Enquêter : Configurer la vue Récapitulatif des événements de Malware Analysis

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 3Show Document
  • View in full screen mode
 

Le récapitulatif des événements fournit un résumé de l'analyse qui fait l'objet d'une enquête. Les dashlets configurables tels que les graphiques de visualisation et les listes se situent en dessous. Par défaut, le récapitulatif des événements d'une analyse s'ouvre avec les dashlets par défaut affichés. Vous pouvez personnaliser l'affichage en ajoutant, modifiant et en supprimant des dashlets par défaut. La personnalisation configurée des dashlets persiste à travers différentes procédures d'enquêtes. Vous pouvez restaurer les dashlets par défaut à tout moment. Les dashlets par défaut sont :

  • Récapitulatif des événements (fixe)
  • Chronologie d'événements
  • Liste des principaux malwares fortement suspects
  • Compartimentage des méta
  • Roue des scores
  • Répartition des méta

La figure suivante est un exemple de récapitulatif des événements par défaut.

Summary of Events view

Le reste de cette rubrique fournit des instructions sur la gestion et la configuration de dashlets.

Ajouter un dashlet

Vous pouvez ajouter plusieurs copies de dashlets dans le récapitulatif des événements d'analyse de Malware Analysis. Pour ajouter un dashlet :

  1. Dans la barre d'outils, sélectionnez Ajouter.
    La liste déroulante des dashlets s'affiche. Vous disposez de quatre options de visualisation : Roue des scores, Compartimentage des méta, Répartition des méta et Chronologie d'événements. Les trois autres dashlets sont les mêmes dashlets disponibles dans le tableau de bord NetWitness Suite : Malware à forte probabilité d'indicateur de compromission et scores élevés, Liste des principaux malwares fortement suspects, Liste des principaux malwares de type Zero Day. Les détails pour ces dashlets courants sont fournis dans « Dashlets » dans RSA Content for RSA NetWitness Suite.
  2. Sélectionnez un dashlet.
    Le nouveau dashlet est ajouté comme dernier dashlet sous les dashlets existants.
  3. Si le dashlet est un réplica d'un dashlet existant, changez le nom du nouveau dashlet afin qu'il soit unique.

Modifier ou supprimer un dashlet à l'aide des options de la barre d'outils

Chaque dashlet dispose d'une barre d'outils qui offre des options pour modifier le dashlet. Les graphiques de visualisation ont les mêmes paramètres de configuration, tandis que certains des autres dashlets comportent d'autres paramètres supplémentaires.

Event Timeline dashlet toolbar

Pour utiliser les options de la barre d'outils :

  • Pour fermer un dashlet pour afficher uniquement la barre de titre, cliquez sur Close the dashlet.
  • Pour ouvrir un dashlet qui est fermé, cliquez sur Open the dashlet.
  • Pour afficher les paramètres configurables pour un dashlet, cliquez sur View the dashlet settings.
    La boîte de dialogue Paramètres du dashlet s'affiche.
  • Pour supprimer un dashlet, cliquez sur Delete the dashlet.

Appliquer un filtre de seuil à plusieurs dashlets

Dans les dashlets, vous pouvez définir un seuil pour afficher uniquement les événements égaux, supérieurs ou inférieurs à un certain score dans les quatre catégories (statique, réseau, communauté et Sandbox). Cette procédure définit les seuils par type de dashlet pour ces dashlets : Chronologie d'événements, Roue des scores et Compartimentage des méta. Vous pouvez également définir le seuil pour des dashlets individuels.

  1. Dans la barre d'outils, sélectionnez Action menu > Appliquer le filtre de seuil.
    La boîte de dialogue Appliquer le filtre de seuil s'affiche.
    Apply Threshold Filter dialog
  2. Sélectionne un ou plusieurs types de dashlet : Chronologie d'événements, Roue des scores et Méta Treemap.
  3. Faites glisser le curseur ou saisissez une valeur numérique, puis sélectionnez un opérateur dans la liste déroulante : =, >= ou <=.
  4. Cliquez sur Appliquer.
    Les filtres de seuil sont appliqués aux types de dashlet sélectionnés dans le Récapitulatif des événements.

Définir les options de titre et catégorie pour un dashlet

  1. Pour afficher les paramètres configurables pour un dashlet, cliquez sur Dashlet settings.
    La boîte de dialogue Options du dashlet s'affiche.
    Event Timeline Options dialog
  2. Saisissez un nouveau titre pour le dashlet dans le champ Titre.
  3. Si vous voulez voir uniquement les événements qui sont influencés par une balise de forte probabilité, ce qui signifie qu'il y une grande probabilité que l'événement contienne un code malveillant, cochez l'option Influencé par la forte probabilité uniquement.
  4. Si vous voulez afficher uniquement les événements avec un score supérieur à un certain score dans les quatre catégories (statique, réseau, communauté et Sandbox), faites glisser le curseur correspondant ou saisissez une valeur numérique, puis sélectionnez un opérateur dans la liste déroulante : =, >= ou <=.
  5. Cliquez sur Appliquer.
    Le titre et les filtres sont appliqués au dashlet.

Organiser les dashlets

Pour changer l'ordre des dashlets tels qu'ils apparaissent sous le Récapitulatif des événements :

  1. Dans la barre d'outils, sélectionnez Actions drop-down menu > Organiser les dashlets
    . La boîte de dialogue Organiser les dashlets s'affiche.
    Order Dashlets dialog
  2. Sélectionnez un dashlet que vous souhaitez déplacer vers le haut ou vers le bas, puis cliquez sur Move dashlet up ou Move dashlet down.
  3. Une fois cette organisation terminée, cliquez sur Appliquer.
    La boîte de dialogue se ferme et l'ordre des dashlets sous le Récapitulatif des événements est modifié en fonction de vos choix.

Restaurer les dashlets par défaut

Une fois que vous avez ajouté, modifié et réorganisé les dashlets, vous pouvez revenir aux paramètres par défaut pour l'affichage des dashlets. Pour restaurer les dashlets par défaut :

  1. Dans la barre d'outils, sélectionnez Actions drop-down menu > Restaurer la configuration par défaut
    . Une boîte de dialogue vous demande de confirmer que vous souhaitez restaurer la configuration.
  2. Exécutez l'une des opérations suivantes :
    1. Si vous décidez de conserver la réorganisation du dashlet que vous avez configuré, cliquez sur Non.
    2. Si vous êtes sûr de vouloir restaurer les valeurs par défaut, cliquez sur Oui,
      l'affichage du dashlet revient à l'affichage par défaut.
You are here
Table of Contents > Configuration des vues et des préférences de NetWitness Investigate > Configurer la vue Récapitulatif des événements de Malware Analysis

Attachments

    Outcomes