Utilisation de la chronologie dans le canevas d’enquête

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • La fonctionnalité Chronologie du canevas d’enquête dans le Centre de sécurité des renseignements sur les menaces (TISC) permet aux analystes de visualiser, créer et modifier les événements de chronologie associés à des entités au cours des enquêtes. Cette aptitude améliore considérablement l’efficacité de l’analyse temporelle.

    Avant de commencer

    Cette fonctionnalité rationalise le processus d’analyse en représentant les événements dans une vue chronologique. Elle permet également une prise de décision rapide et une réponse plus efficace aux menaces.

    Rôle requis : sn_sec_tisc.analyst

    Procédure

    1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces.
    2. Sélectionnez l’icône Console d’analyste de menaces .
    3. Accéder à Canevas d'examen > Tous les canevas.
    4. Sélectionnez n’importe quel enregistrement de canevas.
      Une autre option pour accéder à un enregistrement de canevas est à partir d’un ticket, qui est expliqué comme à l’étape suivante.
    5. Facultatif : Accéder à Gestion des tickets > Tous les tickets.
    6. Facultatif : Ouvrez n’importe quel enregistrement de ticket.
      Remarque :
      Lors de la création d’un ticket, vous devez soit créer un canevas, soit lier un canevas existant. Après la liaison, les actions du canevas, y compris l’option permettant d’ajouter une chronologie, seront automatiquement disponibles dans l’interface utilisateur.
    7. Accédez à la section Canevas d’enquête sur l’enregistrement de canevas sélectionné.
    8. Sélectionnez l’icône de bascule Afficher la chronologie pour afficher la section de chronologie.

      La section de chronologie est masquée et vous devez vous assurer de sélectionner l’option Afficher la chronologie .

      Figure 1. Icône Afficher la chronologie sur le canevas d’examen
      Afficher le basculement de la chronologie sur le canevas d’examen

      La capture d’écran suivante illustre les éléments de chronologie sur le canevas d’enquête :

      Numéro du composant Nom du composant Description
      01 Indicateur de plage Représente un événement qui se produit actuellement ou qui s’est produit précédemment pendant la période déterminée.
      02 Indicateur d’événement Ligne d’annotation qui représente le moment spécifique où un événement s’est produit pendant la période déterminée
      03 Icône Représentation visuelle d’un type d’événement spécifique
      04 Pop-over Une fenêtre contextuelle s’affiche lorsque vous sélectionnez la chronologie. Une info-bulle s’affiche lorsque les utilisateurs survolent la chronologie.
      05 Événements groupés S’affiche automatiquement lorsque deux événements ou plus sont regroupés visuellement parce qu’ils sont positionnés trop près dans la vue actuelle.
      06 Contrôle du zoom arrière Déplace la vue de la chronologie à des heures et des événements antérieurs sur la chronologie
      07 Contrôle du zoom avant Déplace la vue de la chronologie à des heures et des événements ultérieurs sur la chronologie
      08 Contrôle de la chronologie en arrière Remonte dans le temps, en affichant la même plage horaire que la vue actuelle
      09 Contrôle de légende Liste déroulante qui affiche et masque la légende
      10 Étiquettes de chronologie Étiquettes de date qui changent ou se mettent à jour dynamiquement pour refléter la section de la chronologie en vue
      11 Contrôle du transfert de chronologie Avance dans le temps en affichant la même plage horaire que la vue actuelle.
      12 Date de début Date et heure de début auxquelles l’événement a été ouvert pour un ticket.
      13 Date de fin Date et heure de fin de la fermeture de l’événement. L’heure est indiquée par le nombre de minutes et d’heures.

      Événements de chronologie

    9. Sélectionnez la date de début et la date de fin.
    10. Sélectionnez Appliquer pour appliquer les modifications ou Réinitialiser pour réinitialiser si vous devez choisir une chronologie différente.

      Le canevas peut contenir plusieurs événements. Pour vous concentrer sur un événement spécifique ou un sous-ensemble d’événements au cours d’une période donnée, définissez la plage de dates souhaitée et cliquez sur Appliquer.

      Une fois appliquée, la vue de chronologie effectue un zoom avant pour afficher uniquement les événements filtrés, ce qui permet une analyse ciblée et une enquête plus facile sur l’activité pertinente.

      Du point de vue du canevas, chaque nœud peut avoir plusieurs événements. Sélectionnez le nœud et cliquez avec le bouton droit sur le nœud pour choisir Afficher les détails ou Ouvrir l’enregistrement. L’application affiche la vue de formulaire de cet enregistrement.

      Canevas : afficher les détails du nœud

      En outre, dans le formulaire, accédez à la section Enregistrements connexes où une entrée appelée Événements de chronologie a été ajoutée. Cela fournit une vue détaillée de tous les événements de chronologie associés à ce nœud particulier, reliant la visualisation du canevas.

      Enregistrements connexes : événements de chronologie

      Dans la section Événements de chronologie , vous pouvez voir les événements associés au nœud sélectionné. À l’aide de cette section, vous pouvez ajouter ou supprimer un événement du nœud.

      Canevas : ajout d’événements de chronologie aux enregistrements connexes

      Cette fonctionnalité fournit un contrôle direct sur les événements liés à un nœud et complète la visualisation sur le canevas.

      Important :
      Événements par défaut pour les observables : Certains événements sont automatiquement affichés pour des observables spécifiques. Par exemple, les observables de fichier incluent les champs Premier vu et Dernier vu .

      La propriété système sn_sec_tisc.timeline_node_fields mise en service dans le système de base qui détermine quels champs doivent être affichés dans la chronologie.

      Par défaut, il contient les champs first_seen et last_seen. Vous pouvez modifier cette propriété pour ajouter de nouveaux champs ou supprimer les champs existants en fonction de vos besoins.

      • Lorsqu’un observable de fichier est ajouté au canevas, ces événements sont affichés par défaut.
      • Ces événements par défaut ne sont pas pilotés par la configuration et s’affichent automatiquement en fonction des valeurs renseignées dans l’enregistrement des observables.
      • Si Premier observé et Dernier observé contiennent des valeurs, les événements correspondants sont affichés sur le canevas sans configuration supplémentaire.