Investigate : Fonctionnement de NetWitness Investigate

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 4Show Document
  • View in full screen mode
 

NetWitness Investigate offre aux analystes la possibilité d'analyser des données dans RSA NetWitness® Platform et d'analyser des données de paquet, de log et de point de terminaison, ainsi que d'identifier d'éventuelles menaces internes ou externes à la sécurité et à l'infrastructure IP.

Remarque : Dans la version 11.1 et versions ultérieures, les vues Hôtes et Fichiers fournissent une vue des données de point de terminaison. Les versions antérieures offrent un accès aux données de point de terminaison en utilisant un serveur NetWitness Endpoint autonome.

Métadonnées, clés méta, valeurs méta et entités méta

RSA NetWitness Platform audite et surveille l'ensemble du trafic sur un réseau. Un seul type de service, un Decoder, acquiert, analyse et stocke les données de paquets, logs et point de terminaison transitant sur le réseau.

Les analyseurs et feeds configurés sur le Decoder créent des métadonnées que les analystes peuvent utiliser pour enquêter sur les logs et paquets acquis. Un autre type de service, nommé Concentrator, indexe et stocke les métadonnées.

Les métadonnées se présentent sous la forme d'une clé méta et de valeurs méta pour la clé. Par exemple, ip.src est une clé méta et une adresse IP, source du trafic, est marquée en tant que ip.src. Lorsque vous affichez des données dans la vue Enquêter, vous voyez la méta clé ip.src et toutes les adresses IP (valeurs) qui sont marquées avec cette clé. Certaines clés méta sont intégrées et d'autres peuvent être des clés personnalisées définies par l'administrateur.

Les entités méta sont disponibles dans la version 11.1 ou supérieure. Une entité méta est un alias qui regroupe les résultats d'autres clés méta. Les entités méta organisent des clés méta similaires en un seul type de méta, plus facile à utiliser. Certaines entités méta sont déjà incluses par défaut et l'administrateur peut créer des entités méta personnalisées. Les analystes peuvent utiliser une entité méta dans une requête, un groupe méta, un groupe de colonnes et un profil. Les visualisations de coordonnées parallèles ne prennent pas en charge les entités méta. Les administrateurs peuvent utiliser des entités méta pour définir un préfixe de requête à appliquer à un rôle d'utilisateur et un utilisateur. Le Guide de configuration de Decoder fournit des informations supplémentaires sur la création d'entités méta et comment elles peuvent être utilisées dans les règles.

Par exemple, la langue de base de données de base par défaut comprend des clés méta distinctes pour l'IP source et l'IP de destination. L'une des entités méta intégrées nommées ip.all représente l'ensemble combiné de toutes les sources et destinations IP.

Généralement, les analystes interrogent le Concentrator pour détecter des menaces. Le Concentrator gère des requêtes et n'accède au Decoder que lorsqu'une reconstruction complète des sessions ou des logs bruts est nécessaire. ESA, Malware Analysis et Reporting Engine interrogent également le Concentrator, sur lequel ils peuvent obtenir rapidement toutes les métadonnées pertinentes associées à un événement et générer des informations à ce sujet sans avoir à accéder à chaque Decoder. Dans certains cas, les analystes peuvent interroger un Decoder.

 

Remarque : Bien qu'une appliance hybride peut effectuer la fonction de Concentrator, une appliance Concentrator distincte est nécessaire pour tous les environnements volumineux qui nécessitent davantage de bande passante ou d'événements par seconde (EPS). L'appliance Concentrator dispose d'une organisation de stockage qui utilise des disques SSD pour l'index, ce qui augmente les performances de lecture.

Déclencheurs pour une procédure d'enquête

Voici quelques exemples des déclencheurs pour une procédure d'enquête :

  • Vous recevez des informations d'un tiers sur un nouveau hack de répertoire actif. À partir de la vue Événements, vous utilisez ces informations pour exécuter une recherche sur toutes vos données de fichiers log Active Directory brutes pour les dernières 24 heures.
  • Le responsable du SOC vous demande de rechercher un programme malveillant Pokemon Go en raison de sa popularité actuelle. À partir de la vue Naviguer, créez une requête pour rechercher une session HTTP à l'aide d'un agent utilisateur spécifique lié au programme malveillant détecté dans un blog de sécurité.
  • Un responsable de la réponse aux incidents fait remonter un ticket qui présente certains indicateurs impairs associés à un hôte. À partir de la vue Hôtes, examinez cet hôte pour connaître les détails spécifiques.
  • Vous recherchez la prochaine attaque jour zéro et commencez à faire pivoter les métadonnées réseau dans la vue Naviguer pour rechercher les sessions automatisées anormales quittant l'entreprise.
  • Vous êtes invité(e) par votre responsable du SOC à trouver les informations relatives à l'utilisateur jarvis, un employé qui vient d'être remercié. À partir de la vue Hôtes, vous effectuez une interrogation sur la semaine écoulée pour ce nom d'utilisateur.

Flux de travail d'une procédure d'enquête

Les analystes peuvent examiner les données capturées par NetWitness Platform et détailler les informations contenues dans un tableau de bord NetWitness Platform, un incident ou une alerte NetWitness Respond, un rapport créé par NetWitness Platform Reporting Engine ou une application tierce. Au cours d'une procédure d'enquête, les analystes peuvent se déplacer de manière transparente entre les vues Enquêter : la vue Naviguer, la vue Événements, la vue Analyse d'événements, la vue Hôtes, la vue Fichiers, et la vue Analyse de malware. Cette figure montre les sous-menus de NetWitness Investigate.

NetWitness Investigate Submenus

Remarque : Les vues Fichiers et Hôtes sont disponibles dans les versions 11.1 et supérieures. La vue Utilisateurs est disponible dans la version 11.2 et versions ultérieures. Des rôles d'utilisateurs et des autorisations spécifiques sont requis pour qu'un utilisateur puisse mener des procédures d'enquêtes et des analyses de programmes malveillants dans NetWitness Platform. Si vous ne pouvez pas réaliser de tâche d'analyse ou afficher une vue, il se peut que l'administrateur doive ajuster les rôles et autorisations configurés pour vous.

Vous pouvez accéder à chaque vue dans le sous-menu Enquêter et dans les vues Enquêter. Vous pouvez également accéder directement à une vue Enquêter à partir de NetWitness Respond et passer directement de NetWitness Investigate à NetWitness Respond et à NetWitness Endpoint autonome. Votre exemple d'utilisation détermine le point de départ de votre procédure d'enquête. Ce tableau fournit des conseils généraux sur la vue de départ pour différents exemples d'utilisation.

                                       
Accéder à...Objectif
Vue NaviguerToutes les clés méta et les valeurs méta des logs, points de terminaison et paquets, regroupés par clé méta. Vous pouvez faire pivoter les données pour affiner les résultats, puis accéder à la vue Événements ou à la vue Analyse d'événements, ou encore effectuer une recherche dans Malware Analysis ou Live. Il s'agit de la vue NetWitness Investigate par défaut. (Voir Procédure d'enquête relative aux métadonnées dans la vue Naviguer.)
Vue ÉvénementsLes événements sont répertoriés dans l'ordre chronologique. Vous pouvez afficher les événements bruts et les métadonnées associées, afficher une reconstruction et télécharger des fichiers et des événements. Vous pouvez accéder à la vue Analyse d'événements. (Consultez Examiner les événements bruts dans la vue Événements.)
Vue Analyse d'événementsLes événements sont répertoriés dans l'ordre chronologique. Vous pouvez afficher toutes les clés méta et les valeurs de métadonnées pour les logs, les paquets et les points de terminaison. Vous pouvez afficher l'événement brut et les métadonnées associées, afficher une reconstruction qui offre des files d'attente utiles pour identifier les points d'intérêt dans une reconstruction. Vous pouvez accéder à la vue Hôtes, pivoter vers un point de terminaison autonome, effectuer une recherche dans Live et effectuer des recherches externes. Les recherches externes vous permettent de rechercher sur Internet les valeurs de métadonnées avec lesquelles vous avez interagi, de déterminer les informations DNS passives associées à une adresse IP, de vérifier si une URL est mise en liste noire et d'autres intégrations de contexte tierces. (Consultez la section Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements)Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements
(Version 11.1 ou supérieure) Vue hôtesLes hôtes sur lesquels s'exécutent les agents NetWitness Endpoint Insights sont répertoriés. Pour chaque hôte, vous pouvez voir les processus, les pilotes, les DLL, les fichiers (exécutables), les services et les exécutions automatiques en cours d'exécution, ainsi que les informations relatives aux utilisateurs connectés. Dans la vue Hôtes, vous pouvez accéder aux vues Naviguer et Analyse d'événements. (Voir Examiner les hôtes)
(Version 11.1 ou supérieure) Vue FichiersLes fichiers uniques tels que PE, Macho et ELF dans votre déploiement sont répertoriés. Pour chaque fichier, vous pouvez afficher des détails tels que la taille du fichier, l'entropie, le format, le nom de l'entreprise, la signature et la somme de contrôle. Dans la vue Fichiers, vous pouvez accéder aux vues Naviguer et Analyse d'événements. (Voir Examiner les fichiers)
Vue Analyse de malwareSi vous exécutez une appliance d'analyse de malware, vous pouvez analyser automatiquement ou manuellement les fichiers et voir les résultats de quatre types d'analyse : réseau, statique, communauté et sandbox. Si un fichier s'avère être un programme malveillant, vous pouvez accéder à la vue Hôtes pour voir quels hôtes ont téléchargé le fichier. (Voir Mener une analyse de malware).

(Version 11.2 ou supérieure) Vue Utilisateurs

La visibilité des comportements d'utilisateurs à risque dans votre entreprise est assurée à l'aide de NetWitness UEBA. Vous pouvez afficher une liste d'utilisateurs à haut risque et un résumé des alertes principales relatives aux comportements risqués dans votre environnement, puis sélectionner un utilisateur ou une alerte et afficher des détails sur le comportement risqué et une chronologie pendant laquelle les comportements se sont produits. Les utilisateurs de la plate-forme NetWitness ayant un rôle d’administrateur ou d’analystes UEBA ont accès à cette vue. Pour plus d'informations sur cette fonctionnalité, consultez Guide d’utilisateur NetWitness UEBA.Accédez à la Table des matières principale pour rechercher tous les documents sur NetWitness Platform Logs & Network 11.x.

Chaque situation est unique en termes de types d'informations que l'analyste tente de rechercher. De nombreuses procédures d'enquête commencent à un point de vue et se terminent à un autre point de vue lorsque l'analyste obtient une information et doit ensuite suivre ce résultat dans une autre ligne de questions. La figure suivante présente le workflow général d'une procédure d'enquête.

High-Level Investigate Workflow

Se concentrer sur les métadonnées, la requête et l'heure

Les analystes utilisent NetWitness Investigate pour rechercher des événements qui dirigent le workflow de réponse aux incidents et pour réaliser une analyse stratégique après la génération d'un événement par un autre outil. À partir de la vue Naviguer, la vue Événements ou la vue Analyse d'événements :

  • Commencez par exécuter une requête sur un service pour une période donnée, puis appliquez un filtre en utilisant des métadonnées dans un sous-ensemble d'événements, reconstruisez ou analysez un événement et répétez le processus pour reconstruire ou analyser un autre événement.
  • Lorsque vous trouvez un événement qui doit être étudié de plus près, vous affichez le contexte de l'événement et déterminez si vous devez créer un incident ou ajouter l'événement à un incident. Si vous décidez de ne pas ajouter l'événement à un incident, vous exécutez une autre requête pour en savoir plus, qui commence à nouveau au début du workflow.
  • Si vous remarquez une activité ou des fichiers suspects sur un hôte spécifique du réseau, vous pouvez recueillir des informations supplémentaires sur l'hôte et les fichiers trouvés sur l'hôte dans la vue Hôtes et Fichiers ou sur un serveur NetWitness Endpoint autonome.
  • Si vous trouvez un fichier ou un événement qui contient potentiellement des programmes malveillants, vous pouvez effectuer une analyse Malware Analysis du fichier ou vous pouvez ouvrir Malware Analysis et démarrer une analyse du service sur lequel l'événement a été constaté.

Par exemple, en cas de souci concernant un trafic suspect avec des pays étrangers, la clé méta du pays de destination révèle toutes les destinations et la fréquence du contact. Naviguer dans ces valeurs permet d'obtenir les détails du trafic, tels que l'adresse IP de l'expéditeur et le destinataire. La vérification d'autres métadonnées peut exposer la nature des pièces jointes échangées entre les deux adresses IP.

Se concentrer sur l'analyse des points de terminaison

Les analystes utilisent la vue Hôtes et Fichiers pour rechercher ou analyser les hôtes ou les fichiers à l'aide de d’attributs, tels que l'adresse IP, le nom d'hôte, l'adresse Mac, etc.

  • Lors d'un triage d'incidents dans la vue Répondre, passez en revue les informations importantes (nom d'hôte, nom de fichier) et affichez les points forts du contexte.
  • Pivotez vers la vue Enquêter pour ouvrir la vue Naviguer. Sélectionnez le groupe méta de l'analyse des points de terminaison et passez en revue les métadonnées créées.
  • Affichez les métadonnées dans la vue Analyse d'événements pour analyser les événements. Sélectionnez la recherche d'hôte à l'aide du panneau Méta de l'événement.
  • Dans la vue Hôtes, cliquez sur le nom d'hôte pour afficher le récapitulatif des points de terminaison, snapshots, configurations de la sécurité, etc.
  • Effectuez une analyse à la demande pour obtenir les informations les plus récentes (le cas échéant).
  • Recherchez un nom de fichier, un chemin ou un hachage spécifique sur tous les snapshots pour affiner la recherche.
  • Passez en revue les processus, les exécutions automatiques, les fichiers, les bibliothèques, les pilotes et les informations du système à examiner plus en détail.
  • Dans la vue Fichiers, filtrez les fichiers en utilisant quelques indicateurs (tels que le nom de fichier, la taille du fichier, l'entropie, le format, le nom de société, la signature, la somme de contrôle) et faites pivoter la vue Naviguer pour voir si elle existe sur d'autres hôtes du réseau.

Se concentrer sur les incidents et les alertes de NetWitness Respond

Un analyste qui travaille sur un incident ou une alerte dans NetWitness Respond peut l'ouvrir dans l’incident NetWitness Investigate (vue Naviguer) pour effectuer une analyse plus approfondie de l'événement ou de l'alerte.

  • Le worfklow pour répondre à un incident commence généralement dans la vue Répondre, où l'analyste qui enquête sur un incident doit recueillir des informations sur l'incident dans NetWitness Investigate. Vous pouvez survoler une entité soulignée dans un incident ou une alerte, par exemple une adresse IP, puis sélectionner l'action Pivoter vers Investigate > Naviguer. La vue Naviguer s'ouvre et est filtrée pour l'entité sélectionnée. Une fois que ou lancez une procédure d'enquête à partir de NetWitness Respond, les clés méta définies sont interrogées et le contenu des paquets, logs et événements de point de terminaison capturés s'affiche dans la vue Naviguer.
  • Si vous trouvez des événements qui sont pertinents pour l'incident, vous pouvez ajouter les événements à l'incident dans la vue Répondre. Vous pouvez également créer un nouvel incident dans la vue Répondre en fonction d'un ou de plusieurs événements trouvés dans la vue Enquêter.
  • (Version 11.2 et ultérieures) À partir du panneau Indicateurs de la vue Détails de l'incident dans Répondre, vous pouvez ouvrir la vue Analyse d'événements pour mieux comprendre un événement d'indicateur.

Vues NetWitness Investigate

Cette section fournit une brève description et un exemple de chaque vue principale (Naviguer, Événements, Analyse d'événements, Hôtes, Fichiers et Analyse de malware) et présente des vues fournissant un contexte supplémentaire pour les données trouvées et reconstruction d'événement.

Vue Naviguer

La vue Naviguer permet d'explorer et d'interroger le contenu des paquets, des logs et des événements de point de terminaison capturés sur un service Broker, Concentrator ou Decoder (bien qu'une procédure d'enquête sur un service Decoder ne soit pas typique).

  • Lorsque vous sélectionnez un service, les clés méta définies pour ce service sont interrogées, et les valeurs sont retournées avec le nombre d'événements. Cliquer sur une valeur à un niveau donné révèle les résultats en détail.
  • Pour certaines clés méta configurées, telles que l'adresse IP ou le nom d'hôte, vous pouvez rechercher des informations contextuelles supplémentaires autour d'une valeur à l'aide de Context Hub. Le contexte supplémentaire peut inclure des incidents, des alertes et d'autres sources où la valeur a été abordée.
  • La vue Naviguer fournit également une visualisation séquentielle des données dans un calendrier. Ici, vous pouvez zoomer sur une période sélectionnée.

La figure suivante illustre la vue Parcourir.

example of the Navigate view

Vue Événements

La vue Événements fournit une vue des événements de paquet, log et point de terminaison sous forme de liste afin que vous puissiez les afficher dans l'ordre séquentiel et les reconstituer en toute sécurité.

  • Vous pouvez ouvrir la vue Evénements pour une valeur méta que vous voyez dans la vue Naviguer.
  • Pour les analystes sans privilèges suffisants pour naviguer dans un service, la vue Événements est une vue de procédure d'enquête autonome dans laquelle les analystes peuvent accéder à une liste de réseaux, logs et événements de point de terminaison à partir d'un service NetWitness Platform Core sans avoir à effectuer d'abord une recherche verticale à travers les métadonnées.
  • La vue Événements présente des informations concernant l'événement sous trois formes standards : une simple liste restrictive d'événements, une liste détaillée des événements et une vue du log.
  • Pour certaines clés méta configurées, telles que l'adresse IP ou le nom d'hôte, vous pouvez rechercher des informations contextuelles supplémentaires autour d'une valeur à l'aide de Context Hub. Le contexte supplémentaire peut inclure des incidents, des alertes et d'autres sources où la valeur a été abordée.
  • Vous pouvez exporter les événements et les fichiers associés et créer un incident à partir d'un événement.

La figure suivante illustre la vue Événements.

example of the Events view

Vue Analyse d'événements

La vue Analyse d'événements est un outil interactif pour aider les analystes à voir les paquets, le texte ou les fichiers dans un événement présentant des indices visuels pour mettre en valeur certains types d'informations. Selon le type de reconstruction, les paquets, le texte ou les fichiers, des informations différentes sont appropriées.

  • Pour certaines clés méta configurées, telles que l'adresse IP ou le nom d'hôte, vous pouvez rechercher des informations contextuelles supplémentaires autour d'une valeur à l'aide de Context Hub. Le contexte supplémentaire peut inclure des incidents, des alertes et d'autres sources où la valeur a été abordée.
  • Lors de l'affichage des fichiers, vous pouvez exporter des fichiers dans une archive zip sur votre système de fichiers local.
  • Vous pouvez télécharger des logs à partir de la vue Texte, et exporter des paquets à partir de la vue Paquet.

Cette figure est un exemple de la vue Analyse d'événements.

example of the Event Analysis view

Vue Hôtes

La vue Enquêter > Hôtes affiche tous les hôtes doté d'un agent. Par défaut, les hôtes sont répertoriés en fonction de la dernière heure d'analyse, avec les hôtes dernièrement analysés en tête de liste. Cela permet d'effectuer une recherche approfondie dans les détails de l'hôte. Voici un exemple de la vue Hôtes.

Hosts View

Cette vue vous permet d'effectuer les opérations suivantes :

  • Filtrez et triez les hôtes pour affiner l'ienquête de l'hôte, afficher les détails de l'hôte et supprimer les hôtes.

  • Exporter les attributs de l'hôte dans un fichier CSV.

  • Démarrer ou arrêter une analyse pour les hôtes sélectionnés

  • Pivoter vers la vue Naviguer ou Analyse d'événements pour enquêter sur l'hôte.

Remarque : Si vous disposez de NetWitness Endpoint 4.4.0.2 ou version ultérieure dans votre déploiement, les hôtes sur lesquels l'agent 4.4.0.2 est installé sont répertoriés et peuvent être identifiés à l'aide de la version de l'agent. Pour plus d'informations sur la façon dont vous pouvez étudier ces hôtes, voir Enquêter sur les hôtes NetWitness Endpoint 4.4.0.2 ou version ultérieure.

Vous pouvez afficher les résultats de l'analyse détaillée d'un hôte en cliquant sur son nom. Cette figure est un exemple des résultats d'analyse détaillés dans l'onglet Vue d'ensemble.

Host Details View

Vous pouvez :

  • Effectuer une recherche sur tous les snapshots (nom de fichier, chemin de fichier et fichier de contrôle SHA-256 sont les champs de recherche pris en charge.
  • Afficher plusieurs snapshots. Par défaut, les données du dernier snapshot sont affichées.
  • Afficher des informations sur les hôtes via les onglets suivants : Présentation, Processus, Exécutions automatiques, Fichiers, Pilotes, Bibliothèques et Informations du système.
  • Exporter toutes les catégories de données de point de terminaison pour l'hôte sélectionné pour un snapshot spécifique au format JSON.

Vue Fichiers

La vue Fichiers fournit une liste de fichiers uniques trouvés dans votre déploiement et leurs propriétés associées. Par défaut, les fichiers sont répertoriés en fonction de la première heure d'affichage. Les types de fichiers suivants, chargés dans la mémoire, sont collectés pendant l'analyse.

  • Portable Executable (PE) (Windows) - Il s'agit de fichiers exe, dll et sys Vous pouvez afficher les propriétés suivantes pour chaque fichier : somme de contrôle, détails de compilation, différentes sections présentes dans le fichier, bibliothèques importées et détails du certificat (signataire, empreinte, nom de l'entreprise).

  • Macho (Mac) : Il s'agit d'ensembles d'applications, de dylibs et d'extensions de noyau. Vous pouvez afficher les propriétés suivantes pour chaque fichier : somme de contrôle, différentes sections présentes dans le fichier, bibliothèques importées et détails du certificat (signataire, empreinte, nom de l'entreprise).
  • Format ELF (Executable and Linkable Format) (Linux) - Chaque fichier contient des informations sur la somme de contrôle, les différentes sections présentes dans le fichier et les bibliothèques importées.

Voici un exemple de la vue Fichiers.

Files View

Dans la vue Fichiers, vous pouvez :

  • Filtrer et trier les fichiers pour affiner les critères de l'enquête.

  • Pivoter vers la vue Naviguer ou Analyse d'événements pour enquêter sur le fichier

  • Exporter les fichiers dans un fichier CSV

Vue Analyse de malware

La vue Malware Analysis fournit un moyen d'analyser certains types d'objets de fichiers (par exemple, Windows Portable Executable [PE], PDF et Microsoft Office) pour évaluer la probabilité qu'un fichier est malveillant. La figure suivante illustre la vue Malware Analysis.

Malware Analysis Summary of Events

Vous pouvez ouvrir la vue Malware Analysis directement, ou vous pouvez utiliser faire un clic droit sur une action de menu contextuel pour analyser les malwares à partir d'une métavaleur dans un point d'extraction actuel dans la vue Naviguer. Vous pouvez valoriser les modules d'évaluation à plusieurs niveaux pour hiérarchiser le nombre massif de fichiers capturés afin de concentrer les efforts d'analyse sur les fichiers qui sont plus susceptibles d'être malveillants.

Informations contextuelles pour un événement

À partir de la vue Naviguer, de la vue Événements et de la vue Analyse d’événements (version 11.2 et versions ultérieures), le panneau Recherche contextuelle vous permet de consulter les détails à propos des éléments associés à un événement (adresse IP, utilisateur, hôte, domaine, adresse MAC, nom de fichier et hachage de fichier) dans Context Hub.

  • Vous pouvez interagir avec les éléments d'un événement pour obtenir davantage d'informations, y compris les incidents associés, alertes, listes personnalisées, ressources Archer, informations Active Directory, et NetWitness Endpoint IIOC.
  • Vous pouvez cliquer sur un point de données pour accéder à la vue Naviguer.

Remarque : Les ressources Archer et les détails Active Directory sont disponibles dans la recherche contextuelle de la vue Analyse d'événement. La recherche contextuelle Endpoint est uniquement disponible pour les hôtes NetWitness Endpoint 4.4.0.2 ou version ultérieure, mais pas pour les hôtes NetWitness Endpoint 11.1.

Les figures suivantes montrent le panneau Recherche contextuelle dans Vue Naviguer et dans la vue Analyse d'événement.

example of the Context Lookup panel in the Navigate view

example of the Context Lookup panel in the Event Analysis view

 

Reconstruction d'événement

Trois vues NetWitness Investigate offrent la possibilité de reconstruire un événement : Les vues Naviguer, Événements et Analyse d'événements. Lorsque vous découvrez un événement qui mérite une procédure d'enquête supplémentaire, vous pouvez reconstruire un événement en toute sécurité dans un format similaire à sa forme native. Le rendu des événements limite l'utilisation du code dynamique ou actif qui peut faire partie de l'événement pour limiter les effets négatifs sur votre système ou navigateur. Le cache est utilisé pour améliorer les performances lors de l'affichage d'événements précédemment affichés. Chaque analyste dispose d'un cache distinct de données de reconstruction, et vous ne pouvez accéder qu'à des événements reconstitués dans votre propre cache.

La Reconstruction d'événement dans la vue Événements ou la vue Naviguer présente les données brutes et les clés méta, ainsi que les valeurs de métadonnées pour un événement dans un formulaire de liste. Cette figure est un exemple de la Reconstruction d'événement.

the Event Reconstruction view

Dans Reconstruction d'événement à partir de la vue Naviguer ou Événements :

  • Vous pouvez faire défiler la reconstruction pour afficher l'événement suivant dans ce formulaire.
  • Les événements peuvent être reconstruits à l'aide de différentes méthodes en fonction du type de données : données méta, texte, format hexadécimal, paquets, web, courrier, fichiers ou la meilleure reconstruction sélectionnée automatiquement.
  • Vous pouvez exporter des fichiers de capture de paquets, extraire des fichiers et exporter les valeurs méta pour l'événement.

La vue Analyse d'événements présente une reconstruction d'événement interactive, ce qui inclut les données brutes, les clés et les valeurs méta. Cette figure est un exemple de reconstruction dans la vue Analyse d'événements.

a reconstruction in the Event Analysis view

Dans la reconstruction de la vue Analyse d'événements :

  • Les événements peuvent être reconstruits à l'aide de différentes méthodes en fonction du type de données : données méta, texte, format hexadécimal, paquets, web, courrier et les fichiers.
  • Les informations contenues dans les en-têtes et les charges utiles sont mises en surbrillance.
  • Vous pouvez afficher les charges utiles décodées et codées et voir les signatures de fichiers courantes.
  • Vous pouvez rechercher les emplacements de certaines clés ou valeurs méta dans la reconstruction.
  • Permettent d'exporter les événements et les fichiers.
You are here
Table of Contents > Fonctionnement de NetWitness Investigate

Attachments

    Outcomes