Répondre : Vérifier les alertes

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

NetWitness Suite vous permet d'afficher une liste consolidée des alertes de menace générées à partir de plusieurs sources dans un emplacement unique. Vous pouvez trouver ces alertes dans la vue RÉPONDRE > Alertes. La source des alertes peut être les règles de corrélation ESA, ESA Analytics, NetWitness Endpoint, Malware Analysis, Reporting Engine et autres. Vous pouvez voir la source d'origine des alertes, la gravité des alertes et d'autres détails.

Remarque : les alertes de règle de corrélation ESA ne peuvent être trouvés QUE dans la vue RÉPONDRE > Alertes.

Pour mieux gérer un grand nombre d'alertes, vous avez la possibilité de filtrer la liste d'alertes selon des critères que vous spécifiez, par exemple la gravité, la plage horaire et la source de l'alerte. Par exemple, vous souhaiterez filtrer les alertes pour afficher uniquement celles possédant un niveau de gravité entre 90 et 100 qui ne font pas déjà partie d'un incident. Vous pouvez ensuite sélectionner un groupe d'alertes pour créer un incident ou l'ajouter à un incident existant.

Vous pouvez effectuer les procédures suivantes afin de vérifier et de gérer les alertes :

Afficher les alertes

Dans la vue Liste des alertes, vous pouvez parcourir les différentes alertes de plusieurs sources, les filtrer et les regrouper pour créer des incidents. Cette procédure vous indique comment accéder à la liste des alertes.

  1. Accédez à RÉPONDRE > Alertes.
    La vue Liste des alertes affiche une liste de toutes les alertes NetWitness Suite.
    Alerts List view
  2. Faites défiler la liste des alertes, qui affiche des informations de base sur chaque alerte, comme décrit dans le tableau suivant.
                                       
Colonne

Description

CRÉEAffiche la date et l'heure auxquelles l'alerte a été enregistrée dans le système source.
GRAVITÉAffiche le niveau de gravité de l'alerte. Les valeurs sont comprises entre 1 et 100.
NOMAffiche une description de base de l'alerte.
SOURCE Affiche la source originale de l'alerte. La source des alertes peut être NetWitness Endpoint, Malware Analysis, Event Stream Analysis (règles de corrélation ESA), l'analytique ESA, Reporting Engine, la détection des cybermenaces, et autres.
NOMBRE D'ÉVÉNEMENTSIndique le nombre d'événements contenus dans une alerte. Cela varie en fonction de la source de l'alerte. Par exemple, les alertes NetWitness Endpoint et Malware Analysis ont toujours un événement. Pour certains types d'alertes, un nombre élevé d'événements peut signifier que l'alerte est plus risquée.
RÉCAPITULATIF DE L'HÔTEAffiche les détails relatifs à l'hôte tels que le nom de l'hôte d'où l'alerte a été déclenchée. Les détails peuvent inclure des informations sur les hôtes source et cible dans une alerte. Certaines alertes peuvent décrire des événements sur plusieurs hôtes.
ID D'INCIDENTAffiche l'ID d'incident de l'alerte. S'il n'y a pas d'ID d'incident, cela signifie que l'alerte ne fait pas partie d'un incident. Vous pouvez alors créer un incident pour inclure cette alerte ou l'alerte peut être ajoutée à un incident existant.

Au bas de la liste, vous voyez le nombre d'alertes sur la page en cours et le nombre total d'alertes. Par exemple : Affichage de 377 éléments sur 377

Filtrer la liste des alertes

Le nombre de tâches dans la Liste des alertes peut être très volumineux, ce qui complexifie la recherche d'alertes particulières. Le Filtre vous permet d'afficher les alertes que vous souhaitez afficher, par exemple les alertes d'une source donnée, les alertes d'un niveau de gravité spécifique, les alertes qui ne font pas partie d'un incident, etc.

  1. Accédez à RÉPONDRE > Alertes.
    Le panneau Filtres s'affiche à gauche de la liste des alertes. Si vous ne voyez pas le panneau Filtres, dans la barre d'outils de la vue Liste des alertes, cliquez sur Filter icon afin d'ouvrir le panneau Filtres.
    Alerts List Filter panel
  2. Dans le panneau Filtres, sélectionnez une ou plusieurs options pour filtrer la liste des alertes :
    • PLAGE TEMPORELLE : Vous pouvez sélectionner une période spécifique dans la liste déroulante Période. La période est basée sur la date de réception des alertes. Par exemple, si vous sélectionnez Dernière heure, vous verrez les alertes qui ont été créées au cours des 60 dernières minutes.
    • PLAGE DE DATES PERSONNALISÉE : Vous pouvez spécifier une plage de dates spécifique au lieu de sélectionner une option de période. Pour ce faire, cliquez sur le cercle blanc devant PLAGE DE DATES PERSONNALISÉE pour afficher les champs Date de début et Date de fin. Sélectionnez les dates et heures dans le calendrier.
      Custom Date Range option in the filter
    • TYPE : Sélectionnez le type d'événements dans l'alerte à afficher, par exemple, les logs, sessions réseau, etc.
    • SOURCE : Sélectionnez une ou plusieurs sources pour afficher les alertes déclenchées par les sources sélectionnées. Par exemple, pour afficher les alertes NetWitness Endpoint uniquement, sélectionnez Point de terminaison en tant que source.
    • GRAVITÉ : Sélectionnez le niveau de gravité des alertes à afficher. Les valeurs sont comprises entre 1 et 100. Par exemple, pour vous concentrer tout d'abord sur les alertes possédant la gravité la plus élevée, affichez uniquement les alertes avec un niveau de gravité de 90 à 100.
    • PARTIE DE L'INCIDENT : pour afficher uniquement les alertes qui ne font pas partie d'un incident, sélectionnez Non. Pour afficher uniquement les alertes qui font partie d'un incident, sélectionnez Oui. Par exemple, lorsque vous êtes prêt à créer un incident à partir d'un groupe d'alertes, vous pouvez sélectionner Non pour afficher uniquement les alertes qui ne font pas déjà partie d'un incident.
    • NOMS DES ALERTES : Sélectionnez le nom de l'alerte à afficher. Vous pouvez utiliser ce filtre pour rechercher toutes les alertes générées par une règle ou une source spécifique, par exemple, IP malveillantes - Reporting Engine.

    La Liste des alertes affiche une liste d'alertes qui répondent à vos critères de sélection. Vous pouvez voir le nombre d'éléments dans votre liste filtrée en bas de la liste des alertes.
    Par exemple : Affichage de 30 élément(s) sur 30

  3. Si vous souhaitez fermer le panneau Filtres, cliquez sur X. Vos filtres restent en place jusqu'à ce que vous les supprimiez.

Supprimer Mes filtres de la liste des alertes

NetWitness Suite mémorise vos sélections de filtre dans la liste d'alertes. Vous pouvez supprimer vos sélections de filtre lorsque vous n'en avez plus besoin. Par exemple, si vous ne voyez pas le nombre d'alertes que vous devriez voir ou si vous souhaitez afficher toutes les alertes dans la liste des alertes, vous pouvez réinitialiser les filtres.

  1. Accédez à RÉPONDRE > Alertes.
    Le panneau Filtres s'affiche à gauche de la liste des alertes. Si vous ne voyez pas le panneau Filtres, dans la barre d'outils de la vue Liste des alertes, cliquez sur Filter icon afin d'ouvrir le panneau Filtres.
  2. Au bas du panneau Filtres, cliquez sur Réinitialiser les filtres.

Afficher les informations récapitulatives relatives aux alertes

En plus de voir des informations de base sur une alerte, vous pouvez également afficher des métadonnées d'alerte brutes dans le panneau Présentation.

  1. Dans la liste Alertes, cliquez sur l'alerte que vous voulez afficher.
    Le panneau Présentation des alertes s'affiche à droite de la liste Tâches.
    Alerrts View showing Overview panel
  2. Dans la section Alerte brute, vous pouvez faire défiler pour afficher les métadonnées de l'alerte brute.
    Alert Overview panel

Afficher les détails relatifs à l'événement pour une alerte

Une fois que vous avez révisé les informations générales sur l'alerte dans la vue Liste des alertes, vous pouvez accéder à la vue Détails relatifs aux alertes pour plus d'informations afin de déterminer l'action requise. Une alerte contient un ou plusieurs événements. Dans la vue Détails relatifs aux alertes, vous pouvez effectuer une recherche verticale sur une alerte afin d'obtenir des informations supplémentaires et d'examiner davantage l'alerte. La figure suivante est un exemple d'événements de la vue Détails relatifs aux alertes.

Alert Details view showing the Events panel

 

Le panneau Présentation sur la gauche contient les mêmes informations pour une alerte que le panneau Présentation de la vue Liste des alertes.

Le panneau Événements sur la droite présente des informations sur les événements dans l'alerte, comme l'heure de l'événement, l'adresse IP source, l'adresse IP de destination, l'adresse IP du détecteur, l'utilisateur source, l'utilisateur de destination et les informations de fichier sur les événements. La quantité d'informations répertoriées varie selon le type d'événement.

Il existe deux types d'événements :

  • Une transaction entre deux machines (une source et une destination)
  • Une anomalie détectée sur une seule machine (un détecteur)

Certains événements ne disposent que d'un détecteur. Par exemple, NetWitness Endpoint détecte des malware sur votre machine. D'autres événements posséderont une source et une destination. Par exemple, les données de paquets affichent une communication entre votre ordinateur et une commande et le domaine de contrôle (C2).

Vous pouvez effectuer une recherche verticale dans un événement pour obtenir des données détaillées à son sujet.

Pour afficher les détails relatifs à l'événement pour une alerte :

  1. Pour afficher les détails relatifs à l'événement pour une alerte, dans la vue Liste d'alertes, choisissez une alerte à afficher, puis cliquez sur le lien dans la colonne NOM de cette alerte.
    Alerts List showing Name link
    La vue Détails des alertes affiche le panneau Présentation sur la gauche et le panneau Événements sur la droite.
    Alert Details view showing the Events panel
    Le volet Événements présente une liste d'événements avec des informations sur chaque événement. Le tableau suivant présente certaines colonnes qui peuvent s'afficher dans la liste Événements (Table d'événements).
  2.                                                

    Colonne

    Description

    HEUREAffiche l'heure à laquelle l'événement s'est produit.
    TYPEAffiche le type d'alerte, comme Log et Réseau.
    IP SOURCEAffiche l'adresse IP source s'il y a eu une transaction entre les deux machines.
    IP de destinationAffiche l'adresse IP de destination s'il y a eu une transaction entre les deux machines
    IP DÉTECTEURAffiche l'adresse IP de la machine sur laquelle une anomalie a été détectée.
    UTILISATEUR SOURCEAffiche l'utilisateur de la machine source.
    UTILISATEUR DE DESTINATIONAffiche l'utilisateur de la machine de destination.
    NOM DE FICHIERAffiche le nom du fichier si un fichier est impliqué dans l'événement.
    HACHAGE DE FICHIERPrésente un hachage du contenu du fichier.

    S'il existe un seul événement dans la liste, vous verrez les détails de cet événement au lieu d'une liste.

  3. Cliquez sur un événement dans la liste Événements pour afficher les détails Événement.
    Cet exemple montre les détails de l'événement pour le premier événement dans la liste.
    Event Details showing first event
  4. Utilisez la navigation de la page à droite du bouton Revenir à la table pour afficher les autres événements. Cet exemple montre les détails de l'événement pour le dernier événement dans la liste.
    Event Details showing the navigation options in the last event in the alert

Reportez-vous à la section Vue Détails relatifs aux alertes pour obtenir des informations détaillées sur les données d'événement répertoriées dans le panneau Détails relatifs aux alertes.

Examiner les événements

Pour examiner davantage les événements, vous trouverez des liens vers des informations contextuelles supplémentaires. Vous disposez ensuite d'options en fonction de votre sélection.

Afficher les informations contextuelles

Dans la vue Détails relatifs aux alertes, vous pouvez voir les entités soulignées dans le panneau Événements. Une entité soulignée est considérée comme une entité du service Context Hub et propose des informations contextuelles supplémentaires. La figure suivante illustre les entités soulignées dans la liste Événements.

Events panel - Event list showing underlined entities

La figure suivante illustre les entités soulignées dans les Détails de l'événement.

Events panel - Event details showing underlined entities

Le service Context Hub est préconfiguré avec les champs méta mappés aux entités. NetWitness Respond et Investigation utilisent ces mappages par défaut pour la recherche contextuelle. Pour plus d'informations sur l'ajout de clés méta, consultez « Configurer les paramètres pour une source de données » dans le Guide de configuration de Context Hub.

Attention : Pour que la recherche contextuelle fonctionne correctement dans les vues Répondre et Enquêter, RSA vous recommande, lorsque vous mappez des clés méta dans l'onglet ADMIN > SYSTÈME > Procédures d'enquête > Recherche contextuelle, d'ajouter uniquement les clés méta aux mappages de clé méta, et non aux champs dans MongoDB. Par exemple, ip.address est une clé méta et ip_address n'est pas une clé méta (il s'agit d'un champ dans MongoDB).

Pour afficher les informations contextuelles :

  1. Dans la Liste des événements ou les Détails de l'événement de la vue Détails relatifs aux alertes, survolez une entité soulignée.
    Une info-bulle contextuelle s'affiche avec un bref résumé du type de données contextuelles disponible pour l'entité sélectionnée.
    Events panel - Event details showing context tooltip
    L'info-bulle contextuelle comporte deux sections : Points forts du contexte et actions.
    Context tooltip
    Les informations contenues dans la section Points forts du contexte vous aident à déterminer les actions que vous devez entreprendre. Elles indiquent le nombre d'incidents et les alertes associées. En fonction de vos données, vous pourrez peut-être cliquer sur ces éléments numérotés pour plus d'informations. L'exemple ci-dessus présente 238 incidents associés et 8 755 alertes associées, ainsi qu'1 liste Context Hub associée.

    La section Actions répertorie les actions disponibles. Dans l'exemple ci-dessus, les options Pivoter vers Investigate, Pivoter vers Endpoint, et Ajouter à la liste/Supprimer de la liste sont disponibles.
  2. Pour obtenir plus de détails sur l'entité sélectionnée, cliquez sur le bouton Afficher le contexte.
    Le panneau Contexte s'ouvre et affiche toutes les informations relatives à l'entité.
    Le Panneau Recherche contextuelle - Vue Répondre fournit des informations supplémentaires.

Ajouter une entité à une liste blanche

Vous pouvez ajouter n'importe quelle entité soulignée à une liste, comme une liste blanche ou noire, à partir d'une info-bulle de contexte. Par exemple, pour réduire les faux positifs, vous pouvez ajouter à la liste blanche un domaine souligné pour l'exclure des entités associées.

  1. Dans la vue Détails relatifs aux alertes, Liste d'événements ou Détails de l'événement, survolez l'entité soulignée que vous souhaitez ajouter à une liste Context Hub.
    Une info-bulle contextuelle s'affiche et présente les actions disponibles.
    Events panel showing Add/Remove From List option
  2. Dans la section Actions de l'info-bulle, cliquez sur Ajouter à la liste/Supprimer de la liste.
    La boîte de dialogue Ajouter à la liste/Supprimer de la liste affiche les listes disponibles.
    Add/Remove From List dialog
  3. Sélectionnez une ou plusieurs listes, puis cliquez sur Enregistrer.
    L'entité s'affiche dans les listes sélectionnées.
    Boîte de dialogue Ajouter à la liste/Supprimer de la liste fournit des informations supplémentaires.

Créer une liste blanche

Vous pouvez créer une liste blanche dans Context Hub de la même manière que vous la créeriez dans la vue Détails de l'incident. Reportez-vous à la section Créer une liste.

Pivoter vers NetWitness Endpoint

Si l'application de client Thick NetWitness Endpoint est installée, vous pouvez la démarrer via l'info-bulle de contexte. À partir de là, vous pouvez mener davantage l'enquête sur une adresse IP suspecte, un hôte ou une adresse MAC.

  1. Dans la Liste des événements ou les Détails de l'événement de la vue Détails relatifs aux alertes, survolez une entité soulignée pour accéder à une info-bulle de contexte.
  2. Dans la section ACTIONS de l'info-bulle, sélectionnez Pivoter vers Endpoint.
    L'application de client Thick NetWitness Endpoint s'ouvre en dehors de votre navigateur Web.

Pour plus d'informations sur le client Thick, voir le Guide d'utilisation NetWitness Endpoint.

Pivoter vers Investigation

Pour une procédure d'enquête plus approfondie de l'incident, vous pouvez accéder à la vue Procédure d'enquête.

  1. Dans la Liste des événements ou les Détails de l'événement de la vue Détails relatifs aux alertes, survolez une entité soulignée pour accéder à une info-bulle de contexte.
  2. Dans la section ACTIONS de l'info-bulle, sélectionnez Pivoter vers Investigate.
    La vue Enquêter - Naviguer s'ouvre, ce qui vous permet d'effectuer une procédure d'enquête plus approfondie.

Pour plus d'informations, consultez le Guide d'utilisation de NetWitness Investigate.

Créer un incident manuellement

Vous pouvez créer des incidents manuellement à partir des alertes dans la vue Liste des alertes. Les alertes que vous sélectionnez ne peuvent pas faire partie d'un autre incident. Les incidents créés manuellement à partir d'alertes prennent la priorité Basse par défaut, mais vous pouvez modifier la priorité après la création. Vous ne pouvez pas ajouter de catégories à des incidents créés manuellement.

Remarque : Les incidents peuvent être créés manuellement ou automatiquement. Une alerte ne peut être associée qu'à un seul incident. Vous pouvez créer des règles d'incidents pour analyser les alertes collectées et les regrouper en incidents en fonction des règles auxquelles elles correspondent. Pour plus d'informations, reportez-vous à la rubrique « Créer une règle d'incident pour les alertes » dans le Guide de configuration NetWitness Respond.

Pour créer un incident manuellement :

  1. Accédez à RÉPONDRE > Alertes.
  2. Sélectionnez une ou plusieurs alertes dans la Liste des alertes.

    Remarque : Si vous sélectionnez des alertes qui n'ont pas d'ID d'incident, le bouton Créer un incident s'active. Si l'alerte fait déjà partie d'un incident, le bouton est désactivé. Vous pouvez filtrer les alertes qui n'appartiennent à aucun incident en définissant l'option PARTIE INTÉGRANTE DE L'INCIDENT sur Non dans le panneau Filtres.

    Alerts List showing three alerts selected

  3. Cliquez sur Créer un incident.

    La boîte de dialogue Créer un incident s'affiche.

    Create Incident dialog with Example name

  4. Dans le champ NOM DE L'INCIDENT, entrez un nom pour identifier l'incident. Par exemple, Enquêter - IP.
  5. Cliquez sur OK.
    Alerts List showing successful incident creation

    Vous verrez un message de confirmation indiquant qu'un incident a été créé à partir des alertes sélectionnées. Le nouvel ID d'incident s'affiche sous la forme d'un lien dans la colonne ID D'INCIDENT des alertes sélectionnées. Si vous cliquez sur le lien, il vous mène à la vue Détails de l'incident pour cet incident, où vous pouvez mettre à jour les informations telles que la Priorité, de faible à élevée.

Ajouter des alertes à un incident

Remarque : Cette option est disponible dans la version 11.1 ou supérieure.

Si vous disposez d'alertes qui correspondent à un incident existant, vous n'avez pas besoin de créer un nouvel incident. Au lieu de cela, vous pouvez ajouter des alertes à cet incident à partir de la vue Liste d'alertes. Les alertes que vous sélectionnez ne peuvent pas faire partie d'un autre incident.

  1. Accédez à RÉPONDRE > Alertes.
  2. Dans la liste des alertes, sélectionnez une ou plusieurs alertes que vous souhaitez ajouter à un incident, puis cliquez sur Ajouter à l'incident.

    Remarque : Si vous sélectionnez des alertes qui n'ont pas d'ID d'incident, le bouton Ajouter à l'incident s'active. Si l'alerte fait déjà partie d'un incident, le bouton est désactivé. Vous pouvez filtrer les alertes qui n'appartiennent à aucun incident en définissant l'option PARTIE INTÉGRANTE DE L'INCIDENT sur Non dans le panneau Filtres.

    Alerts List showing two alerts selected

  3. Dans la boîte de dialogue Ajouter à l'incident, saisissez au moins trois caractères dans le champ Recherche pour rechercher l'incident par Nom ou ID d'incident.
    Add to Incident dialog showing search option
  4. Dans la liste de résultats, sélectionnez l'incident qui recevra les alertes sélectionnées et cliquez sur OK.
    Add to Incident dialog showing an incident selected in the search results
    L'alerte ou les alertes sélectionnées appartiennent maintenant à l'incident choisi et un ID d'incident leur sera associé.

Supprimer les alertes

Avec les autorisations appropriées, par exemple Administrateurs et Agents de confidentialité des données, les utilisateurs peuvent supprimer les alertes. Cette procédure est utile lorsque vous souhaitez supprimer les alertes inutiles ou non pertinentes. La suppression de ces alertes libèrent de l'espace disque.

  1. Accédez à RÉPONDRE > Alertes.
    La vue Liste des alertes affiche une liste de toutes les alertes NetWitness Suite.
  2. Dans la liste des alertes, sélectionnez les alertes que vous souhaitez supprimer, puis cliquez sur Supprimer.
    Remedation Tasks list with tasks selected for delete
    Si vous n'avez pas l'autorisation de supprimer des alertes, vous ne verrez pas le bouton Supprimer.
  3. Confirmez la suppression des alertes et cliquez sur OK.
    Confirm Delete dialog
    Les alertes sont supprimées de NetWitness Suite. Si une alerte supprimée est la seule alerte figurant dans un incident, l'incident est aussi supprimé. Si une alerte supprimée n'est pas la seule alerte figurant dans un incident, l'incident est mis à jour pour refléter la suppression.
 
You are here
Table of Contents > Vérifier les alertes

Attachments

    Outcomes