Cfg de NW : Configurer les paramètres du module Investigation

Document created by RSA Information Design and Development on Apr 24, 2018Last modified by RSA Information Design and Development on May 11, 2018
Version 2Show Document
  • View in full screen mode
 

Cette rubrique fournit des instructions pour les administrateurs qui configurent les paramètres qui s'appliquent à toutes les investigations sur l'instance NetWitness Suite en cours de configuration. Les paramètres permettant de configurer et de régler le comportement d'une investigation NetWitness Suite sont disponibles dans la vue Système > panneau Investigation. Ces paramètres s'appliquent à toutes les investigations et reconstructions sur l'instance active de NetWitness Suite.

Configurer les paramètres Naviguer, Événements et Recherche contextuelle

  1. Accédez à ADMIN > Système.
  2. Dans le panneau des options, sélectionnez Investigation.
    Le panneau Configuration des investigations s’affiche.
  3. Sous l'onglet Naviguer, dans le champ Générer les paramètres de threads, sélectionnez le nombre maximal de valeurs de clé méta qui sont chargées par un même utilisateur dans la vue Naviguer. Cliquez sur Appliquer.
  4. Sous l'onglet Naviguer, dans la rubrique Paramètres de coordonnées parallèles, définissez les limites maximales des métavaleurs analysées et des résultats des métavaleurs pouvant être incluses dans une visualisation de coordonnées parallèles. Pour obtenir de meilleures performances, voici les paramètres recommandés : Limite d'analyse de valeurs méta -100000 et Limite de résultat de valeurs méta à 1 000-10 000
    Cliquez sur Appliquer.
  5. Sous l'onglet Événements, dans la rubrique Paramètres de recherche d'événements, définissez le nombre maximal d'événements analysés et de résultats d'événements affichés lorsqu'un analyste mène une recherche d'événements dans la vue Événements. Cliquez sur Appliquer.
  6. Sous l'onglet Événements, dans la rubrique Paramètres de reconstruction, définissez les limites de la quantité de données traitées dans le cadre de la reconstruction d'un seul événement. Les valeurs par défaut sont 100 paquets et 2 097 152 octets au maximum. Si les analystes constatent un ralentissement des performances lors de la reconstruction des sessions en mode Investigation, les paramètres de reconstruction peuvent nécessiter un ajustement. Cliquez sur Appliquer.

Attention : La définition d'une valeur plus élevée affecte les performances de Serveur NetWitness en augmentant le temps et la mémoire utilisés pour créer la reconstruction d'un événement. Définir la valeur à zéro désactive toutes les limites et peut conduire à une panne de Serveur NetWitness.

  1. (Facultatif) Sous l'onglet Événements, dans la rubrique Paramètres de reconstruction de la vue Web, activez l'utilisation des fichiers de prise en charge dans une reconstruction de vue Web, puis configurez les paramètres supplémentaires pour calibrer les reconstructions des vues Web. Cela comprend l'intervalle de temps (en secondes) pour analyser les événements connexes, le nombre maximum d'événements liés à l'analyse et les remplacements des paramètres de reconstruction pour une utilisation avec des reconstructions de vue Web. Cliquez sur Appliquer.
  2. Sous l'onglet Recherche contextuellegérez le mappage des types méta du service Context Hub avec les clés méta dans Investigation. Vous pouvez ajouter des clés méta à la liste des types méta pris en charge par le service Context Hub sous Investigation, ou les supprimer. Les procédures associées à cet onglet sont fournies dans la rubrique « Gérer le mappage du type de méta et de la clé méta » dans le Guide Investigation et Malware Analysis.

Effacer le cache de reconstruction pour les services

Sous Paramètres du cache de reconstruction, les administrateurs peuvent effacer le cache pour un ou plusieurs services. Par exemple, l'administrateur peut effacer le cache pour un Broker seulement, un Broker et Decoder ou tous les services connectés. Voici quelques exemples des causes de cache obsolète utilisé dans une reconstruction.

  • Les services en aval peuvent avoir leurs sessions invalidées ou leurs données réinitialisées. À titre d'exemple, si l’Investigation parcourt un Broker et un Concentrator ou si un Decoder fait l'objet d'une réinitialisation de données, les métadonnées et les données de session du service de procédure d'enquête (Broker) ne correspondent pas au contenu si le service en aval a été réinitialisé et renseigné à nouveau. La reconstruction en mode Investigation affiche le contenu du cache, ce qui ne correspond pas au contenu réel. Même si le Decoder est hors ligne, le contenu est toujours affiché dans la reconstruction du Broker. Effacer le cache sur le Broker contraint NetWitness Suite à prendre contact avec le service Decoder et un message d'erreur est renvoyé car le Decoder est hors ligne.
  • L'autre cas où le cache peut être obsolète, c'est lorsque l'ID d'un service en aval change. Cela peut se produire lors de l'exportation, l'importation, la suppression et l'ajout de services à NetWitness Suite car NetWitness Suite peut réutiliser les ID de service. Dans ce cas, l'effacement du cache sur le Broker permet à NetWitness Suite de demander à récupérer les données des services.

Pour effacer le cache de reconstruction, exécutez l'une des opérations suivantes :

  1. Pour effacer le cache d'un ou de plusieurs services, sélectionnez les services, puis cliquez sur Effacer le cache pour les services sélectionnés.
  2. Pour effacer le cache de tous les services répertoriés, cliquez sur Effacer le cache pour tous les services
    . Le cache de reconstruction pour les services sélectionnés est effacé. NetWitness Suite envoie une demande de données pour les services.
You are here
Table of Contents > Procédures standard > Configurer les paramètres du module Investigation

Attachments

    Outcomes