Investigate : Vue Analyse d'événements - Panneau Analyse de paquets

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 3Show Document
  • View in full screen mode
 

Dans le panneau Analyse de paquets (Analyse d'événements > Analyse de paquets), vous pouvez afficher et analyser de manière interactive et en toute sécurité les paquets et la charge utile d'un événement.

Workflow

the Investigate Workflow with Analyze Raw Events and Metadata highlighted

Que voulez-vous faire ?

                                                                              
Rôle d'utilisateurJe souhaite...Documentation relative à la version 11.1
Responsable de la recherche des menaces

parcourir les métadonnées d'événement

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

parcourir les événements bruts

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces analyser les métadonnées et événements bruts

Commencer une procédure d'enquête dans la vue Analyse d'événements

Responsable de la recherche des menaces

interroger des événements dans la vue Analyse d'événements (Version 11.1)

Filtrer les résultats dans la vue Analyse d'événements

Responsable de la recherche des menacesexporter les événements et fichiers dans la vue Analyse d'événements*Télécharger des données dans la vue Analyse d'événements

Responsable de la recherche des menaces

reconstruire des événements dans la vue Analyse d'événements*

Examiner les événements dans la vue Analyse d'événements

Responsable de la recherche des menaceseffectuer des recherches externes à partir de la vue Analyse d'événements (Version 11.1)* Agir sur les données dans la vue Analyse d'événements
Responsable de la recherche des menaces interroger des événements dans la vue Naviguer Procédure d'enquête relative aux métadonnées dans la vue Naviguer

Responsable de la recherche des menaces

interroger des événements dans la vue Événements

Examiner les événements bruts dans la vue Événements

Responsable de la recherche des menacesexaminer les points de terminaison (Version 11.1)Examiner les hôtes

Responsable de la recherche des menaces

rechercher des fichiers de point de terminaison suspects (Version 11.1)

Examiner les fichiers

Responsable de la recherche des menacesanalyser les fichiers et les événements des programmes malveillantsMener une analyse de malware

Responsable de la réponse aux incidents

triage d'un incident dans Investigate

Guide d'utilisation de NetWitness Respond

*Vous pouvez effectuer cette tâche dans la vue actuelle.

Rubriques connexes

Aperçu rapide

Seuls les événements réseau peuvent être analysés dans le panneau Analyse de paquets. Le panneau Analyse de paquets répertorie chaque paquet de l'événement. La liste des paquets est déroulante. Lorsque vous faites défiler la liste, les informations relatives au paquet ou au texte ainsi que les libellés de requête et de réponse restent visibles, au lieu de quitter l'affichage.

Dans la version 11.1 ou supérieure, vous pouvez utiliser les commandes de pagination pour parcourir les pages, revenir à une page spécifique et sélectionner le nombre de paquets à afficher par page (100, 300 ou 500).

Chaque paquet s'affiche avec l'ombrage et la mise en surbrillance pour aider à identifier les modèles de fichiers communs : octets d'en-tête et de la charge utile significatifs, octets au format hexadécimal et ascii et des signatures de fichiers courants. En outre, vous pouvez ajuster l'affichage de la demande/réponse et afficher ou masquer le récapitulatif du paquet.

Voici un exemple du Panneau Analyse de paquets avec des étiquettes pour identifier les fonctionnalités. Pour plus d'informations et des exemples de chacune de ces fonctionnalités, reportez-vous à la section Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements.

the Packet Analysis panel with labeled features

                                 
1Options permettant d'exporter un événement réseau. Vous pouvez exporter un PCAP, toutes les charges utiles, charges utiles de demande ou charges utiles de réponse pour une analyse plus approfondie et partager avec d'autres utilisateurs.
2L'option permettant d'identifier les signatures de fichiers courants est activée par défaut. Les signatures des fichiers courants sont mises en surbrillance en orange ; placer le curseur sur la mise en surbrillance révèle le type de fichier.
3L'option Octets d'ombrage ajoute un ombrage pour identifier les différents octets hexadécimaux (00 à FF) à l'aide des degrés de mise en surbrillance.
4L'option permettant d'afficher les charges utiles masque uniquement les en-têtes des paquets, ce qui laisse plus d'espace pour la charge utile.
5L'en-tête d'événement.
6Les octets significatifs sont surlignés sur un arrière-plan bleu ; lorsque vous déplacez le curseur sur la mise en surbrillance, les métadonnées s'affichent dans une zone de survol.
7

(Version 11.1 ou supérieure) Les commandes de pagination des paquets permettent une plus grande flexibilité pour parcourir la liste de paquets. Lorsqu'une commande n'est pas disponible, l'image est grisée. Par exemple, lorsque vous affichez la page 1, les commandes the pagination button to go to page 1 et the pagination button to go to the previous page sont grisées.

the pagination button to go to page 1 - Aller à la première page

the pagination button to go to the previous page - Aller à la page précédente

the field to select a specific page number - Aller à une page spécifique

the pagination button to go to the next page - Aller à la page suivante

the pagination button to go to the last page - Aller à la dernière page

the number of packets per page selector - Sélectionner le nombre de paquets par page

You are here
Table of Contents > Matériaux de référence Enquêter > Vue Analyse d'événements - Panneau Analyse de paquets

Attachments

    Outcomes