Investigate : Vue Reconstruction d'événement

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 3Show Document
  • View in full screen mode
 

La vue Reconstruction d'événement fournit une reconstruction d'un événement sélectionné à partir de la Vue Événements. Par défaut, NetWitness Suite affiche la meilleure reconstruction pour l'événement déterminée par son contenu ou la reconstruction par défaut que vous avez sélectionnée dans le paramètre Vue Session par défaut pour Enquêter. Vous pouvez utiliser les options de la barre d'outils Reconstruction d'événement pour modifier la méthode de reconstruction, afficher les résultats de haut en bas ou côte à côte, sélectionner les vues de demande et de réponse, exporter un événement, exporter des métavaleurs, extraire des fichiers, ouvrir la pièce jointe d'un e-mail, et ouvrir l'événement dans un nouvel onglet.

Pour accéder à cette vue, procédez de l'une des façons suivantes :

  • Dans la vue Événements, double-cliquez sur un événement.
  • Dans la vue Événements avec la vue Détails sélectionnée, cliquez avec le bouton droit de la souris sur Analyse d'événements à la fin de l'événement, puis sélectionnez Reconstruction d'événement.
  • Dans la barre d'outils Reconstruction d'événement de la reconstruction prévisualisée, cliquez sur Ouvrir l'événement dans un nouvel onglet.
  • Dans la vue naviguer, sélectionnez Actions > Accéder à un événement dans Reconstruction d'événement, puis saisissez un ID d'événement.

Workflow

high-level Investigate workflow with Reconstruct an Event highlighted

Que voulez-vous faire ?

                                                          
Rôle d'utilisateurJe souhaite...Documentation relative à la version 11.1
Responsable de la recherche des menaces

parcourir les métadonnées d'événement

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

parcourir les événements bruts

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

analyser les métadonnées et événements bruts

Commencer une procédure d'enquête dans la vue Analyse d'événements

Responsable de la recherche des menacesexaminer les points de terminaison (Version 11.1)Examiner les hôtes

Responsable de la recherche des menaces

rechercher des fichiers de point de terminaison suspects (Version 11.1)

Examiner les fichiers

Responsable de la recherche des menacesanalyser les fichiers et les événements des programmes malveillantsMener une analyse de malware

Responsable de la réponse aux incidents

triage d'un incident dans Investigate

Guide d'utilisation de NetWitness Respond

Responsable de la recherche des menacesreconstruire un événementReconstruire un événement

Responsable de la recherche des menaces

extraire des fichiers d'un événement reconstruit

Reconstruire un événement

*Vous pouvez effectuer cette tâche dans la vue actuelle.

Rubriques connexes

Aperçu rapide

Cette figure est un exemple de la vue Reconstruction d'événement. Le tableau suivant décrit les options de la barre d'outils.

The Event Reconstruction window

             >                 
FonctionnalitéDescription
Requête et réponseAffiche un menu déroulant permettant de sélectionner ce que la vue affiche :
  • Requête et réponse
  • Demande
  • Réponse
OrganisationAffiche un menu déroulant permettant d'indiquer si les informations doivent être affichées de haut en bas ou côte à côte.
VueAffiche un menu déroulant permettant de sélectionner les informations à afficher : Par défaut, l'option Meilleure reconstruction est activée. Autres options disponibles :
  • Afficher les méta
  • Afficher le texte
  • Afficher Hex
  • Afficher les paquets
  • Afficher le Web
  • Afficher la messagerie
  • Afficher les fichiers
ActionsAffiche un menu déroulant répertoriant les actions disponibles dans la vue Reconstruction d'événement.
Ouvrir l'événement dans un nouvel ongletOuvre l'événement dans un nouvel onglet du navigateur.

Une liste de clés méta et de valeurs apparaît sous la barre d'outils. Certaines de ces clés permet d'accéder à un menu déroulant répertoriant les actions disponibles.

La barre située sous la vue contient plusieurs options.

                       
FonctionnalitéDescription
Left arrow Affiche l'événement précédent.
Right arrow Affiche l'événement suivant.
Afficher le log de reconstructionAffiche le log de reconstruction au bas de la vue. Si vous cliquez sur ce bouton, son intitulé devient Masquer le log de reconstruction.
Next Topic:Vue Événements
You are here
Table of Contents > Matériaux de référence Enquêter > Vue Reconstruction d'événement

Attachments

    Outcomes