Gestion des incidents : Vue Alertes

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique décrit comment accéder à la vue Alertes, aux détails relatifs à la vue Alertes et à la description des différents aspects des alertes. Dans la vue Alertes, vous pouvez parcourir les différentes alertes, les filtrer et les grouper pour créer des incidents.

Pour accéder à la vue Alertes, dans le menu Security Analytics, sélectionnez Incidents > Alertes. La vue Toutes les alertes s'affiche. Vous pouvez personnaliser les alertes de la vue pour afficher les alertes selon vos besoins.

all_alerts_view.png

Fonctions

La vue Alertes offre plusieurs détails et commandes permettant de personnaliser la vue et d'afficher les alertes.

Détails de la vue Alertes

Le panneau d'options de la vue Toutes les alertes affiche divers paramètres qui peuvent être utilisés pour personnaliser l'affichage des alertes.

Le tableau suivant décrit les différents paramètres que vous pouvez sélectionner pour filtrer les alertes et personnaliser la vue. Les paramètres de filtre choisis pour filtrer les alertes sont conservés lorsque vous quittez la vue active pour basculer entre les onglets, les sessions ou lorsque vous accédez à l'écran des détails. L'option Réinitialiser la sélection vous permet de réinitialiser les options de filtre à la valeur par défaut.

                                            
ParamètreDescription :
PLAGE TEMPORELLE

Sélectionnez une période pour en afficher les alertes. Par exemple :

  • Sélectionnez Dernières 24 heures pour afficher les incidents créés dans les dernières 24 heures.
  • Sélectionnez Toutes les données pour afficher les alertes déclenchées à partir du moment où le service a été ajouté. 
  • Sélectionnez Personnalisé et fournissez une période pour afficher les alertes créées dans cette plage temporelle.
SOURCE

Indique le nombre d'alertes classées en fonction de leurs sources. Par exemple, RSA ECAT(86) indique qu'il y a 86 alertes déclenchées par RSA ECAT.

Sélectionnez une ou plusieurs sources pour afficher les alertes déclenchées par les sources sélectionnées. Par exemple, pour afficher les alertes ECAT uniquement, sélectionnez RSA ECAT en tant que source.

TYPEIndique le type d'événements liés à l'alerte, par exemple, les logs, sessions réseau, etc.
SEVERITYIndique le niveau de gravité des alertes. Sélectionnez une valeur pour afficher les alertes de la gravité requise. Par exemple, pour afficher les alertes de gravité 75, sélectionnez 75 comme niveau de gravité.
PARTIE INTÉGRANTE DE L'INCIDENT

Indique le nombre d'alertes classées selon leur appartenance à un incident ou non. Par exemple, Oui (180) indique qu'il y a 180 alertes qui font partie de l'incident.

Sélectionnez Oui pour afficher les alertes qui font partie d'un incident. Sélectionnez Non pour afficher les alertes qui ne sont pas liées aux incidents.

PAYS SOURCESi geo-ip est activé sur le Decoder, applique le filtre au pays balisé sur le périphérique source pour un événement lié à l'alerte.
PAYS DE DESTINATIONSi geo-ip est activé sur le Decoder, applique le filtre au pays balisé sur le périphérique de destination pour un événement lié à l'alerte.
reset_selection_button.png Réinitialise les options de filtre aux valeurs par défaut.

La moitié supérieure du panneau Alerte affiche la représentation graphique de l'évolution des alertes au fil du temps (regroupées par chaque source) qui correspondent aux critères de filtrage choisis.

Détails relatifs aux alertes

La moitié inférieure du panneau Alerte affiche les détails de l'alerte. Le tableau suivant décrit les différents détails de l'alerte.

                                                
ChampDescription :
Date de créationAffiche la date de création de l'alerte.
GravitéAffiche le niveau de gravité de l'alerte. Les valeurs sont comprises entre 1 et 100. 
NameAffiche le nom de l'alerte.
SourceAffiche la source de l'alerte. La source des alertes peut être ECAT, Malware Analytics, ESA, Investigator ou Reporting Engine.
Décompte d'événements

Indique le nombre d'événements contenus dans une alerte.

Remarque : Cela varie en fonction de la source de l'alerte. Par exemple, les alertes ECAT et MA ont toujours un événement. Pour certains types d'alertes, un nombre élevé d'événements peut signifier que l'alerte est plus risquée.

Récapitulatif de l'hôteAffiche les détails relatifs à l'hôte tels que le nom de l'hôte d'où l'alerte a été déclenchée. Les détails peuvent inclure des informations sur les périphériques source et/ou de destination dans une alerte. Certaines alertes peuvent décrire des événements sur plusieurs périphériques.
Récapitulatif de l'utilisateurAffiche le récapitulatif concernant l'utilisateur ou les utilisateurs associés aux événements de l'alerte.
ID d'incidentAffiche l'ID de l'incident auquel l'alerte appartient. S'il n'y a pas d'ID d'incident, cela signifie que l'alerte ne fait pas partie d'un incident. Vous pouvez alors créer un incident pour inclure cette alerte ou l'alerte peut être ajoutée à un incident existant.
Action

Vous permet d'analyser davantage l'alerte. Les options disponibles pour approfondir la procédure d'enquête sont différentes des types d'alertes.

Par exemple :
Pour une alerte ECAT, l'option disponible est Afficher ECAT Analysis. Elle vous permet de visualiser l'analyse de l'hôte dans le client ECAT, si vous l'avez installé sur votre machine cliente. Pour ESA ou Reporting Engine, les options disponibles sont Examiner les événements, Examiner l'adresse IP du périphérique, Examiner l'adresse IP de la source et Examiner l'adresse IP de destination. Ainsi, vous pouvez visualiser les événements dans la vue Investigator ou afficher des événements similaires. Par exemple, la même source ou la même adresse IP de destination. Pour un service Malware Analytics, l'option disponible est Afficher Malware Analysis. Il vous permet de visualiser les détails de l'événement à partir de l'analyse des programmes malveillants.

Options

La moitié inférieure du panneau d'alerte vous propose des options pour effectuer différentes opérations. Le tableau décrit les différentes commandes disponibles.

                        
CommandeAction
Create_incident_button.png Sélectionnez cette commande pour créer un incident. Reportez-vous aux sections suivantes Créer un incident manuellement.
add_to_incident.png Sélectionnez cette commande pour ajouter l'alerte sélectionnée à un incident existant. Reportez-vous aux sections suivantes Ajouter des alertes à un incident existant.
Icon-DeleteText.png Sélectionnez cette commande pour supprimer les alertes. Reportez-vous aux sections suivantes Supprimer les alertes.
You are here
Table of Contents > Informations de référence de gestion des incidents > Vue Alertes

Attachments

    Outcomes