Inspecting network traffic and documents in a time block

Investigators might want to inspect individual documents, browsed websites, or

sent emails within a specific time block.

Procedure

1.

On the Forensics tab, select the VGrid tab.

Use one of the following options to inspect content in a time block:

v

To view the types of network traffic and number of documents, hover over

v

To search content in the time block, select one or more time blocks.

v

To view the sequence of events, select the time block and then select

.

v

Use the Surveyor tool to visualize a sequence of events in a security incident as

they occurred.

This tool is used by investigators to see what suspected attackers viewed and their

actions. The surveyor tool depicts the chronological sequence of activities in a

security incident in a movie-like visualizer. Because Surveyor is time-oriented, the

selection of a single document from the results screen does not show much. If too

few documents were selected, expand the time radius around the selected

documents in the Attributes tab. Expand the time by clicking the Show Context

link.

right-click an IP address or port to filter by events, flows and assets, or you

right-click a MAC address to filter by events and assets.

You can filter their queries by case time, protocol, and IP address.

You use the List tab to see a chronological list of documents that were sent and

received.

Green document ID numbers indicate that a document was reviewed by an

investigator, while documents with red ID numbers were not reviewed.