Enquêter : Agir sur les données dans la vue Analyse d'événements

Document created by RSA Information Design and Development on Oct 22, 2018
Version 1Show Document
  • View in full screen mode
 

Lorsque vous avez trouvé des données intéressantes dans la vue Analyse d'événements, vous pouvez effectuer des recherches internes dans NetWitness Endpoint et RSA Live, ainsi que des recherches externes de valeurs méta dans des ressources communautaires comme Historique SANS IP et la Recherche ThreatExpert.

Ouvrir un événement Endpoint dans le Client Thick NetWitness Endpoint

Lors de l'affichage d'un événement de point de terminaison dans le panneau Analyse de texte, vous pouvez faire pivoter pour analyser le même événement dans NetWitness Endpoint. Le Client Thick NWE offre des fonctionnalités supplémentaires au-delà de fonctionnalités intégrées dans NetWitness Endpoint Insights.

Remarque : La version 4.4 du client Thick NetWitness Endpoint (NWE) doit être installée sur le même serveur, les clés méta NWE doivent exister dans le fichier table-map.xml sur le Log Decoder et les clés méta NWE doivent exister dans le fichier index-concentrator-custom.xml. Le client Thick NWE est une application Windows uniquement. Les instruments de configuration complets sont fournis dans le Guide d'utilisation du point de terminaison NetWitness pour la Version 4.4.

Pour ouvrir un événement dans NetWitness Endpoint :

  1. À partir de la vue Naviguer :
    1. Dans le menu déroulant Requête, sélectionnez Avancé et saisissez l'une des requêtes suivantes : nwe.callback_id exists ou device.type='nwendpoint'
      Les données Endpoint s'affichent dans le panneau Valeurs.
    2. Cliquez sur un événement avec le bouton droit de la souris, puis sélectionnez Analyse d'événements dans le menu.
  2. (Version 11.1 ou supérieure) Accédez à la Procédure d'enquête > Analyse d'événements. Dans le menu déroulant Requête, sélectionnez Avancé et saisissez l'une des requêtes suivantes : nwe.callback_id exists ou device.type='nwendpoint'
    Les données Endpoint s'affichent dans le panneau Événements.
  3. Sélectionnez un événement.
    L'Analyse d'événements s'ouvre avec l'événement sélectionné affiché dans l'Analyse de texte.
    an endpoint event open in Text Analysis
  4. Dans l'en-tête d'événement, cliquez sur Pivoter vers Endpoint.
    Un nouvel onglet de navigateur avec l'URL ecatui://<id> s'ouvre et le client Thick NWE se lance. Si le Client Thick NetWitness Endpoint n'est pas installé, aucune donnée ne s'affiche et le message suivant apparaît : Applicable for hosts with 4.x Endpoint agents installed, please install the NetWitness Endpoint Thick Client.

Effectuer des recherches de valeurs méta dans l'Analyse d'événements

Dans la vue Analyse d'événements, vous pouvez poursuivre la procédure d'enquête des valeurs méta d'un événement en cliquant avec le bouton droit sur certaines valeurs méta et en utilisant les options du menu déroulant. Tous les champs ne proposent pas des actions quand on clique avec le bouton droit. Pour effectuer des recherches internes et externes :

  1. Dans la vue Analyse d'événements, cliquez avec le bouton droit sur une valeur méta dans la Liste d'événements, dans le panneau Méta de l'événement ou dans l'En-tête d'événement. Certaines valeurs méta disposent d'un menu déroulant.
    Right click on meta values for further actions
  2. Sélectionnez l'une des recherches internes suivantes :
    Copier : Copie la valeur méta dans la zone de stockage temporaire.
    Recentrer la Procédure d'enquête dans un nouvel onglet : Démarre une autre procédure d'enquête dans un nouvel onglet en se concentrant sur la valeur méta sélectionnée.
    Appliquer l'extraction dans un nouvel onglet : Applique la recherche verticale et la lance dans un nouvel onglet pour effectuer une recherche verticale des données dans la vue Naviguer.
    Appliquer l'extraction !ÉGAL dans un nouvel onglet: Applique (!ÉGAL) à la méta et lance un nouvel onglet, ce qui exclut la valeur méta des résultats.
    Recherche d'hôtes : Recherche la valeur dans Procédure d'enquête > vue Hôtes.
    Recherche dans le client Endpoint Thick : Analyse la valeur méta dans le client Endpoint Thick (pour les clients dotés de l'agent Endpoint).
    Recherche dans Live : Recherche une valeur méta sur Live pour approfondir l'analyse.
  3. Pour une recherche externe, survolez une valeur méta, faites un clic droit et sélectionnez Recherche externe.
    External lookups from Event Analysis
  4. Dans le sous-menu, sélectionnez l'une des recherches externes disponibles :
    Google : Recherche une valeur méta sur Google.com
    Historique SANS IP : Recherche une valeur méta dans l'Historique SANS IP, domain = http://isc.sans.org/ipinfo.html?ip=ipaddress
    CentralOps Whois pour adresses IP et noms d'hôte : Recherche une valeur méta sur CentralOps Whois pour les adresses IP et les noms d'hôte, domain = http://centralops.net/co/DomainDossier.aspx?addr=domain&dom_whois=true&dom_dns=true&net_whois=true
    Recherche d'IP Robtex : Recherche une valeur méta sur la Recherche d'IP Robtext, domain = https://www.robtex.com/cidr/domain.ipaddress
    IPVoid : Recherche une valeur méta sur IPVoid, domain = http://www.ipvoid.com/scan/domain/
    URLVoid : Recherche une valeur méta sur URLVoid, domain = http://www.urlvoid.com/scan/ipaddress/
    Recherche ThreatExpert : Recherche une valeur méta d'IP sur la recherche ThreatExpert, domain = http://www.threatexpert.com/reports.aspx?find=IP adress
You are here
Table of Contents > Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements > Agir sur les données dans la vue Analyse d'événements

Attachments

    Outcomes