Enquêter : Lancer la recherche externe d'une clé méta

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 3Show Document
  • View in full screen mode
 

Cette rubrique fournit des instructions pour l'utilisation de plug-ins Procédure d'enquête prêts à l'emploi pour lancer une recherche externe de clés méta spécifiques à l'aide d'outils externes à NetWitness Suite lors de la procédure d'enquête sur des données dans la vue Naviguer ou Événements.

Les analystes peuvent utiliser des recherches externes NetWitness Suite Investigation prêtes à l'emploi pour gagner du temps pendant les procédures d'enquête. Pour accéder aux recherches prêtes à l'emploi, l'utilisateur doit cliquer avec le bouton droit de la souris sur l'une de ces métaclés :  Adresse IP (ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip)host (alias-host, domain.dst)client, et file-hash.

Pour toutes les clés méta IP et host, les recherches suivantes sont intégrées à NetWitness Suite :

  • Google Malware : Ouvre une recherche Google Malware dans un nouvel onglet.
  • McAfee SiteAdvisor : Ouvre une recherche McAfee SiteAdvisor dans un nouvel onglet.
  • Collecte DNS passive BFK :  Ouvre une recherche de collection DNS passive BFK dans un nouvel onglet
  • CentralOps Whois pour adresses IP et noms d'hôte : Ouvre une recherche CentralOps Whois pour adresses IP et noms d'hôte
  • Recherche Malwaredomainlist.com : Ouvre une recherche Malwaredomainlist.com dans un nouvel onglet
  • Recherche Malwaredomains.com : Ouvre une recherche Malwaredomains.com dans un nouvel onglet
  • Recherche d'adresses IP Robtex : Ouvre une recherche RobtexIP dans un nouvel onglet
  • Recherche SamSpade : Ouvre une recherche SamSpade dans un nouvel onglet
  • Recherche ThreatExpert : Ouvre une recherche ThreatExpert dans un nouvel onglet
  • Recherche UrlVoid : Ouvre une recherche UrlVoid dans un nouvel onglet

Pour les métaclés file-hash et alias-host, la recherche Google ouvre une recherche Google dans un nouvel onglet.

Pour la métaclé client, l'option ECAT Lookup ouvre un client ECAT dans un nouvel onglet si le client ECAT est installé sur le même système que celui sur lequel le navigateur est utilisé.

Les administrateurs peuvent ajouter des recherches externes supplémentaires et d'autres actions personnalisées, comme décrit dans « Ajouter des actions de menu contextuel personnalisées » dans le Guide de configuration système.

Lancer une recherche des IOC ECAT

Pour lancer une recherche de données ECAT à partir de la vue Naviguer :

  1. Cliquez avec le bouton droit de la souris sur une valeur méta pour l'une des clés méta suivantes : ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip, alias-host, domain.dst, client.
  2. Sélectionnez Recherche externe dans le menu contextuel.
    Un sous-menu des options de recherche externes s'affiche.
    External Lookup submenu
  3. Sélectionnez Recherche des IOC ECAT.
    Une boîte de dialogue vous demande de choisir une application.
  4. Sélectionnez ECAT, puis cliquez sur OK.
    La boîte de dialogue Configuration RSA ECAT apparaît.
    RSA ECAT Configuration dialog
  5. Saisissez le nom d'utilisateur et le mot de passe requis pour vous connecter au client ECAT, puis cliquez sur Se connecter.
    Le point de recherche verticale s'ouvre dans RSA ECAT.
    a drill point from Investigate opened in RSA ECAT

Lancer d'autres recherches externes

Pour lancer une recherche externe (autre qu'ECAT IOC) de données à partir de la vue Naviguer : 

  1. Cliquez avec le bouton droit de la souris sur une valeur méta pour l'une des clés méta suivantes : ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip, alias-host, domain.dst, client.
  2. Sélectionnez Recherche externe dans le menu contextuel.
    Un sous-menu des options de recherche externes s'affiche.
    External Lookup submenu
  3. Sélectionnez l'une des options de recherche.
    La valeur méta sélectionnée s'ouvre dans la recherche sélectionnée. Par exemple, si vous avez sélectionné Historique SANS IP, les informations du point de recherche verticale s'affichent dans SANS Internet Storm Center.
    SANS IP Lookup
You are here
Table of Contents > Procédure d'enquête relative aux métadonnées dans la vue Naviguer > Lancer la recherche externe d'une clé méta

Attachments

    Outcomes