Enquêter : Gérer les listes et les valeurs de liste Context Hub dans Enquêter

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 3Show Document
  • View in full screen mode
 

Les analystes peuvent ajouter des listes et des valeurs de liste pour l'enrichissement de Context Hub dans les vues Naviguer et Événements. Lorsque le service Context Hub est activé et configuré, NetWitness Suite fournit des données d'enrichissement à partir d'Incident Management, des listes personnalisées et d'NetWitness Endpoint, directement dans la vue Naviguer et la vue Événements. Un repère visuel met en surbrillance les métavaleurs pour lesquelles des données d'enrichissement sont disponibles dans les vues Enquêter. Vous pouvez cliquer sur la valeur en surbrillance pour rechercher les informations de contexte et les renseignements supplémentaires.

En outre, à partir du panneau Valeurs de la vue Naviguer et de la vue Événements, vous pouvez afficher des listes, modifier les valeurs méta d'une liste existante ou créer une liste. Lorsque vous ajoutez des métavaleurs à une liste, vous pouvez enquêter sur ces métavaleurs à l'aide de l'option de recherche contextuelle.

Pour permettre à un analyste de gérer des listes dans Enquêter, l'administrateur doit :

  • Activer le service Context Hub.
  • Attribuez un rôle d'analyste avec l'autorisation Manage List from Investigation à l'utilisateur qui effectue une recherche contextuelle depuis les vues Investigation.
  • Configurez les rôles et autorisations appropriés, comme indiqué dans « Autorisations du rôle » et « Gérer les utilisateurs avec des rôles et des autorisations » dans le Guide de la sécurité du système et de la gestion des utilisateurs.

Ajouter des métavaleurs à une liste existante

Pour ajouter une valeur méta à une liste existante dans Context Hub :

  1. Lorsque vous enquêtez sur un service dans la vue Naviguer ou Événements, cliquez avec le bouton droit de la souris sur une valeur méta (par exemple les valeurs situées sous IP Source, IP de destination ou Nom d'utilisateur), puis sélectionnez Ajouter à la liste/Supprimer de la liste dans le menu contextuel.
    La boîte de dialogue Ajouter à la liste/Supprimer de la liste s'affiche.
    Add/Remove from List dialog
  2. Dans le champ Liste, sélectionnez dans l'option déroulante une ou plusieurs listes auxquelles la valeur méta doit être ajoutée.
  3. Cliquez sur Enregistrer.
    La valeur méta est ajoutée aux listes sélectionnées.

Supprimer une valeur méta d'une liste Context Hub

Pour supprimer une valeur méta d'une liste :

  1. Dans la boîte de dialogue Ajouter à la liste/Supprimer de la liste, dans le champ Liste, affichez les listes qui comportent la valeur méta.
  2. Cliquez sur l'icône de suppression (x) pour chaque liste ne devant pas inclure la valeur méta.
  3. Cliquez sur Enregistrer.
    La valeur méta est retirée de la liste supprimée.

Créer une nouvelle liste

Pour créer une liste Context Hub dans Enquêter :

  1. Dans la boîte de dialogue Ajouter à la liste/Supprimer de la liste, cliquez sur Créer une nouvelle liste.
    Create New List options
  2. Dans le champ Nom de la liste, saisissez un nom unique pour la liste.
  3. Dans le champ Description, saisissez la description de la liste.
  4. Cliquez sur Créer pour créer la liste.
  5. Cliquez sur Enregistrer pour ajouter la valeur méta à la liste créée.
    Ces listes sont considérées comme des sources de données permettant de récupérer des informations de contexte.
You are here
Table of Contents > Interrogation et action sur les données dans les vues Naviguer et Événements > Gérer les listes et les valeurs de liste Context Hub dans la vue Enquêter

Attachments

    Outcomes