Enquêter : Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Document created by RSA Information Design and Development on Oct 22, 2018
Version 1Show Document
  • View in full screen mode
 

La vue Parcourir est la vue par défaut pour la procédure d'enquête, sauf si vous avez sélectionné une vue différente comme vue d'ouverture. Cette préférence utilisateur est définie sur le niveau de l'application décrit dans Configuration des vues et des préférences de NetWitness Investigate. Dans ces vues, vous recherchez des événements d'intérêt basés sur une requête. Dans la vue Naviguer, vous pouvez également affiner les résultats en cliquant sur les clés méta et les valeurs méta. Lorsque vous trouvez des événements intéressants, vous pouvez analyser l'événement de plus près dans les autres vues Enquêter.

Pour commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements, un service doit être spécifié.

  • NetWitness Suite ouvre la vue Naviguer ou la vue Événements avec le service par défaut spécifié par l'utilisateur sélectionné.
  • Si aucun service par défaut n'est actuellement spécifié et que l'identifiant de service ne se trouve pas dans l'URL, NetWitness Suite présente une boîte de dialogue permettant de sélectionner le service ou la collection à examiner.
  • Lorsqu'un service a été sélectionné manuellement ou par défaut dans la vue Naviguer ou la vue Événements, vous pouvez modifier le service ou la collection à examiner en sélectionnant le nom du service dans la barre d'outils. NetWitness Suite affiche la boîte de dialogue permettant de sélectionner le service à examiner.

Remarque : Le service Archiver ne figure pas dans la vue Naviguer pour réduire au minimum un ralentissement des performances lors de l'exécution des enquêtes au niveau de l'expérience utilisateur. Le service Archiver est disponible dans la vue Événements pour les exportations de logs et les fonctions de recherche améliorée. 

Avec un service sélectionné ou une collection sélectionnée, NetWitness Suite est prêt à charger les données du service ou de la collection. Il est recommandé de sélectionner également une période afin que les résultats se chargent plus rapidement. Plusieurs paramètres de la vue Naviguer et de la boîte de dialogue Paramètres de la vue Événements ou Profils > panneau Préférences > onglet Procédures d'enquête affectent le processus de chargement : la page Seuil, Nb max résultats de valeurs, Afficher les informations de débogage, Charger automatiquement les valeurs et Optimiser l'investigation se charge (voir la rubrique Configuration des vues et des préférences de NetWitness Investigate).

Remarque : Dans la vue Événements, les données se chargent automatiquement. Si vous avez indiqué Charger automatiquement les valeurs dans les préférences de la vue Naviguer, NetWitness Suite renseigne automatiquement les données. Sinon, vous devez sélectionner le bouton Charger les valeurs. NetWitness Suite remplit les métadonnées dans le panneau Valeurs de la vue Naviguer et les résultats deviennent visibles presque immédiatement.

Le reste de cette rubrique fournit des instructions pour commencer la procédure d'enquête des données sur un service.

Remarque : Seuls les utilisateurs ayant le rôle d'administrateur peuvent créer une collection, et seul le créateur de la collection est en mesure d'enquêter sur elle.

 

Après le chargement des données dans la vue Naviguer ou Événements :

  1. Affiner les résultats, visualiser les données et agir sur un point d'extraction (reportez-vous à la section Procédure d'enquête relative aux métadonnées dans la vue Naviguer et Examiner les événements bruts dans la vue Événements. Par exemple, vous pouvez Afficher un contexte supplémentaire pour un point de données, Lancer une analyse Malware Analysis à partir de la vue Naviguer ou Ajouter des événements à un incident pour obtenir une réponse.
  2. Reconstruisez un événement (reportez-vous à la section Reconstruire un événement) ou affichez l'analyse d'événement interactive d'un événement (reportez-vous à la section Commencer une procédure d'enquête dans la vue Analyse d'événements).

Commencer une procédure d'enquête (aucun service par défaut)

  1. Accédez à ENQUÊTER > Naviguer ou Événements.
    La boîte de dialogue Enquêter s'affiche.
    Investigate dialog
  2. Double-cliquez sur un service ou sélectionnez un service, en général un Concentrator, puis cliquez sur Naviguer.
    Les données se chargent automatiquement dans la vue Événements. Si vous travaillez dans la vue Naviguer, le panneau qui en résulte affiche l'activité pour le service sélectionné, mais les données ne sont pas chargées automatiquement.
  3. (Recommandé) Sélectionnez une période spécifique afin que les résultats se chargent plus rapidement.
  4. Si vous souhaitez modifier les options de procédure d'enquête avant le chargement, vous pouvez créer ou modifier un profil personnalisé, appliquer une période différente, créer ou appliquer un groupe méta, et effectuer une requête personnalisée, comme décrit dans la rubrique Interrogation et action sur les données dans les vues Naviguer et Événements. Vous pouvez également modifier les options à tout moment pendant la procédure d'enquête.
  5. Pour charger les données dans la vue Naviguer, cliquez sur the Load Values button.
    Les données pour le service sélectionné commencent à se charger.
    Navigate view with data loading
    Avec le service sélectionné et les données chargées, vous êtes prêt à commencer à analyser les données.

Définir ou effacer le service par défaut

Vous pouvez définir le service par défaut et désactiver le service par défaut dans la boîte de dialogue Rechercher un service.

  1. Cliquez sur le nom du service dans la barre d'outils.
    La boîte de dialogue Enquêter s'affiche.
    Investigate dialog
  2. Sélectionnez un service dans la grille Services et cliquez sur Default Service button.
    Le service devient la valeur par défaut (indiqué par Par défaut entre parenthèses après le nom du service).
  3. Pour effacer le service par défaut, sélectionnez-le dans la grille, cliquez sur Default Service button, puis sur Annuler pour fermer la boîte de dialogue.
    Aucun service par défaut n'est défini.

Remarque : Le bouton Annuler n'annule pas votre sélection du service par défaut. Il ferme simplement la boîte de dialogue sans avoir à naviguer vers le service actuellement sélectionné dans la grille. La définition d'un service par défaut, différent du service actuellement à l'étude, n'actualise pas la vue Naviguer. Vous devez le sélectionner explicitement et naviguer vers un autre service.

Commencer une procédure d'enquête (service par défaut spécifié)

  1. Accédez à ENQUÊTER > Naviguer ou > Événements.
    Si le paramètre Charger automatiquement les valeurs est désactivé, la vue Naviguer s'affiche avec le service par défaut sélectionné et est prête à charger les données. Si le paramètre Charger automatiquement les valeurs est activé, les valeurs sont chargées comme indiqué à l'étape 3. Dans la vue Événements, les données se chargent automatiquement.
  2. Si vous souhaitez modifier les options de procédure d'enquête dans la vue Naviguer avant le chargement, vous pouvez créer ou modifier un profil personnalisé, appliquer une période différente, créer ou appliquer un groupe méta, et effectuer une requête personnalisée.
  3. Lorsque vous êtes prêt, cliquez sur Load Values button.
    Les valeurs du service sont chargées selon les options choisies.
    Navigate view with data loading
    Avec le service sélectionné et les données chargées, vous êtes prêt à commencer à analyser les données.

Modifier le service ou la collecte à examiner

  1. Dans la vue Naviguer ou la vue Événements, cliquez sur le nom du service en haut du panneau d'options.
    La boîte de dialogue Enquêter s'affiche.
    Investigate dialog
  2. Double-cliquez sur un service ou sélectionnez un service, puis cliquez sur Naviguer. Le panneau résultant affiche l'activité pour le service sélectionné.
    Si le paramètre Charger automatiquement les valeurs est activé, les valeurs sont chargées comme indiqué à l'étape 3. Dans le cas contraire, la vue Naviguer s'affiche avec le service sélectionné par défaut et les données sont prêtes à charger. Dans la vue Événements, les données sont chargées automatiquement.
    Investigate Navigate view with Load Values button
  3. Lorsque vous êtes prêt, cliquez sur Load Values button.
    Les valeurs du service commencent à se charger selon les options choisies.
    Investigate Navigate view
    Avec le service sélectionné et les données chargées, vous êtes prêt à commencer à analyser les données.

Examiner des collections de restauration Workbench

Cette procédure permet aux administrateurs de sélectionner le contenu à partir d'une collection existante pour le retraiter en vue d'une étude plus approfondie. Cela s'applique aux services Decoder qui utilisent des services Workbench.

Remarque : Seul un utilisateur avec des privilèges d'administration peut créer une collection. Vous pouvez afficher uniquement les collections que vous avez créées.

Pour retraiter des données en vue d'une étude plus approfondie :

  1. Accédez à ENQUÊTER > Naviguer ou Événements.
    La boîte de dialogue Enquêter s'affiche.
    Investigate dialog
  2. Sélectionnez un service Workbench et le nom du Workbench que vous souhaitez étudier.
  3. Cliquez sur Naviguer pour effectuer une procédure d'enquête sur votre service Workbench sélectionné.
    Cliquez sur Annuler pour sélectionner un service Workbench différent à examiner.
    La vue Procédure d'enquête s'affiche.
    Avec la collection sélectionnée et les données chargées, vous êtes prêt à commencer à analyser les données.
You are here
Table of Contents > Commencer une procédure d'enquête > Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Attachments

    Outcomes