Enquêter : Afficher un contexte supplémentaire pour un point de données

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 3Show Document
  • View in full screen mode
 

 

À partir de la vue événements ou la vue Naviguer, vous pouvez consulter les détails et les renseignements sur les éléments associés à un événement dans le service Context Hub. Les données issues de sources configurées, comme RSA NetWitness Endpoint, peuvent vous aider à comprendre ce qui se passe.

Ces éléments, ou entités, sont des identifiants, par exemple une adresse IP, un nom d'utilisateur, un nom d'hôte, un nom de domaine, un nom de fichier ou hachage de fichier. Pour rechercher des informations externes sur une entité donnée, NetWitness Suite utilise le service Context Hub. Le service Context Hub est un service centralisé qui agrège les données sur les entités de plusieurs sources de données configurables. Ces données peuvent étendre votre procédure d'enquête avec un contexte supplémentaire au-delà des résultats immédiats d'une requête spécifique. Par exemple, le service Context Hub peut vous indiquer si une entité donnée a été mentionnée dans des incidents, alertes, flux ou publications de renseignements de la communauté.

Lorsque vous cliquez avec le bouton droit de la souris sur l'entité dans Enquêter, le service Context Hub interroge les sources de données configurées pour obtenir des informations pertinentes. Le panneau Recherche contextuelle s'ouvre depuis le côté droit de la fenêtre du navigateur. Le panneau Recherche contextuelle est renseigné avec les informations du service Context Hub dès que possible.

Pour effectuer une autre recherche, cliquez avec le bouton droit sur une autre entité. Le panneau Recherche contextuelle est mis à jour avec les informations de cette entité.

Pour fermer le panneau Recherche contextuelle, cliquez sur X.

Dans le panneau Recherche contextuelle, vous pouvez visualiser et explorer des sources de données pour approfondir la procédure d'enquête. Par exemple, lorsque vous cliquez sur une valeur particulière Incident, le détail de l'incident est affiché dans la vue Répondre.

Pour une description détaillée des informations affichées dans chaque source de données du panneau Recherche contextuelle, consultez Panneau Recherche contextuelle.

Avant qu'un analyste ne puisse afficher des informations contextuelles, l'administrateur doit :

  • Assurez-vous que l'analyste dispose d'un rôle disposant de l'autorisation Context Lookup, comme décrit dans « Autorisations du rôle » et « Gérer les utilisateurs avec les rôles et autorisations » dans le Guide de la sécurité du système et de la gestion des utilisateurs.
  • Ajoutez le service Context Hub dans RSA NetWitness Suite.
  • configurer les sources de données du service Context Hub, comme indiqué dans le Guide de configuration de Context Hub.

Remarque : Accédez à la Table des matières principale de NetWitness Logs & Packets 11.x afin de trouver tous les documents NetWitness Suite 11.x.

Pour afficher des informations dans le panneau Résumé du contexte :

  1. Dans la vue Naviguer ou Événements, identifiez une valeur méta pour laquelle vous souhaitez afficher un contexte supplémentaire et survolez la valeur méta.
    Le panneau Points forts du contexte s'affiche avec un rapide résumé du type de données contextuelles disponible pour la source de données : NetWitness Endpoint, Incidents, Alertes, Hôtes, Fichiers, Flux et Live Connect.
  2. Cliquez avec le bouton droit sur une valeur méta, puis cliquez sur Contexte Recherche dans le menu déroulant pour ouvrir le panneau Recherche contextuelle.
    This is the menu with Context Lookup
    Le panneau Récapitulatif du contexte s'ouvre depuis le côté droit de la fenêtre du navigateur. Le panneau Récapitulatif du contexte est renseigné avec les informations du service Context Hub dès que possible.
  3. Pour effectuer des actions à partir du panneau Contexte, cliquez sur une entité, comme l'adresse IP, et effectuez un clic droit.
    Les options suivantes sont disponibles : Ouvrir le lien dans un nouvel onglet, Requête dans Enquêter, Copier le lien, Coller, Recherche Google, Recherche total de virus et Requête dans le point de terminaison.

 
You are here
Table of Contents > Interrogation et action sur les données dans les vues Naviguer et Événements > Afficher un contexte supplémentaire pour un point de données

Attachments

    Outcomes