Investigate : Panneau Recherche contextuelle

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 4Show Document
  • View in full screen mode
 

Une fois qu'un administrateur a configuré le service Context Hub, vous pouvez afficher les informations contextuelles des métavaleurs dans la vue Naviguer, la vue Événements et la vue Analyse d’événements (Version 11.2). Le service Context Hub est pré-configuré avec un adressage du type de méta et de la clé méta par défaut. Pour plus d'informations sur l’adressage de la métavaleur du service Context Hub avec une clé méta de procédure d'enquête, consultez la rubrique « Gérer l’adressage du type de métadonnées et de la clé méta » du Guide de configuration de Context Hub

Le panneau Recherche contextuelle s'affiche sur le côté droit de la vue Naviguer et vue Événements. Les métavaleurs qui ont été ajoutées à une liste Context Hub sont mises en surbrillance en gris dans les résultats de la vue Naviguer ou de la vue Événements. Dans la vue Analyse d'événement, ils sont marqués d’un trait de soulignement. Lorsque vous cliquez avec le bouton droit de la souris sur une valeur en surbrillance et sélectionnez Recherche contextuelle dans le menu contextuel qui en résulte, les résultats de recherche sont affichés dans le panneau Recherche contextuelle pour les sources configurées pour la métavaleur sélectionnée. Vous pouvez sélectionner une source dans la barre d'icônes du Panneau Recherche contextuelle pour afficher les informations contextuelles.

La présentation et le contenu du panneau Recherche contextuelle diffèrent selon que celui-ci est ouvert dans la vue Naviguer ou Événements ou dans la vue Analyse d'événements.

Workflow

the high-level Investigate workflow with Perform Internal Lookups highlighted

Que voulez-vous faire ?

                                                     
Rôle d'utilisateurJe souhaite...Me montrer comment
Responsable de la recherche des menaces

parcourir les métadonnées d'événement

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

parcourir les événements bruts

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

analyser les métadonnées et événements bruts

Commencer une procédure d'enquête dans la vue Analyse d'événements

Responsable de la recherche des menacesexaminer les points de terminaison (Version 11.1)Examiner les hôtes

Responsable de la recherche des menaces

rechercher des fichiers de point de terminaison suspects (Version 11.1)

Examiner les fichiers

Responsable de la recherche des menacesanalyser les fichiers et les événements des programmes malveillantsMener une analyse de malware

Responsable de la réponse aux incidents

triage d'un incident dans Investigate

Guide d'utilisation de NetWitness Respond

Responsable de la recherche des menacesrechercher le contexte supplémentaire d'une métavaleur*Rechercher un contexte supplémentaire dans les vues Naviguer et Événements et Rechercher un contexte supplémentaire dans la vue d'analyse d'événement

*Vous pouvez effectuer cette tâche dans la vue actuelle.

Rubriques connexes

Aperçu rapide (dans les vues Naviguer et Événements)

La figure suivante est un exemple du panneau Recherche contextuelle tel qu'il apparaît dans la vue Naviguer et Événements. Les contrôles et les fonctionnalités sont décrits dans le tableau.

Navigate view with the Context Lookup panel open

                               
FonctionnalitéDescription
Barre Options de la source Affiche les icônes des sources disponibles : Point de terminaison, Incidents, Alertes et Listes.
Nom de la source Affiche le nom de la source en fonction de l'icône sélectionnée :
  • Point de terminaison
  • Incidents
  • Alertes
  • Listes
  • Live Connect 
Trier 

Propose une liste déroulante d'options pour trier les informations de contexte répertoriées. Les options de tri possibles sont Gravité - Élevée à faible, Gravité - Faible à élevée, Date - La plus ancienne à la plus récente, et Date - La plus récente à la plus ancienne. Les options de tri varient par type de source.

Refresh icon Actualise les résultats de la recherche.
<n items> (Premiers résultats <n>)Le pied de page indique le nombre total de résultats et le nombre de résultats actuellement affichés. Par exemple, 5 alertes (50 premiers résultats).

Incidents

Les incidents s'affichent d'abord selon un critère de temps (du plus récent au plus ancien), puis sur un critère de priorité. Les informations suivantes s'affichent pour les recherches d'incidents :

  • Nom et ID de l'incident
  • Priorité des incidents
  • Valeur de risque
  • Date de création de l'incident
  • État de l'incident
  • Personne affectée à l'incident
  • Dernière mise à jour: indique lorsque les données contextuelles ont été extraites de la source de données pour la dernière fois et mises à jour dans le cache.
  • Période : Elle se base sur la valeur définie dans le champ « Durée de la requête (jours) » de la fenêtre Configurer Répondre. Pour plus d'informations, consultez la rubrique « Configurer Respond en tant que source de données » du Guide de configuration de Context Hub.
  • Trier : Ce champ déroulant permet de modifier l'ordre de tri en fonction de la période ou de la priorité.

Alertes

Les alertes s'affichent en fonction de la Gravité. Les informations suivantes s'affichent pour les recherches d'alertes :

  • Nom de l'alerte
  • Gravité de l'alerte
  • Date de création de l'alerte
  • ID d'incident : ID de l'incident associé à l'alerte (le cas échéant).
  • Sources : Nom de la source d'événement
  • Nombre d'événements associés à l'alerte.
  • Dernière mise à jour : indique lorsque les données contextuelles ont été extraites de la source de données pour la dernière fois et mises à jour dans le cache.
  • Période : Elle se base sur la valeur définie dans le champ « Durée de la requête (jours) » de la fenêtre Configurer Répondre. Pour plus d'informations, consultez la rubrique « Configurer Respond en tant que source de données » du Guide de configuration de Context Hub
  • Trier : Ce champ déroulant permet de modifier l'ordre de tri en fonction de la période et de la priorité.

Listes

Les informations suivantes s'affichent pour les recherches de listes :

  • Nom de la liste
  • Propriétaire ayant créé la liste
  • Date de création
  • Date de dernière mise à jour
  • Description de la liste

Endpoint

Les informations suivantes s'affichent pour les recherches de points de terminaison.

  • Nom et adresse IP de la machine.
    En cliquant sur le nom ou l'adresse IP de la machine, vous serez dirigé vers l'interface utilisateur du point de terminaison pour approfondir la procédure d'enquête.
  • Dernière mise à jour : indique lorsque les données contextuelles ont été extraites de la source de données pour la dernière fois et mises à jour dans le cache.
  • Note de l'ordinateur : le score IIOC de la machine est agrégé en fonction des scores des modules.
  • Nombre de modules : nombre de fichiers actifs pour la machine sélectionnée.
  • Dernière mise à jour: indique quand les résultats de l'analyse ont été mis à jour pour la dernière fois dans le point de terminaison.
  • Dernière connexion utilisateur
  • Adresse MAC de la machine
  • Version du système d'exploitation
  • Notes Admin (le cas échéant)
  • État Admin (le cas échéant)
  • Modules les plus suspects (modules dont le score IIOC est supérieur à 500). Cet élément se base sur la valeur définie dans le champ « Valeur IIOC minimale » de la fenêtre Configurer le point de terminaison. La valeur par défaut pour la « Valeur IIOC minimale » est de 500.
  • Niveaux IIOC de la machine

Aperçu rapide de la vue Analyse d'événements (version 11.2 et supérieure)

La figure suivante est un exemple du panneau Recherche contextuelle tel qu'il apparaît dans la vue d'Analyse d'événement.

the Context Lookup panel in the Event Analysis view

    

Les informations contextuelles ou les résultats de la requête affichés dans le panneau Recherche contextuelle dépendent de l'entité sélectionnée et des sources de données associées. Le panneau Recherche contextuelle comporte des onglets distincts pour chacune des sources de données. Les onglets sont: répertorier la source de données, Archer, Active Directory, point de terminaison, incidents, alertes et Live Connect. La figure suivante affiche le panneau Recherche contextuelle pour une entité sélectionnée dans la vue Détails sur l'incident avec l’onglet Incidents dans Vue.

Le tableau suivant décrit les données disponibles sur chaque onglet et les entités prises en charge.

                                                
OngletDescriptionEntités prises en charge


(Listes)

Affiche toutes les données de liste associées à l'entité ou aux métadonnées sélectionnées. Le résultat est trié selon la dernière liste mise à jour.

Toutes les entités


(Archer)
Affiche des informations relatives aux ressources, ainsi que la criticité, à l'aide de la source de données Archer.IP, hôte et Mac


(Active Directory)

Affiche toutes les informations utilisateur pour l'utilisateur sélectionné.

Utilisateur


(NetWitness Endpoint)



Affiche les informations de source de données NetWitness Endpoint pour l'entité ou les métadonnées sélectionnées, notamment les machines, les modules et les niveaux IIOC. Les modules sont triés de la valeur IOC la plus élevée à la valeur IIOC la plus faible et les niveaux IIOC sont triés du niveau IOC le plus élevé au niveau IOC le plus faible.IP, adresse MAC et hôte

(Incidents)
Affiche la liste des incidents associés à l'entité ou aux métadonnées sélectionnées. Le résultat est trié des incidents les plus récents aux incidents les plus anciens.

Toutes les entités


(Alertes)
Affiche la liste des alertes associées à l'entité ou aux métadonnées sélectionnées. Le résultat est trié des alertes les plus récentes aux alertes les plus anciennes.Toutes les entités

(Live Connect)
Affiche les informations relatives à Live Connect.

IP, domaine et hachage de fichier

Onglet Listes

Le panneau Recherche contextuelle des listes présente une ou plusieurs listes associées à l'entité sélectionnée ou la métadonnée sélectionnée. La figure suivante offre un exemple du panneau Recherche contextuelle pour les listes et le tableau décrit les champs.

                                           

ChampDescription
NomNom de la liste (défini lors de la création de la liste).
DescriptionDescription de la liste (définie lors de la création de la liste).
AuteurPropriétaire ayant créé la liste.
CrééDate de création de la liste.
Mise à jourDate de mise à jour ou de modification de la liste.
NombreNombre de listes dans lesquelles l'entité ou la métadonnée sélectionnée est disponible.
Période La fenêtre Période se base sur la valeur définie dans le champ « Requête dans les derniers » de la fenêtre Configurer les réponses. Par défaut, toutes les données de listes sont extraites.

Dernière mise à jour

Heure à laquelle le service Context Hub a extrait et stocké les données recherchées dans le cache.

Onglet Archer

Le panneau Recherche contextuelle d'Archer affiche des informations relatives aux ressources, ainsi que la criticité à l'aide de la source de données Archer pour les entités IP, Hôte et Mac. La figure suivante donne un exemple du panneau Recherche contextuelle pour Archer, et chaque champ est décrit dans le tableau.


                                                               
ChampDescription
Degré de criticitéDegré de criticité opérationnel du périphérique en fonction des applications que ce dernier prend en charge. La criticité peut avoir les valeurs Non évaluée, Faible, Relativement faible, Moyenne, Relativement élevée, ou Élevée.
Évaluation des risquesCe champ identifie le risque estimé pour le périphérique sur la base de la dernière évaluation, ainsi que le risque moyen pour les sites utilisant ce dernier. L'évaluation du risque peut être définie comme étant Grave, Élevée, Moyenne, Faible, ou Minimale.
Nom du périphérique Le nom unique du périphérique.
Nom d'hôteLe nom d’hôte du périphérique.
Adresse IP L’adresse IP interne principale du périphérique.
ID du périphériqueLa valeur indiquée automatiquement, qui identifie de manière unique l'enregistrement parmi toutes les applications du système.
Type Le type de périphérique, par exemple, serveur, ordinateur portable, bureau, etc.
SitesCe champ fournit des liens vers les enregistrements relatifs à ce périphérique dans l'application Sites.
Entité Fournit des liens vers les enregistrements associés à ce périphérique dans l'application Entité. Pour plus de trois valeurs d'unité d'entreprise, vous pouvez passer le curseur sur le champ pour afficher les valeurs.
Propriétaire du périphériqueLe propriétaire responsable du périphérique qui bénéficie des droits en lecture et mise à jour sur l'enregistrement.

Décompte 

Le nombre de ressources disponibles.

Période 

La fenêtre Période se base sur la valeur définie dans le champ « Requête dans les derniers » de la fenêtre Configurer les réponses. Par défaut, toutes les données Archer sont extraites.
Dernière mise à jour Heure à laquelle le service Context Hub a extrait et stocké les données recherchées dans le cache.

Remarque : Dans les versions localisées, seuls ces douze champs sont affichés : Degré de criticité, évaluation des risques, propriétaire du périphérique, unité commerciale, nom d'hôte, adresse MAC, installations, adresse IP, type, ID de périphérique, nom de périphérique et processus d'entreprise.

  

Onglet Active Directory

La figure suivante offre un exemple du panneau de recherche contextuelle d'Active Directory.

 

Le panneau Recherche contextuelle d'Active Directory affiche l'ensemble des informations, incidents et alertes connexes pour un utilisateur. Vous pouvez effectuer la recherche à l'aide des formats suivants :

  • userPrincipalName
  • Domain\UserName
  • sAMAccountName

Si l'utilisateur existe dans plusieurs domaines ou plusieurs forêts, toutes les informations de contexte associées sont affichées pour l'utilisateur spécifique.

Les informations suivantes s'affichent pour Active Directory.

                                                                               
ChampDescription

Nom d'affichage 

Nom de l'utilisateur.

ID de l'employé

ID d'employé de l'utilisateur.

Tél. 

Le numéro de téléphone mobile de l'utilisateur.

E-mail 

L’identifiant e-mail de l'utilisateur

ID utilisateur AD

L'identification unique de l'utilisateur spécifique au sein d'une organisation.

Poste

La désignation de l'utilisateur.

Gestionnaire

Nom du responsable de l’utilisateur.

Groupes

La liste des groupes dont l'utilisateur est membre.

Entreprise

Nom de l’entreprise de l’utilisateur.

Département

Le nom du département de l'organisation auquel appartient l'utilisateur.

Lieu 

L’emplacement physique de l'utilisateur.

Dernière connexion

L'heure à laquelle l'utilisateur s'est connecté au système, uniquement si le Catalogue global est défini.

Horodatage de la dernière connexionL'heure à laquelle l'utilisateur s'est connecté au système.
Nom unique Le nom unique attribué à l'utilisateur.
Décompte 

Nombre d’utilisateurs

Période 

La fenêtre Période se base sur la valeur définie dans le champ « Requête dans les derniers » de la fenêtre Configurer les paramètres des sources de données. Par défaut, toutes les données Active Directory sont extraites.

Dernière mise à jour

Heure à laquelle le service Context Hub a extrait et stocké les données recherchées dans le cache.

  

Onglet NetWitness Endpoint

La figure suivante offre un exemple du panneau Recherche contextuelle pour NetWitness Endpoint.

 

Les informations suivantes s'affichent pour IIOC.

                                           
ChampDescription
Nbre de modulesLe nombre de modules sur lesquels porte la recherche.
État adminL’état Admin (le cas échéant)
Dernière mise à jour L'heure de la dernière actualisation des données.
Dernière connexionL’heure à laquelle l’utilisateur s’est connecté pour la dernière fois.
Adresse MACL’adresse MAC de la machine.
Système d'exploitation La version du système d'exploitation utilisé par la machine NetWitness Endpoint.
État de l'ordinateurL’état du module actuellement visionné : En ligne, hors ligne, actif ou inactif.
Adresse IPL'adresse IP du module spécifique.

Les informations suivantes s'affichent pour les modules.

                               
ChampDescription
Score IIOCLe score IIOC de la machine est un score agrégé basé sur les scores des modules. Cet élément se base sur la valeur définie dans le champ « Valeur IIOC minimale » de la boîte de dialogue Paramètres de source de données pour Context Hub. La valeur par défaut pour la « Valeur IIOC minimale » est de 500. Consultez la rubrique « Configurer les paramètres de source de données pour Context Hub » du Guide de configuration de Context Hub.
Nom du moduleLe nom du module qui est consulté.
Score d'analyseLe nombre de fichiers actifs pour la machine sélectionnée.
Nombre de machines Le nombre de machines sur lesquelles cet IOC particulier a été déclenché.
Signature Indique si le fichier est signé ou non signé, valide ou non valide et fournit des informations relatives aux signataires. Par exemple, Google, Apple, etc.

Les informations suivantes s'affichent pour les machines.

                                   
ChampDescription

Niveaux IOC

Les niveaux IOC.

DescriptionLa description des niveaux IOC, le cas échéant.
Dernière exécution L'heure à laquelle la tâche a été exécutée.

Décompte 

Le nombre d'hôtes sur lesquels porte la recherche.

Période Elle se base sur la valeur définie dans le champ « Requête dans les derniers » de la fenêtre Configurer les paramètres des sources de données. Par défaut, toutes les données NetWitness Endpointsont extraites.
Dernière mise à jour Le moment de la dernière mise à jour des résultats de l'analyse dans la base de données NetWitness Endpoint.

Onglet Alertes

La figure suivante est un exemple du panneau contextuel pour Alerts qui s'affiche en fonction de l'heure (du plus récent au plus ancien), puis de l'état de gravité.

 

Le panneau Recherche contextuelle des alertes affiche les informations suivantes.

                                               
ChampDescription
Créé La date et l’heure de création de l'alerte.
Gravité La valeur de gravité des alertes.
Nom Nom de l’alerte. Vous pouvez cliquer sur le nom pour afficher les détails d'une alerte spécifique.
Source Le nom de la source de l'alerte à partir du déclenchement de l'alerte.
ÉvénementsLe nombre d'événements associés à l'alerte.
ID d'incident L’ID de l'incident associé à l'alerte (le cas échéant). Vous pouvez cliquer sur l'ID pour afficher les détails d'une alerte spécifique.

Décompte 

Le nombre d'alertes Par défaut, seules les 100 premières alertes sont affichées. Pour plus d'informations sur la façon de configurer les paramètres, consultez la rubrique « Configurer les paramètres de source de données pour Context Hub » du Guide de configuration de Context Hub.

Période 

Elle se base sur la valeur définie dans le champ « Requête dans les derniers » de la fenêtre Configurer les paramètres des sources de données. Par défaut, les données d'alerte pour les 7 derniers jours sont extraites.

Dernière mise à jour Indique lorsque les données contextuelles ont été extraites de la source de données pour la dernière fois.

Onglet Incidents

La figure suivante est un exemple du panneau contextuel des incidents qui s'affiche en fonction de l'heure (du plus récent au plus ancien), puis de l'état de priorité.

 

Le panneau Recherche contextuelle des incidents affiche les informations suivantes.

                                                       
ChampDescription
Créé La date de création de l'incident
PrioritéL’état de priorité des incidents
Valeur de risqueLa valeur de risque des incidents
IDL’ID de l'incident. Vous pouvez cliquer sur cet ID pour afficher les détails de l'incident.
NomNom de l'incident.
État L’état de l’incident.
Personne affectéeLe propriétaire actuel de l'incident
AlertesLe nombre d'alertes associées à l'incident

Décompte 

Le nombre d'incidents Par défaut, seuls les 100 premiers incidents sont affichés. Pour plus d'informations sur la façon de configurer les paramètres, consultez la rubrique « Configurer les paramètres de source de données pour Context Hub » du Guide de configuration de Context Hub.

Période 

Elle se base sur la valeur définie dans le champ « Requête dans les derniers » de la fenêtre Configurer les paramètres des sources de données. Par défaut, les données d'alerte pour les 7 derniers jours sont extraites.

Dernière mise à jour Indique lorsque les données contextuelles ont été extraites de la source de données pour la dernière fois.

Onglet Live Connect

La figure suivante est un exemple de panneau Contexte pour Live Connect, et le tableau décrit les informations affichées.

                                                       

ChampDescription
État de révision

L'état de révision de l'entité Live Connect sélectionnée (IP, fichier ou domaine) en fonction de l'activité des analystes. Cela permet d'avoir une visibilité sur l'activité des analystes au sein d'une organisation.

État
Voici les types d’état :

  • Nouveau : Les résultats d'une recherche pour une adresse IP sont affichés pour la première fois au sein de l'organisation.
  • Affiché : Un analyste de l'organisation a déjà affiché les résultats d'une recherche pour une adresse IP.
  • Marqué comme étant Sûr : Un analyste de l'organisation a déjà affiché les résultats d'une recherche et marqué l'adresse IP comme étant sûre.
  • Marqué comme étant Risqué : Un analyste de l'organisation a déjà affiché les résultats d'une recherche et marqué l'adresse IP comme étant risquée.
Évaluation des risques

L'évaluation des risques concernant l'entité Live Connect sélectionnée (IP, fichier ou domaine) en fonction des commentaires des analystes et de l'analyse Live Connect. Les catégories d'évaluation des risques sont les suivantes :

  • Sûr : L'entité Live Connect est considérée comme sûre.
  • Inconnu : Live Connect ne dispose pas de suffisamment d'informations relatives à cette entité pour calculer le risque.
  • Risque élevé : Évaluation basée sur l'analyse et les raisons du risque fournies par la communauté. Les entités marquées comme étant à « Risque élevé » requièrent votre attention immédiate.
  • Suspect : Évaluation basée sur l'analyse et les raisons du risque fournies par la communauté. L'analyse indique une activité potentiellement menaçante qui nécessite une action.
  • Dangereux : Évaluation basée sur l'analyse et les raisons du risque fournies par la communauté.
L'entité est classée comme étant à risque élevé, suspecte ou dangereuse et affiche les motifs de risque associés en conséquence.
Commentaires sur l'évaluation des risques

 

Commentaires sur l'évaluation des risques permettant à l'analyste d'envoyer des commentaires de renseignements sur les menaces concernant une entité au serveur Live Connect.

  • Niveau de compétence de l'analyste
    Vous trouverez ci-dessous des options relatives au niveau de compétence de l'analyste :
    • Niveau 1 - Les analystes de ce niveau définissent les procédures de correction et décident si un incident doit être transféré à d'autres zones d'un SOC (Centre des opérations de sécurité). Il s’agit de la valeur par défaut.
    • Niveau 2 - Les analystes examinent les incidents et capturent les renseignements à partir d'une procédure d'enquête pour générer des commentaires dans différents flux de travail d'un SOC.
    • Niveau 3 - Les analystes partagent les résultats d'une procédure d'enquête avec l'organisation du SOC. En général, ils gèrent les incidents et disposent d'un large éventail de compétences et d'outils nécessaires pour répondre aux incidents.

    Remarque : Lors de la création d'un nouvel utilisateur pour NetWitness Platform (analyste), un administrateur doit être en mesure d'identifier l'utilisateur comme étant de niveau 1, de niveau 2 ou de niveau 3.

  • Confirmation du risque - Confirmation du risque pour l'entité Live Connect sélectionnée (IP, fichier ou domaine). Les catégories de confirmation du risque sont les suivantes :
    • Sûr : L'entité Live Connect est considérée comme sûre.

    • Inconnu : L'analyste n'a pas suffisamment d'informations pour fournir une confirmation de risque

    • Risque élevé : Évaluation basée sur l'analyse et les raisons du risque fournies par la communauté. Les entités marquées comme étant à « Risque élevé » requièrent votre attention immédiate.
    • Suspect : Évaluation basée sur l'analyse et les raisons du risque fournies par la communauté. L'analyse indique une activité potentiellement menaçante qui nécessite une action.
    • Dangereux : Évaluation basée sur l'analyse et les raisons du risque fournies par la communauté.
  • Niveau de confiance - Le niveau de confiance d'un analyste fournissant des commentaires sur l'entité Live Connect. Les catégories de niveau de confiance sont les suivantes : Élevé, Moyen ou Faible
  • Balises d'indication des risques - Permet de sélectionner une catégorie de balise en fonction de l'analyse.
Activité de la communauté

Activités de la communauté, telles que :

  • Date du premier affichage dans la communauté.
  • Heure du premier affichage de l'adresse IP/du fichier/du domaine (heure actuelle - heure du premier affichage).

Tendance de l'activité de la communauté :

Si l'adresse IP est connue au sein de la communauté RSA, une représentation graphique de la tendance de l'activité de la communauté s'affiche pour les éléments suivants :

  • Utilisateurs (en %) ayant déjà consulté l'adresse IP dans la communauté Live Connect.
  • Utilisateurs (en %) ayant envoyé des commentaires pour l'adresse IP.
  • Utilisateurs (en %) ayant marqué l'adresse IP comme dangereuse.

Indicateurs de risque

 

Les indicateurs de risque sont mis en surbrillance en fonction des balises qui sont affectées par la communauté aux entités (adresses IP, fichiers ou domaines).

Les balises sont classées comme suit : Reconnaissance, Livraison, Commande et Contrôle, Mouvement latéral, Utilisation de niveaux de privilège excessifs, et Emballage et exfiltration.

Ces balises sont des exemples et varient selon les entrées reçues de la communauté sur le serveur Live Connect. L'analyste peut choisir les balises d'indication des risques appropriées tout en fournissant les commentaires de révision. Les balises mises en surbrillance indiquent que l'entité sélectionnée est associée à cette catégorie et à cette balise en particulier. Le fait de cliquer sur les balises mises en surbrillance affiche la description de la balise.

Identité

Fournit les informations d'identité suivantes pour l'entité ou la métadonnée sélectionnée :

Pour l'adresse IP : Numéro de système autonome (ASN), préfixe, code du pays et nom du pays, inscrit (Organisation) et date.

Pour le hachage de fichier : Nom de fichier, taille du fichier, MD5, SH1, SH256, temps de compilation et type MIME.

Pour le domaine : Nom de domaine et adresse IP associée.

Informations sur le certificat

Fournit les informations suivantes sur le certificat pour le hachage de fichier sélectionné : Émetteur de certificat, validité du certificat, algorithme de signature et numéro de série du certificat.

Informations WHO IS

 

Les informations WHO IS fournissent les détails de la propriété d'un domaine donné.

Les informations suivantes concernant le propriétaire du domaine s'affichent : Date de création, date de mise à jour, date d'expiration, type (type d'enregistrement), nom, organisation, adresse avec code postal, pays, téléphone, télécopie et courriel.

Fichiers associés

Les fichiers associés sont affichés pour les types d'entités IP et domaine. Une liste de fichiers associés connus est affichée, avec les informations suivantes : Évaluation du risque Live Connect (sûr, risqué ou inconnu), nom de fichier, MD5, heure et date de compilation, fonction API, hachage d'importation et type MIME.

Domaines connexes

Les domaines connexes sont affichés pour les types d'entités IP et domaine. Une liste de domaines connexes connus est affichée, avec les informations suivantes : Évaluation du risque Live Connect (sûr, risqué ou inconnu), nom de domaine, nom du pays, date d'enregistrement, date d'expiration et adresse E-mail de l’inscrit.

Adresses IP connexes

 

Les adresses IP associées sont affichées pour les types d'entités Domaine et Fichiers. Une liste d'adresses IP associées connues est affichée, avec les informations suivantes : Évaluation du risque Live Connect (sûr, risqué ou inconnu), adresse IP, nom de domaine, code et nom du pays, nom du pays, date d'enregistrement, date d'expiration et adresse E-mail de l’inscrit.

    

 

You are here
Table of Contents > Matériaux de référence Enquêter > Panneau Recherche contextuelle

Attachments

    Outcomes