Skip to content

Modulul Investigații

Modulul de investigație este destinat să asiste un flux de investigație prin intermediul unui ghid, bazat pe arborele de reprezentare a informațiilor de audit colectate din infrastructura IT. Acest modul utilizează corelarea nativă a datelor pentru a conecta vizual evenimentele conexe. Acesta are capacitatea unică de a putea conecta evenimente care aparent nu au legătură între ele, adică nu au un punct de conexiune comun, cum ar fi numele calculatorului, numele utilizatorului, punctul de origine, adresa IP de destinație și nu fac parte dintr-un grup definit al modelului de neconformitate bazat pe oricare dintre atributele enumerate mai sus și pe un ID al evenimentului.

Această funcționalitate are rolul de a crea legături între diverse evenimente și câmpuri/cadențe. Se presupune că o investigație pornește de la un eveniment care trebuie investigat și urmează un traseu pas cu pas pentru a identifica informații adiacente utile. Evenimentul poate marca traseul pentru o logare a unui utilizator, accesul la un fișier, o adresă IP sau o schimbare de configurație.

Pornind de la informațiile furnizate inițial, anchetatorii pot descoperi cu ușurință evenimentele asociate punctului de marcare inițial, corelând în mod dinamic informațiile în jurul unor câmpuri sau șiruri de caractere.

Modulul de lucru cu investigațiile

Accesați modulul Investigations apăsând butonul din secțiunea din stânga sus a interfeței web CYBERQUEST.

Fereastra de filtrare a datelor

Spre deosebire de modulele descrise în capitolele anterioare, modulul Investigations deschide mai întâi o fereastră Filtrare date similară secțiunilor Cercetare și filtrare prezente în modulele Dashboards sau Browser. CYBERQUEST utilizează o abordare diferită pentru modulul Investigations, deoarece, spre deosebire de Dashboards sau Browser, nu există informații implicite de afișat și pentru a permite investigatorului să aibă cât mai mult spațiu pe ecran pentru a derula investigația.

Există mai multe similitudini pentru opțiunile de filtrare a datelor pe care le puteți găsi și în modulul Browser. Câmpul de căutare oferă posibilitatea de a filtra informațiile afișate prin utilizarea capacităților de text liber. Dacă nu se introduce nimic în caseta de câmp, sunt afișate toate evenimentele.

Prin apăsarea butonului Alt Image veți putea instrui interfața cu privire la modul în care numărul de elemente afișate pe pagină.

Opțiunea implicită este de 10 elemente, dar se poate mări la 50 sau 100 de elemente.

Alt Image

Puteți specifica filtre suplimentare folosind Filtering options (Opțiuni de filtrare). În mod implicit, nu este selectat nimic. Atunci când accesați lista derulantă Additional filters (Filtre suplimentare), vi se prezintă o colecție mare de filtre predefinite, ordonate în funcție de tehnologie. Puteți selecta unul sau mai multe filtre.

De asemenea, va trebui să selectați metoda logică de combinare a filtrelor selectate în lista derulantă Combining method (Metoda de combinare). Opțiunile disponibile sunt operatorii logici AND și OR. Rețineți că operatorul pe care îl alegeți se aplică tuturor filtrelor selectate.

Alt Image

După ce ați terminat, apăsați butonulAlt Image pentru a aplica selecțiile sauAlt Image pentru a închide fereastra fără a salva modificările. Opțional, puteți, de asemenea, să închideți fereastra fără a salva modificările, făcând clic Alt Image pe semnul din colțul din dreapta sus.

Alte opțiuni disponibile în fereastra Filter Data:

  • Opțiunea Send to Investigations va direcționa selecția către modulul Investigations.

  • Opțiunea Send to dashboards va direcționa selecția dvs. către modulul Dashboards. Opțiunea deschide o nouă filă a browserului web pentru interfața Dashboards care listează rezultatele filtrate.

Alt Image

  • Opțiunea Send to browser va direcționa selecția dumneavoastră către modulul Browser. Opțiunea deschide o nouă filă a browserului web în interfața Browser care listează rezultatele filtrate.

  • Opțiunea Send to alerts va direcționa selecția dvs. către modulul Alerts. Opțiunea deschide o nouă filă a browserului web către interfața Alerte care listează rezultatele filtrate.

Fereastra Filter Data include opțiuni pentru setarea datei și intervalului de timp pentru care aveți nevoie de informații. Această funcție este foarte utilă atunci când trebuie să aruncați o privire rapidă asupra conformității pe o anumită perioadă de timp.

Interfața vă permite să setați o dată de început și o dată de sfârșit specifice și vă oferă, de asemenea, opțiuni rapide pentru dată (ultima oră, ultima zi, ultimele trei zile, ultimele zece zile, ultimele 30 de zile, ultimele 90 de zile). De la în mod implicit, interfața modulului Browser listează toate evenimentele. Butoanele de sub câmpurile Data de început și Data de sfârșit vă permit să măriți sau să micșorați rapid intervalul de timp și să specificați referința de timp care trebuie luată în considerare (ora locală, GMT sau ora evenimentului).

Alt Image

Nu uitați să apăsați butonulAlt Image pentru a aplica selecțiile și a afișa interfața Investigations. Dacă faceți clic în afara ferestrei sau închideți fereastra fără a obține date, interfața va fi afișată fără nicio informație. Singura modalitate de a încărca orice eveniment și de a putea opera în acest mod va fi reîncărcarea paginii sau apăsarea butonului New Investigation din pagina Investigations.

Noua pagină de investigație

La apăsarea butonului Get data (Obține date), se va închide fereastra Filter Data (Filtrează datele) și se va deschide o pagină New Investigation (Anchetă nouă). Arborele de investigație este afișat în centrul paginii.

Dacă se face clic pe orice eveniment din arborele de investigații, informațiile despre eveniment sunt afișate în secțiunea Detalii despre eveniment din stânga paginii.

Sunt posibile următoarele acțiuni:

  • Dacă faceți clic pe oricare dintre detaliile evenimentului, se deschide o nouă fereastră de filtrare a datelor, completată în prealabil cu căutarea care conține selecția dvs., data și ora evenimentului ca dată de începere și dată de încheiere, se mărește cu o oră de la data de începere. Puteți schimba oricare dintre filtrele de aici și modifica căutarea, dacă este necesar, înainte de a apăsa butonul Get data (Obține date).

  • Arborele de investigație se va extinde cu o nouă ramură care începe de la evenimentul selectat anterior, care conține evenimente care sunt corelate cu evenimentul selectat anterior.

  • Din acest punct, puteți repeta procesul selectând un eveniment pe noua ramură și apoi alegând un detaliu în secțiunea "Detaliile evenimentului" actualizată, ceea ce va determina deschiderea unei noi ferestre de filtrare a datelor.

Alt Image

Procesul poate fi repetat la nesfârșit. Este posibil să se desfășoare o investigație pe baza informațiilor analizate și în câmpul Descriere, nu numai în câmpurile standard de evenimente.

Scara arborelui principal de investigație poate fi mărită sau micșorată cu ajutorul rotiței de defilare a mouse-ului și puteți muta arborele din secțiunea principală New Investigation după cum este necesar pentru a observa în mod corespunzător logica investigației, pentru a urmări firimiturile de pâine și pentru a vă orienta investigația în consecință prin selectarea altor evenimente și filtrarea datelor.

Nu uitați că pentru orice ramură din arbore, numărul de evenimente afișate în pagină este cel stabilit în selecția inițială a datelor de filtrare.

Prin urmare, în cazul în care numărul de evenimente este mai mare decât numărul maxim de evenimente care trebuie afișate, se creează pagini de date suplimentare.

Alt Image

Secțiunea Date curente din dreapta paginii New Investigation vă permite să navigați înainte și înapoi în aceste pagini de date prin apăsarea butoanelor Previous Page și Next Page. Valorile afișate în antetul secțiunii se vor modifica în mod corespunzător.

În partea dreaptă, sistemul prezintă statistici despre evenimentele curente, astfel încât să putem avea o privire de ansamblu asupra evenimentelor curente rezultate. În mod implicit, sistemul afișează grafic evenimentele rezultate în urma interogării noastre, grupate în funcție de câmpul Category (Categorie) în format Pie (Plăcintă).

Cu ajutorul comenzilor, putem alege alte grupări și alte formate în care sunt afișate rezultatele.

Exemplu de scenariu de investigare a conectării

Scenariul de investigație presupune găsirea autentificării la resursele aparținând unui utilizator într-o anumită perioadă de timp.

Pasul 1:

Accesați modulul Investigation din interfața web CYBERQUEST.

Pasul 2:

Introduceți numele de utilizator în câmpul de căutare. Acest lucru se poate face în două moduri:

  1. Dacă dorim să tratăm numele de utilizator ca un șir de caractere și să îl căutăm în toate câmpurile de eveniment, acesta este introdus direct

  2. Dacă dorim să filtrăm exact pe câmpul username, trebuie să folosim notația specifică:

UserName:"investigateduser"

Textul inserat este interpretat și este susținut de sintaxa complexă.

Exemple valide pentru căutare:

  • Căutare simplă:
test
  • Căutare exactă simplă:
test. User2

Căutare complexă (spațiul este interpretat ca operator logic "OR"):

test user2

Căutare complexă cu câmp:

(UserName:"test. User2") AND (IP:"192.168.190.5")

Căutare complexă cu OR și AND:

((UserName:"test. User2") OR (UserName:"test. User1")) AND (IP:"192.168.190.5")
Pasul 3:

Selectați intervalul de timp pe care îl căutăm, alegând ora de început/ sfârșit. Pentru a modifica intervalul de timp, se pot utiliza butoane suplimentare: acestea automat adaugă/suprimă zile/ore/minute din ziua/oră curentă.

Alt Image

Pasul 4:

Faceți clic pe butonul Get data (Obține date). Sistemul va afișa rezultatele solicitate sau un mesaj care va indica "Nu s-a găsit niciun rezultat". Rezultatele sunt afișate sub forma unui arbore.

Pasul 5:

Selectați un eveniment (un punct) în partea stângă a ecranului sunt afișate toate câmpurile referitoare la acel eveniment specific. Toate aceste câmpuri sunt fie câmpuri standard din mediul Windows, fie câmpuri specifice altor tipuri de evenimente. Câmpul Description (Descriere) poate fi minimizat/maximizat pentru a afișa informații suplimentare pentru acel eveniment, apăsând butonul More (Mai multe).