Enquêter : Lancer la recherche externe d'une clé méta

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 4Show Document
  • View in full screen mode
 

Cette rubrique fournit des instructions pour l'utilisation de plug-ins Procédure d'enquête prêts à l'emploi pour lancer une recherche externe de clés méta spécifiques à l'aide d'outils externes à NetWitness Platform lors de la procédure d'enquête sur des données dans la vue Naviguer ou Événements.

Les analystes peuvent utiliser des recherches externes NetWitness Platform Investigation prêtes à l'emploi pour gagner du temps pendant les procédures d'enquête. Pour accéder aux recherches prêtes à l'emploi, l'utilisateur doit cliquer avec le bouton droit de la souris sur l'une de ces métaclés :  Adresse IP (ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip)host (alias-host, domain.dst)client, et file-hash.

Pour toutes les clés méta IP et host, les recherches suivantes sont intégrées à NetWitness Platform :

  • Google Malware : Ouvre une recherche Google Malware dans un nouvel onglet.
  • Historique SANS IP : Ouvre une recherche Historique SANS IP dans un nouvel onglet.
  • McAfee SiteAdvisor : Ouvre une recherche McAfee SiteAdvisor dans un nouvel onglet.
  • Recherche dans le client Endpoint Thick : Ouvre une recherche dans le client NetWitness Endpoint Thick Client dans un nouvel onglet.
  • Collecte DNS passive BFK :  Ouvre une recherche de collection DNS passive BFK dans un nouvel onglet
  • CentralOps Whois pour adresses IP et noms d'hôte : Ouvre une recherche CentralOps Whois pour adresses IP et noms d'hôte dans un nouvel onglet.
  • Recherche Malwaredomainlist.com : Ouvre une recherche Malwaredomainlist.com dans un nouvel onglet
  • Recherche d'adresses IP Robtex : Ouvre une recherche RobtexIP dans un nouvel onglet
  • Recherche ThreatExpert : Ouvre une recherche ThreatExpert dans un nouvel onglet
  • Recherche IPVoid : Ouvre une recherche UrlVoid dans un nouvel onglet

Pour les métaclés file-hash et alias-host, la recherche Google ouvre une recherche Google dans un nouvel onglet.

Pour la métaclé client, l'option NetWitness Endpoint Lookup ouvre un client Endpoint Thick Client dans un nouvel onglet si le client est installé sur le même système que celui sur lequel le navigateur est utilisé.

Les administrateurs peuvent ajouter des recherches externes supplémentaires et d'autres actions personnalisées, comme décrit dans « Ajouter des actions de menu contextuel personnalisées » dans le Guide de configuration système.

Lancer une recherche dans le client Endpoint Thick :

Pour lancer une recherche dans le client Endpoint Thick à partir de la vue Naviguer :

  1. Cliquez avec le bouton droit de la souris sur une valeur méta pour l'une des clés méta suivantes : ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip, alias-host, domain.dst, client.
  2. Sélectionnez Recherche externe dans le menu contextuel.
    Un sous-menu des options de recherche externes s'affiche.
    External Lookup Menu
  3. Sélectionnez Recherche dans le client Endpoint Thicke.
    La boîte de dialogue Se connecter au serveur.
    RSA ECAT Configuration dialog
  4. Saisissez le nom d'utilisateur et le mot de passe requis pour vous connecter au client Endpoint Thick Client, puis cliquez sur Se connecter.
    Le point de forage s'ouvre dans NetWitness Endpoint.
    a drill point from Investigate opened in RSA ECAT

Lancer d'autres recherches externes

Pour lancer une recherche externe (autre que la recherche NetWitness Endpoint Thick Client ) des données de la vue Naviguer : 

  1. Cliquez avec le bouton droit de la souris sur une valeur méta pour l'une des clés méta suivantes : ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip, alias-host, domain.dst, client.
  2. Sélectionnez Recherche externe dans le menu contextuel.
    Un sous-menu des options de recherche externes s'affiche.
    the External Lookup Menu
  3. Sélectionnez l'une des options de recherche.
    La valeur méta sélectionnée s'ouvre dans la recherche sélectionnée. Par exemple, si vous avez sélectionné Historique SANS IP, les informations du point de recherche verticale s'affichent dans SANS Internet Storm Center.
    SANS IP Lookup
You are here
Table of Contents > Procédure d'enquête relative aux métadonnées dans la vue Naviguer > Lancer la recherche externe d'une clé méta

Attachments

    Outcomes