Enquêter : Configurer la vue Analyse d'événements

Document created by RSA Information Design and Development on Oct 22, 2018
Version 1Show Document
  • View in full screen mode
 

Remarque : Les informations de cette rubrique s'appliquent à RSA NetWitness® Suite  version 11.1 ou ultérieure.

À partir de la Version 11.1, les analystes peuvent définir des préférences qui affectent le comportement de NetWitness Suite lors de l'analyse des données à l'aide de la vue Enquêter > Analyse d'événements. La barre d'outils principale de la vue Enquêter présente des apparences différentes lorsque la vue Analyse d'événements is ouverte. Ces deux boutons permettent d'accéder aux boîtes de dialogue Préférences : User Profile icon et Open Preferences icon. Le menu Utilisateur (User Profile icon) concerne les préférences utilisateur globales telles que le fuseau horaire, alors que le menu Préférences de l'Analyse d'événements (Open Preferences icon) concerne les préférences utilisateur pour le comportement de la vue Analyse d'événements. Le reste de cette section décrit les deux ensembles de préférences.

Définir la vue par défaut Enquêter

La vue Enquêter par défaut est définie dans la boîte de dialogue Préférences utilisateur globales (dans l'angle supérieur droit de la fenêtre NetWitness Suite du navigateur, sélectionnez User Profile icon).
La boîte de dialogue Préférences utilisateur affiche vos préférences actuelles pour la vue Enquêter. Vous pouvez sélectionner la vue par défaut lorsque vous ouvrez Enquêter ici : Vue Naviguer, vue Événements, Vue Analyse d'événements, vue Hôtes, vue Fichiers et vue Malware Analysis.
User Preferences in the Respond and Investigate views

Les préférences utilisateur globales sont décrites en détail dans le Guide de mise en route NetWitness Suite. Accédez à la Table des matières principale de NetWitness Logs & Packets 11.x afin de trouver tous les documents NetWitness Suite 11.x.

Configurer la vue Analyse d'événements

Dans la version 11.1, vous pouvez définir les préférences relatives à la vue Analyse d'événements. Les préférences sélectionnées ici persistent pour chaque utilisateur et sont disponibles à chaque fois que l'utilisateur se connecte à l'application.

Pour définir les valeurs par défaut pour l'utilisation de la vue Analyse d'événements :

  1. Lorsque la vue Analyse d'événements est ouverte, cliquez sur Open Preferences icon.
  2. Dans le menu déroulant Vue Analyse d'événements par défaut, sélectionnez le type de reconstruction par défaut lorsque vous ouvrez un événement dans le panneau Analyse d'événements : Analyse de texte, Analyse de paquets et Analyse de fichiers.
    Si vous n'avez pas sélectionné de type d'analyse par défaut, lorsque vous ouvrez un événement, le type de reconstruction par défaut est l'Analyse des paquets, sauf pour les événements de log et Endpoint qui ouvrent l'Analyse de texte. Si vous sélectionnez un type de reconstruction par défaut, le type de reconstruction est la reconstruction par défaut que vous avez spécifiée. Dans les deux cas, la valeur par défaut est le point de départ, et si vous modifiez le type en cours d'utilisation, le type que vous choisissez sera utilisé lors de la prochaine reconstruction.
  3. Dans le menu déroulant Format de log par défaut, sélectionnez le format de téléchargement pour l'exportation des logs : Télécharger le fichier log, Télécharger le fichier XML, Télécharger le fichier CSV ou Télécharger JSON. Si vous ne sélectionnez pas de format, le format de téléchargement par défaut est Télécharger le log. Ces options sont également disponibles au moment du téléchargement, dans un menu déroulant.
  4. Dans le menu déroulant Télécharger le PCAP, sélectionnez le format par défaut pour le téléchargement des paquets. Ces options sont également disponibles au moment du téléchargement, dans un menu déroulant :
    Télécharger le PCAP pour télécharger l'intégralité de l'événement sous forme de fichier de capture de paquets (*.pcap)
    Télécharger toutes les charges utiles pour télécharger la charge utile comme fichier *.payload
    Télécharger la charge utile de la demande pour télécharger la charge utile de la demande comme fichier *.payload1
    Télécharger la charge utile de la réponse pour télécharger la charge utile de la réponse comme fichier *.payload2
  5. Sous Configurer le format de l'heure pour les requêtes, choisissez Heure de la base de données ou Temps Horloge. La vue Analyse d'événements peut afficher les résultats en fonction de l'heure de la base de données ou de l'heure actuelle de l'horloge. Lorsque vous définissez le format horaire ici, vos préférences utilisateur individuelles sont enregistrées jusqu'à ce leur nouvelle modification. Le paramètre par défaut pour cette préférence est Heure de la base de données, qui est le même format que celui utilisé pour afficher les résultats de la requête dans la vue Naviguer et dans la vue Événements.
    Lorsque l'Heure de la base de données est sélectionnée, l'heure de début et l'heure de fin d'une requête se basent sur l'heure à laquelle l'événement a été stocké.
    Lorsque Temps Horloge est sélectionné, la requête est exécutée avec l'heure actuelle, conformément au fuseau horaire défini dans les préférences utilisateur.
You are here
Table of Contents > Configuration des vues et des préférences de NetWitness Investigate > Configurer la vue Analyse d'événements

Attachments

    Outcomes