Enquêter : Examiner les événements dans la vue Analyse d'événements

Document created by RSA Information Design and Development on Oct 22, 2018
Version 1Show Document
  • View in full screen mode
 

Lorsque vous examinez des métadonnées et événements bruts dans la vue Analyse d'événements, vous pouvez effectuer des ajustements simples dans la visibilité et la taille des panneaux. Dans les panneaux Analyse des paquets et Analyse de texte, des fonctions supplémentaires vous permettent d'ajuster l'affichage de la reconstruction et de révéler des données intéressantes.

Sélectionner le type Analyse d'événements

Pour sélectionner le type d'analyse d'événement d'un événement, effectuez l'une des opérations suivantes :

  1. Dans la barre d'outils de la vue Analyse d'événements, cliquez sur le menu du type d'analyse dans la barre d'outils.
  2. Dans le menu déroulant, sélectionnez le type d'analyse : Analyse de fichiers, Analyse de texte, Analyse de paquets, E-mail (version 11.1 et supérieure), ou Web (version 11.1 et supérieure).
    Si vous avez choisi Analyse de fichiers, Analyse de texte ou Analyse de paquets la vue est actualisée avec le panneau Analyse de paquets, le panneau Analyse de fichiers ou le panneau Analyse de texte ouvert.
    Si vous avez choisi E-mail ou Web, l'e-mail ou la reconstruction Web de l'événement unique s'ouvre dans nouvel onglet. Il s'agit de la même reconstruction d'e-mail ou de session Web utilisée dans la vue Événements. La vue Événements fournit davantage de fonctionnalités lors de l'affichage d'une reconstruction d'e-mail ou Web, ce qui vous permet de faire défiler les événements dans cette vue au lieu de l'affichage d'un seul événement (reportez-vous à la section Reconstruire un événement).

Remarque : le panneau Analyse de paquets est uniquement disponible pour les événements réseau.

Ouvrir, fermer et ajuster la taille des panneaux dans la vue Analyse d'événements

La vue Analyse d'événements s'ouvre sur la Liste d'événements et aucun événement n'est sélectionné ou reconstruit. Lorsque vous sélectionnez un événement, le panneau Détails des événements réseau, Détails des événements de consignation ou Détails des événements liés aux points de terminaison s'ouvre sur la droite. Au départ, le panneau Détails des événements réseau, Détails des événements de consignation ou Détails des événements liés aux points de terminaison occupe 75 % de la largeur de la fenêtre par défaut.

Initial view showing wide reconstruction panel

Vous pouvez modifier le rapport de dimensionnement entre les deux panneaux pour améliorer la lisibilité en développant un des panneaux, en en réduisant un ou en fermant un. Vous pouvez rouvrir le panneau après sa fermeture. Le rapport que vous sélectionnez persiste jusqu'à ce que vous modifiiez ou actualisiez le navigateur.

  • Pour rouvrir le Panneau Événements, cliquez sur the open events panel icon en haut à droite.

Pour optimiser votre vue :

  1. Pour ajuster le rapport de dimensionnement entre les deux panneaux, effectuez l'une des opérations suivantes :
    1. Cliquez sur expand panel icon dans la barre d'outils du panneau que vous souhaitez étendre.
    2. Cliquez sur the reduce panel icon dans la barre d'outils du panneau que vous souhaitez réduire.
  2. Pour fermer un panneau et restaurer le panneau ouvert à sa pleine largeur, cliquez sur the close icon.
    Il s'agit d'un exemple de la reconstruction affiché sur la largeur totale de la fenêtre du navigateur.
    Packet Analysis displayed in the full width of the browser window
  3. Pour rouvrir le Panneau Événements après l'avoir fermé, cliquez sur the open events panel icon en haut à droite de la Vue Naviguer.
    Le Panneau Événements se rouvre avec le dernier état (25%:75% ou 50%:50%).
  4. Pour rouvrir le panneau Détails de l'événement, cliquez sur un événement dans le Panneau Événements.

 

Sélectionnez un Groupe de colonnes et des Colonnes dans l'Analyse d'événements

 

Dans la version 11.1 ou supérieure, vous pouvez utiliser les groupes de colonnes prédéfinies ou personnalisées dans le panneau Événements. Les groupes de colonnes sont créés et gérés dans la vue Événements (reportez-vous à la section Gérer des groupes de colonnes dans la vue Événements) ; ces groupes sont répercutés dans la vue Analyse d'événements. Lorsque vous modifiez un groupe de colonnes, les modifications que vous y apportez ne s'appliquent qu'à la vue actuelle. Lorsque vous quittez puis revenez à la vue Analyse d'événements, les modifications de colonne ne sont pas conservées dans le panneau Événements.

Voici les groupes de colonnes intégrés.

  • Analyse des e-mails : Comprend les clés méta qui sont utiles lors de la procédure d'enquête sur les métadonnées liées aux e-mail.
  • Analyse des points de terminaison : Comprend les clés méta qui sont utiles lors de la procédure d'enquête sur les métadonnées liées aux points de terminaison.
  • Malware Analysis : Comprend les clés méta qui sont utiles lors de la procédure d'enquête sur les métadonnées liées aux programmes malveillants.
  • Trafic HTTP sortant : Comprend les clés méta qui sont utiles lors de la procédure d'enquête sur les métadonnées liées au Trafic HTTP sortant.
  • Trafic SSL/TLS sortant : Comprend les clés méta qui sont utiles lors de la procédure d'enquête sur les métadonnées liées à l'analyse du Trafic SSL/TLS sortant.
  • Liste de Résumé : Comprend les clés méta qui sont utiles dans une procédure générale d'enquête. Il s'agit du groupe de colonnes par défaut.
  • Analyse des menaces : Comprend des clés méta qui marquent les menaces potentielles du jeu de données.
  • Analyse Web : Comprend des clés méta qui marquent des anomalies dans le trafic web.

Un groupe de colonnes peut contenir plus de colonnes qui sont visibles sans défilement vers la droite. Dans la version 11.1, vous pouvez sélectionner les colonnes qui apparaissent dans la vue Analyse d'événements. L'ordre des colonnes reflète l'ordre dans la vue Événements du groupe de colonnes par défaut. Par défaut, les 15 premiers colonnes s'affichent lorsque vous sélectionnez un groupe de colonnes. Pour une meilleure visualisation, il est conseillé d'afficher uniquement 15 colonnes à la fois. Toutefois, vous pouvez sélectionner des colonnes supplémentaires à afficher et supprimer des colonnes déjà affichées.

Pour sélectionner un groupe de colonnes :

  1. Dans le menu déroulant en regard d'Événements, sélectionnez un groupe de colonnes (par exemple, Liste de Résumé). Vous pouvez également commencer à saisir le nom du groupe de colonnes et sélectionner un groupe lorsque les groupes apparaissent dans le menu déroulant.
    Default Column Groups drop-down menu
    Le panneau Événements affiche les données dans les colonnes qui appartiennent au groupe de colonnes sélectionné.

Pour sélectionner des colonnes à afficher :

  1. Lorsque vous travaillez dans la vue Analyse d'événements avec un groupe de colonnes sélectionné, cliquez sur the settings icon pour afficher le sélecteur de colonnes.
    Column selector filtering list
  2. Sélectionnez les clés méta ou saisissez le nom d'une clé méta que vous souhaitez afficher dans des colonnes supplémentaires. 
  3. Si vous ne souhaitez pas voir une clé méta affichée dans une colonne, désélectionnez la clé méta.
    Les données sont de nouveau affichées via les colonnes sélectionnées.

Régler l'affichage des demandes et réponses

Pour les types d'événements qui contiennent des demandes et des réponses, vous pouvez apporter plusieurs modifications.

Remarque : si le type d'analyse n'a pas de requêtes ou de réponses, l'option n'est pas sélectionnable. Le panneau Analyse de fichiers est un exemple de type de reconstruction sans demandes ni réponses. Un événement de journal reconstruit dans la vue Texte est un autre exemple.

Pour sélectionner le côté de la conversation à afficher (Demande, Réponse ou les deux), cliquez sur l'une ou l'autre des icônes de direction.Request and Response icons. La reconstruction est actualisée avec les informations sélectionnées.

Remarque : Si vous ne voyez pas de données, il se peut que vous ayez désélectionné Demande et Réponse. Vous devez sélectionner l'une des deux options pour afficher les données.

Afficher les métadonnées d'événement pour un événement

Lorsque vous examinez les événements dans le panneau Analyse de texte, le panneau Analyse de paquets ou le panneau Analyse de fichiers, vous pouvez cliquer sur the show Event Meta panel icon pour afficher les métadonnées associées dans un panneau adjacent, le panneau Méta de l'événement.

Lors de l'affichage du panneau Analyse de texte et Méta de l'événement, placez la souris sur les paires de valeurs clé méta/valeur méta pour afficher une paire de jumelles si la valeur méta est consultable dans le texte brut. Il s'agit d'un exemple de l'icône de jumelles lorsque vous survolez la paire de clé méta/valeur méta Répertoire et/.

binoculars icon in the Event Meta panel

Cliquer sur l'icône déclenche une recherche pour la paire clé méta/valeur méta (non sensible à la casse) dans le panneau Analyse de texte et chaque instance est mise en surbrillance. Dans le Panneau Méta de l'événement, la ligne en surbrillance dispose d'un nombre de résultats et d'une barre de défilement qui vous permettront de trouver rapidement chaque résultat dans le panneau Analyse de texte. Vous pouvez afficher chaque emplacement mis en évidence des données qui a déclenché la génération de la clé méta, avancer pour afficher le prochain et revenir en arrière pour consulter le précédent.

Seules les clés méta qui ont des valeurs pertinentes dans le texte BRUT peuvent être recherchées. Vous pouvez rechercher une seule clé méta à la fois. Si la valeur est actuellement masquée en raison de la troncature d'une entrée de texte avec plus de 3 000 caractères, l'entrée de texte est développée pour afficher la valeur méta trouvée.

Cliquer sur la même paire clé méta/valeur méta ou une clé méta différente : la paire de valeurs dans le Panneau Méta de l'événement supprime la mise en surbrillance du texte brut. La mise en surbrillance est également supprimée si vous fermez le Panneau Méta de l'événement.

Pour rechercher le texte brut des valeurs méta qui ont déclenché une clé méta :

  1. Ouvrez un événement de réseau dans le panneau Analyse de texte.
    a network event open in the Text Analysis panel
  2. Dans la barre d'outils, cliquez sur the Open Meta Panel icon pour ouvrir le Panneau Méta de l'événement. Lorsque vous survolez les paires clé méta - valeur méta dans la liste, une icône de jumelles identifie les valeurs qui peuvent être recherchées dans le panneau Analyse de texte.
  3. Pour rechercher la valeur dans le texte brut, cliquez sur une ligne qui possède l'icône jumelles, indiquant si elle peut faire l'objet d'une recherche.
    Si aucune occurrence pertinentes de la valeur ne se trouve dans le texte, la valeur que vous recherchez est mise en surbrillance dans le Panneau Méta de l'événement et rien n'est mis en surbrillance dans le panneau Analyse de texte.
    Si une ou plusieurs instances pertinentes de la valeur sont trouvées dans le panneau Analyse de texte, chaque occurrence est mise en surbrillance. La valeur que vous recherchez est mise en surbrillance dans le Panneau Méta de l'événement et la barre de défilement est visible.

  4. Pour supprimer la mise en évidence, fermez le Panneau Méta de l'événement, cliquez sur la même paire clé méta/valeur méta dans le Panneau Méta de l'événement ou cliquez sur une paire clé méta/valeur méta différente dans le Panneau Méta de l'événement.
    La mise en surbrillance est supprimée du texte brut.

Afficher ou masquer l'en-tête d'événement

Pour masquer l'en-tête d'événement dans le panneau Analyse de paquets, le panneau Analyse de texte ou le panneau Analyse de fichiers, en fournissant davantage d'espace vertical pour les données, cliquez sur the Display Header icon.

Parcourir les événements dans le panneau Analyse de paquets

Dans la version 11.1 ou supérieure, les commandes de pagination des paquets permettent une plus grande flexibilité pour parcourir la liste de paquets. Vous pouvez sélectionner le nombre de paquets à afficher par page et votre sélection est conservée d'une connexion à l'autre dans l'application NetWitness. Lorsqu'une commande n'est pas disponible, elle est grisée. Par exemple, lorsque vous affichez la page 1, les commandes previous page icon et first page icon sont grisées.

Pour utiliser les commandes de pagination :

  1. Lorsqu'un événement est ouvert dans la vue Analyse d'événements, cliquez sur le nombre actuel de paquets par page (100, 300 ou 500), puis sélectionnez le nouveau nombre de paquets par page dans le menu contextuel.
    packets per page selector
  2. Pour avancer ou reculer d'une page, utilisez les icônes des commandes de page :
    Cliquez sur go to the next page icon pour passer à la page suivante.
    Cliquez sur last page icon pour passer à la dernière page.
    Cliquez sur previous page icon pour accéder à la page précédente.
    Cliquez sur first page icon pour accéder à la première page.
  3. Pour accéder à une page spécifique, saisissez un numéro de page dans le champ du numéro de page page number field.

Développer les entrées de texte tronquées dans le panneau Analyse de texte

La reconstruction d'un événement de réseau dans le panneau Analyse de texte peut inclure des demandes et des réponses de plusieurs centaines de milliers de caractères. Parcourir une longue entrée de plus de 6 000 caractères qui ne représentent pas d'intérêt peut constituer une perte de temps. Pour améliorer l'expérience pour les analystes, toutes les entrées de texte contenant plus de 6 000 caractères sont tronquées pour afficher uniquement les 2 000 premiers caractères. Cet exemple montre une entrée qui comporte plus de 2 000 caractères et un message dans l'en-tête indique le pourcentage du nombre total de caractères affichés.

example of a packet with a percentage of the data displayed

Vous pouvez voir que 60 % des caractères (les 2 000 premiers) s'affichent. Cliquez sur Afficher les 40 % restants pour afficher le reste de l'entrée.

Text Analysis with truncate entries expanded

Si vous recherchez des données méta visibles dans le Panneau Méta de l'événement alors que le texte est tronqué dans le panneau Analyse de texte, le texte tronqué est recherché. Si les données méta se trouvent dans du texte masqué, l'entrée de texte se développe pour afficher le texte avec les données méta trouvées.

Effectuer un codage et un décodage URL et Base64 dans le panneau Analyse de texte

Si une session réseau en cours de reconstruction dans le panneau Analyse de texte contient des chaînes codées Base64 ou URL, vous pouvez décoder une chaîne pour mieux comprendre la session. Si la session contient des chaînes décodées pour Base64 ou URL, vous pouvez afficher une chaîne dans sa forme codée afin de rechercher des instances supplémentaires du texte codé dans d'autres sessions.

Lors de l'affichage d'une session de réseau qui contient du texte codé dans le panneau Analyse de texte, vous pouvez sélectionner un sous-ensemble du texte dans une Demande ou une Réponse unique à afficher sous forme codée ou décodée. En fonction du contenu chargé sur le Décodeur, il existe des métadonnées supplémentaires indiquant que des données encodées Base64 ou URL se trouvent au sein de la session.

Vous trouverez ci-dessous des exemples d'une zone de survol qui affiche le codage URL et le texte codé Base 64.

Text Analysis displaying encoded text

Text Analysis displaying decoded text

Pour effectuer l'encodage et le décodage dans le panneau Analyse de texte :

  1. Dans la Vue Analyse d'événements, accédez au panneau Analyse de texte d'une session qui contient du contenu encodé ou décodé.
  2. Pour afficher du texte décodé sous forme encodée, faites glisser pour sélectionner le texte contenu dans une seule demande ou réponse.
    Un menu propose des options pour encoder et décoder.
    the popup menu for decoding and encoding text
  3. Cliquez sur Encoder le texte sélectionné.
    Le texte encodé s'affiche dans une zone de survol, qui reste en place jusqu'à ce que vous cliquiez sur le the close icon, sélectionnez un autre texte dans le panneau Analyse de texte, fermiez le Panneau Événements, sélectionnez un autre événement pour la reconstruction ou passiez à une autre vue de reconstruction.
    an encoded URL
    Lorsqu'un texte plus long est sélectionné, la boîte de survol est déroulante et suffisamment grande pour accueillir l'ensemble du texte, ainsi que le texte décodé.
  4. Si la session contient du texte encodé que vous souhaitez afficher sous forme décodée, faites glisser pour sélectionner le texte contenu dans une seule demande ou réponse.
    Un menu propose des options pour encoder et décoder.
  5. Cliquez sur Décoder le texte sélectionné.
    Le texte décodé s'affiche dans une zone de survol, qui reste en place jusqu'à ce que vous cliquiez sur the close icon, sélectionnez un autre texte dans le panneau Analyse de texte, fermiez le Panneau Événements, sélectionnez un autre événement pour la reconstruction ou passiez à une autre vue de reconstruction.
  6. Si vous souhaitez copier du texte à partir de la reconstruction de texte, effectuez l'une des opérations suivantes :
    1. Faites glisser pour sélectionner du texte, cliquez avec le bouton droit de la souris et sélectionnez Copier Texte sélectionné dans le menu contextuel.
      selected data with the copy, decode, and encode menus
    2. Faites glisser pour sélectionner du texte, puis sélectionnez Décoder le texte sélectionné ou Coder le texte sélectionné. Dans le menu contextuel, sélectionnez le texte de votre choix et saisissez CTRL-C.
      Le texte sélectionné est copié dans le Presse-papiers et disponible pour être collé dans une requête.
  7. Lorsque vous avez terminé, cliquez sur the Close icon pour fermer la boîte de survol.

Afficher le texte décompressé pour une session de réseau HTTP dans le panneau Analyse de texte

Lorsque le contenu d'une session de réseau HTTP est compressé et que vous affichez le panneau Analyse de texte, NetWitness Suite affiche le contenu décompressé par défaut. Cela vous aide à déceler la présence d'un modèle et à afficher les caractères lisibles par l'utilisateur. Vous pouvez basculer entre une vue compressée et décompressée du texte compressé.

Remarque : Le texte décompressé n'est pas disponible pour le panneau Analyse de paquets, le panneau Analyse de fichiers, les sessions de réseau non-HTTP et les données des fichiers log.

Le bouton de modification entre le texte compressé et décompressé est uniquement présent dans le panneau Analyse de texte et est activé uniquement si du texte compressé est présent.

  1. Ouvrez le panneau Analyse de texte d'une session HTTP qui contient le contenu compressé.
    Par défaut, la session est reconstruite avec le texte décompressée. Au-dessus de la reconstruction se trouve le commutateur Afficher les charges utiles compressées.
    a decompressed payload
  2. Pour afficher le même texte sous sa forme compressée, cliquez sur le commutateur.
    La vue change afin que le texte compressé ne soit plus lisible par l'utilisateur. Le commutateur indique que l'option Afficher les paquets compressés est activée.
    a compressed payload
  3. Pour revenir à la vue du texte décompressé, cliquez à nouveau sur le commutateur.

Utiliser l'option Charge utile uniquement dans le panneau d'analyse de paquets d'une session réseau

Lors de l'affichage d'une reconstruction d'une session réseau dans le panneau Analyse de paquets, vous pouvez choisir d'afficher uniquement la charge utile principale de chaque paquet. Par défaut, l'en-tête de paquet et les octets de pied de page s'affichent pour chaque paquet. Vous pouvez les masquer en cliquant sur le bouton Afficher les charges utiles uniquement. Si vous affichez uniquement les octets de charge utile, vous pouvez rétablir la valeur par défaut de chaque paramètre en définissant le commutateur Afficher les charges utiles uniquement sur activé. Ce paramètre persiste jusqu'à ce que vous le modifiiez ou actualisiez le navigateur.

  • Si l'option Afficher les charges utiles uniquement est désactivée, le nombre de paquets, d'en-têtes de paquet, de pied de page de paquet et de charge utile s'affichent.
  • Si l'option Afficher les charges utiles uniquement est activée, aucun en-tête de paquet et aucun octet de pied de page n'est affiché. Seul le contenu du paquet de 16 octets hexadécimaux par ligne et l'ASCII correspondant par ligne s'affichent.
  1. Dans la vue Analyse d'événements, accédez au panneau Analyse de paquets d'une session de réseau.
    Par défaut, la session est reconstruite avec l'en-tête de paquet, le pied de page et la charge utile est affichée.
    Packet headers hightlighted in blued
  2. Pour modifier la vue afin d'afficher uniquement la charge utile pour chaque paquet, cliquez sur le commutateur Afficher les charges utiles uniquement.
    La vue change pour que seule la charge utile soit visible. Les paquets contigus du même côté sont concaténés pour rendre la charge utile plus lisible et compréhensible.
    Display Payloads Only in effect

Afficher les octets mis en surbrillance dans le panneau Analyse des paquets

Lorsque vous ouvrez une reconstruction dans le panneau Analyse de paquets pour la première fois, les octets d'en-tête significatifs dans chaque paquet sont mis en surbrillance en bleu et les octets de charge utile se distinguent à l'aide d'une ombre pour vous aider à comprendre le contenu du paquet. La figure suivante affiche la valeur Analyse de paquets par défaut avec une mise en évidence et une ombre sur les octets.

Packet Analysis with highlighting and byte shading

L'option Octets d'ombrage ajoute un ombrage pour identifier les différents octets hexadécimaux (00 à FF) à l'aide des degrés de mise en surbrillance. Les octets près de la plage inférieure sont plus transparents et les octets proches de 255 sont plus opaques. Les octets hexadécimaux et ASCII sont grisés. Voici un exemple d'ombre appliquée à chaque octet hexadécimal.

example of shading applied to hexadecimal bytes

Le commutateur Octets d'ombrage contrôle l'ombrage d'octets. Lorsque vous activez ou désactiver Octets d'ombrage, votre paramètre persiste jusqu'à ce que vous modifiiez ou actualisiez le navigateur.

Mettre en surbrillance les types de fichiers communs dans le panneau Analyse des paquets

Dans le panneau Analyse des paquets, les analystes peuvent afficher ou masquer la mise en évidence de certains types de fichiers courants en fonction de la signature d'un fichier. Lorsque la fonction Modèles de fichiers communs est activée, les octets de chiffre miracle dans la signature d'un fichier sont mis en surbrillance dans la charge utile et vous pouvez pointer sur la mise en surbrillance pour afficher le type potentiel du fichier. Dans cet exemple, 89 50 4e 47 est mis en surbrillance dans la charge utile hexadécimale et PNG est mis en surbrillance dans la charge utile ASCII. Lorsque vous survolez les octets mis en surbrillance, le type de fichier potentiel associé au nombre magique est fourni dans une zone de survol.

Possible file type highlighted

Voici les types de fichiers et les nombres magiques correspondants qui sont mis en surbrillance s'ils sont présents dans la charge utile :

                                                                                                  
Type de fichierSignature hexadécimaleCodage ASCII
Exécutable DOS / Windows PE4D 5AMZ
Portable Network Graphics (PNG) 89 50 4E 47 0D 0A 1A 0APNG
JPEG FF D8 FFJPEG
JPEG/JFIF4A 46 49 46JFIF
JPEG/Exif45 78 69 66Exif
GIF47 49 46 38 37 61GIF87a
GIF47 49 46 38 39 61GIF89a

Exécutable non portable

5A 4D

ZM

BMP42 4DBM
PDF25 50 44 46%PDF
Ancien document Office (doc, xls, ppt, msg et autres)D0 CF 11 E0 A1 B1 1A E1ÐÏ.ࡱ.á
Formats de fichier ZIP et formats dérivés, tels que JAR, ODF, OOXML50 4BPK..
Format de fichier 7-zip (7z)37 7A BC AF 27 1C7z¼¯'
Fichier de classe Java, binaire Mach-O FatCA FE BA BEÊþº¾
Postscript 25 21 50 53%!PS
Script Unix/Linux Shell23 21#!
Exécutables Executable and Linkable Format (ELF)7F 45 4C 46 .ELF

Pour afficher les signatures des fichiers courants dans le panneau Analyse de paquets :

  1. Accédez au panneau Analyse de paquets et activez l'option Modèles de fichier communs.
    S'il existe plus d'un élément mis en surbrillance dans la vue, tous sont affichés.
  2. Pour afficher la boîte de survol, placez le curseur sur la mise en surbrillance.
You are here
Table of Contents > Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements > Examiner les événements dans la vue Analyse d'événements

Attachments

    Outcomes