Investigate : Panneau Recherche contextuelle

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 3Show Document
  • View in full screen mode
 

Une fois qu'un administrateur a configuré le service Context Hub, vous pouvez afficher les informations contextuelles des métavaleurs dans la vue Naviguer et la vue Événements d'Investigate. Le service Context Hub est pré-configuré avec un mappage du type de méta et de la clé méta par défaut. Pour plus d'informations sur le mappage de la métavaleur du service Context Hub avec une clé méta de procédure d'enquête, consultez la rubrique « Gérer le mappage du type de métadonnées » et de la clé méta du Guide de configuration de Context Hub.

Le panneau Recherche contextuelle s'affiche sur le côté droit de la vue Naviguer et vue Événements. Les métavaleurs qui ont été ajoutées à une liste Context Hub sont mises en surbrillance en gris dans les résultats de la vue Naviguer ou de la vue Événements. Lorsque vous cliquez avec le bouton droit de la souris sur une valeur en surbrillance et sélectionnez Recherche contextuelle dans le menu contextuel qui en résulte, les résultats de recherche sont affichés dans le panneau Recherche contextuelle pour les sources configurées pour la métavaleur sélectionnée. Vous pouvez sélectionner une source dans la barre d'icônes du Panneau Recherche contextuelle pour afficher les informations contextuelles.

Workflow

the high-level Investigate workflow with Perform Internal Lookups highlighted

Que voulez-vous faire ?

 

                                                     
Rôle d'utilisateurJe souhaite...Documentation relative à la version 11.1
Responsable de la recherche des menaces

parcourir les métadonnées d'événement

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

parcourir les événements bruts

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

analyser les métadonnées et événements bruts

Commencer une procédure d'enquête dans la vue Analyse d'événements

Responsable de la recherche des menacesexaminer les points de terminaison (Version 11.1)Examiner les hôtes

Responsable de la recherche des menaces

rechercher des fichiers de point de terminaison suspects (Version 11.1)

Examiner les fichiers

Responsable de la recherche des menacesanalyser les fichiers et les événements des programmes malveillantsMener une analyse de malware

Responsable de la réponse aux incidents

triage d'un incident dans Investigate

Guide d'utilisation de NetWitness Respond

Responsable de la recherche des menacesrechercher le contexte supplémentaire d'une métavaleur*Afficher un contexte supplémentaire pour un point de données

*Vous pouvez effectuer cette tâche dans la vue actuelle.

Rubriques connexes

Aperçu rapide

La figure suivante donne un exemple du panneau Recherche contextuelle, et les commandes et les fonctionnalités sont décrites dans le tableau.

Navigate view with the Context Lookup panel open

                               
FonctionnalitéDescription
Barre Options de la source Affiche les icônes des sources disponibles : Point de terminaison, Incidents, Alertes et Listes.
Nom de la source Affiche le nom de la source en fonction de l'icône sélectionnée :
  • Point de terminaison
  • INCIDENTS
  • ALERTES
  • LISTES
TrierPropose une liste déroulante d'options pour trier les informations de contexte répertoriées. Les options de tri possibles sont Gravité - Élevée à faible, Gravité - Faible à élevée, Date - La plus ancienne à la plus récente, et Date - La plus récente à la plus ancienne. Les options de tri varient par type de source.
Refresh icon Actualise les résultats de la recherche.
n éléments (n premiers résultats)Le pied de page indique le nombre total de résultats et le nombre de résultats actuellement affichés. Par exemple, 50 alertes (50 premières alertes).

Résultats de la recherche

Le panneau Recherche contextuelle affiche les informations suivantes lors de la récupération des données contextuelles à partir des sources configurées.

Incidents

Les incidents s'affichent d'abord selon un critère de temps (du plus récent au plus ancien), puis sur un critère de priorité. Les informations suivantes s'affichent pour les recherches d'incidents :

  • Nom et ID de l'incident
  • Priorité des incidents
  • Valeur de risque
  • Date de création de l'incident
  • État de l'incident
  • Personne affectée à l'incident
  • Dernière mise à jour: indique lorsque les données contextuelles ont été extraites de la source de données pour la dernière fois et mises à jour dans le cache.
  • Période : Elle se base sur la valeur définie dans le champ « Durée de la requête (jours) » de la fenêtre Configurer Répondre. Pour plus d'informations, consultez la rubrique « Configurer Respond en tant que source de données » du Guide de configuration de Context Hub.
  • Trier : Ce champ déroulant permet de modifier l'ordre de tri en fonction de la période ou de la priorité.

Alertes

Les alertes s'affichent en fonction de la Gravité. Les informations suivantes s'affichent pour les recherches d'alertes :

  • Nom de l'alerte
  • Gravité de l'alerte
  • Date de création de l'alerte
  • ID d'incident : ID de l'incident associé à l'alerte (le cas échéant).
  • Sources : Nom de la source d'événement
  • Nombre d'événements associés à l'alerte.
  • Dernière mise à jour : indique lorsque les données contextuelles ont été extraites de la source de données pour la dernière fois et mises à jour dans le cache.
  • Période : Elle se base sur la valeur définie dans le champ « Durée de la requête (jours) » de la fenêtre Configurer Répondre. Pour plus d'informations, consultez la rubrique « Configurer Respond en tant que source de données » du Guide de configuration de Context Hub
  • Trier : Ce champ déroulant permet de modifier l'ordre de tri en fonction de la période et de la priorité.

Listes

Les informations suivantes s'affichent pour les recherches de listes :

  • Nom de la liste
  • Propriétaire ayant créé la liste
  • Date de création
  • Date de dernière mise à jour
  • Description de la liste

Endpoint

Les informations suivantes s'affichent pour les recherches de points de terminaison.

  • Nom et adresse IP de la machine.
    En cliquant sur le nom ou l'adresse IP de la machine, vous serez dirigé vers l'interface utilisateur du point de terminaison pour approfondir la procédure d'enquête.
  • Dernière mise à jour : indique lorsque les données contextuelles ont été extraites de la source de données pour la dernière fois et mises à jour dans le cache.
  • Note de l'ordinateur : le score IIOC de la machine est agrégé en fonction des scores des modules.
  • Nombre de modules : nombre de fichiers actifs pour la machine sélectionnée.
  • Dernière mise à jour: indique quand les résultats de l'analyse ont été mis à jour pour la dernière fois dans le point de terminaison.
  • Dernière connexion utilisateur
  • Adresse MAC de la machine
  • Version du système d'exploitation
  • Notes Admin (le cas échéant)
  • État Admin (le cas échéant)
  • Modules les plus suspects (modules dont le score IIOC est supérieur à 500). Cet élément se base sur la valeur définie dans le champ « Valeur IIOC minimale » de la fenêtre Configurer le point de terminaison. La valeur par défaut pour la « Valeur IIOC minimale » est de 500.
  • Niveaux IIOC de la machine
You are here
Table of Contents > Matériaux de référence Enquêter > Panneau Recherche contextuelle

Attachments

    Outcomes