Investigate : Vue Événements

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 3Show Document
  • View in full screen mode
 

Dans la vue Vue Événements, une liste d'événements associés à une session est disponible ; cette vue est optimisée pour afficher les événements bruts dans l'ordre chronologique. Vous pouvez afficher la liste des événements sous plusieurs formes, filtrer les événements, rechercher des événements et ouvrir une reconstruction d'événement.

 

Il existe deux façons d'afficher la vue Événements :

  • Accédez à ENQUÊTER > Événements. NetWitness Suite exécute une requête par défaut sur les trois dernières heures pour le service par défaut (si un service est défini) ou affiche une boîte de dialogue dans laquelle vous pouvez sélectionner un service, puis exécute la requête par défaut. La requête par défaut sélectionne tous les événements et la vue Événements affiche des événements sur le service sélectionné, avec les événements les plus anciens en premier.
  • Dans la vue Naviguer, cliquez sur un événement. La vue Événements affiche les événements sur le service sélectionné d'après le point de recherche verticale dans la vue Naviguer.

Workflow

high-level Investigate workflow with Browse Raw Events and associated actions highlighted

Que voulez-vous faire ?

                                                                                   
Rôle d'utilisateurJe souhaite...Documentation relative à la version 11.1
Responsable de la recherche des menaces

parcourir les métadonnées d'événement

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

parcourir les événements bruts*

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

analyser les métadonnées et événements bruts

Commencer une procédure d'enquête dans la vue Analyse d'événements

Responsable de la recherche des menacesexaminer les points de terminaison (Version 11.1)Examiner les hôtes

Responsable de la recherche des menaces

rechercher des fichiers de point de terminaison suspects (Version 11.1)

Examiner les fichiers

Responsable de la recherche des menacesanalyser les fichiers et les événements des programmes malveillantsMener une analyse de malware

Responsable de la réponse aux incidents

triage d'un incident dans Investigate

Guide d'utilisation de NetWitness Respond

Responsable de la recherche des menacesdéfinir les préférences utilisateur pour la vue Événements*Configurer la vue Naviguer et la vue Événements
Responsable de la recherche des menacesreconstruire un événement*Reconstruire un événement
Responsable de la recherche des menacesexporter les événements et les fichiers*Exporter les événements dans la vue Événements
Responsable de la recherche des menaces

effectuer des recherches interne

Afficher un contexte supplémentaire pour un point de données

Responsable de la recherche des menaceseffectuer des recherches externesLancer la recherche externe d'une clé méta
Responsable de la recherche des menaces ou Responsable de la réponse aux incidentsajouter un ou plusieurs événements à un incident existant ou à un nouvel incident*Ajouter des événements à un incident pour obtenir une réponse
   

*Vous pouvez effectuer cette tâche dans la vue actuelle.

Rubriques connexes

Aperçu rapide

La vue Événements fournit trois présentations intégrées des données d'événement : la vue Détails, la vue Liste et la vue Log. La vue Liste et la vue Détails sont destinées à l'affichage des événements de données de paquets. Elles fournissent plus d'informations pour chaque événement, notamment l'horodatage, le type d'événement, le thème de l'événement et la taille.

  • La vue Liste affiche les informations relatives à l'adresse et au port source et de destination pour les événements sous forme de résumé dans une grille.
  • La vue Détails affiche toutes les métadonnées collectées pour l'événement dans une vue de page.
  • La vue Log est optimisée pour l'affichage des informations du log, et fournit plus d'informations pour chaque log, notamment l'horodatage, le type d'événement, le type de service, la classe de service et les logs.

Vous pouvez utiliser des requêtes, le paramètre de période et les profils pour filtrer les événements répertoriés dans la vue Événements. Depuis tous les types de vue dans la vue Événements, vous pouvez extraire des fichiers, exporter des événements, exporter des logs d'événements et des métavaleurs, ouvrir le panneau Reconstruction d'événement et ouvrir Analyse d'événements.

La figure suivante est un exemple d'événements de la vue Détails. Le panneau Recherche contextuelle est visible uniquement si le service Context Hub est configuré.

example of the Detail View with the Context Lookup panel open

La figure suivante est un exemple d'événements de la vue Liste.

example of the List View

La figure suivante donne un exemple de la vue Log.

example of the Log View

Description détaillée

La vue Événements contient une barre d'outils située en haut de l'écran avec les options suivantes.

                                               
FonctionnalitéDescription
Sélectionner un serviceAffiche le nom de service sélectionné en regard de l'icône. Ouvre la boîte de dialogue Sélectionner un service qui vous permet de sélectionner un service pour lequel la liste des événements s'affiche.
PériodeAffiche un menu déroulant pour la sélection de la période à appliquer à la liste des événements. Vous pouvez choisir une des options standard ou spécifier une période personnalisée.
RequêteAffiche la boîte de dialogue Créer un filtre qui vous permet de saisir directement une requête personnalisée au lieu d'effectuer une recherche verticale dans les données (voir Créer une requête personnalisée).
ProfilAffiche le menu Profil d'utilisation ; le profil actuellement sélectionné s'affiche dans la barre d'outils. Un profil vous permet de gérer et d'utiliser des profils qui peuvent inclure des groupes méta personnalisés, un groupe de colonne par défaut et une requête de début. Les Profils s'appliquent à la vue Naviguer (groupes et requêtes méta) et à la vue Événements (groupes et requêtes de colonne).
Afficher le menu déroulant VueAffiche un menu déroulant permettant de sélectionner le type de vue d'événement.
  • La vue Détails affiche les événements dans un format de page avec des informations détaillées pour chaque événement.
  • La vue Liste affiche les événements sous forme de grille avec un résumé de chaque événement sur une ligne distincte.
  • La vue Log affiche une grille des événements liés aux logs avec un résumé de chaque log sur une ligne distincte.
  • La section Groupes de colonnes personnalisées affiche la liste des événements utilisant un groupe de colonnes sélectionné dans une liste déroulante de groupes de colonnes personnalisées.
  • La section Gérer les groupes de colonnes affiche la boîte de dialogue permettant de créer et de modifier les groupes de colonnes personnalisées.
ActionsAffiche un menu déroulant avec des actions dans la vue Événements :
  • Extraire des fichiers, exporter les événements au format de fichier PCAP, exporter les logs ou exporter les métavaleurs.
  • Afficher une reconstruction de l'événement dans une fenêtre contextuelle ou dans un nouvel onglet.
  • Afficher l'analyse d'événements.
  • Réinitialiser tous les filtres dans la vue Événements.

Incidents

Créer un nouvel incident dans Répondre et ajouter les événements sélectionnés ou ajouter des événements sélectionnés à un incident existant dans Répondre.

RechercherAffiche les options de recherche des événements, ce qui vous permet de spécifier le format d'exportation du log et le format d'exportation des métavaleurs avec des options supplémentaires expliquées dans Rechercher des modèles de texte
ParamètresAffiche les paramètres de la vue Procédure d'enquête pour la vue Événements (qui sont également disponibles dans la vue Profil) pour que vous puissiez modifier les paramètres de la vue Procédure d'enquête sans avoir à naviguer hors de la vue Événements. Lorsque vous modifiez un paramètre dans la vue Événements, le paramètre est également modifié dans la vue Profil (voir Configurer la vue Naviguer et la vue Événements).
Next Topic:Vue Fichiers
You are here
Table of Contents > Matériaux de référence Enquêter > Vue Événements

Attachments

    Outcomes