Enquêter : Boîte de dialogue Ajouter à la liste/Supprimer de la liste

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 4Show Document
  • View in full screen mode
 

La boîte de dialogue Ajouter à la liste/Supprimer de la liste permet d'ajouter une valeur d'entité ou une métadonnée à une liste existante Context Hub, ou de l'en supprimer, ou encore de créer une nouvelle liste. Lorsque vous recherchez une adresse IP ou une autre entité et que vous la trouvez suspecte ou intéressante, vous pouvez l'ajouter à une liste qui a été ajoutée à une source de données. Par exemple, les listes blanches ou les listes noires sont des exemples de listes fréquemment utilisées. Cela améliore la visibilité des adresses IP suspectes et réduit les faux positifs qui n'ont pas besoin d'une investigation plus approfondie.

Vous pouvez ajouter des entités ou des valeurs méta à plusieurs listes. Par exemple, vous pouvez les ajouter à une liste de domaines suspects liés à des connexions de commande et de contrôle, et à une autre liste concernant les adresses IP liées aux connexions de chevaux de Troie autorisant un accès à distance. Si aucune liste n'est disponible, vous pouvez en créer une.

La boîte de dialogue est disponible dans NetWitness Investigate et dans NetWitness Respond. Lorsque vous travaillez dans Investigate, dans la vue Naviguer, Événements ou Analyse d'événements (version 11.2), vous pouvez ajouter des valeurs méta pour les clés méta Source IP, Destination IP ou Username à une liste Context Hub existante ou vous pouvez créer une nouvelle liste contenant les valeurs méta. Lorsque vous ajoutez des métavaleurs à une liste, vous pouvez rechercher un contexte supplémentaire sur ces métavaleurs.

  • Pour afficher la boîte de dialogue dans la vue Naviguer ou Événements, cliquez avec le bouton droit de la souris sur une métavaleur sous Source IP, Destination IP ou Username), puis sélectionnez Ajouter à la liste/Supprimer de la liste dans le menu contextuel.
  • Pour afficher la boîte de dialogue dans la vue Analyse d'événement, pointez sur une valeur et sélectionnez Ajouter à la liste/Supprimer de la liste dans la section Actions de l'info-bulle contextuelle.

Workflow

Le diagramme de workflow suivant montre une vue générale du workflow dans la vue Enquêter avec l'emplacement de la tâche Ajouter à la liste mis en surbrillance.

high-level Investigate workflow with the location of the Add to List tas highlighted

Que voulez-vous faire ?

                                                     
Rôle d'utilisateurJe souhaite...Me montrer comment
Responsable de la recherche des menaces

parcourir les métadonnées d'événement

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

parcourir les événements bruts

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

analyser les métadonnées et événements bruts

Commencer une procédure d'enquête dans la vue Analyse d'événements

Responsable de la recherche des menacesexaminer les points de terminaison (Version 11.1)Examiner les hôtes

Responsable de la recherche des menaces

rechercher des fichiers de point de terminaison suspects (Version 11.1)

Examiner les fichiers

Responsable de la recherche des menacesanalyser les fichiers et les événements des programmes malveillantsMener une analyse de malware

Responsable de la réponse aux incidents

triage d'un incident dans Investigate

Guide d'utilisation de NetWitness Respond

Responsable de la recherche des menacescréer ou ajouter des métavaleurs à une liste Context Hub*

Gérer Listes Context Hub et Valeurs de la liste dans les vues Naviguer et Événements ou Rechercher un contexte supplémentaire dans la vue d'analyse d'événement

Rubriques connexes

Recherche rapide dans les vues Naviguer et Événements

La figure suivante donne un exemple de l’option Ajouter à la liste/Supprimer de la liste de la boîte de dialogue de la liste lorsqu'elle est ouverte initialement.
This is the Add/Remove from List dialog.

La figure suivante affiche la boîte de dialogue lorsque vous sélectionnez la boîte de dialogue Créer une nouvelle liste.

This is how the dialog appears after clicking "Create new list"

Le tableau suivant décrit les fonctionnalités des boîtes de dialogue Ajouter à la liste/Supprimer de la liste et Créer une nouvelle liste.

                                                
FonctionnalitéDescription
Valeur métaValeur méta à ajouter à la liste existante ou à la nouvelle liste.
RépertorierListe à laquelle la métavaleur sélectionnée doit être ajoutée. Un menu déroulant contient les listes disponibles auxquelles vous pouvez ajouter la métavaleur.
Créer une nouvelle listeOuvre une nouvelle boîte de dialogue dans laquelle vous pouvez créer une nouvelle liste pour la métavaleur sélectionnée.
Nom de la listeNom de la nouvelle liste.
DescriptionDescription de la nouvelle liste.
CréerCrée une nouvelle liste après avoir renseigné les champs obligatoires.
Précédent En mode de création d'une nouvelle liste, annule l'opération de création et revient à la boîte de dialogue d'origine.
AnnulerAnnule l'ajout de la métavaleur à une liste et ferme la boîte de dialogue.
EnregistrerEnregistre toutes les modifications apportées aux listes et ferme la boîte de dialogue.

Aperçu rapide de la vue Analyse d'événements (version 11.2 et supérieure)

Voici un exemple de la boîte de dialogue Ajouter à la liste/Supprimer de la liste de la vue Analyse d’événements.

Quick Look - Add/Remove From List Dialog

                             

 

1Entités ou métadonnées à ajouter ou supprimer.
2Créer une nouvelle liste à l'aide des métadonnées sélectionnées.
3Sélectionnez l'un des onglets : Tous, Sélectionné ou Désélectionné.
4Effectuer une recherche à l'aide du nom de la liste ou de sa description.
5Annuler l'action.
6Enregistrer pour mettre à jour les listes ou créer une nouvelle liste.

Le tableau suivant présente les options de la boîte de dialogue Ajouter à la liste/Supprimer de la liste.

                                                   
OptionDescription
VALEUR MÉTAAffiche l'entité ou la métadonnée sélectionnée qui doit être ajoutée ou supprimée à partir d'une ou plusieurs listes. Vous pouvez également créer une nouvelle liste à l'aide de la valeur sélectionnée.
Créer une nouvelle listeUne boîte de dialogue vous permet de créer une nouvelle liste à l'aide de la métadonnée sélectionnée.
ALLAffiche toutes les listes de Context Hub disponibles. Les listes qui contiennent l'entité ou la métadonnée sélectionnée sont sélectionnées. Cochez une case pour ajouter une entité ou une métadonnée à une liste. Désactivez une case à cocher pour la supprimer de la liste.
SÉLECTIONNÉAffiche les listes qui contiennent l'entité ou la métadonnée sélectionnée. (Toutes les listes sont sélectionnées.)

DÉSÉLECTIONNÉ

Affiche uniquement les listes qui contiennent l'entité ou la métadonnée sélectionnée. (Toutes les listes sont désélectionnées.)
Filtrer les résultatsSaisissez le nom ou la description d'une liste spécifique pour effectuer la recherche dans plusieurs listes.

LISTE

Affiche le nom de toutes les listes.

DescriptionAffiche des informations relatives à la liste sélectionnée. La description que vous fournissez lors de la création d'une liste s'affiche dans cette boîte de dialogue. Par exemple : Cette liste contient toutes les adresses IP répertoriées dans la liste noire.

Annuler

Annule l'opération.

EnregistrerEnregistre les modifications.
You are here
Table of Contents > Matériaux de référence Enquêter > Boîte de dialogue Ajouter à la liste/Supprimer de la liste

Attachments

    Outcomes