Cfg de NW : Référence aux opérations de consignation globale des audits

Document created by RSA Information Design and Development on Apr 24, 2018Last modified by RSA Information Design and Development on May 11, 2018
Version 2Show Document
  • View in full screen mode
 

Cette section répertorie les types de messages consignés par les différents composants NetWitness Suite. La plupart des messages indique clairement l'opération consignée. En cas de besoin, la signification du message est expliquée.

Une fois que vous avez créé une configuration de consignation globale des audits, les logs d'audit vont automatiquement dans le système syslog externe au format spécifié dans le modèle de consignation des audits sélectionné. Les types de messages consignés par les différents composants NetWitness Suite sont indiqués dans les tableaux suivants.

CARLOS

Le tableau suivant répertorie les opérations consignées par CARLOS.

                                                     
Serial #Nom de l'opérationSignification
1SetProviderConfigurationUn nouveau serveur de notification (par exemple, un serveur SMTP) a été ajouté ou mis à jour
2SetInstanceConfigurationUn nouveau type de notifications (par exemple, une destination
d'email) a été ajouté ou mis à jour
3SetTemplateDefinitionUn nouveau modèle a été ajouté ou mis à jour
4RemoveProviderConfigurationUn serveur de notification a été supprimé
5RemoveInstanceConfigurationUn type de notifications a été supprimé
6RemoveTemplateDefinitionUne définition de modèle a été supprimée
7CommitUne modification de bean de configuration a été validée
8SetUne valeur de propriété JMX a été définie via la vue Explorer de NetWitness Suite

ESA

Le tableau suivant répertorie les opérations consignées par Event Stream Analysis (ESA).

                                                                    
Serial #Nom de l'opérationSignification
9SetSourceRequestUn Concentrator a été ajouté ou mis à jour dans ESA en tant que source
10RemoveSourceRequestUn Concentrator a été supprimé d'ESA en tant que source
11SetEplModuleUn module EPL a été déployé ou mis à jour dans ESA
12RemoveEplModuleUn module EPL a été supprimé d'ESA
13SetEnrichmentSourceRequestUne source d'enrichissement ESA a été ajoutée/mise à jour
14RemoveEnrichmentSourceRequestUne source d'enrichissement ESA a été supprimée 
15SetDatabaseReferenceUne référence de base de données d'enrichissement a été définie dans ESA
16UpdateEnrichmentDataLignes de données ajoutées à une source d'enrichissement ESA
17SetEnrichmentConnectionUne connexion a été établie entre un module EPL et une source d'enrichissement
18RemoveEnrichmentConnectionUne connexion entre un module EPL et une source d'enrichissement a été supprimée
19DisableTrialModuleLes règles d'évaluation ESA ont été désactivées

Investigation

Le tableau suivant répertorie les opérations consignées par Investigations.

                                                                                                                                                                                                                      
Serial #Nom de l'opérationSignification
1VisualizePreferencesOpérations liées à la demande de visualisation Informateur.
2ParallelCoordinatesOpérations liées au chargement de la navigation dans la vue Coordonnées.
3TimeLineOpérations liées au chargement de la navigation dans la vue Chronologie.
4ExternalQueryOpération lors du déclenchement d'une requête directe via une URL.
5PrintViewOpérations pour ouvrir la procédure d'enquête en mode Impression.
6submitExtractFilesOpération de soumission d'une demande d'extraction de fichiers depuis les sessions.
7submitExtractLogsOpération de soumission d'une demande d'extraction de logs depuis les sessions.
8submitExtractPcapOpération de soumission d'une demande d'extraction de logs depuis les sessions.
9DataScienceDrillOpération de recherche dans le rapport Data Science.
10breadCrumbsOpération d'accès à la requête Breadcrumbs.
11CreateOpération lorsqu'une nouvelle requête de procédure d'enquête est enregistrée en tant que prédicat à utiliser pour l'intégration d'URL.
12userPredicatesOpération d'accès aux requêtes récentes d'un utilisateur.
13chartDefaultMetasOpération d'accès aux dernières métadonnées utilisées afin de générer le graphique des coordonnées.
14defaultDeviceOpération d'accès au périphérique de procédure d'enquête par défaut.
15deleteDefaultDeviceOpération de suppression du périphérique de procédure d'enquête par défaut.
16chartPreferencesOpération de modification d'un paramètre de graphique de navigation, par exemple Hauteur.
17devicePreferencesOpération d'enregistrement des préférences relatives au périphérique de la procédure d'enquête, par exemple Période, Profil, Groupes méta, etc.
18topValuesOpération d'obtention des valeurs principales des métas. Normalement, appelée à partir du dashlet Valeurs principales.
19MetaLanguagesOpération de lecture des méta-langues méta à partir d'un périphérique.
20MetaGroupsOpérations liées aux groupes méta de procédure d'enquête.
21DefaultMetaKeysOpérations liées aux clés méta par défaut de procédure d'enquête.
22UpdateDefaultMetaKeysOpérations de mise à jour des clés méta par défaut de procédure d'enquête.
23UpdateMetaGroupOpérations de mise à jour des groupes méta de procédure d'enquête.
24ApplyMetaGroupOpérations d'utilisation des groupes méta de procédure d'enquête.
25DeactivateMetaGroupOpérations de réinitialisation des groupes méta de procédure d'enquête dans l'interface utilisateur.
26DeleteMetaGroupOpérations de suppression d'un groupe méta de procédure d'enquête.
27DeleteMetaGroupsOpérations de suppression de plusieurs groupes méta de procédure d'enquête.
28ImportMetaGroupsOpérations d'importation de groupes méta de procédure d'enquête.
29ExportMetaGroupOpérations d'exportation de plusieurs groupes méta de procédure d'enquête.
30GeoMapOpération d'accès à la vue de la carte géospatiale de procédure d'enquête.
31deleteEndpointCacheOpération d'effacement du cache de reconstruction d'un périphérique.
32deleteOpération de suppression de modèles d'alerte.
33CustomColumnGroupOpération d'application ou de lecture d'un groupe de colonnes personnalisé.
34ImportOpérations liées à l'importation d'un groupe de colonnes ou de profils.
35ExportOpérations liées à l'exportation d'un groupe de colonnes, ou de profils.
36SaveProfileOpération d'enregistrement d'un profil de procédure d'enquête.
37ApplyProfileOpération d'application d'un profil de procédure d'enquête.
38DeactivateProfileOpération de désactivation d'un profil de procédure d'enquête.
39DeleteProfileOpération de suppression d'un profil de procédure d'enquête.
40DeleteProfilesOpération de suppression de plusieurs profils de procédure d'enquête.

Reporting Engine

Le tableau suivant répertorie les opérations consignées par Reporting Engine.

                                                                                                                           
Serial #Nom de l'opérationSignification
1TEMPLATEPour toutes les opérations relatives à un modèle
2CHARTPour toutes les opérations relatives à un graphique
3REPORTPour toutes les opérations relatives à un rapport
4RULEPour toutes les opérations relatives à une règle
5IMAGEPour toutes les opérations relatives aux images de logo utilisées dans les rapports.
6LISTPour toutes les opérations relatives à une liste
7ALERTPour toutes les opérations relatives à une alerte
8CONFIGPour toutes les opérations relatives à une modification de configuration
9SCHEDULEPour toutes les opérations relatives à une planification
10ROLEPour toutes les opérations relatives à un rôle/une autorisation
11BATCH_JOBPour toutes les opérations relatives à des tâches par lots
12SCHEDULERPour toutes les opérations relatives au planificateur
13QUERYPROCESSORPour toutes les opérations relatives au processeur de requête
14FORMATTERPour toutes les opérations relatives au programme de mise en forme
15OUTPUTACTIONPour toutes les opérations relatives à une action de sortie
16STATUSMANAGERPour toutes les opérations relatives au gestionnaire d'état
17BATCH_RUNDEFPour toutes les opérations relatives à une définition d'exécution d'un lot
18CHARTGROUPPour toutes les opérations relatives à un groupe de graphiques
19REPORTGROUPPour toutes les opérations relatives à un groupe de rapports
20RULEGROUPPour toutes les opérations relatives à un groupe de règles
21LISTGROUPPour toutes les opérations relatives à un groupe de listes
22DISKSPACEPour toutes les opérations relatives à l'espace disque

Warehouse Connector

Le tableau suivant répertorie les opérations consignées par Warehouse Connector.

                                                                                              
Serial #Nom de l'opérationSignification
1Création du mot de passe LockBoxOpération de création du mot de passe LockBox.
2Mise à jour du mot de passe LockBoxOpération de mise à jour du mot de passe LockBox.
3Actualisation du mot de passe LockBoxOpération d'actualisation du mot de passe LockBox.
4Ajout d'un fluxOpération d'ajout d'un flux.
5Ajout d'une sourceOpération d'ajout d'une source.
6Ajout d'une destinationOpération d'ajout d'une destination.
7SuppressionOpération de suppression d'une source, d'un flux ou d'une destination.
8Modification du mot de passeOpération de modification du mot de passe.
9Mise à jour de la sourceOpération de mise à jour d'une source.
10Ajout d'une source à un fluxOpération d'ajout d'une source à un flux.
11Suppression d'une source d'un fluxOpération de suppression d'une source dans un flux.
12Définition de la destination d'un fluxOpération de définition d'une destination dans un flux.
13Finalisation d'un fluxOpération de finalisation d'un flux et de lancement de l'agrégation.
14Arrêt d'un fluxOpération d'arrêt d'un flux.
15Démarrage d'un fluxOpération de démarrage d'un flux.
16Rechargement d'un fluxOpération de rechargement d'un flux.

Intégrité

Le tableau suivant répertorie les opérations consignées par le module d'intégrité Health & Wellness.

                       
Serial #Nom de l'opérationSignification
1SavePolicyRequestOpération pendant l'ajout ou la modification d'une règle.
2RemovePolicyRequestOpération pendant la suppression d'une stratégie.

Services de base NetWitness Suite

Le tableau suivant répertorie les opérations consignées par les services NetWitness Suite Core.

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              
Serial #Nom de l'opérationSignification
1FILECommandOpération visant à répertorier, récupérer et supprimer des fichiers sur ce périphérique dans les répertoires approuvés.
2SERVICEStartService démarré
3SERVICEStopService arrêté
4REDIRECTSyslogOpération de transfert du syslog.
5ADDMonitorDéclenchement d'une opération de surveillance du système de fichiers
6DELETEMonitorDéclenchement d'une opération de suppression de la surveillance du système de fichiers
7SHUTDOWNService/shutdown.serviceArrêt du service Appliance
8REBOOTServiceRedémarrage du service Appliance
9CONFIGURENetworkDéclenchement de la modification de configuration réseau
10SETNTPDéclenchement de l'opération de définition NTP
11STOPNTPDéclenchement de l'opération d'arrêt NTP
12NTPTimesyncDéclenchement de l'opération de synchronisation horaire NTP
13SET-SNMPDéclenchement de l'opération de définition SNMP
14UPGRADE/upgradeDéclenchement de l'opération de mise à niveau
15create.collectionOpération de création d'une collecte vide.
16restoreDéclenchement de la restauration
17session.aggregationDéclenchement du démarrage/de l'arrêt de l'agrégation
18add.deviceAjout d'un périphérique pour l'agrégation
19edit.deviceModification d'un périphérique utilisé pour l'agrégation
20delete.deviceSuppression d'un périphérique utilisé pour l'agrégation
21capture.startDémarrage de l'opération de capture
22capture.stopArrêt de l'opération de capture
23select.interfaceSélection d'une interface de capture
24exportOpération d'exportation des paquets ou des sessions.
25reloadDéclenchement du rechargement d'un parser
26schemaDéclenchement d'une demande de schéma pour des parsers chargés
27upload/file.uploadDéclenchement d'un téléchargement de fichier
28notifyDéclenchement d'une notification de flux
29deleteDéclenchement d'une suppression de fichier
30edit.configOpération de modification de configuration
31parsers.transformsTransformation d'une clé de langage
32data.resetOpération de réinitialisation des données
33timeoutExpiration du délai de demande REST
34cancelAnnulation d'une requête en cours d'exécution
35timerollOpération de suppression des fichiers de base de données qui dépassent une limite donnée.
36dumpOpération de vidage des informations de la base de données sous forme de fichiers nwd.
37session.wipeDéclenchement d'une opération d'effacement de session
38REPLACERuleDéclenchement d'une opération de remplacement de règle
39MERGERuleDéclenchement d'une opération de fusion de règles
40ERASERuleDéclenchement de la suppression d'un groupe comprenant toutes les règles
41ADDRuleDéclenchement d'une opération d'ajout de règle
42DELETERuleDéclenchement de la suppression d'un groupe de règles
43sdk.infoDéclenchement des informations de récapitulatif SDK.
44sdk.sessionDéclenchement des informations de session SDK.
45sdk.languageDéclenchement du langage SDK
46sdk.aliasesDéclenchement d'une demande d'alias SDK
47sdk.transformDéclenchement d'une demande de transformation SDK
48sdk.searchDéclenchement d'une demande de recherche de contenu de session
49sdk.cacheOpération relative au cache du contenu de session
50sdk.contentDéclenchement d'une demande de contenu de session
51check.authorizationOpération de vérification des rôles d'utilisateur pour les autorisations d'exécution d'une opération.
52close.connectionDéclenchement d'une opération de fermeture de connexion
53handshakeDéclenchement de l'établissement d'une liaison SSL
54logon/loginOpération de connexion depuis SA vers les autres services, principalement pour les utilisateurs privilégiés.
55STOREDPROCOPDéclenchement de l'annulation/du démarrage du téléchargement de fichiers
56ADDTaskTâche planifiée ajoutée
57DELETETaskTâche planifiée supprimée
58logoffDéclenchement de l'opération de déconnexion
59list.cacertsDéclenchement de l'opération visant à répertorier les certificats d'autorités de certification de confiance 
60delete.cacertsDéclenchement de l'opération de suppression de certificats d'autorités de certification de confiance
61add.cacertsDéclenchement de l'opération d'ajout de certificats d'autorités de certification de confiance
62restart.commandDéclenchement du redémarrage de l'option de ligne de commande
63delete.file/file.deleteOpération de suppression de fichiers de configuration système.
64update.file/file.updateOpération de mise à jour du fichier de configuration système.
65create.fileDéclenchement de l'opération de création de fichier
66queryDéclencher une requête de base de données
67unlockDéclenchement d'une opération de déverrouillage de compte utilisateur
68user.addOpération de création de comptes utilisateur sur différents périphériques.
69user.deleteOpération de suppression d'un utilisateur sur différents périphériques.
70group.createOpération d'ajout d'un nouveau groupe au système.
71user.removeSupprimer un compte utilisateur d'un groupe
72group.deleteSupprimer un groupe de l'arborescence des utilisateurs/des groupes
73add.userDéclenchement de la commande d'ajout d'un utilisateur à une collecte
74delete.userDéclenchement de la commande de suppression d'un utilisateur d'une collecte
75remove.userSuppression d'un utilisateur d'une collecte
76collection.openDéclenchement d'une commande d'ouverture d'une collecte
77collection.closeDéclenchement d'une commande de fermeture d'une collecte 
78collection.deleteDéclenchement d'une commande de suppression de collecte
79reingest.startOpération pour commencer la réingestion des données de paquet dans la collecte.
80feed.notifyDéclenchement d'une commande de notification de flux
81collectDéclenchement d'une commande de collecte
82collect.startDéclenchement du démarrage d'une collecte de données
83collection.globalDéclenchement d'une commande d'importation de parser
84parser.reloadÉmet une commande de recharge du parser
85reingestOpération de réingestion de données de paquet dans une collecte.
86collection.createDéclenchement d'une commande de création de collecte
87collection.restoreDéclenchement d'une commande de restauration de collecte
88collection.cloneDéclenchement d'une commande de clonage de collecte
89parser.reloadÉmet une commande de recharge du parser
90sdk.queryEffectue une requête sur la base de données méta
91sdk.msearchRecherche des correspondances de modèles dans de nombreuses sessions ou de nombreux paquets
92sdk.valuesEffectue une requête sur un nombre de valeurs et renvoie les valeurs correspondantes pour un rapport
93sdk.timelineRenvoie le nombre de sessions/tailles/paquets dans les intervalles de temps discrets

Malware Analysis

Le tableau suivant répertorie les opérations consignées par le composant Malware Analysis (MA).

                                                                                                                                                                                                                                                                                                                                                                 
Serial #Nom de l'opérationSignification
1 GetDashBoardSummaryRequest Obtenir les statistiques d'analyse du tableau de bord
2GetFileScoreSummaryRequest Obtenir les scores de fichiers agrégés par type de scores et par niveau de risque
3CountEventsAndFilesRequest Obtenir le nombre d'événements et de fichiers sur un laps de temps
4GetAvVendorDetectionRequestObtenir les résultats d'analyse des fournisseurs antivirus
5GetAVVendorsRequestObtenir la liste des fournisseurs antivirus pris en charge
6SetInstalledAVVendorsDemander la liste des mises à jour des fournisseurs antivirus installés dans la configuration
7CountEventByCriteriaRequestDénombrer les événements par critères
8FindEventByIdRequestObtenir un événement par ID

9

FindEventByCriteriaRequest

Obtenir un événement par critères

10DeleteEventRequestSupprimer un événement

11

CommentOnEventRequest

Ajouter un commentaire à un événement

12ReSubmitEventRequestResoumettre un événement pour analyse

13

FindEventScoreByIdRequest

Obtenir le score d'un événement par ID d'événement

14FindEventScoreByCriteriaRequestObtenir le score d'un événement par critères

15

FindMetaByIdRequest

Obtenir des métadonnées par ID

16FindMetaByCriteriaRequestObtenir des métadonnées par critères

17

FindMetaValueByCriteriaRequest

Obtenir des métavaleurs par critères

18CountByDistinctMetaValueRequestDénombrer les métavaleurs distinctes

19

CountByMetaNameAndValueWithDate RangeIntervalRequest

Dénombrer les métadonnées et les valeurs avec un intervalle pour les graphiques

20CountByValueAndAverageOverallScore RequestDénombrer les métadonnées et les mapper aux scores globaux des événements

21

CountByValueAndAverageGroupScore Request

Dénombrer les métadonnées et les mapper aux scores de groupe des événements

22CountFileEntryByCriteriaRequestDénombrer les fichiers par critères

23

FindFileEntryByIdRequest

Obtenir un fichier par ID

24FindFileEntryByCriteriaRequestObtenir un fichier par critères

25

ReSubmitFileEntryRequest

Resoumettre un fichier pour analyse

26FileDownloadRequestTélécharger un fichier à partir du référentiel

27

FileUploadRequest

Télécharger un fichier pour analyse

28FindFileScoreByIdRequestObtenir un score de fichier par ID

29

FindFileScoreByCriteriaRequest

Obtenir un score de fichier par critères

30FindHashValueByIdRequestObtenir une valeur de hachage pour liste blanche/liste noire par id

31

FindHashValueByCriteriaRequest

Obtenir une valeur de hachage pour liste blanche/liste noire par critères

32AddHashValueRequestAjouter une valeur de hachage pour liste blanche/liste noire

33

UpdateHashValueRequest

Mettre à jour une valeur de hachage pour liste blanche/liste noire

34DeleteHashValueRequestSupprimer une valeur de hachage pour liste blanche/liste noire

35

FindHashValueByMd5Request

Rechercher une valeur de hachage pour liste blanche/liste noire par md5

36AddHashValueInFileRequestAjouter un fichier au référentiel, ainsi qu'une valeur de hachage

37

GetDefaultRulesRequest

Obtenir la configuration des règles d'IOC par défaut

38ResetToDefaultRulesRequest Réinitialiser la configuration des règles d'IOC par défaut

39

GetAllOverrideRulesRequest

Obtenir la configuration des règles d'IOC de remplacement créées par l'utilisateur

40FindOverrideRuleByIdRequestRechercher une règle d'IOC de remplacement par ID

41

AddOverrideRuleRequest

Ajouter une règle d'IOC de remplacement

42UpdateOverrideRuleRequest Mettre à jour une règle d'IOC de remplacement

43

DeleteOverrideRuleRequest

Supprimer une règle d'IOC de remplacement

44SubmitOnDemandNextGenRequestSoumettre une nouvelle analyse nextgen à la demande

45

FindOnDemandJobEntryByIdRequest

Obtenir une entité de tâche à la demande par ID

46FindOnDemandJobEntryByCriteria RequestObtenir une entité de tâche à la demande par critères

47

GetOnDemandJobInfoRequest

Obtenir une entité de référence pour une tâche à la demande par ID

48GetOnDemandDefaultConfigurationDemander/obtenir une configuration par défaut à la demande

49

CancelOnDemandJobRequest

Annuler une tâche à la demande en cours d'exécution

50DeleteOnDemandJobRequestSupprimer une tâche à la demande

51

ReSubmitOnDemandJobRequest

Resoumettre une tâche à la demande

52SubscriptionRequest S'abonner à la communication Cloud MA

53

UnSubscribeRequest

Se désabonner de la communication Cloud MA

54GetTopEventInfluencesRequestObtenir les N premières influences d'événement

55

GetServerInfoRequest

Obtenir les informations d'un serveur, par exemple l'heure

56DataResetRequestRéinitialiser la base de données

57

OnDemandJobStatusNotification

Signaler la progression d'une tâche à la demande aux abonnées

58LicenseStatusNotificationSignaler l'état de la licence  nombre d'échantillons analysés

59

DataResetNotification

Signaler la réinitialisation des données

60GetIocSummaryRequest Obtenir les règles d'IOC agrégées par scores d'événements/de fichiers

61

FindAlertTemplatesByCriteriaRequest

Obtenir les modèles d'alerte rabbitmq par critères

62SaveAlertTemplateRequest Mettre à jour un modèle d'alerte

63

DeleteAlertTemplateRequest

Supprimer un modèle d'alerte

64GetJobStatusRequest Obtenir l'état du thread d'analyse de tâche en cours d'exécution

65

GetEventTypeCountSummaryRequest

Obtenir les nombres d'analyses d'événements par graphique de dates

66ConnexionConnexion au service MA

67

Modifiée

Modification des changements de configuration

68GetNextGenSummaryRequestObtenir les statistiques récapitulatives du tableau de bord nextgen

Interface utilisateur NetWitness Suite

Le tableau suivant répertorie les opérations consignées par le composant d'interface utilisateur de NetWitness Suite.

                                                                                                                                                                                                                                                                                                                                                               
Serial #Nom de l'opérationSignification
1uploadTrialLicenseTélécharger la licence d'évaluation
2LicenseEntitleAttribuer des droits de licence
3LicenseDeactivationDésactiver une licence
4ExpiredLicense Licence expirée
5LicenseOutOfComplianceAcknowledgementAcceptation des CGU (conditions générales d'utilisation)
6resetLicenseRéinitialiser une licence
7usageDateExportUtilisation des données de licence  csv/pdf
8refreshLicenseActualiser la licence LLS
9LicenseOutOfCompliance Non conforme
10OOTBEntitlementOutOfComplianceSous licence d'évaluation OOTB non conforme
11OOTBEntitlementFirstLoginTimeModifiedHeure OOTB modifiée
12OOTBEntitlementFileDeletedFichier OOTB supprimé
13OOTBEntitlementDataTamperingFalsification des données OOTB
14uploadOfflineResponse Télécharger une réponse hors ligne
15offlineDownloadCapRequestTélécharger la demande hors ligne
16movePerpetualToMeteredPasser d'une licence basée sur les services à une licence à suivi d'utilisation
17moveMeteredToPerpetual Passer d'une licence à suivi d'utilisation à une licence basée sur les services
18mapServiceLicenseMapper un service à une licence réelle
19deleteOpération de suppression de modèles d'alerte.
20HttpRequestOpération de consignation des audits de l'URL utilisée.
21Page consultéeOpération de consignation des audits de la page consultée.
22NaviguerOpération d'accès à la page consultée.
23ÉvénementsOpération d'affichage de la page d'événement consultée.
24ReconOpération de reconstruction d'événement demandée.
25ServicesOpération en lisant la liste des périphériques disponibles pour la procédure d'enquête.
26ServiceOpération liée à une liste de périphériques demandée à examiner.
27CollectesOpération d'affichage de la liste de collectes demandée.
28ProfilsOpération d'application d'un profil.
29ColumnGroupsOpération d'application ou de lecture d'un groupe de colonnes.
30ParallelCoordinatesOpérations liées au chargement de la navigation dans la vue Coordonnées.
31Chronologie Opérations liées au chargement de la navigation dans la vue Chronologie.
32PrintViewOpérations d'ouverture d'une procédure d'enquête en mode Impression.
33PréférencesOpérations liées à la demande Informateur.
34