Gestion des incidents : Filtrer les alertes

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette procédure est utile lorsque vous souhaitez examiner des alertes avec un critère en particulier, par exemple les alertes d'une source en particulier, possédant une gravité en particulier, d'une source qui ne fait pas partie d'un incident, etc. De plus, vous pouvez accéder aux spécificités d'une alerte pour l'analyser ou étudier une alerte de manière plus approfondie, le cas échéant.

Conditions préalables

Assurez-vous de comprendre les paramètres de la vue Alerte avant de la filtrer. Pour plus d’informations, voir le Vue Alertes.

Procédure

L'exemple suivant décrit comment vous pouvez personnaliser la vue pour afficher toutes les alertes ESA avec le niveau de sécurité 5.

  1. Dans le menu Security Analytics, sélectionnez Incidents > Alertes.

    La vue Toutes les alertes s'affiche.

    all_alerts_view.png

  2. Dans le panneau Options, sélectionnez Toutes les données pour la PÉRIODE.

    Remarque : Par défaut, les alertes des 5 derniers jours s'affichent. Pour afficher les alertes pour une période différente, modifiez cette dernière.

  3. Sélectionnez Event Stream Analysis en tant que SOURCE.
  4. Définissez le niveau GRAVITÉ sur 5.

    filter_alert.png

    Le panneau du côté droit affiche une représentation graphique de toutes les alertes ESA de gravité 5.

    Remarque : Lorsqu'il n'existe aucune donnée pour un filtre sélectionné, ce dernier sera désactivé. Cliquez sur Réinitialiser la sélection pour afficher les critères de sélection par défaut. Ceci s'applique aux alertes, incidents et corrections. Par exemple, dans le graphique précédent, si vous définissez la Période sur Dernière heure et s'il n'existe pas d'alertes pour ESA dans la dernière heure, le module Event Stream Analysis (0) source sera grisé. Dans ce cas, cliquez sur Réinitialiser la sélection. Les critères par défaut de toutes les options s'affichent. 

  5. Survolez le graphique pour afficher des détails sur le nombre d'alertes déclenchées pour un jour en particulier.

    alert_time_detail.png

    Les détails de l'alerte s'affichent dans la vue Détails, dans la moitié inférieure de la page.

    Remarque : Vous pouvez sélectionner une alerte pour créer des incidents, ajouter une alerte à un incident existant ou examiner une alerte à partir de cette vue. Pour plus d’informations, voir  Ajouter des alertes à un incident existant.

    all_alert_details.png

  6. Double-cliquez sur une alerte.

    La vue Détails relatifs aux alertes s’affiche.

    alert_detail.png

    Les détails affichés regroupent la date de création, le type d'alerte, la description de l'alerte, le nombre d'événements, les informations de l'utilisateur et du fichier, et la taille de l'alerte. Vous pouvez examiner l'alerte de manière plus approfondie, si nécessaire.

    Remarque : Vous pouvez cliquer sur Afficher l'alerte brute pour afficher les informations d'alerte au format brut.

  7. Dans la colonne Actions, sélectionnez Examiner les événements.

    alert_actions.png

    Remarque : Les options disponibles dans le menu Actions est différent pour les différents types d'Alertes. Pour plus d’informations, reportez-vous à Vue Alertes.

    La vue Examiner > Naviguer du service s'affiche. Vous pouvez sélectionner les options disponibles pour effectuer un examen plus approfondi.

  8. Cliquez sur Revenir aux alertes pour accéder à la vue Toutes les alertes.
  9. Si vous souhaitez restaurer des valeurs par défaut, cliquez sur Réinitialiser la sélection.

Pour plus de détails sur les différents paramètres et descriptions dans la vue Incidents > Toutes les alertes, voir Vue Alertes.

Previous Topic:Vérifier les alertes
You are here
Table of Contents > Vérifier les alertes > Filtrer les alertes

Attachments

    Outcomes