Enquêter : Gérer les groupes méta

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 3Show Document
  • View in full screen mode
 

Un groupe méta associe les clés méta sélectionnées en un groupe pour afficher uniquement les données dans lesquelles les clés méta et entités méta ont été trouvées.

Remarque : Dans la version 11.1 ou supérieure, vous pouvez également utiliser des entités méta configurées en groupes méta.

Dans la vue Enquêter > Naviguer, vous pouvez définir des groupes méta afin de filtrer les données affichées dans une procédure d'enquête. Une nouvelle installation de NetWitness Suite inclut les groupes méta prêts à l'emploi pour vous aider à trouver des jeux de données intéressants dans Enquêter. Les groupes méta prêts à l'emploi sont précédés de RSA pour leur identification. Ils peuvent être dupliqués, mais pas modifiés ou supprimés. Vous pouvez créer vos propres groupes et dupliquer et modifier un groupe prêt à l'emploi pour créer un groupe personnalisé.

Avec un groupe méta en vigueur au cours d'une procédure d'enquête, les informations contenues dans le panneau Valeurs affichent uniquement les clés méta du groupe sélectionné. Lorsque vous ouvrez une visualisation de coordonnées parallèles, les clés méta et entités méta d'un groupe apparaissent sous la forme d'axes de gauche à droite. Il peut s'avérer utile de créer deux versions de chaque groupe méta personnalisé ; une version pour l'analyse des valeurs méta et une autre pour la création d'un graphique de coordonnées parallèles en s'attachant à un sous-ensemble de plus petite taille pour le même cas d'utilisation.

Les métagroupes personnalisés sont visibles par tous les utilisateurs d'un service et peuvent être exportés à des fins d'importation vers n'importe quel service, avec une limitation par les clés méta disponibles pour ce service.

Remarque : Lorsqu'un administrateur ajoute des métagroupes personnalisés manuellement en modifiant le fichier d'index personnalisé d'un service, les nouveaux groupes deviennent disponibles pour la procédure d'enquête après le redémarrage du service.

Cette section décrit comment ajouter, modifier, importer, exporter et supprimer des métagroupes personnalisés à utiliser lors de la navigation sur un service spécifique.

Groupes méta prêts à l'emploi

Les groupes méta prêts à l'emploi sont intégrés à la Suite RSA NetWitness. Les groupes méta par défaut sont utiles pour concentrer une procédure d'enquête sur les exemples d'utilisation courants et pour prendre en charge la détection des menaces à l'aide de RSA Hunting Pack.

Voici les groupes méta prêts à l'emploi :

  • RSA Email Analysis comprend des clés méta qui présentent des interactions d'e-mail.
  • RSA Endpoint Analysis contient des clés méta qui fournissent des informations sur les processus, les fichiers, les utilisateurs et les connexions à partir des hôtes NetWitness Endpoint (NWE).
  • RSA Malware Analysis comprend des clés méta qui marquent les indicateurs de compromission dans les fichiers contenus dans les événements.
  • RSA Outbound HTTP comprend des clés méta qui améliorent la visibilité du trafic web sortant.
  • RSA Outbound SSL/TLS comprend des clés méta qui se concentrent sur le trafic web chiffré.
  • RSA Query Hosts comprend des clés méta qui incluent toutes les clés méta pour rechercher des hôtes.
  • RSA Query IPs comprend des clés méta qui incluent toutes les clés méta pour rechercher des adresses IP.
  • RSA Query Mail comprend des clés méta qui incluent toutes les clés méta pour rechercher des e-mails.
  • RSA Query Users comprend des clés méta qui incluent toutes les clés méta pour rechercher des utilisateurs.
  • RSA Threat Analysis comprend des clés méta qui marquent les menaces potentielles du jeu de données.
  • RSA Web Analysis comprend des clés méta qui marquent des anomalies dans le trafic web.

Créer un groupe méta et ajouter des clés méta

  1. Lors de la procédure d'enquête menée sur un service, dans la vue Enquêter > Naviguer, sélectionnez Méta > Gérer les groupes méta dans la barre d'outils.
    La boîte de dialogue Gérer les groupes méta s'affiche. Initialement, seuls les groupes prêts à l'emploi sont configurés pour un service et répertoriés sous Nom du groupe. Si d'autres groupes personnalisés ont été configurés, ils apparaissent également sous le nom du groupe.
    Manage Meta Groups Dialog
  2. Dans la barre d'outils de la grille, cliquez sur Add Icon.
    Une nouvelle ligne est insérée en haut de la grille Groupes méta.
  3. Saisissez un nom pour le nouveau groupe méta, puis appuyez sur la touche Entrée.
    Le formulaire à droite s'ouvre pour édition.
    Manage Meta Groups dialog ready to create a New Meta Group
  4. (Facultatif) Si vous souhaitez modifier le nom du groupe méta, saisissez une nouvelle valeur dans le champ Nom.
  5. Dans la barre d'outils Clés méta, cliquez sur Add Icon.
    La boîte de dialogue Clés méta disponibles s'affiche avec les clés classées par ordre alphabétique.
    the Available Meta Keys dialog
  6. Pour filtrer la liste des clés méta, saisissez un mot ou une phrase dans le champ Filtrer, puis appuyez sur Entrée.
    La liste affiche les correspondances de clés méta trouvées par la recherche insensible à la casse. Supprimez le texte du filtre et appuyez sur Entrée pour retirer le filtre.
  7. Pour sélectionner les clés métas à ajouter au métagroupe, activez les cases à cocher correspondantes. Pour sélectionner toutes les clés méta, activez la case à cocher dans la barre de titre, puis cliquez sur Ajouter.
    Les clés méta sont ajoutées à la liste des clés méta.
  8. (Facultatif) Si vous souhaitez changer l'ordre dans lequel les clés méta sont chargées et répertoriées dans la procédure d'enquête, cliquez sur une ou plusieurs clés méta et faites-les glisser vers une nouvelle position.
  9. Pour terminer la création du métagroupe, procédez de l'une des manières suivantes :
    1. Pour enregistrer le groupe méta, cliquez sur Enregistrer.
      Le groupe est créé et disponible à l'utilisation.
    2. Pour enregistrer et appliquer le groupe méta dans la vue Procédure d'enquête active, cliquez sur Enregistrer et appliquer.
      Le groupe est créé et appliqué immédiatement à la vue Procédure d'enquête active.
  10. Cliquez sur Fermer.

Dupliquer et modifier un groupe méta prêt à l'emploi

Si vous souhaitez personnaliser un groupe méta prêt à l'emploi, vous devez dupliquer le groupe, puis modifier la duplication.

  1. Sélectionnez un groupe méta prêt à l'emploi dans la grille Gérer les groupes méta, puis cliquez sur .
    Le formulaire à droite s'ouvre pour modification avec toutes les clés méta telles qu'elles sont dans le groupe prêt à l'emploi.
    Manage Meta Groups dialog with form open to select meta keys
  2. Entrez un nom pour le nouveau groupe et continuez la modification comme décrit dans « Modifier un groupe méta » ci-dessous.

Modifier un métagroupe

  1. Sélectionnez un groupe dans la grille Groupes méta.
    Le formulaire à droite s'ouvre pour édition.
    Edit Meta Group
  2. (Facultatif) Modifiez le nom du groupe.
  3. Facultatif) Ajoutez de nouvelles clés méta, comme décrit ci-dessus dans la rubrique Créer un groupe méta et ajouter des clés méta.
  4. (Facultatif) Pour définir l'ordre des clés, faites glisser-déplacer une ou plusieurs clés.
  5. (Facultatif) Pour modifier la vue initiale d'une clé méta, cliquez sur View Options et choisissez l'une des vues possibles.
    Lorsque vous modifiez le métagroupe, vous ne pouvez pas définir la clé sur OUVERT. Si vous modifiez la vue par défaut d'un groupe de clés méta sur OUVERT et si certaines des clés méta ne sont pas indexées, ces dernières reprennent la valeur AUTO. La clé méta est donc automatiquement chargée uniquement si elle est indexée, et les clés méta non indexées adoptent l'état FERMÉ jusqu'à ce qu'elles soient ouvertes manuellement.
    La valeur de la vue initiale s'affiche dans la colonne Vue.
  6. Pour enregistrer les modifications, cliquez sur Enregistrer.
  7. Pour appliquer les modifications à la vue Navigation active, cliquez sur Enregistrer et appliquer.

Supprimer un métagroupe

  1. Dans la grille Groupes méta, sélectionnez le groupe à supprimer.
  2. Cliquez sur Delete.
    Une fenêtre de confirmation vous permet d'annuler ou d'exécuter la demande.
  3. Cliquez sur OK.
    Le métagroupe est supprimé. Lorsque vous fermez la fenêtre, si le groupe supprimé était le métagroupe actif, il sera supprimé et les clés méta par défaut seront utilisées pour créer la vue.

Exporter un métagroupe

Les métagroupes définis par l'utilisateur sont créés sur les services individuels. Pour créer des métagroupes disponibles sur un autre service, vous devez les exporter vers votre système de fichiers local. Pour exporter un ou plusieurs groupes méta.

  1. Dans la grille Groupes méta, sélectionnez un ou plusieurs groupes à exporter.
  2. Cliquez sur Export.
    Les groupes sélectionnés sont téléchargés sur votre système de fichiers local sous la forme d'un fichier MetaGroups.jsn. Chaque téléchargement de métagroupes porte le même nom avec un numéro joint pour éviter d'écraser les téléchargements précédents.

Importer un métagroupe

Pour rendre les métagroupes personnalisés disponibles sur le service actif faisant l'objet d'une procédure d'enquête, importez le fichier MetaGroups.jsn à partir du système de fichiers local. Lors de l'importation de groupes méta, un message d'erreur s'affiche si l'un des groupes existe déjà. Pour importer un groupe qui est un réplica, vous devez d'abord supprimer le groupe existant. Si vous souhaitez supprimer un groupe méta, il ne peut pas être utilisé par un profil.

Pour importer des métagroupes :

  1. Dans la grille Groupes méta, sélectionnez un fichier à importer et cliquez sur Import.
    La boîte de dialogue de sélection s'affiche.
    Meta Group Import
  2. Cliquez sur Parcourir et accédez au répertoire sur votre système de fichiers local où sont stockés les fichiers MetaGroups.jsn téléchargés. Sélectionnez un fichier, puis cliquez sur Ouvrir.
    Le nom du fichier s'affiche dans le champ Télécharger le fichier.
  3. Cliquez sur Télécharger.
    Le processus de téléchargement commence, puis un message indique la réussite de l'opération. Les métagroupes sont ajoutés à la grille Groupe méta. Si le fichier est un doublon d'un métagroupe existant, une fenêtre vous indique que le métagroupe existe déjà.
You are here
Table of Contents > Procédure d'enquête relative aux métadonnées dans la vue Naviguer > Gérer les groupes méta

Attachments

    Outcomes