pris en charge, la boîte de dialogue Télécharger s'affichera pour vous permettre de télécharger la pièce jointe.

Exporter un événement au format de fichier PCAP

L'option Exporter un PCAP permet de télécharger les sessions de la période en cours et un point de recherche verticale dans un fichier PCAP. Pour exporter un événement au format de fichier PCAP :

  1. Dans la barre d'outils Reconstruction d'événement, cliquez sur Actions.
  2. Cliquez sur Exporter un PCAP.
  3. Une boîte de dialogue de confirmation s'affiche.
  4. Cliquez sur OK.
    La tâche est planifiée et une fois l'opération terminée, le fichier PCAP est téléchargé sur le système de fichiers local. Sous Profil > onglet Tâches, vous pouvez télécharger le fichier PCAP.

Extraire des fichiers d'un événement reconstruit

L'option Extraire des fichiers permet d'extraire et de télécharger les fichiers associés à l'événement. Pour extraire les fichiers :

  1. Dans la barre d'outils Reconstruction d'événement, cliquez sur Actions.
  2. Cliquez sur Extraire des fichiers.
    La boîte de dialogue d'extraction de fichiers s'affiche.
  3. Sélectionnez les types de fichiers à extraire, puis cliquez sur OK.
  4. La tâche est planifiée et une fois l'opération terminée, les types de fichiers sélectionnés sont téléchargés sur le système de fichiers local. Sous Profil > onglet Tâches, vous pouvez télécharger les fichiers.
You are here
Table of Contents > Interrogation et action sur les données dans les vues Naviguer et Événements > Reconstruire un événement

Attachments

    Outcomes