Fenêtre Graphique d'Enquête

S'applique À : WatchGuard Advanced EPDR

Afin d'analyser plus facilement les données dans les fenêtres des graphiques d'enquête, vous pouvez afficher la télémétrie détaillée des événements sous forme de graphiques. Dans les fenêtres des graphiques d'enquête, les événements sont représentés par des nœuds et des flèches de manière à illustrer les entités et leurs relations mutuelles. Les informations affichées dans un graphique sont équivalentes aux données figurant dans les requêtes SQL avancées.

Votre rôle d'opérateur détermine ce que vous pouvez afficher et faire dans WatchGuard Cloud. Votre rôle doit disposer de la permission Ajouter, Découvrir et Supprimer des Ordinateurs pour afficher ou configurer cette fonctionnalité. Pour de plus amples informations, accédez à Gérer les Opérateurs et Rôles de WatchGuard Cloud.

Pour ouvrir la fenêtre du graphique d'enquête, dans l'UI de gestion d'Endpoint Security :

  1. Pour ouvrir les détails de l'ordinateur, sélectionnez Ordinateurs puis sélectionnez un ordinateur.
  2. Sur la page Enquête, cliquez sur .

    Screenshot of graphs menu option

  3. Sélectionnez Graphiques.
    La boîte de dialogue Nouvelle Enquête Graphique s'ouvre avec les modèles de graphiques disponibles.

    Screenshot of investigation graph templates

  4. Sélectionnez le modèle Arborescence du Processus.
    Les propriétés du nouveau graphique s'ouvrent.

    Screenshot of properties of the new notebook for process tree template

  5. Spécifiez les propriétés du nouvel ordinateur portable :
    • muid — Saisissez l'identifiant unique de chaque ordinateur sur lequel vous souhaitez enquêter.
    • date_event — Saisissez la date à laquelle l'événement que vous souhaitez enquêter est survenu. Le graphique affiche les événements survenus de la veille au lendemain de la date spécifiée.
    • parentmd5 — Saisissez le code de hachage MD5 du processus parent.
    • parentpid — Saisissez l'identifiant du processus parent de l'instance d'exécution spécifique du programme. Il figurera en tant que nœud de départ sur le graphique.
  6. Cliquez sur OK.
    La fenêtre du graphique d'enquête s'ouvre.

    Screenshot of the graph structure

À Propos de la Fenêtre Graphique d'Enquête

La fenêtre Graphique d'Enquête se compose de différentes zones :

  • Graphique — Illustre une série d'événements avec des nœuds et des flèches permettant d'illustrer les entités et leurs relations mutuelles. Les chiffres figurant sur les flèches indiquent l'ordre selon lequel les événements ont été enregistrés.
  • Volet d'Information — Du côté droit de la fenêtre, le volet d'information affiche les informations concernant le nœud ou la ligne sélectionné(e).
  • Barre d'Outils du Graphique — Du côté gauche de la fenêtre, la barre d'outils vous permet de modifier l'apparence du graphique, d'annuler et de rétablir les modifications, et de rechercher ou de filtrer les nœuds. Pour de plus amples informations, accédez à Configurer les Paramètres des Graphiques.
  • Chronologie — En dessous du graphique, la chronologie affiche un histogramme comportant des barres vertes qui représentent les événements générés par une menace. Vous pouvez agrandir ou réduire la taille de l'intervalle au cours duquel les événements affichés sont survenus afin de les observer plus clairement. Vous pouvez également masquer, afficher ou réinitialiser la chronologie. Pour de plus amples informations concernant l'utilisation de la chronologie, accédez à Afficher la Chronologie.

Pour obtenir des informations sur la manière de configurer les paramètres des graphiques, accédez à Configurer les Paramètres des Graphiques.

Pour de plus amples informations concernant les couleurs, les volets et les autres fonctionnalités du graphique qui fournissent des informations concernant les entités et leurs relations mutuelles, accédez à À Propos des Nœuds et des Flèches des Graphiques d'Enquête.

Rubriques Connexes

Créer une Enquête d'Ordinateur

À Propos de l'Outil Requête SQL Avancée