Skip to content

Browser

Modul Browser

Modul browser a fost introdus în interfața web pentru a ajuta operatorii care au nevoie de o vizualizare clară a evenimentelor colectate. Acesta poate fi accesat din interfața modulului Browser prin apăsarea tastei Alt Image în orice moment în secțiunea din stânga sus a interfeței web.

Lucrul cu modulul Browser

Zona de operare a modulului este împărțită în două secțiuni:

  • Secțiunea Căutare și filtrare vă permite să controlați în mod granular informațiile afișate în tablourile de bord.

  • Secțiunea Rezultate conține datele care pot fi utilizate în funcție de căutări și filtre. Secțiunea de geolocalizare este un afișaj grafic care vă va ajuta la marcarea evenimentelor pe o hartă a lumii, funcție de originea sau de adresa IP de destinație.

Secțiunea de căutare și filtrare a browserului

Această secțiune vă permite să controlați ce informații sunt afișate în browser și să definiți filtre suplimentare și metode de combinare pentru datele căutate în intervalul de timp și dată specificat.

Alt Image

  1. Câmpul de căutare oferă posibilitatea de a filtra informațiile afișate prin utilizarea capacităților de text liber. Dacă nu se introduce nimic în caseta de câmp, sunt afișate toate evenimentele.

Veți găsi un câmp de căutare similar disponibil pentru modulul Panouri de bord. Un ghid complet de utilizare a capabilităților de text liber este inclus în următorul manual: Utilizarea căutărilor.

Spre deosebire de modulul Panouri de bord, există o listă derulantă suplimentară disponibilă lângă câmpul Căutare.

Prin apăsarea butonuluiAlt Image veți putea instrui interfața cu privire la modul în care numărul de elemente afișate pe pagină. Opțiunea implicită este de 10 elemente, dar puteți crește la 50 sau 100 de elemente.

  1. Puteți specifica filtre suplimentare folosind Filtering options (Opțiuni de filtrare). În mod implicit, nu este selectat nimic. Atunci când accesați lista derulantă Additional filters (Filtre suplimentare), vi se prezintă o colecție mare de filtre predefinite, ordonate în funcție de tehnologie. Puteți selecta unul sau mai multe filtre.

De asemenea, va trebui să selectați metoda logică de combinare a filtrelor selectate în lista derulantă Combining method (Metoda de combinare). Opțiunile disponibile sunt operatorii logici AND și OR. Rețineți că operatorul pe care îl alegeți se aplică tuturor filtrelor selectate.

Alt Image

Când ați terminat, apăsați butonulAlt Image pentru a aplica selecțiile. Alte opțiuni disponibile în secțiunea Căutare și filtrare:

  • Opțiunea Send to investigations va direcționa selecția dumneavoastră către modulul Investigations. Opțiunea deschide o nouă filă a browserului web la interfața Investigations. Vi se prezintă fereastra Filter data care este acum populată cu informațiile de filtrare pe care le-ați introdus deja. Apăsați butonul Alt Image pentru a comanda extragerea datelor pe baza filtrelor dvs. și afișarea în interfața Investigations.

Alt Image

  • Opțiunea Trimite la tablouri de bord va direcționa selecția către modulul Tablouri de bord. Opțiunea deschide o nouă filă a browserului web la interfața Tablouri de bord care listează rezultatele filtrate.

  • Opțiunea Send to alerts va direcționa selecția către modulul Alerts. Opțiunea deschide o nouă filă a browserului web la interfața de Alerte care enumeră rezultatele filtrate.

Opțiunea Export all events vă permite să creați un fișier de export CSV care conține toate evenimentele enumerate în Secțiunea de rezultate. Deoarece numărul de evenimente poate fi foarte mare, ceea ce poate duce la o operațiune de lungă durată, apăsând pe acesta, se deschide o fereastră de stare care informează asupra procentului de export. Atunci când exportul ajunge la 100%, veți avea posibilitatea de a salva fișierul accesând link-ul Download report CSV.

Alt Image

De asemenea, puteți alege să salvați în orice moment selecția curentă de filtre. Prin apăsarea Alt Image vă sunt prezentate trei opțiuni de creare a filtrelor dvs. de selecție permanentă:

Alt Image

Opțiunea Save as New Dashboard (Salvare ca tablou de bord nou) deschide fereastra Save as New Dashboard (Salvare ca tablou de bord nou) care vă permite să creați un tablou de bord nou. Trebuie specificate următoarele:

  • Un nume bazat pe convenție pentru noul tablou de bord. Acest nume va fi afișat în listele de tablouri de bord

  • Un nume descriptiv și prietenos pentru noul tablou de bord. Acest nume va fi afișat în interfața Tablouri de bord

  • Un text descriptiv care detaliază informațiile care vor fi prezentate în noul tablou de bord Câmpul prin care va fi construit graficul

  • Tip grafic (Barchart, BrushBarChart, Pie, TwoLevelPieChart, LineChart, RadarChart, AreaChart, Gauge, WorldMap, WorldCitiesMap)

Alt Image

  • Opțiunea Save as New Report (Salvare ca raport nou) deschide fereastra Save as New Report (Salvare ca raport nou), care vă permite să creați un nou raport. Va trebui să adăugați un nume și o descriere a raportului înainte de a-l salva.

  • Opțiunea Save as New Filter (Salvare ca filtru nou) deschide fereastra Save as New Filter (Salvare ca filtru nou), care vă permite să creați un filtru nou. Va trebui să adăugați un nume și descrierea filtrului înainte de salvare.

  • Secțiunea Search and Filter (Căutare și filtrare) include opțiuni pentru setarea datei și a intervalului de timp pentru care aveți nevoie de informații. Această funcție este foarte utilă atunci când trebuie să aruncați o privire rapidă asupra conformității pe o anumită perioadă de timp.

Interfața vă permite să setați o dată de început și o dată de sfârșit specifice și vă oferă, de asemenea, opțiuni rapide pentru dată (ultima oră, ultima zi, ultimele 3 zile, ultimele 10 zile, ultimele 30 de zile, ultimele 90 de zile). În mod implicit,

Interfața de navigare listează toate evenimentele. Butoanele de sub câmpurile Data de începere și Data de sfârșit vă permit să măriți sau să micșorați rapid intervalul de timp și să specificați referința de timp care trebuie luată în considerare (GMT, Ora locală, Ora primită, Acum, Reîmprospătare automată, Interval de timp).

Alt Image

  • GMT - este ora de referință care convertește ora de căutare în GMT (Greenwich Mean Time Zone).

  • LocalTime - este referința de timp în care s-a produs un eveniment.

  • ReceivedTime - este referința de timp în care evenimentele au sosit în aparatul CYBERQUEST.

  • Now - autoactualizarea datelor finale cu ora actuală.

  • AutoRefresh - reîmprospătează pagina la fiecare 10 secunde.

  • Time Interval - căutarea se face de la intervalul Ora de începere la Ora de terminare

  • Not in this time interval - căutarea afișează evenimentele care NU se află între ora de începere și ora de sfârșit.

Secțiunea de rezultate

Aceasta este zona principală de afișare a activităților de navigare. Toate evenimentele sunt listate în ordine cronologică, numărul de elemente de pe o pagină fiind cel stabilit în opțiunile de căutare și filtrare.

Alt Image

Nu sunt afișate toate câmpurile de eveniment. Cele implicite sunt Ora locală, Computer și Descriere, deoarece acestea sunt principalele câmpuri de corelație și ar trebui să fie incluse în toate evenimentele. Aveți opțiunea de a adăuga sau de a elimina câmpuri de la afișare, făcând clic Alt Image în bara de selecție a câmpurilor. Această acțiune deschide o listă derulantă cu toate câmpurile disponibile. Adăugați câmpuri în listă selectându-le. Puteți elimina câmpuri în orice moment făcând clic pe semnul de bifare x prezent în cazul câmpurilor selectate. Se pot adăuga următoarele câmpuri:

  • Categorie -- Categoria din care face parte evenimentul;

  • DestIP -- Adresa IP de destinație;

  • SrcIP -- Adresa IP sursă;

  • DestMAC -- Adresa MAC de destinație;

  • SrcMAC -- Adresa MAC sursă;

  • EventID -- Numărul de identificare al evenimentului; EventLog -- Jurnalul de evenimente la care se referă evenimentul; EventType -- Tipul de eveniment la care se referă evenimentul; GMT -- Ora universală coordonată;

  • PlatformID -- Numărul de identificare al computerului pe care s-a produs evenimentul;

  • SessionID -- Numărul de identificare a sesiunii;

  • Sursa -- Sursa la care se referă evenimentul;

  • UserDomain -- Domeniul în care se află utilizatorul care a produs evenimentul;

  • VersionMajor -- Numărul versiunii majore a software-ului care a produs evenimentul;
  • VersionMinor -- Numărul versiunii minore a software-ului care a produs evenimentul;
  • S1-S150 -- Câmpuri de informații suplimentare.

Interfața Browser vă permite să acționați asupra evenimentelor enumerate. Pentru fiecare eveniment, apăsând pe butonul Alt Image din stânga se deschide un meniu derulant cu următoarele opțiuni:

Alt Image

  • Vizualizare eveniment -- Deschide o fereastră informativă cu toate detaliile evenimentului

  • Export Event as JSON -- Exportă evenimentul sub forma unui fișier JSON

  • Crearea unui caz de investigație -- deschide fereastra Adăugare de probe la un caz nou, care permite un investigator să creeze un caz pe baza unui eveniment suspect. Gestionarea cazurilor este descrisă în detaliu în Ghidul utilizatorului CQ 2.20, Modulul de gestionare a cazurilor.

  • Adăugare la o investigație existentă - deschide o fereastră de selecție care vă permite să adăugați evenimentul la un caz de investigație existent.

  • Add to Event Actions (Map) -- Dacă evenimentul conține un IP public care corespunde unei referințe de geolocalizare, evenimentul va fi adăugat pe harta lumii în secțiunea Geolocalizare.

Toate câmpurile, cu excepția descrierii, vă permit să vă concentrați asupra unui eveniment selectat, fie prin filtrarea rapidă a evenimentelor enumerate în modul Browser, fie prin restrângerea accentului de navigare în alte module. Făcând clic pe oricare dintre câmpurile pentru un anumit eveniment, se va deschide un meniu derulant care prezintă următoarele opțiuni:

Alt Image

  • Remove global: creează o căutare care elimină din lista de evenimente toate evenimentele care conțin valoarea câmpului selectat. Căutarea este scrisă în caseta Search.

  • Show only this item globally (Afișează numai acest element la nivel global): dă instrucțiuni Browser pentru a filtra evenimentele enumerate în funcție de valoarea câmpului selectat. Căutarea este scrisă în caseta Search.

  • Send to Investigations: direcționează selecția către modulul Investigations. Această opțiune deschide o nouă filă a browserului web pentru

  • Interfața de investigații. Vi se prezintă fereastra Filter data (Filtru de date) care este acum populată cu informațiile de căutare pe care le-ați introdus deja. Apăsați butonulAlt Image pentru a comanda extragerea datelor pe baza filtrelor dvs. și afișarea în interfața Investigations.

  • Send to Dashboards: această opțiune direcționează selecția către modulul Dashboards. Opțiunea deschide o nouă filă a browserului web la interfața Dashboards care listează rezultatele căutării.

  • Send to Browser as or : această opțiune direcționează selecția către un nou browser tab listarea rezultatelor căutării.

  • Send to Alerts: această opțiune direcționează selecția către modulul Alerts. Opțiunea deschide o nouă filă a browserului web la interfața Alerts (Alerte) care listează rezultatele căutării.

Toate acțiunile rapide descrise mai sus funcționează prin crearea de căutări. Căutarea se face automat se afișează în caseta de căutare. Dacă sunt selectate mai multe acțiuni înainte de a le șterge pe cele anterioare,

Browserul inserează automat un operator logic ȘI în caseta de căutare, separând acțiunile. Aceasta înseamnă că, de exemplu, două instrucțiuni Remove globally se vor cumula, rezultând o căutare similară cu:

NOT DestIP: "IP_Address_1" AND NOT Computer: "IP_Address_2"

Pentru mai multe informații, vă rugăm să citiți Ghidul utilizatorului CQ 2.20, Utilizarea căutărilor.

Secțiunea Geolocalizare

Atunci când solicitați browserului să adauge un eveniment pe hartă, dacă acel eveniment conține o adresă IP publică cu referință de geolocalizare, evenimentul va fi marcat pe harta lumii. Acest lucru le permite utilizatorilor să vadă exact de unde provine un eveniment sau care este destinația acestuia.

Alt Image