Vue Configuration des services - Onglet Audit

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Dans la Vue Événements et le panneau Nouveaux Vue Événements - Reconstruction (Enquêter > panneau Événements > cliquez sur un événement), vous pouvez afficher en toute sécurité une reconstruction d’un événement intéressant qui se trouve dans la vue Naviguer ou le panneau Événements.

Workflow

Que voulez-vous faire ?

                                      
Rôle d’utilisateurJe souhaite...Documentation

Responsable de la recherche des menaces

envoyer une requêteMener une procédure d'enquête
Responsable de la recherche des menacesafficher les résultats de la requêteAnalyser les événements dans la vue Analyse d’événements

Responsable de la recherche des menaces

reconstruire un événement*

Reconstruire un événement

Responsable de la recherche des menacesexporter des fichiers à partir d’un événementReconstruire un événement
Responsable de la recherche des menacesRechercher un contexte supplémentaire sur un événementRecherche d’informations contextuelles

Rubriques connexes

  • Fonctionnement de NetWitness Investigate
  • Mener une procédure d'enquête
  • Analyser les événements dans la vue Analyse d’événements
  • Vue Naviguer
  • Vue Analyse d’événements - Panneau Analyse de texte

Aperçu rapide

Le panneau Reconstruction d’Enquêter affiche une reconstruction d’un seul événement dans Vue Paquet, Vue Fichiers et Vue Texte. Lorsque vous cliquez sur un événement dans le panneau Événements, le panneau Reconstruction adjacent présente la reconstruction de paquets de l’événement. Vous pouvez utiliser les options dans la barre d’outils Reconstruction d'événement pour modifier le type de reconstruction et l’orientation (demande ou réponse), pour masquer ou afficher le panneau d’en-tête et pour développer, réduire et fermer le panneau Reconstruction d'événement. Selon le type de reconstruction sélectionné et le contenu de la charge utile, des options supplémentaires sont disponibles. Vous pouvez, par exemple, afficher la charge utile uniquement dans la vue Texte, télécharger les fichiers dans la vue Fichiers et télécharger les fichiers PCAP dans la vue Paquet.

Vous trouverez ci-dessous un exemple d’une reconstruction de paquets.

Event Reconstruction with labels

                                     
1Onglets ou menu déroulant permettant de sélectionner le type de reconstruction : vue des paquets, du fichier ou du texte. Le type sélectionné s’affiche dans le libellé.
2Cliquez sur cet élément pour masquer ou afficher le panneau de l’en-tête.
3Cliquez sur ces icônes pour afficher la demande, la réponse ou les deux.
4Cliquez sur cette icône pour afficher ou masquer le panneau Méta de l'événement, qui fournit une liste détaillée des métadonnées associées à l’événement.
5Option permettant de développer ou de réduire le panneau Reconstruction horizontalement dans la vue Naviguer.
6Option permettant de fermer le panneau Reconstruction.
7L’en-tête affiche des informations récapitulatives sur l’événement en cours de reconstruction.
8Répertorie chaque paquet de l’événement. Pour chaque paquet, vous pouvez voir le numéro, l’orientation (demande ou réponse) et le contenu du paquet dans un format binaire sur la gauche, dans un format hexadécimal au milieu et dans un format texte sur la droite.

Détails de la reconstruction de paquets

Dans la reconstruction de paquets, la vue Enquêter indique le nombre de paquets, l’orientation du paquet (demande ou réponse), l’heure de début du paquet et son contenu.

Tous les paquets commencent par un en-tête, et certains ont un pied de page. Dans la vue Paquet, l’en-tête et le pied de page affichent un arrière-plan plus sombre qui vous permet de les distinguer de la charge utile du paquet. L’arrière-plan plus sombre de l’en-tête et du pied de page s’affiche au format hexadécimal et texte.

a header and footer in the Packet View

Le contenu du paquet est fourni au format hexadécimal et au format texte. Les métadonnées sont mises en surbrillance en bleu ; lorsque vous passez le pointeur de la souris sur les métadonnées, les informations relatives aux clés méta/métavaleurs s’affichent sous la forme d’une infobulle.

Des options supplémentaires dans la vue Paquet incluent la possibilité de télécharger le fichier PCAP de l’événement et d’afficher uniquement les charges utiles. Lorsque seule la charge utile est affichée, vous pouvez utiliser l’option Octets d’ombrage pour mieux différencier les schémas dans les données.

Détails de la reconstruction de texte

Dans la reconstruction de texte, les événements de réseau et de log sont présentés différemment. Pour les événements de réseau, Enquêter affiche l’orientation du paquet (demande ou réponse) et le contenu de chaque paquet au format texte.

Pour les événements de log (filtre sur Moyen = Log), il n’existe aucune demande ou réponse ; seul le log brut s’affiche dans la reconstruction de texte.


Un sous-ensemble des options de reconstruction est disponible dans la vue Texte. Vous pouvez :

  • Masquer et afficher l’en-tête.
  • Pour les événements de réseau, sélectionner l’affichage des demandes uniquement, des réponses uniquement, ou les deux.
  • Pour les événements de réseau, exporter la session en tant que fichier PCAP.
  • Pour les événements de log, exporter le log brut.
  • Basculer entre une vue compressée et une vue décompressée des charges utiles. Lorsque la session est décompressée, les parties compressées du texte deviennent lisibles.
  • Sélectionner le texte pour le décodage et l’encodage.

Remarque : cette fonction n’est pas disponible pour la vue Fichiers, pour les sessions réseau non http et pour les données de log.

Détails de la reconstruction de fichier

Dans la reconstruction de fichier, Enquêter contient une liste de fichiers associés à l’événement de réseau sélectionné.

Vous pouvez sélectionner un seul fichier, un ou plusieurs fichiers, ou la totalité d'entre eux à exporter vers votre système de fichiers local. Lorsque des fichiers sont sélectionnés, le bouton Exporter des fichiers devient actif et reflète le nombre de fichiers sélectionnés. En cliquant sur ce bouton, les fichiers sélectionnés sont exportés en tant qu’archive zip, ce qui garantit que les fichiers potentiellement malveillants ne seront pas ouverts par l’application par défaut et exécutés. L’archive exportée est nommée à l’aide de la convention suivante :

<service-ID or host name>_SID<nnnnnnnn>_FC<n>.zip

où :

  • <service-ID or host name> est le nom du service (par exemple, Concentrator ou Broker) où la session a été enregistrée
  • SID<nnnnnnnn> est le numéro d’ID de la session
  • FC<nnnnnnnn> est le nombre de fichiers contenus dans l’archive

Pour empêcher une archive d’être décompressée automatiquement lors de son téléchargement, NetWitness Suite exporte l’archive sous la protection d’un mot de passe. Pour ouvrir une archive, saisissez le mot de passe suivant : netwitness.

Attention : Procédez avec prudence lors de la décompression et de l’ouverture de fichiers associés à une application par défaut ; par exemple, une feuille de calcul Excel peut automatiquement s’ouvrir dans Excel avant que vous ayez le temps de vérifier qu’elle ne présente aucun risque.

Description détaillée

                                           
FonctionDescription
Menu du type de reconstructionDans ce menu, vous pouvez sélectionner le type de reconstruction : Paquet ou Fichier. Lorsque vous ouvrez une reconstruction pour la première fois, NetWitness Suite choisit la meilleure reconstruction par défaut.
Options de téléchargementOptions permettant d’exporter un log, un fichier PCAP ou des fichiers en vue d’une analyse plus approfondie et d’un partage avec d’autres utilisateurs.
Contrôle l’affichage d’un en-tête au-dessus de la liste des paquets ; vous pouvez cliquer sur cette icône pour afficher ou masquer l’en-tête. Le fait de masquer l’en-tête offre plus d’espace pour la liste des paquets, en réduisant le défilement requis pour afficher plus de paquets.
L’en-tête fournit des informations sur l’événement reconstruit : nom du service qui a collecté le paquet, numéro de session ou d’événement, type d’événement (réseau), IP source : port, IP cible : port, type de service, heure du premier paquet dans l’événement, heure du dernier paquet dans l’événement, taille de l’événement, taille de la charge utile en octets, nombre de paquets et indicateurs appliqués à l’événement (conservation, assemblage, méta d’application, méta réseau).

Deux commandes permettent d’afficher ou de masquer la demande et la réponse (voir Reconstruire un événement).

Affiche les détails méta de l’événement dans un autre panneau.

(À venir) Menu Paramètres.
Commandes de redimensionnement pour le panneau Reconstruction (voir Reconstruire un événement).

Ferme le panneau Reconstruction. La vue affiche désormais uniquement le panneau Événements.

You are here
Table of Contents > Références de Malware Analysis > Vue Configuration des services - onglet Audit

Attachments

    Outcomes