Documentație
Browser
Modulul Browser este conceput pentru a oferi o vizualizare detaliată, în timp real, a evenimentelor colectate de CYBERQUEST. Acesta pune la dispoziția operatorilor și analiștilor o interfață flexibilă…
Introducere în modulul Browser
Modulul Browser este conceput pentru a oferi o vizualizare detaliată, în timp real, a evenimentelor colectate de CYBERQUEST. Acesta pune la dispoziția operatorilor și analiștilor o interfață flexibilă pentru a examina jurnalele, a investiga anomaliile și a valida regulile de filtrare pentru o gamă largă de surse de date.
Browser poate fi accesat oricând făcând clic pe butonul
aflat în panoul de navigare din partea stângă a Interfeței Web.
Lucrul cu modulul Browser
Interfața modulului Browser este organizată în trei secțiuni principale, fiecare susținând un aspect specific al analizei evenimentelor:
- Search and Filter: Permite un control granular asupra informațiilor afișate. Această secțiune permite utilizarea interogărilor de căutare avansate și a filtrelor pentru a restrânge sau extinde datele despre evenimente afișate în rezultate.
- Results: Afișează lista evenimentelor care corespund criteriilor definite. Această secțiune prezintă datele acționabile în formă tabelară, permițând sortarea, inspectarea detaliată și redirecționarea către alte module.
- Geolocation: Oferă o reprezentare grafică a evenimentelor pe o hartă a lumii, pe baza adreselor IP de origine sau de destinație. Acest ajutor vizual susține identificarea tiparelor geografice sau a anomaliilor din date.
Secțiunea Search and Filter din Browser
Această secțiune oferă control asupra informațiilor afișate în modulul Browser. Permite definirea de filtre suplimentare și combinații logice pentru datele despre evenimente, într-un interval de dată și oră specificat.
Pentru a accesa secțiunea Search and Filter, extindeți panoul de filtre apăsând butonul
. Panoul va fi apoi afișat:

- Câmpul Search permite filtrarea datelor afișate folosind interogări de tip text liber. Dacă este lăsat gol, sunt afișate toate evenimentele disponibile.
O capabilitate similară de căutare este disponibilă în modulul Dashboards. Pentru instrucțiuni detaliate de utilizare, consultați ghidul: Using Searches.
Spre deosebire de modulul Dashboards, în modulul Browser este disponibilă o listă derulantă suplimentară lângă câmpul Search.
Făcând clic pe butonul
, numărul de elemente afișate pe pagină poate fi ajustat. Valoarea implicită este 10, cu opțiuni de creștere la 50 sau 100 de elemente.
- Filtre suplimentare pot fi aplicate folosind secțiunea Filtering options. În mod implicit, nu este selectat niciun filtru. Deschiderea listei derulante Additional filters dezvăluie o gamă largă de filtre predefinite, organizate după tehnologie. Pot fi selectate, după necesitate, unul sau mai multe filtre.
Lista derulantă Combining method este utilizată pentru a defini modul în care filtrele selectate sunt aplicate împreună. Opțiunile disponibile includ operatorii logici AND și OR. Operatorul selectat se aplică global tuturor filtrelor alese.


După finalizarea selecțiilor, navigați la Query Actions > Filter pentru a aplica filtrele alese.

Opțiuni suplimentare disponibile în secțiunea Search and Filter:
Pentru a vizualiza această secțiune, extindeți panoul de filtre apăsând butonul
. Opțiunile de filtrare vor fi apoi afișate:

Send to Dashboards: Deschide modulul Dashboards într-o filă nouă de browser, afișând rezultatele filtrate pe baza selecției curente.
Send to Alerts: Deschide modulul Alerts într-o filă nouă de browser, listând rezultatele filtrate în mod corespunzător.
Export All Events: Generează un fișier CSV care conține toate evenimentele afișate în secțiunea Results. Din cauza volumului potențial de date, această operațiune poate dura. O fereastră de stare va afișa procentul de progres al exportului. Odată ce procesul atinge 100%, fișierul poate fi salvat făcând clic pe linkul Download report CSV.

Selecția curentă de filtre poate fi salvată oricând. Apăsarea butonului
deschide trei opțiuni pentru salvarea permanentă a configurației filtrului:

Save as New Dashboard deschide fereastra Save as New Dashboard, permițând crearea unui nou dashboard. Trebuie configurați următorii parametri:
Un nume bazat pe o convenție pentru dashboard, care va apărea în listele de dashboard-uri
Un nume descriptiv, prietenos pentru utilizator, afișat în interfața Dashboards
O descriere care prezintă tipul de informații afișate în dashboard
Câmpul utilizat pentru generarea graficului
Câte înregistrări să fie afișate în grafic
Un Data Filter care definește condițiile de căutare aplicate pentru generarea conținutului dashboard-ului
Tipul de grafic (barchart, pie, gauge etc.)

Opțiunea Save as New Report deschide fereastra Save as New Report, permițând crearea unui nou raport pe baza datelor filtrate curente. Pentru a salva un nou raport, trebuie configurat mai întâi un Data Filter. Dacă nu este aplicat niciun filtru, raportul nu poate fi salvat. Înainte de salvarea configurației trebuie furnizate, de asemenea, un nume și o descriere de raport.
Opțiunea Save as New Filter deschide fereastra Save as New Filter, permițând crearea unui nou filtru pe baza criteriilor definite în prezent în zona Search.
Notă: Această opțiune poate fi utilizată doar după ce a fost definită o condiție de filtrare în Search. Dacă nu sunt configurate criterii de filtrare, filtrul nu poate fi salvat.
Înainte de salvarea configurației trebuie specificate un nume și o descriere de filtru. Trebuie configurați următorii parametri:
- Name: Identificatorul unic al filtrului, afișat în Settings > Management > Filters. Este utilizat pentru a referi și a gestiona filtrul.
- Description: Oferă context suplimentar despre scopul și criteriile filtrului, ajutând administratorii să înțeleagă ce evenimente sau condiții se aplică filtrului.

- Secțiunea Search and Filter include opțiuni pentru setarea intervalului de dată și oră pentru a defini intervalul de timp al informațiilor afișate. Această funcție oferă o privire de ansamblu rapidă asupra datelor de conformitate pentru o perioadă specificată.
Interfața oferă opțiuni pentru definirea unei date specifice de început și de sfârșit, împreună cu intervale de date predefinite (de exemplu, ultima oră, ultima zi, ultimele trei zile, ultimele zece zile, ultimele 30 de zile, ultimele 90 de zile). În mod implicit, interfața Dashboards afișează datele din ultima oră. Controale suplimentare aflate sub câmpurile Start Date și End Date permit ajustarea rapidă a intervalului de timp și selectarea referinței de timp utilizate, inclusiv GMT, Local Time, ReceivedTime, Now, AutoRefresh, TimeInterval și Not in this time interval.

GMT - este referința de timp care convertește ora căutării în GMT (Greenwich Mean Time Zone).
LocalTime - este referința de timp la care a avut loc un eveniment.
ReceivedTime - este referința de timp la care evenimentele au ajuns în mașina CYBERQUEST.
Now - actualizează automat data de sfârșit cu ora curentă.
AutoRefresh - reîmprospătează pagina la fiecare 10 secunde.
Time Interval - căutarea se face în intervalul de la Start Time la End Time.
Not in this time interval - căutarea returnează evenimentele care NU se află între Start Time și End Time.
Graficul de ansamblu al evenimentelor
Acest grafic din modulul Browser afișează numărul total de evenimente, în eșantioane, din intervalul de timp selectat.

Pentru a filtra evenimentele într-un interval de timp specific, faceți clic și trageți peste grafic pentru a evidenția intervalul de timp dorit. Evenimentele afișate se vor ajusta pentru a corespunde intervalului selectat.

După selectarea intervalului de timp, faceți clic pe butonul Filter interval
. Modulul Browser va afișa apoi toate evenimentele corespunzătoare intervalului de timp selectat.

Secțiunea Results
Aceasta este principala zonă de afișare pentru activitățile de navigare. Toate evenimentele sunt listate în ordine cronologică, numărul de elemente pe o pagină fiind cel setat în opțiunile Search and Filter.

Nu toate câmpurile evenimentelor sunt afișate în mod implicit. Câmpurile pot fi personalizate făcând clic pe
în bara de selecție a câmpurilor, care deschide o listă derulantă cu câmpurile disponibile. Câmpurile pot fi adăugate selectându-le din listă și eliminate oricând făcând clic pe x de lângă un câmp selectat. Sunt disponibile pentru adăugare următoarele câmpuri:
Pentru a vedea mai multe informații despre câmpurile înregistrărilor de jurnal (Log Record Fields), urmați linkul: Log Records structure.
Interfața Browser permite utilizatorilor să interacționeze cu evenimentele listate. Pentru fiecare eveniment, făcând clic pe pictograma
din stânga se deschide un meniu derulant cu următoarele opțiuni:

View Event - Deschide o fereastră de informații detaliate care afișează toate câmpurile de date asociate evenimentului selectat.
Export Event as JSON - Exportă datele complete ale evenimentului în format JSON pentru analiză externă sau arhivare.
Export Event as anonymised JSON - Exportă evenimentul în format JSON, cu informațiile sensibile sau de identificare anonimizate.
Create Investigation case - Deschide fereastra Add Evidence to New Case, permițând utilizatorilor să inițieze o nouă investigație pe baza evenimentului selectat. Consultați CQ 2.30 User Guide - Case Management Module pentru mai multe detalii.
Add to Existing investigation - Deschide o fereastră de selecție pentru a atașa evenimentul la un caz de investigație deja existent.
Add to Event Actions (Map) - Dacă evenimentul conține un IP public cu o geolocație cunoscută, acesta va fi reprezentat pe harta lumii în secțiunea Geolocation pentru context vizual.
Add to Compare List - Adaugă evenimentul într-o listă de comparație, permițând revizuirea alăturată a până la cinci evenimente simultan.

După adăugarea evenimentelor, faceți clic pe butonul
aflat în partea dreaptă a interfeței web pentru a deschide fereastra Event View Comparison.
Add Deduplicate Item - Marchează evenimentul ca potențial duplicat, pentru a fi utilizat ca referință la identificarea evenimentelor duplicate.
Set Deduplicate Of - Leagă evenimentul curent ca duplicat al unui eveniment de referință identificat anterior.
Change User Classification - Permite ajustarea manuală a clasificării de utilizator atribuite evenimentului (de exemplu, internal, external, trusted).
Run PlayBook - Execută un PlayBook predefinit (flux automat de răspuns) asociat cu caracteristicile evenimentului.
Toate câmpurile, cu excepția Description, susțin interacțiuni contextuale în modulul Browser și în alte module. Făcând clic pe orice valoare de câmp a unui eveniment specific se deschide un meniu derulant cu următoarele opțiuni de acțiune rapidă:

- Remove globally: Exclude din lista de evenimente toate evenimentele care conțin valoarea de câmp selectată. Filtrul de excludere este scris automat în câmpul Search.
- Show only this item globally: Filtrează lista de evenimente pentru a afișa doar evenimentele care conțin valoarea de câmp selectată. Filtrul este aplicat automat în câmpul Search.
- Send to Dashboards as
: Redirecționează către modulul Dashboards și aplică valoarea de câmp selectată ca interogare de căutare. Se deschide într-o filă nouă de browser. - Send to Dashboards as
:" : Redirecționează către modulul Dashboards folosind un filtru câmp-valoare structurat (de exemplu," EventID:"<Value>"). Se deschide într-o filă nouă de browser, afișând doar rezultatele care corespund. - Send to Browser as
<Value>: Deschide o filă nouă Browser și filtrează evenimentele folosind valoarea brută selectată ca interogare de căutare de tip text liber, fără a specifica un câmp. - Send to Browser as
:" : Deschide o filă nouă Browser și filtrează evenimentele folosind o interogare structurată de tip câmp-valoare (de exemplu," EventID:"<Value>"), afișând doar rezultatele care corespund. - Send to Alerts: Redirecționează către modulul Alerts, afișând evenimentele care corespund valorii selectate. Se deschide într-o filă nouă de browser.
- Block Domain: Blochează domeniul identificat în evenimentul selectat, permițând utilizatorilor să restricționeze rapid accesul la domenii suspecte sau potențial malițioase direct din interfața Browser.
- Create UEBA EventID: Declanșează crearea unui eveniment UEBA (User and Entity Behavior Analytics) folosind câmpul selectat. Aceasta integrează evenimentul în fluxurile de analiză comportamentală pentru detecția anomaliilor și profilarea utilizatorilor/entităților.
Disponibil doar pentru câmpuri precum
EventID,ComputerșiUserName. - Create Entity View: Deschide o vizualizare contextuală a entității pe baza câmpului selectat, consolidând activitatea conexă și tiparele comportamentale pentru a îmbunătăți perspectivele investigației.
Disponibil doar pentru câmpuri precum
EventID,ComputerșiUserName.
Toate acțiunile rapide menționate mai sus funcționează prin generarea de interogări de căutare, care sunt introduse automat în câmpul Search. Atunci când mai multe acțiuni sunt aplicate consecutiv, fără a le șterge pe cele anterioare, Browser inserează un operator AND între termenii de căutare pentru a-i combina. De exemplu, aplicarea a două acțiuni Remove globally generează o interogare de căutare precum:
NOT DestIP:"IP_Address_1" AND NOT Computer:"IP_Address_2"
Pentru detalii suplimentare, consultați CQ 2.30 User’s Guide, Using Searches.
Deduplicarea manuală a evenimentelor
Funcționalitatea Manual Deduplication permite utilizatorilor să grupeze manual evenimente similare sau conexe și să marcheze unul sau mai multe evenimente ca duplicate ale unui eveniment de referință selectat.
Aceasta este utilă atunci când evenimentele nu sunt detectate automat ca duplicate, dar analistul stabilește că se referă la aceeași activitate, incident sau apariție repetată.
Pentru a deduplica manual evenimentele, faceți clic pe butonul
din rândul evenimentului selectat și alegeți una dintre acțiunile de deduplicare disponibile:

Acțiuni disponibile:
Add Deduplicate Item - Adaugă evenimentul selectat în lista de deduplicare.
Acest eveniment poate fi utilizat ulterior ca eveniment de referință pentru alte evenimente duplicate.
Set Deduplicate Of - Marchează evenimentul selectat ca duplicat al unuia sau mai multor elemente adăugate anterior în lista de deduplicare folosind Add Deduplicate Item.
Fluxul de deduplicare manuală
- Selectați evenimentul care va fi utilizat ca eveniment de referință.
- Faceți clic pe butonul
. - Alegeți Add Deduplicate Item.
- Selectați un alt eveniment care va fi marcat ca duplicat.
- Faceți din nou clic pe butonul
. - Alegeți Set Deduplicate Of.
- Selectați evenimentul de referință din lista de deduplicare.
După aplicarea deduplicării, tabelul de evenimente afișează informațiile actualizate de deduplicare:
Duplicate Of - afișează ID-ul evenimentului de referință.
Duplication Count - afișează câte evenimente sunt grupate sub același eveniment de referință.
Is Duplicate - indică dacă evenimentul este marcat ca duplicat.

Secțiunea Geolocation
Atunci când un eveniment care conține o adresă IP publică cu date de geolocație este adăugat pe hartă prin intermediul Browser, acesta va fi indicat pe harta lumii. Această funcție permite utilizatorilor să vizualizeze originea sau destinația exactă a evenimentului.
