Utilisation de la répartition des facettes InstaQuery
La répartition des facets de requête InstaQuery fournit un affichage visuel interactif des différents facets impliqués dans une requête afin que vous puissiez identifier et suivre leurs chemins relationnels.
Le modèle en rayons de soleil de la répartition des facets est utile pour identifier les activités suspectes dans un ensemble de données spécifique. Par exemple, si vous tentez de détecter des connexions réseau suspectes dans un environnement ou plusieurs zones, les modèles de données et les anomalies peuvent être difficiles à identifier en raison du volume et de la complexité des données. Les images suivantes montrent comment vous pouvez afficher et filtrer les données dans la répartition des facets pour localiser rapidement les activités suspectes.
Les images suivantes ont été générées en créant une requête InstaQuery pour rechercher des connexions à une adresse IP spécifique. Les résultats de la requête sont représentés dans un diagramme en rayons de soleil avec les facets suivants : terminal, chemin de l'image principale, port de destination et adresse de destination.
Vous pouvez passer la souris sur n'importe quel facet pour afficher les valeurs associées. Dans l'image suivante, l'administrateur a sélectionné le facet le plus à l'extérieur pour afficher le nom du terminal, le chemin d'accès au fichier qui a initié la connexion réseau, le numéro de port utilisé pour la connexion et l'adresse IP du système distant.
Lorsque vous passez le curseur sur un facet, les facets parent associés sont également mis en surbrillance pour vous aider à établir une relation visuelle entre les points de données. Dans l'exemple ci-dessus, vous pouvez voir qu'un terminal et un processus parent étaient responsables de la plupart des connexions à l'adresse IP. Le diagramme illustre également que de nombreux ports réseau différents ont été utilisés pour se connecter à cette adresse IP à partir de l'hôte associé, ce qui diffère des deux autres facets de l'hôte dans le diagramme.
Vous pouvez également obtenir des informations utiles à partir des menus d'affinement des résultats. Chaque menu de facet contient les valeurs uniques et le nombre d'occurrences pour chaque facet. Dans l'exemple ci-dessous, vous pouvez voir que deux processus étaient responsables des connexions à cette adresse IP :
Google
Chrome
et Wscript.Lorsque vous cliquez sur une valeur de facet dans le menu d'affinement des résultats, le diagramme change de façon à afficher les facets directement liés. Cette fonction est utile pour filtrer les données non pertinentes et permettre une analyse plus ciblée.