Enquêter : Créer une requête personnalisée

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 3Show Document
  • View in full screen mode
 

Dans la vue Enquêter > Naviguer ou Événements, vous pouvez créer une requête au lieu de cliquer sur les clés méta et les valeurs pour accéder jusqu'aux métadonnées. Les boîtes de dialogue pour créer une requête offrent une aide à la syntaxe grâce à des listes déroulantes de clés méta applicables et d'opérateurs. Lors de l'affichage de la liste déroulante, vous pouvez développer et réduire chaque métagroupe pour afficher ou masquer les clés métas individuelles de ce groupe.

Remarque : Dans la version 11.1 ou supérieure, vous pouvez effectuer des requêtes sur les entités méta, ainsi que les clés méta.

Lorsque vous sélectionnez un groupe méta, NetWitness Suite génère une requête complexe équivalant à une requête contenant toutes les clés méta regroupées dans ce groupe avec l'opérateur OR. Par conséquent, si un groupe méta contient ip.src et ip.dst, la requête générée est ip.src = <value> OR ip.dst = <value>. Si le groupe méta contient des clés méta qui comportent différents types de métavaleurs, l'entrée de la valeur est désactivée et la requête utilise des instructions exists. Par exemple, un groupe méta qui contient ip.src, ip.dst et alias.host inclut des clés méta qui comportent différents types de valeurs ; ip.src et ip.dst sont des adresses IP et alias.host est du texte. La requête générée est ip.src exists OR ip.dst exists OR alias.host exists.

Une requête de base se présente sous la forme suivante :

<metakey> <operator> [<metavalue>]

Voici quelques exemples :
action exists
action = 'get'
alias.host = '10.25.55.115'
extension = 'exe'
orig_ip != "10.0.0.0" - "10.255.255.255"

Créer une requête en utilisant la méthode de base

Lorsque vous créez une requête en utilisant la méthode de base, NetWitness Suite fournit des listes déroulantes de métadonnées et d'opérateurs.

  1. Dans la barre d'outils de la vue Naviguer ou de la vue Événements, sélectionnez Requête.
    La boîte de dialogue Requête s'affiche avec l'option Simple sélectionnée.
    Simple Query drop-down
  2. Dans le champ Sélectionner les méta, cliquez pour afficher la liste déroulante. La liste déroulante comporte deux sections : Groupes méta et Toutes les méta.
  3. Sélectionnez une clé méta unique dans Toutes les méta ou sélectionnez un groupe méta dans Groupes méta. Vous pouvez également saisir une clé méta ou un métagroupe dans le champ.
  4. Dans le champ Opérateur, saisissez un opérateur ou cliquez sur la liste déroulante pour sélectionner un opérateur valide.
  5. (Facultatif) Si vous avez sélectionné un opérateur qui nécessite une valeur, par exemple, begins dans le troisième champ, saisissez la valeur de la clé méta.
  6. Dans les cases à cocher Réseau, Log et Point de terminaison, choisissez le type de données à interroger. Exécutez l'une des opérations suivantes :
    1. Pour limiter la requête aux paquets, sélectionnez Réseau et désélectionnez Log et Point de terminaison.
    2. Pour limiter la requête aux logs, sélectionnez Log et désélectionnez Réseau et Point de terminaison.
    3. Pour limiter la requête aux événements de point de terminaison, sélectionnez Point de terminaison et désélectionnez Réseau et Point de terminaison.

    4. Pour appliquer la requête aux paquets, aux logs et aux points de terminaison, sélectionnez Réseau, Log et Point de terminaison.
  7. Exécutez l'une des opérations suivantes :
    1. Cliquez sur Appliquer.
      La fenêtre est fermée et la vue est mise à jour avec les résultats de la nouvelle requête. La requête s'affiche dans le fil d'Ariane.
    2. Cliquez sur Annuler.
      La fenêtre est fermée et aucun changement n'est apporté à la vue ou à la requête en cours.

Créer une requête en utilisant la méthode avancée

  1. Dans la barre d'outils de la vue Naviguer ou de la vue Événements, sélectionnez Requête.
    La boîte de dialogue Requête s'affiche.
    Simple Query drop-down
  2. Sélectionnez Avancée.
    Le champ Requête avancée s'affiche.
    Advanced Query drop-down
  3. Dans le champ, créez une requête qui peut inclure la clé méta, l'opérateur et la valeur. Lorsque vous commencez à saisir une clé méta dans le champ, une liste déroulante des clés métas disponibles du service sélectionné s'affiche.
  4. Sélectionnez la clé méta pour votre requête.
    L'affichage se met à jour. Si l'expression n'est pas encore terminée, l'état indique que la requête n'est pas valide.
  5. Continuez avec un opérateur, dans la liste déroulante, puis une valeur si nécessaire. L'affichage se met à jour pendant que vous continuez à saisir la requête. Si vous saisissez un opérateur, comme exists ou !exists, qui n'utilise pas le champ Valeur, celui-ci est désactivé et l'état non valide est effacé. Si vous saisissez un opérateur, comme =, qui exige le champ Valeur, l'état reste défini sur non valide jusqu'à ce que vous entriez une valeur. Lorsque la requête est valide, l'état non valide ne s'affiche plus.
    Invalid Expression Warning
  6. Exécutez l'une des opérations suivantes :
    • Cliquez sur Appliquer.
      La fenêtre est fermée et la vue est mise à jour avec les résultats de la nouvelle requête. La requête s'affiche dans le fil d'Ariane.
    • Cliquez sur Annuler.
      La fenêtre est fermée et aucun changement n'est apporté à la vue ou à la requête en cours.

Appliquer une requête récente

Vous pouvez afficher les requêtes récentes et en sélectionner une à appliquer au service actuel à l'étude. Pour sélectionner une requête récente :

  1. Dans la barre d'outils de la vue Naviguer ou de la vue Événements, sélectionnez Requête.
    La boîte de dialogue Requête s'affiche avec l'option Simple sélectionnée.
    Simple Query drop-down
  2. Sélectionnez l'option Récente.
    La liste des requêtes récentes s'affiche dans la partie inférieure de la boîte de dialogue.
    Recent Query drop-down
  3. Dans la liste des requêtes récentes, cliquez sur une requête pour la sélectionner.
  4. Exécutez l'une des opérations suivantes :
    • Double-cliquez sur une requête.
    • Sélectionnez une requête, puis cliquez sur Appliquer.
      La fenêtre est fermée et la vue est mise à jour avec les résultats de la nouvelle requête. La requête s'affiche dans le fil d'Ariane.
    • Cliquez sur Annuler.
      La fenêtre est fermée et aucun changement n'est apporté à la vue ou à la requête en cours.
You are here
Table of Contents > Interrogation et action sur les données dans les vues Naviguer et Événements > Créer une requête personnalisée

Attachments

    Outcomes