Enquêter : Types de reconstruction dans la vue Analyse d'événements

Document created by RSA Information Design and Development on Oct 22, 2018
Version 1Show Document
  • View in full screen mode
 

Lors de la chasse aux menaces possibles dans les données de réseau capturées, vous pouvez accéder à différents points d'intérêt dans les données. Si une session donnée contient des événements suspects, vous pouvez examiner la liste des événements pour la session et afficher également en toute sécurité d'une reconstruction de l'événement, avec des fonctions qui permettent d'identifier des tendances. (Reportez-vous à la section Commencer une procédure d'enquête pour connaître les différentes méthodes d'accès à la vue Analyse d'événements.)

Remarque : Si vous analysez des événements sur un service 10.6.x ou 11.0.0.x à partir d'un serveur NetWitness 11.1, le comportement de téléchargement dans la vue Analyse d'événements varie pour les fichiers, PCAP, logs, charges utiles et valeurs méta. Vous pouvez voir la charge utile d'un événement sur un service 10.6.x ou 11.0.0.x pour lequel vous n'avez pas d'autorisation, mais vous ne serez pas en mesure de télécharger des fichiers ou des charges utiles.

Dans la vue Analyse d'événements, vous pouvez sélectionner le format de la reconstruction : Analyse de paquets, Analyse de fichiers, ou Analyse de texte, E-mail (version 11.1 ou supérieure), et Web (version 11.1 ou supérieure). Lorsque la clé méta medium étiquette un événement en tant qu'événement de log ou de point de terminaison, seule l'analyse Analyse de texte est disponible. La reconstruction par défaut des événements de réseau est Analyse de texte ; toutefois, pour un événement de réseau, le dernier format de reconstruction ouvert remplace la valeur par défaut. Les reconstructions E-mail et Web ouvrent l'événement dans la vue Événements.

La figure suivante est un exemple de Détails des événements réseau : un panneau Analyse de texte dans une fenêtre de navigateur Web suffisamment large pour afficher les options de format de reconstruction en une ligne.

example of Event Analysis view with format options in a row

Lorsque la fenêtre du navigateur est trop étroite pour afficher toutes les options d'affichage horizontalement, les options sont présentées dans une liste déroulante.

example of Event Analysis view with format options in a drop-down menu

Au sein de chaque type d'analyse, des paramètres sont disponibles afin d'améliorer votre analyse. Si vous modifiez un paramètre, ce dernier est conservé entre les actualisations de navigateur et les connexions au sein du même navigateur. Les paramètres conservés sont les suivants :

  • La reconstruction sélectionnée actuelle : Analyse de texte, Analyse de paquets ou Analyse de fichiers.
  • Si le Panneau Méta de l'événement est ouvert ou fermé.
  • Si l'en-tête d'événement est ouvert ou fermé.
  • Si la demande ou réponse ou les deux sont affichés.
  • Si les charges utiles des paquets sont affichées dans le panneau Analyse de paquets.
  • Si les octets d'ombrage sont affichés dans le panneau Analyse de paquets.
  • Si les autres types de fichiers communs sont mis en surbrillance dans le panneau Analyse de paquets.
  • Nombre de paquets par page dans le panneau Analyse de paquets.
  • Si le texte compressé ou décompressé s'affiche dans le panneau Analyse de texte.
  • Le paramètre de décodage de texte dans le panneau Analyse de texte d'un événement de réseau.

Le panneau d'analyse de texte

Vous pouvez afficher tous les types d'événements (événements de réseau, événements de log et événements de point de terminaison) dans leur format de texte d'origine dans le panneau Analyse de texte.

Remarque : Il est possible de réaliser une procédure d'enquête sur des événements de point de terminaison dans la version 11.1 ou supérieure.

Le panneau Analyse de texte pour certains événements de réseau peut être très volumineux. Pour garantir le meilleur rendu, le nombre de paquets pouvant être rendus dans un seul événement est limité à 2500. Si le panneau Analyse de texte n'affiche pas tous les paquets, le pied de page indique que la limite de 2 500 paquets a été atteinte ; aucun paquet supplémentaire ne sera restitué pour cet événement. La figure suivante illustre une reconstruction qui comporte 2727 paquets avec uniquement 2 500 paquets rendus ; aucun autre paquet ne sera rendu pour cette reconstruction.

reconstruction of an event that has more than 2500 packets

Footer showing that the maximum number of packets has been reached

Remarque : Certains événements de réseau possèdent un grand nombre de paquets mais la charge utile est très petite. Dans ce cas, si la charge utile entière est contenue dans les 2 500 premiers paquets, cela est conforme à la définition de l'affichage de tous les paquets. Aucun message indiquant que vous n'affichez pas tous ces paquets ne s'affiche.

Dans le panneau Analyse de texte, les événements de réseau, les événements de log et les événements de point de terminaison sont présentés différemment.

  • Pour les événements de réseau, la vue Enquêter affiche l'orientation du paquet (demande ou réponse) et le contenu de chaque paquet au format texte. Si vous reconstruisez un événement de réseau, le panneau Analyse de texte est déroulant. Lorsque vous faites défiler la liste, les informations relatives au texte d'identification ainsi que les libellés de requête et de réponse restent visibles, au lieu de quitter l'affichage.
  • Les événements de log et les événements de point de terminaison ne présentent pas de requête ou de réponse. Seul l'événement brut s'affiche dans le panneau Analyse de texte.

Pour chaque type d'événement (réseau, log ou point de terminaison), il existe plusieurs différences :

  • L'en-tête Événement comprend des informations pertinentes pour chaque type d'événement.
  • Il existe plusieurs options pour l'exportation.

Voici un exemple du panneau Analyse de texte pour chaque type d'événement, un événement de réseau, un événement de log et un événement de point de terminaison.

example of a network event in the Text Analysis panel

log event in the Text Analysis panel

an endpoint event in the Text Analysis view

Remarque : Le nombre de paquets calculé, la taille de paquets calculée et la taille de charge utile calculée dans l'en-tête Événement peut être différente des mêmes statistiques dans le Panneau Méta de l'événement car les métadonnées sont parfois écrites avant la fin de l'analyse des événements et peuvent inclure des doublons de paquets.

Le panneau d'analyse des paquets

Le panneau Analyse de paquets concerne uniquement les événements de réseau. Le panneau Analyse de paquets peut défiler et les informations d'identification du paquet, ainsi que les libellés de requête et de réponse, restent visibles, au lieu de quitter l'affichage.

initial view of an event in the Packet Analysis panel

Dans le panneau Analyse de paquets, les en-têtes fournissent la direction du paquet (demande ou réponse), le nombre de paquets, l'heure de début du paquet, l'ID de paquet et la séquence, ainsi que la taille de la charge utile. Tous les paquets commencent par un en-tête, et certains paquets ont un pied de page. Certains paquets ont une charge utile.

Dans la version 11.1, les commandes de pagination ajoutent de la flexibilité pour parcourir les paquets.

Les métadonnées au format hexadécimal et les données ASCII sont mis en surbrillance en bleu ; lorsque vous placez le curseur sur les métadonnées en surbrillance, les informations de valeur de clé méta/méta s'affichent dans une zone de survol.

example of a information displayed in a hover box

Les signatures de fichiers courants sont mises en surbrillance en orange. Lorsque vous placez le curseur sur le texte en surbrillance, la description du type de fichier s'affiche dans une zone de survol.

potential Windows executable highlighted

Le panneau Analyse de fichiers

Le panneau Analyse de fichiers présente une liste de fichiers associés à l'événement de réseau sélectionné. Voici un exemple du panneau Analyse de fichiers.

initial view of the File Analysis panel

Vous pouvez sélectionner un seul fichier, un ou plusieurs fichiers ou tous les fichiers à exporter vers votre système de fichiers local. Lorsque des fichiers sont sélectionnés, le bouton Exporter les fichiers devient actif et reflète le nombre de fichiers sélectionnés.

File Analysis panel with files selected

Attention : Procédez avec prudence lors de la décompression et de l'ouverture de fichiers qui sont associés à une application par défaut ; par exemple, une feuille de calcul Excel peut automatiquement s'ouvrir dans Excel avant de vous permettre d'avoir le temps de vérifier qu'elle ne présente aucun risque.

Outils d'analyse pour chaque type d'analyse d'événements

Les outils d'analyse dans la vue Analyse d'événements sont conçus pour aider les analystes à trouver les informations pertinentes pour les différents types d'événements (événement de réseau, événement de log et événement de point de terminaison). Ce tableau répertorie les actions que vous pouvez entreprendre par type d'événement. Le reste de cette section fournit des procédures pour effectuer les actions.

                                                                                                                                       
ActionÉvénement réseauConsignation d'événementsÉvénement de point de terminaison
Afficher le panneau Analyse de texte
Afficher le panneau Analyse de fichiers   
Afficher le panneau Analyse des paquets   
Ouvrir, fermer et ajuster la taille des panneaux
Régler l'affichage des demandes et réponses   
Afficher ou masquer l'en-tête d'événement dans le panneau Analyse de texte
Développer les entrées de texte tronquées dans le panneau Analyse de texte   
Basculez entre une vue compressée et une vue décompressée des charges utiles dans le panneau Analyse de texte   
Afficher les octets mis en surbrillance dans le panneau Analyse des paquets   
Mettre en surbrillance les types de fichiers communs dans le panneau Analyse des paquets   
Afficher uniquement la charge utile dans le panneau Analyse des paquets   
Griser les octets dans le panneau Analyse des paquets lors de l'affichage de la charge utile uniquement   
Effectuer un codage et un décodage URL et Base64 dans le panneau Analyse de texte   
Afficher le texte décompressé pour une session de réseau HTTP dans le panneau Analyse de texte   
Afficher les métadonnées d'événements pour un événement dans le panneau Analyse de texte
Télécharger un événement de réseau (comme un fichier PCAP, charge utile uniquement, demande uniquement ou réponse uniquement) dans le panneau Analyse des paquets ou Analyse de texte   
Exporter des fichiers à partir d'un événement de réseau dans le panneau Analyse de fichiers   
Télécharger le fichier pour un événement de log dans le panneau Analyse de texte   
Télécharger le fichier pour un événement de point de terminaison dans le panneau Analyse de texte  
Ouvrir l'événement de point de terminaison actuel dans le panneau Analyse de texte  
You are here
Table of Contents > Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements > Types de reconstruction dans la vue Analyse d'événements

Attachments

    Outcomes