Investigate : Vue Enquêter

Document created by RSA Information Design and Development on Oct 22, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

La vue Investigate ( ENQUÊTER ) est le point d'entrée principal dans NetWitness Investigate. La vue Examiner comporte six sous-menus, qui ouvrent différentes vues vous permettant d'analyser des événements de différentes perspectives. Les sous-menus sont les suivants : Naviguer, Événements, Analyse d'événements, Hôtes, Fichiers, Utilisateurs et Malware Analysis.

Remarque : Les sous-menus Analyse d'événements, Hôtes et Fichiers sont disponibles dans la version 11.1 ou supérieure. Le menu Utilisateurs est disponible dans la version 11.2 et versions ultérieures. Les autorisations configurées par rôle d'utilisateur et utilisateur déterminent les sous-menus affichés.

Vous pouvez utiliser les options de sous-menu pour vous déplacer entre les différentes vues.

  • La vue Naviguer, la vue Événements et la vue Analyse d'événements offrent des liens les uns aux autres pour examiner les résultats actuels sous un angle différent, ce qui offre une certaine continuité à la procédure d'enquête lorsque vous passez d'une vue à l'autre.
  • La vue Hôtes et la vue Fichiers intègrent NetWitness Endpoint à Investigate, et fournissent une vue de tous les hôtes avec un agent NetWitness Endpoint installé et une vue des fichiers exécutables uniques dans l'environnement déployé.
  • La vue Utilisateurs fournit une visibilité sur les comportements des utilisateurs à risque dans votre entreprise à l'aide de NetWitness UEBA. Vous pouvez afficher une liste d'utilisateurs à haut risque et un récapitulatif des alertes principales pour le comportement risqué de votre environnement, puis sélectionner un utilisateur ou une alerte et afficher des détails sur le comportement risqué et une chronologie pendant laquelle les comportements se sont produits.
  • La vue Analyse de malware offre la possibilité d'analyser les fichiers trouvés dans l'une des autres vues ou collectés par analyse continue du trafic réseau.

Workflow

Le workflow ci-dessous décrit les tâches générales lors de l'analyse des événements.

the high-level Investigate workflow

Que voulez-vous faire ?

                                           
Rôle d'utilisateurJe souhaite...Me montrer comment
Responsable de la recherche des menaces

parcourir les métadonnées d'événement

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

parcourir les événements bruts*

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

analyser les métadonnées et événements bruts*

Commencer une procédure d'enquête dans la vue Analyse d'événements

Responsable de la recherche des menacesexaminer les points de terminaison (Version 11.1)*Examiner les hôtes

Responsable de la recherche des menaces

rechercher des fichiers de point de terminaison suspects (Version 11.1)*

Examiner les fichiers

Responsable de la recherche des menacesanalyser les fichiers et les événements des programmes malveillants*Mener une analyse de malware

*Vous pouvez effectuer cette tâche dans la vue actuelle.

Rubriques connexes

Aperçu rapide

La vue Enquêter se compose de six vues, chacune représentant une approche différente d'analyse des données. Par défaut, la procédure d'enquête s'ouvre dans la vue Naviguer. Vous pouvez remplacer la vue par défaut par l'une des autres vues. Voir Fonctionnement de NetWitness Investigate pour une introduction à l'utilisation de chaque vue. La figure suivante montre les sous-menus sous la vue ENQUÊTER.

the Investigate view submenus

Next Topic:Vue Hôtes
You are here
Table of Contents > Matériaux de référence Enquêter > Vue Enquêter

Attachments

    Outcomes