Enquêter : Rechercher un contexte supplémentaire dans les vues Naviguer et Événements

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 4Show Document
  • View in full screen mode
 

 

À partir de la vue événements et la vue Naviguer, vous pouvez consulter les détails et les renseignements sur les éléments associés à un événement dans le service Context Hub. (Dans la version 11.2 et versions ultérieures, vous pouvez également rechercher un contexte supplémentaire dans la vue Analyse d'événements, comme décrit dans Rechercher un contexte supplémentaire dans la vue d'analyse d'événement). Ces éléments, ou entités, sont des identifiants, tels qu'une adresse IP, un nom d'utilisateur, un nom d'hôte, un nom de domaine, un nom de fichier ou un hachage de fichier. Les données issues de sources configurées, comme RSA NetWitness Endpoint, peuvent vous aider à comprendre ce qui se passe.

Remarque : Pour activer l'affichage des informations contextuelles, votre administrateur doit ajouter le service Context Hub dans la plate-forme RSA NetWitness et configurer les sources de données pour le service Context Hub comme décrit dans le guide de configuration de Context Hub. L’analyste dispose également d’un rôle disposant de l’autorisation Context Lookup, comme décrit dans « Autorisations du rôle » et « Gérer les utilisateurs avec les rôles et autorisations » dans le Guide de la sécurité du système et de la gestion des utilisateurs. Accédez à la Table des matières principale pour rechercher tous les documents sur NetWitness Platform Logs & Network 11.x.

Le service Context Hub est un service centralisé qui agrège les données sur les entités de plusieurs sources de données configurables. Ces données peuvent étendre votre procédure d'enquête avec un contexte supplémentaire au-delà des résultats immédiats d'une requête spécifique. Par exemple, le service Context Hub peut vous indiquer si une entité donnée a été mentionnée dans des incidents, alertes, flux ou publications de renseignements de la communauté.

Dans la vue Naviguer et Événements, les entités ayant des données de contexte associées disponibles sont mises en surbrillance avec un arrière-plan gris ; passez sur la souris sur une entité pour afficher un récapitulatif des données disponibles. Lorsque vous cliquez avec le bouton droit sur l'entité, Context Hub interroge les sources de données configurées pour les informations pertinentes, et le panneau Recherche contextuelle s'ouvre à partir du côté droit de la fenêtre du navigateur. Le panneau Recherche contextuelle est renseigné avec les informations du service Context Hub dès que possible. Pour effectuer une autre recherche, cliquez avec le bouton droit sur une autre entité. Le panneau Recherche contextuelle est mis à jour avec les informations de cette entité.

example of the Navigate view with the Context Lookup panel open

Dans le panneau Recherche contextuelle, vous pouvez visualiser et explorer des sources de données pour approfondir la procédure d'enquête. Pour une description détaillée des informations affichées dans chaque source de données, consultez Panneau Recherche contextuelle.

Pour afficher des informations dans le panneau Recherche contextuelle dans la vue Naviguer ou dans la vue Événements :

  1. Pointez sur différentes méta-valeurs pour voir les sources de données pour lesquelles des données sont disponibles.
    Une zone de pointage affiche une liste des sources de données dont les données de contexte sont disponibles pour la valeur méta. Les sources de données possibles sont les suivantes : NetWitness Endpoint, Incidents, Alertes, Hôtes, Fichiers, Flux et Live Connect.
  2. Cliquez avec le bouton droit sur une valeur méta, puis cliquez sur Contexte Recherche dans le menu déroulant pour ouvrir le panneau Recherche contextuelle.
    This is the menu with Context Lookup
    Le panneau Recherche contextuelle s'ouvre depuis le côté droit de la fenêtre du navigateur. Le panneau Recherche contextuelle est renseigné avec les informations du service Context Hub dès que possible.
  3. Pour effectuer des actions à partir du panneau Recherche contextuelle, cliquez sur une entité, comme l'adresse IP.
    Les options suivantes sont disponibles : Ouvrir le lien dans un nouvel onglet, Requête dans Enquêter, Copier le lien, Coller, Recherche Google, Recherche total de virus et Requête dans le point de terminaison.

  4. Pour fermer le panneau Recherche contextuelle, cliquez sur X.
 
You are here
Table of Contents > Interrogation et action sur les données dans les vues Naviguer et Événements > Rechercher un contexte supplémentaire dans les vues Naviguer et Événements

Attachments

    Outcomes