Enquêter : Filtrer les résultats dans la vue Analyse d'événements

Document created by RSA Information Design and Development on Oct 22, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

Remarque : Les informations de cette rubrique s'appliquent à RSA NetWitness® Platform version 11.1 ou ultérieure.

Dans NetWitness Platform version 11.0, vous envoyez une requête dans la vue Naviguer ou Événements, et lorsque vous accédez à la vue Analyse d'événements, un fil d'Ariane en lecture seule affiche la requête soumise. Vous devez revenir à la vue Vue Événements ou la vue Naviguer si vous souhaitez saisir une requête différente.

Dans la version 11.1 ou supérieure, un générateur de requête renseigne le fil d'Ariane interactif dans la vue Analyse d'événements afin que vous puissiez créer et modifier chaque filtre <meta key> <operator> <meta value> dans le fil d'Ariane. En outre, vous pouvez sélectionner un service et une période différente sans revenir à la vue Naviguer ou Événements. Le reste de cette section fournit des informations sur l'utilisation des fonctions du Générateur de requête.

Comment fonctionne le fil d'Ariane ?

Lorsque vous cliquez sur l'option Analyse d'événements sous Enquêter pour ouvrir la vue, le sélecteur de service et de période s'affiche. Par défaut, le premier service est sélectionné automatiquement (sauf si vous avez sélectionné précédemment un service et si le service sélectionné est mémorisé dans le navigateur). Si vous ne sélectionnez pas de période, la période par défaut (3 heures) est utilisée. Le champ Générateur de requête est un champ vide à droite de la période.

Lorsque vous ouvrez la vue Analyse d'événements à partir de la vue Événements ou Naviguer, le service, la période et tous les filtres qui ont été sélectionnés dans la vue Événements ou Naviguer s'affichent dans le fil d'Ariane. Le service, la période et les filtres individuels peuvent être modifiés.

À partir de la version 11.2, en plus de la création d'une requête en mode guidé, les analystes avancés peuvent entrer une requête en mode formulaire libre. Le mode par défaut est le mode guidé, qui inclut les options de suggestion automatique et de validation. Le mode formulaire libre vous permet de saisir une requête complexe ; la validation est effectuée lorsque vous exécutez la requête.

Remarque : Une requête complexe est une requête autre qu'un filtre <meta key> <operator> <value> qui contient des opérateurs (), ||, &&, length, ou regex.

Deux boutons basculent entre les modes et placent un curseur dans la barre de requête afin de créer une requête immédiatement. Si vous avez sélectionné le mode Formulaire libre la dernière fois que vous vous êtes connecté, ce choix reste actif lors de votre connexion suivante.

  • Lorsque vous passez du mode Guidé au mode formulaire libre, les filtres que vous avez créés en mode Guidé sont transformés en une requête de texte dans le champ Formulaire libre.
  • Lorsque vous passez du mode Formulaire libre au mode Guidé, la requête que vous saisissez est ajoutée au générateur de requêtes sous la forme d'un seul filtre non modifiable.
  • Si vous démarrez la création d'une requête avec plusieurs filtres en mode Guidé, puis basculez en mode formulaire libre, puis revenez en mode Guidé sans aucune modification, et les filtres multiples conservent le même état.

La figure suivante est un exemple de la vue Analyse d'événement avec le générateur de requêtes en mode Guidé en actif.

example of a query in the Guided Mode query builder

La figure suivante donne un exemple de la vue Élaborer le formulaire libre de requête.

example of the same query in the Free-Form query builder

Remarque : La version 11.2 comprenait une fonctionnalité bêta non documentée, appelée mode Next Gen, dans le générateur de requêtes de la vue Analyse d'événements qui était encore en cours de développement et de test. Le mode Next Gen a été désactivé dans le correctif 11.2.0.1. Si vous voyez le mode Next Gen ne l'utilisez pas ; vous devez utiliser uniquement le mode Guidé et le mode Formulaire libre dans le générateur de requêtes pour garantir des résultats cohérents et prévisibles.
Next Gen Mode

Générateur de requêtes en mode Guidé

Le mode Guidé est le moyen le plus simple de créer une requête avec des fonctionnalités permettant aux analystes d’entrer des requêtes valides. La figure suivante illustre la vue initiale Analyse d’événements avec le générateur de requêtes en mode Guidé actif.

Initial Event Analysis view with breadcrumb highlighted

Remarque : Le Générateur de requête du mode Guidé ne prend en charge que les filtres simples sous la forme <meta key><operator><meta value>. Si la vue Événements ou la vue Naviguer dispose d'un filtre avec plus d'un opérateur not, >, <, <=, >=, ||,&&, (), REGEXou LENGTH, le filtre est ajouté, mais la modification n'est pas prise en charge dans la vue Analyse d'événements. Il en va de même pour un filtre introduit à partir du générateur de requêtes du formulaire libre.

Lorsque vous créez des filtres dans le Générateur de requête du mode Guidé, le fil d'Ariane est mis à jour avec chaque filtre dans un champ modifiable. Lorsque vous exécutez la requête, AND est attribué à tous les filtres pour générer les résultats. La requête n'est envoyée que si vous cliquez sur Interroger des événements. Les filtres s'alignent de gauche à droite, selon l'ordre dans lequel ils ont été créés. Chaque filtre est une expression simple sous la forme <meta key> <operator> <optional value>. Si plusieurs filtres sont ajoutés et ne peuvent pas être affichés sur une seule ligne, ils s'affichent sur une autre ligne et la zone de saisie s'étend verticalement de façon à ce que tous les filtres soient visibles sans défilement vers la droite.

Lorsque vous créez et modifiez des filtres, vous obtenez une assistance sous forme de suggestions en saisie semi-automatique qui n'affichent que des clés méta et des opérateurs valides dans la liste déroulante. Vous pouvez effectuer une saisie ou une sélection dans la liste déroulante. Dans la liste déroulante, les opérations dont l'exécution prend plus de temps sont accompagnés d'une icône de chronomètre. Les filtres non valides sont encadrés en rouge et si vous passez la souris sur le filtre, une infobulle expliquant l'erreur s'affiche.

Le bouton Interroger des événements se trouve sur le côté droit de la saisie du fil d'Ariane et il devient actif lorsqu'une saisie de requête est nécessaire. Une requête est envoyée lorsque vous cliquez sur Événements de requête ou appuyez sur Entrée après la création d'un filtre. Lorsqu'un jeu de résultats est chargé et que vous modifiez le service, la période ou un filtre, le bouton Interroger des événements devient bleu, ce qui indique que les données de la vue sont désormais obsolètes. Dans la version 11.2 et versions ultérieures, le bouton Événements de requête deviendra également bleu au bout d’une minute car la plage de temps de la requête d'origine ne génère plus le même jeu de résultats.

Remarque : Si vous modifiez le service, un appel réseau de données de reconstructions ou de données supplémentaires dans le panneau Événements (par exemple, Charger davantage) utilise les filtres précédemment utilisés pour le service/période/métadonnées. L’appel de réseau continue d’utiliser les paramètres de la requête précédente jusqu'à ce que vous soumettiez la nouvelle requête.

Actions du clavier à utiliser en mode Guidé

Dans le mode Guidé, le générateur de requête est conçu pour permettre la saisie, la modification et la suppression de filtres à l'aide du clavier, sans avoir à utiliser de pointeur. Bien que l'utilisation du pointeur soit possible, vous pouvez garder les doigts sur le clavier. Ce tableau identifie les actions du clavier disponibles lorsque le curseur se trouve dans la partie du Générateur de requête du mode Guidé du fil d'Ariane. Celles-ci ne s'appliquent pas au sélecteur de service et de période.

                                                                   
Action Saisie clavier
Envoyer une requêteEn pointant le Générateur de requête et sur les filtres qui ne sont pas en attente, appuyez sur Entrée.
Sélectionner le filtre situé immédiatement à gauche, s'il existe.Sans aucune sélection dans le Générateur de requête, appuyez sur la touche de la flèche vers la gauche.
Sélectionner le filtre situé immédiatement à droite, s'il existe.Sans aucune sélection dans le Générateur de requête, appuyez sur la touche de la flèche vers la droite.
Insérer un nouveau filtre immédiatement à gauche du filtre sélectionné.Lorsqu'un filtre est sélectionné, appuyez sur la touche de la flèche vers la gauche.
Insérer un nouveau filtre immédiatement à droite du filtre sélectionné.Lorsqu'un filtre est sélectionné, appuyez sur la touche de la flèche vers la droite.
Insérer un nouveau filtre immédiatement à droite du filtre sélectionné et l'ouvrir pour le modifier.Lorsqu'un filtre est sélectionné, appuyez sur les touches Maj + Flèche vers la gauche.
Insérer un nouveau filtre immédiatement à droite du filtre sélectionné et l'ouvrir pour le modifier.Lorsqu'un filtre est sélectionné, appuyez sur les touches Maj + Flèche vers la droite.
Sélectionner tous les filtres à droite du filtre actuel.Lorsqu'un filtre est sélectionné, appuyez sur les touches Maj + Flèche vers le bas.

Sélectionner tous les filtres à gauche du filtre actuel.

Lorsqu'un filtre est sélectionné, appuyez sur les touches Maj + Flèche vers le haut.

Modifier un filtre sélectionné

Lorsqu'un filtre est sélectionné, appuyez sur la touche Entrée.

Désélectionner tous les filtres.Lorsqu'un filtre est sélectionné, appuyez sur la touche Échap.

Supprimer tous les filtres sélectionnés.

Lorsque des filtres sont sélectionnés, cliquez avec le bouton droit > Supprimer les filtres sélectionnés, appuyez sur Supprimer ou sur Retour arrière.

Mettre à jour la requête avec uniquement les filtres sélectionnés.Lorsque des filtres sont sélectionnés, cliquez avec le bouton droit > Requête avec des filtres sélectionnés.

Ouvrir un nouvel onglet avec les filtres sélectionnés.

Lorsque des filtres sont sélectionnés, cliquez avec le bouton droit > Requête avec des filtres sélectionnés dans un nouvel onglet.

Rétroaction en mode Guidé

Le mode Guidé fournit des commentaires visuels pendant la création des requêtes. Ce tableau identifie et décrit les commentaires possibles.

                            
CommentairesIcôneDescription
Cercle vert Green circle inbetween filters Le curseur a été placé entre deux filtres existants. Le fait de cliquer insère un nouveau filtre à cet emplacement.

Contour rouge d'un filtre

Red outline example

Le type de valeur n'est pas valide pour la clé méta sélectionnée, par exemple, une valeur de chaîne pour une clé méta où un chiffre entier doit être saisi. Une info-bulle expliquant l'erreur qui s'affiche.

Chronomètre Stopwatch Icon La combinaison clé/opérateur sélectionnée nécessite un délai de traitement supplémentaire. La requête reste exécutable, mais une clé meta ou un opérateur plus efficace est recommandé.

Ajouter un filtre en mode Guidé

Pour filtrer les données affichées dans la vue Analyse d'événements du mode Guidé :

  1. Accédez à la vue vue Analyse d’événements et sélectionnez le mode Guidé sous le générateur de requêtes.
    Il s'agit d'un exemple de générateur de requêtes vide en mode Guidé avant la saisie d’un filtre.
    Guided Mode, empty query builder field
  2. Pour insérer un filtre, cliquez dans le champ du Générateur de requête, ou avant ou après un filtre existant.
    Si le point d'insertion se trouve entre deux filtres, un point vert marque le point d'insertion. Si le point d'insertion se trouve à la fin du fil d'Ariane existant, le champ de saisie de filtre s'ouvre et présente un curseur clignotant au point d’entrée. Un menu déroulant répertorie les clés méta disponibles pour le service sélectionné par ordre alphabétique. Les clés méta disponibles sont transmises à partir du service en cours d'investigation, et les clés méta nécessitant plus de temps de traitement sont marquées par une icône de chronomètre.
    the meta key drop-down list in the Guided Mode query builder
  3. Pour sélectionner une clé méta, effectuez l'une des actions suivantes :

    1. S'il n'existe qu'une seule option dans le menu déroulant, appuyez sur Entrée.
    2. S'il existe deux options ou plus dans le menu déroulant, cliquez sur la clé méta ou utilisez la flèche vers le haut/bas et appuyez sur Entrée.
    3. Commencez à saisir la clé méta. Lorsque vous saisissez la clé méta, la liste est encore mise à jour. Pour sélectionner la clé méta, appuyez sur Entrée.
    4. Si vous souhaitez modifier ou supprimer la clé méta, appuyez sur Retour arrière ou surSupprimer.
      Lorsque vous effectuez un retour arrière et supprimez un caractère, la liste déroulante de clés méta est filtrée pour inclure les clés méta qui commencent par ces caractères. Pour sélectionner une clé méta, appuyez sur Entrée.
      La clé méta est ajoutée au générateur de requêtes, une liste d'opérateurs valides pour la clé méta sélectionnée s'affiche. Les opérations dont l'exécution prend plus de temps sont accompagnés d'une icône de chronomètre.
      example of operators drop-down menu
  4. Pour sélectionner un opérateur, effectuez l'une des actions suivantes :

    1. S'il n'existe qu'une seule option dans le menu déroulant, appuyez sur Entrée.
    2. S'il existe deux options ou plus dans le menu déroulant, cliquez sur l'opérateur ou utilisez la flèche vers le haut/bas et appuyez sur Entrée.
    3. Saisissez l'opérateur et appuyez sur Entrée.
      La liste déroulante se ferme et vous pouvez ajouter une valeur si l'opérateur accepte une valeur.
  5. (Facultatif) Saisissez une valeur et appuyez sur Entrée.

  6. Pour créer le filtre, appuyez sur Entrée. Si vous cliquez n'importe où en dehors du cadre avant d'appuyer sur Entrée, le filtre n'est pas créé.
    Le nouveau filtre est inséré et le curseur clignotant est recentré après le dernier filtre, puis le menu déroulant des clés méta s’affichent. Si le filtre comporte une erreur, il est signalé en rouge. Vous pouvez passer le curseur sur le filtre pour afficher une infobulle expliquant l'erreur. Cette figure montre une requête en cours de création sans erreurs.
    the completed filter with a value
  7. Corrigez tous les filtres qui présentent des erreurs.
  8. Lorsque vous êtes prêt à exécuter la requête dans le fil d'Ariane, cliquez sur Interroger des événements.
  9. La Liste d'événements est actualisée pour refléter la requête.

Modifier un filtre en mode Guidé

Avec une requête dans le générateur de requêtes en mode Guidé, vous pouvez modifier un filtre. Pour modifier un filtre :

  1. Double-cliquez dessus ou cliquez sur le filtre et appuyez sur Entrée.
  2. Modifiez le filtre. Lorsque la modification est terminée, appuyez sur Entrée pour mettre à jour le filtre.
  3. Si vous souhaitez exécuter de nouveau la requête, cliquez sur le bouton Requête.
    La Liste d'événements est actualisée pour refléter la mise à jour du filtre.

Requête utilisant des filtres sélectionnés en mode Guidé

Lorsque un ou plusieurs filtres dans le générateur de requête du mode Guidé sont appliqués, vous pouvez recentrer la même requête pour inclure uniquement les filtres sélectionnés. Les résultats s'affichent dans l'onglet du navigateur actuel ou dans un nouvel onglet du navigateur. Pour mettre à jour la requête avec uniquement les filtres sélectionnés :

  1. Commencez par une requête en mode Guidé incluant un ou plusieurs filtres, par exemple une requête a trois filtres : risk.info = exists, direction ="lateral" et threat.category exists.
  2. Pour ouvrir un nouvel onglet avec les filtres sélectionnés, sélectionnez direction = "lateral", cliquez avec le bouton droit sur le filtre et sélectionnez Requête avec des filtres sélectionnés dans un nouvel onglet dans le menu déroulant.
    the Query with selected filters in a new tab option selected
    Un nouvel onglet s'ouvre avec les résultats du filtre sélectionné et la requête d'origine est intacte sur l'onglet précédent.
    results in a new tab
  3. Pour effectuer une requête sur les filtres sélectionnés dans le même onglet, sélectionnez direction = "lateral" et threat.category exists. Ensuite, cliquez avec le bouton droit et sélectionnez Requête avec des filtres sélectionnés dans le menu déroulant.
    the Query with selected filters option selected in the drop-down menu
    Une requête avec uniquement les filtres sélectionnés est envoyée et tous les filtres restants sont supprimés.

Supprimer un filtre en mode Guidé

Pour supprimer un filtre :

  1. Cliquez sur X dans un filtre, cliquez sur le filtre pour le sélectionner, puis appuyez sur Supprimer, ou cliquez avec le bouton droit sur un ou plusieurs filtres et sélectionnez Supprimer les filtres sélectionnés dans le menu déroulant.
  2. Si vous souhaitez exécuter de nouveau la requête, cliquez sur le bouton Requête.
    Le filtre sélectionné est supprimé et la Liste d'événements est actualisée.

Générateur de requêtes en formulaire libre

Les requêtes de formulaire libre sont plus utiles lorsque vous avez une requête complexe à l'esprit que vous souhaitez entrer rapidement, et que vous connaissez les clés méta, les opérateurs valides et la syntaxe valide pour entrer des valeurs. La figure suivante illustre la vue Analyse d'événement initiale avec le champ de générateur de requêtes de formulaire libre vide.

Free-Form query builder, with the field empty

Le curseur clignotant indique que le système est prêt à entrer une requête. Vous pouvez entrer du texte libre ici. À mesure que plusieurs expressions sont ajoutées et si elles ne peuvent être affichées sur une seule ligne, elles s'affichent sur une autre ligne et la zone de saisie s'étend verticalement de façon à ce que tous les filtres soient visibles sans défilement vers la droite.

Voici quelques exemples de requêtes que vous pouvez saisir en mode forme libre :

Pour rechercher des événements avec un nom d'utilisateur de 8 à 11 caractères semblable à atreeman-72 :
user.all length 8-11 && (user.all regex '^a[a-z]{2}ee[a-z]{3}-[0-9]{2}')

Pour rechercher des événements qui sont des événements de réseau HTTP ou liés aux journaux aix ou ciscoasa :
service=80 || (device.type = 'aix','ciscoasa')

Pour trouver tous les événements sortants qui ne vont pas au Canada ou aux États-Unis :
direction = 'outbound' AND not(country.dst = 'united states' || country.dst = 'canada')

Si vous avez envoyé une requête en mode Guidé, celle-ci est transformée en texte lorsque vous cliquez sur Basculer en mode formulaire libre. Il s'agit d'un exemple de requête soumise en mode Guidé.
query from Guided Mode

Vous pouvez entrer du texte libre ici. Si plusieurs fexpressions sont ajoutées et ne peuvent pas être affichées sur une seule ligne, elles s'affichent sur une autre ligne et la zone de saisie s'étend verticalement de façon à ce que tous les filtres soient visibles sans défilement vers la droite.

Le bouton Interroger des événements se trouve sur le côté droit de la saisie du fil d'Ariane et il apparaît en bleu lorsqu’il est nécessaire de saisir une requête. La requête est appliquée lorsque vous cliquez sur Événements de requête. La requête est alors validée pour afficher les erreurs de syntaxe et de logique.

a query that has been submitted

Les opérations nécessitant un délai de traitement supplémentaire ne sont pas mises en surbrillance car elles sont en mode Guidé, mais ce tableau fournit un résumé des opérations coûteuses, à titre de référence.

                                                    
Méthode d’indexValeur non textuelleValeur du texte Opérations régulièresOpérations coûteuses
Par Key  exists, !existseq, !eq
Par Key  exists, !existseq, !eq, begins, ends, contains
Par valeur  exists, !exists, eq, !eqpas d'opérateurs coûteux
Par valeur  exists, !exists, eq, !eq, begins

ends, contains

Par Nonecas particulier poursessionid exist, !exits, eq, !eq

pas d'opérateurs coûteux

You are here
Table of Contents > Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements > Filtrer les résultats dans la vue Analyse d'événements

Attachments

    Outcomes