NW : Navigation de base dans NetWitness Suite

Document created by RSA Information Design and Development on Apr 24, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

L'application NetWitness Suite est divisée en cinq zones fonctionnelles principales, appelées vues, basées sur des rôles SOC (Security Operation Center) standard.

This image shows the NetWitness Suite log in dialog and the five top-level menu items: Respond, Investigate, Monitor, Configure, and Admin.

  • RÉPONDRE : Cette vue est destinée aux Responsables de la réponse aux incidents, qui peuvent afficher la liste des incidents prioritaires à des fins de triage. Ces incidents proviennent de sources telles que les règles ESA, NetWitness Endpoint, ou des modules ESA Analytics pour la détection automatisée des menaces. Vous pouvez également afficher toutes les alertes reçues par NetWitness Suite ici.
    Dans la version 10.6, cette vue correspondait à la vue Gestion des incidents. La liste Alertes de la vue Répondre remplace les alertes ESA 10.6 > vue Résumé.
  • ENQUÊTER : Cette vue est principalement destinée aux responsables de la recherche des menaces avancées, qui préfèrent rechercher les menaces manuellement en utilisant les métadonnées, les données d'événement brutes, ainsi que la reconstruction et l'analyse d'événements NetWitness Suite. Les responsables de la réponse aux incidents utilisent également cette vue pour obtenir des détails sur les événements associés à un incident faisant l'objet d'une enquête. Dans cette vue, les responsables de la recherche des menaces et les responsables de la réponse aux incidents peuvent utiliser les fonctions de reconstruction d'événements en analyse approfondie, ainsi que les fonctions d'analyse d'événements.
  • SURVEILLER : Cette vue est destinée à tous les utilisateurs. Vous pouvez afficher des tableaux de bord et des rapports sur différentes zones d'intérêt en fonction de vos autorisations utilisateur. NetWitness Suite s'ouvre par défaut sur cette vue.
    Dans la version 10.6, cette vue correspond à la vue Tableau de bord.
  • CONFIGURER : Cette vue est destinée au Personnel chargé des renseignements sur les menaces (contenu), qui configure des sources de données et les intègre à NetWitness Suite. Le Personnel chargé des renseignements sur les menaces utilise cette zone pour télécharger et gérer le contenu Live. Il peut également créer et gérer des incidents, ainsi que des règles ESA.
    Dans la version 10.6, cette vue correspondait à Live, Incidents > Configurer et Alertes > Configurer depuis la version précédente.
  • ADMIN : Cette vue est destinée aux Administrateurs système, qui configurent et gèrent l'application globale.
    Dans la version 10.6, il s'agit de la vue Administration sans les sections de la vue Configurer.

Accès aux vues principales

Les options qui ouvrent chacune des vues principales sont répertoriées en haut de la fenêtre du navigateur. Si vous disposez des autorisations appropriées, à tout moment, vous pouvez accéder à n'importe quelle vue figurant en haut de chaque fenêtre du navigateur.

This figure shows the NetWitness Suite main menu.

Menus secondaires

Certaines vues sont dotées de menus secondaires avec des vues supplémentaires que vous pouvez sélectionner, qui varient en fonction des tâches que vous pouvez effectuer. L'exemple suivant illustre le menu SURVEILLER.

This figure shows the Monitor menu as an example of a secondary menu.

Options supplémentaires

Outre les vues principales, il existe des options supplémentaires en haut de la fenêtre du navigateur qui sont communes à l'ensemble de l'application.


This figure shows the common options available from a classic view. They are Notifications, Preferences, and Help.

Le tableau suivant décrit ces options communes :

                                      
Option communeNomDescription

Jobs icon

Tâches

Dans les vues ENQUÊTER, SURVEILLER, CONFIGURER et ADMIN, cliquez sur cette icône pour afficher et gérer vos tâches dans la barre d'état Tâches. Les tâches sont des tâches à la demande ou planifiées qui prennent un certain temps à s'exécuter dans l'application NetWitness Suite.

Notifications icon NotificationsCliquez sur cette icône pour afficher les notifications issues de l'application.
User Preferences icon showing username Préférences utilisateurCliquez sur cette icône pour afficher vos options de préférences utilisateur disponibles. Vous pouvez gérer vos préférences utilisateur et vous déconnecter de NetWitness Suite.
User Profile menu options (Classic views only) Profil utilisateurCliquez sur votre profil utilisateur pour afficher les options disponibles. Vous pouvez gérer vos préférences utilisateur, changer votre mot de passe et vous déconnecter de NetWitness Suite.
Help icon AideCliquez sur cette icône pour afficher les sections d'aide NetWitness Suite.

Vues principales

Les sections suivantes décrivent les vues principales.

SURVEILLER

La vue SURVEILLER contient le tableau de bord NetWitness Suite. La vue Surveiller fournit des tableaux de bord et des rapports préconfigurés que vous pouvez utiliser, à défaut de créer les vôtres.

This figure shows an example Monitor view showing the default dashboard.

Menu SURVEILLER

This figure shows the Monitor secondary menu: Overview, Reports, and Alerts.

Le menu SURVEILLER comprend les options suivantes :

  • Présentation : La vue Présentation vous permet d'afficher et de gérer vos tableaux de bord. Vous pouvez sélectionner les tableaux de bord préconfigurés suivants :
    • Par défaut
    • Identité
    • Investigation
    • Opérations - Analyse de fichiers
    • Opérations - Logs
    • Opérations - Réseau
    • Opérations - Analyse de protocole
    • Présentation
    • RSA SecurID
    • Menaces - Traque active
    • Menaces - Intrusion
    • Menaces - Indicateurs de programme malveillant

    Dans la version 10.6, cette vue correspondait à la vue Tableau de bord.

  • Rapports : La vue Rapports vous permet d'afficher et de gérer des rapports pertinents pour votre rôle SOC en fonction de vos autorisations attribuées.
                                      
Que puis-je faire ici ?CheminMe montrer comment
Sélectionner un tableau de bord

SURVEILLER > Présentation

Voir Gestion des tableaux de bord.

Créer un tableau de bordSURVEILLER > Présentation

Voir Gestion des tableaux de bord.

Gérer les tableaux de bord

SURVEILLER > Présentation

Voir Gestion des tableaux de bord.

Afficher un rapportSURVEILLER > Rapports > VueReportez-vous au Guide de création de rapports.

Gérer les rapports

SURVEILLER > Rapports > Gérer

Reportez-vous au Guide de création de rapports.

RÉPONDRE

La vue Répondre présente les analystes avec une file d'attente d'incidents dans l'ordre de gravité. Lorsque vous intégrez un incident à la file d'attente, vous recevez des données de support pertinentes pour vous aider à enquêter sur l'incident. À partir de là, vous pouvez déterminer la portée de l'incident et le faire remonter ou bien le corriger, le cas échéant.

Menu RÉPONDRE

Respond Menu

Le menu RÉPONDRE comprend les options suivantes :

  • Incidents : La liste des incidents regroupe tous les incidents avec des informations de base. La vue Détails de l'incident fournit des informations détaillées sur l'incident.
  • Alertes : Les vues Liste des alertes et Détails relatifs aux alertes fournissent des informations sur toutes les alertes de menace et les indicateurs reçus parNetWitness Suite à un même emplacement.
  • Tâches : La vue Liste des tâches vous permet de créer des tâches et de les suivre jusqu'à la fin de leur exécution.

La figure suivante présente la vue Répondre - Liste des incidents.

Respond view - Incident Details view

La figure suivante présente un exemple de la vue Répondre - vue Détails relatifs aux incidents.

Respond view - Incident Details view

Lorsque vous utilisez NetWitness Suite en tant qu'outil de gestion des cas, vous pouvez également gérer les incidents à partir de cette vue. Les nouveaux incidents apparaissent en haut de la file d'attente des incidents dans l'ordre de priorité et les incidents en cours sont en dessous des nouveaux incidents.

La figure suivante illustre le workflow général de la vue Répondre.

This diagram shows a high-level Respond view workflow.

Dans la vue Répondre, les analystes examinent la liste des incidents classés par ordre de priorité et déterminent les incidents nécessitant une action. Ils cliquent sur un incident pour obtenir une image claire de l'incident avec les détails à l'appui afin d'approfondir leur enquête. Les analystes peuvent ensuite déterminer comment répondre à la menace, en faisant remonter l'incident ou en le corrigeant.

                                      
Que puis-je faire ici ?CheminMe montrer comment

Afficher les listes d'incidents prioritaires

RÉPONDRE > Incidents (Liste des incidents)

Consultez le Guide d'utilisation de NetWitness Respond.

Déterminer les incidents exigeant une action
(Triage d'un incident)

RÉPONDRE > Incidents (vue Détails relatifs aux incidents)

Consultez le Guide d'utilisation de NetWitness Respond.

Enquêter sur l'incident

RÉPONDRE > Incidents (vue Détails relatifs aux incidents)

Consultez le Guide d'utilisation de NetWitness Respond. (Vous pouvez également faire pivoter la vue Enquêter.)

Faire remonter ou corriger l'incidentRÉPONDRE > Incidents (vue Détails relatifs aux incidents) et RÉPONDRE > Tâches (vue Liste des tâches)Consultez le Guide d'utilisation de NetWitness Respond.

Vérifier les alertes

RÉPONDRE > Alertes (vues Liste des alertes et Détails relatifs aux alertes)

Consultez le Guide d'utilisation de NetWitness Respond.

ENQUÊTER

La vue Enquêter présente six vues différentes dans un ensemble de données, permettant aux analystes de voir les métadonnées, les données de point de terminaison, les logs, les événements et les indicateurs potentiels de compromis. En plus de rechercher des données sur un service spécifique, vous pouvez pivoter à partir de la vue Répondre, la vue Moniteur, une entrée d'un rapport généré par Reporting Engine, ou une application tierce correctement configurée. Vous pouvez commencer votre procédure d'enquête dans l'une des six vues Enquêter, puis poursuivre l'enquête dans une autre vue Enquêter. La manière dont vous procédez est déterminée par la question à laquelle il faut répondre. Si vous trouvez un événement nécessitant une réponse, vous pouvez créer un incident dans la vue Répondre où un Responsable de la réponse aux incidents prendra d'autres mesures. Le Guide d'utilisation de NetWitness Investigate fournit des informations détaillées.

Menu ENQUÊTER

Investigate submenus

Le menu ENQUÊTER comprend les options suivantes :

  • Parcourir : La vue Naviguer fournit la liste des clés méta et des valeurs méta avec un accent particulier sur les métadonnées. Vous pouvez explorer les données, ouvrir un événement sélectionné dans la vue Événements ou la vue Analyse d'événements, afficher la reconstruction d'un événement, rechercher des événements, rechercher un contexte supplémentaire à partir du service Context Hub et configurer les préférences de la vue Naviguer.
  • Événements : La vue Événements fournit une liste d'événements avec un accent particulier sur les données brutes. Vous pouvez parcourir une liste simple d'événements, une liste détaillée et une liste de logs. Vous pouvez rechercher des événements, ouvrir un événement sélectionné dans la vue Analyse d'événements, afficher la reconstruction d'un événement, effectuer une analyse des événements et configurer les préférences de la vue Événements.
  • Analyse d'événements : la vue Analyse d'événements fournit une liste d'événements avec le focus mis sur les métadonnées et données brutes. Vous pouvez afficher une reconstruction qui offre des indices utiles pour identifier les points d'intérêt dans une reconstruction, accéder à la vue Hôtes, pivoter vers un point de terminaison autonome, rechercher des données dans Live et effectuer des recherches externes.
  • Vue Hôtes : (Version 11.1 ou supérieure) La vue Hôtes répertorie tous les hôtes avec un agent NetWitness Endpoint Insights en cours d'exécution. Pour chaque hôte, vous pouvez voir les processus, les pilotes, les DLL, les fichiers (exécutables), les services et les exécutions automatiques en cours d'exécution, ainsi que les informations relatives aux utilisateurs connectés. Dans la vue Hôtes, vous pouvez accéder aux vues Naviguer et Analyse d'événements.
  • Vue Fichiers : (Version 11.1 ou supérieure) La vue Fichiers répertorie tous les fichiers uniques de votre déploiement et leurs propriétés associées. Pour chaque fichier, vous pouvez afficher des détails tels que la taille du fichier, l'entropie, le format, le nom de l'entreprise, la signature et la somme de contrôle. Dans la vue Fichiers, vous pouvez accéder aux vues Naviguer et Analyse d'événements.
  • Malware Analysis : Malware Analysis est un processeur automatisé d'analyse de malware, conçu pour analyser certains types d'objets fichiers (par exemple, Windows PE, PDF et MS Office) afin d'évaluer la probabilité de leur malveillance. À l'aide de Malware Analysis, vous pouvez classer par ordre de priorité le grand nombre de fichiers capturés afin de concentrer les efforts d'analyse sur les fichiers qui sont les plus susceptibles d'être malveillants. 

La figure suivante montre la vue Enquêter - vue Naviguer.

Navigate view

La figure suivante montre la vue Enquêter - vue Analyse d'événements.

Investigate > Event Analysis view

La figure suivante montre la vue Hôtes - vue Détails de l'hôte.

Investigate - Hosts view Hosts Details view

La figure suivante montre le récapitulatif des événements de Malware Analysis.

the Malware Analysis Summary of Events

La figure suivante illustre le workflow général de la vue Enquêter.

High-Level Investigate Workflow

                                           
Que puis-je faire ici ?CheminMe montrer comment
Parcourir les métadonnées d'événementVue NaviguerVoir « Procédure d'enquête relative aux métadonnées dans la vue Naviguer » dans le Guide d'utilisation de NetWitness Investigate.
Parcourir les événements brutsVue Événements

Voir « Examen des événements bruts dans la vue Événements » dans le Guide d'utilisation de NetWitness Investigate.

Analyser les métadonnées et les événements bruts

Vue Analyse d'événementsVoir « Examen des métadonnées et des événements bruts dans la vue Analyse d'événements » dans le Guide d'utilisation de NetWitness Investigate.

Examiner les points de terminaison

Vue Hôtes

Voir « Enquête sur les hôtes et les fichiers » dans le Guide d'utilisation de NetWitness Investigate.

Rechercher des fichiers de point de terminaison suspectsVue FichiersVoir « Enquête sur les hôtes et les fichiers » dans le Guide d'utilisation de NetWitness Investigate

Analyser les fichiers et les événements des programmes malveillants

Vue Malware Analysis

Voir « Mener une analyse Malware Analysis » dans le Guide d'utilisation de NetWitness Investigate

CONFIGURER

La vue Configurer permet au Personnel chargé des renseignements sur les menaces (contenu) de configurer des sources de données et de les intégrer à NetWitness Suite à un emplacement approprié.

Menu CONFIGURER

This figure shows the Configure secondary menu: Live Content, Incident Rules, ESA Rules, Subscriptions, and Custom Feeds.

Le menu CONFIGURER comprend les options suivantes :

  • Contenu Live : (Services Live) La vue Contenu Live vous permet de rechercher et de s'abonner aux ressources Services Live. Services Live est le composant de NetWitness Suite qui gère la communication et la synchronisation entre les services NetWitness Suite et une bibliothèque de contenu Live disponibles pour les clients RSA NetWitness Suite. Vous pouvez afficher, rechercher, déployer et vous abonner au contenu à partir du RSA Live Content Management System (CMS) pour les services et les logiciels NetWitness Suite. Lorsque vous vous abonnez à une ressource, vous acceptez de recevoir régulièrement des mises à jour de la part de RSA Services Live.
    Dans la version 10.6, cela correspondait à Live > Rechercher.
  • Règles de l'incident : La vue Règles de l'incident vous permet de créer des règles d'incidents avec plusieurs critères pour créer automatiquement des incidents. Vous pouvez afficher les incidents prioritaires dans la vue Répondre.
    Dans la version 10.6, cela correspondait à Incidents > Configurer. Dans la version 11.1 ou supérieure, les règles d'agrégation sont appelées Règles de l'incident.
  • Notifications de réponse La vue Notifications de réponse vous permet d'envoyer automatiquement des notifications par e-mail aux responsables du SOC et aux analystes affectés aux incidents lors de la création ou de la mise à jour des incidents.
  • Règles ESA : La vue Règles ESA vous permet de gérer les règles Event Stream Analysis qui spécifient des critères de comportement problématique ou d'événements menaçants sur votre réseau. Lorsque le service ESA détecte une menace correspondant aux critères des règles, il génère une alerte.
    Vous pouvez créer vos propres règles ESA ou les télécharger depuis Services Live. La bibliothèque de règles affiche toutes les règles ESA créées ou téléchargées. Pour activer les règles, vous devez les ajouter à un déploiement. Les déploiements mappent les règles de votre bibliothèque de règles aux services ESA appropriés.
    Dans la version 10.6, cela correspondait à Alertes > Configurer.
  • Abonnements : (Services Live) La vue Abonnements vous permet de gérer le contenu Live auquel vous êtes abonné dans la vue Contenu Live. Pour configurer Services Live sur NetWitness Suite, configurez la connexion et la synchronisation entre le serveur CMS et NetWitness Suite.
    Dans la version 10.6, cela correspondait à Live > Configurer.
  • Feeds personnalisés : (Services Live) La vue Feeds personnalisés rationalise la tâche de création et de gestion des feeds personnalisés, ainsi que le renseignement des feeds pour les Decoders et Log Decoders sélectionnés. Vous pouvez configurer et gérer des sources d'identité personnalisées.
    NetWitness Suite utilise des feeds pour créer des métadonnées en fonction des valeurs de métadonnées définies en externe. Un feed est une liste de données qui sont comparées à des sessions au fur et à mesure de leur capture ou de leur traitement. Pour chaque correspondance, des métadonnées supplémentaires sont créées.
    Vous pouvez créer des feeds personnalisés pour fournir l'extraction des métadonnées supplémentaires, par exemple, pour prendre en charge des applications personnalisées de réseau.
    Dans la version 10.6, cela correspondait à Live > Feeds.
                                                
Que puis-je faire ici ?CheminMe montrer comment

Créer un compte Services Live.

Portail d'inscription RSA Live :
https://cms.netwitness.com/registration/

Reportez-vous au Guide de gestion des services Live.

Trouver et déployer des ressources Services LiveCONFIGURER > Contenu LiveReportez-vous au Guide de gestion des services Live.
Créer automatiquement des incidents.CONFIGURER > Règles de l'incident

Voir le Guide de configuration de NetWitness Respond

Configurer les notifications de réponse.CONFIGURER > Notifications de réponseVoir le Guide de configuration de NetWitness Respond.

Configurer des alertes.

CONFIGURER > Règles ESA

Voir le Guide d'utilisation des règles d'alertes de corrélation ESA.
Configurer les services Services Live dans NetWitness SuiteCONFIGURER > Abonnement

Reportez-vous au Guide de gestion des services Live.

Configurer et gérer les feeds d'identité et les feeds personnalisés.CONFIGURER > Feeds personnalisésReportez-vous au Guide de gestion des services Live.

ADMIN

Dans la vue Admin, les administrateurs peuvent gérer les hôtes et les services réseau, surveiller l'intégrité de NetWitness Suite, ainsi que gérer la sécurité au niveau du système. Ils peuvent également configurer les ressources du système global et gérer les sources d'événements.

Menu ADMIN

This figure shows the Admin secondary menu: Hosts, Services, Event Sources, Health & Wellness, System, and Security.

Le menu ADMIN comprend les options suivantes :

  • Hôtes : La vue Hôtes est l'emplacement où vous installez et gérez les hôtes. L'hôte est la machine sur laquelle les services s'exécutent. Il peut s'agir d'une machine physique ou virtuelle.
  • Services : La vue Services permet de gérer les services, les rôles et les utilisateurs des services. Elle permet également de mettre à jour les fichiers de configuration des services, d'explorer et de modifier les propriétés des services. Un service exécute une fonction unique, comme un service Decoder, qui capture les données réseau sous forme de paquets.
  • Sources d'événements : La vue Sources d'événements vous permet de gérer les sources d'événements et de configurer leurs stratégies d'alerte. Les organisations surveillent généralement les sources d'événements dans des groupes en fonction de la criticité des sources d'événements. Vous pouvez créer des règles de surveillance pour chaque groupe de sources d'événements et les classer en fonction de leur priorité.
  • Intégrité : La vue Intégrité vous permet de surveiller l'état de santé des hôtes et des services NetWitness Suite au sein de votre environnement réseau.
  • Système : La vue Système vous permet de définir des configurations NetWitness Suite globales. Vous pouvez configurer les paramètres de la consignation globale des audits, de la messagerie électronique, de la consignation système, des tâches, de RSA Services Live, de l'intégration d'URL, des services Investigation, Event Stream Analysis (ESA), ESA Analytics et des performances avancées. En outre, vous pouvez gérer les versions NetWitness Suite et configurer le serveur d'attribution de licence local.
  • Sécurité : La vue Administration - Sécurité permet de gérer les comptes utilisateur et les rôles d'utilisateur, de mapper les groupes externes aux rôles NetWitness Suite et de modifier les autres paramètres du système liés à la sécurité. Ces paramètres s'appliquent au système NetWitness Suite et sont utilisés parallèlement aux paramètres de sécurité des différents services.
                                                               
Que puis-je faire ici ?CheminMe montrer comment

Gérer les hôtes.

ADMIN > Hôtes

Consultez le Guide de mise en route des hôtes et des services.

Gérer les services, notamment gérer l'accès et la sécurité des utilisateurs de services.

ADMIN > Services

Consultez le Guide de mise en route des hôtes et des services.

Gérer les sources d'événements et configurer leurs règles d'alerte.

ADMIN > Sources d'événements

Voir Gestion de la source d'événements.

Configurer et contrôler les alarmes pour les hôtes et services dans votre domaine NetWitness Suite.

ADMIN > Intégrité > Alarme

Consultez le Guide de maintenance du système.

Analyser les statistiques relatives aux hôtes et services NetWitness Suite s'exécutant sur les hôtes.

ADMIN > Intégrité > Surveillance

Consultez le Guide de maintenance du système.

Cette section vous indique comment créer et appliquer des stratégies dans vos hôtes et services afin de vous aider à gérer l'intégrité de votre domaine NetWitness Suite.ADMIN > Intégrité > Règles

Consultez le Guide de maintenance du système.

Définir des configurations globales pour NetWitness Suite.

ADMIN > Système

Consultez le Guide de configuration système.

Configurer la consignation globale des audits.ADMIN > Système > Audit global

Consultez le Guide de configuration système.

Configurer la sécurité du système.ADMIN > Sécurité

Consultez le Guide de la sécurité du système et de la gestion des utilisateurs.

Gérer les utilisateurs à l'aide de rôles et d'autorisations.

ADMIN > Sécurité

Consultez le Guide de la sécurité du système et de la gestion des utilisateurs.

Previous Topic:Identifier votre rôle
You are here
Table of Contents > Navigation de base dans NetWitness Suite

Attachments

    Outcomes