7.7. Utilisation des tableaux de bord Kibana

7.7.1. Introduction

Les tableaux de bord Kibana permettent d'investiguer de manière plus poussée car ils donnent accès à l'ensemble des événements de la solution.

Il est possible de retracer un attaque complète en navigant de tableau de bord en tableau de bord.

Le but de cette procédure est de présenter la méthode pour retracer une attaque spécifique.

---

7.7.2. Liens associés

Voir l'Interface graphique Kibana.

---

7.7.3. Prérequis

• Utilisateur : membre du groupe Operator

---

7.7.4. Opérations préliminaires

• Connexion à GCenter via un navigateur (voir Accès à l'interface web du GCenter via un navigateur internet)

---

7.7.5. Procédure présentant la méthode d'investigation dans Kibana

• Dans la barre de navigation, cliquer sur le bouton `Hunting` (5).

  

  La fenêtre `Hunting` est affichée.

• Aller dans l'onglet `Malcore`.

• Dans l'onglet `Message`, repérer l'alerte sur un fichier infecté nécessitant une investigation.

• Dérouler cette alerte afin d'afficher l'ensemble des champs de l’événement.

• Trouver le champ `flow_id` et réaliser un filtre positif sur ce dernier en appuyant sur le +. Le filtre s'affiche sous la barre de recherche.

• Cliquer sur ce filtre puis cliquer sur `Pin across all apps` pour attacher le filtre et pouvoir le conserver dans les autres tableaux de bord.

• Naviguer dans les différents tableaux de bord de type "alerte" afin de voir si d'autres alertes ont été générées pour ce flux.

• Naviguer dans le tableau de bord des métadonnées afin de voir quelles métadonnées ont été générées pour ce flux.

---