Répondre : Vue Détails sur l'incident

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 3Show Document
  • View in full screen mode
 

Dans la vue Détails sur l'incident (RÉPONDRE > Incidents > cliquez sur le lien d'un ID ou d'un nom dans la liste des incidents), vous pouvez afficher des détails étendus relatifs à l'incident. La vue Détails sur l'incident contient plusieurs panneaux qui offrent les avantages suivants :

  • Présentation : Afficher un récapitulatif de l'incident et mettre à jour l'incident.
  • Indicateurs : Afficher les indicateurs (alertes) impliqués dans l'incident, les événements au sein de ces alertes et les informations d'enrichissement disponibles. Vous pouvez également accéder aux détails de l'analyse d'événements pour certains événements et effectuer la reconnaissance d'événements.
  • Graphique de nœud : Visualiser la taille et les interactions entre les entités (adresse IP, adresse MAC, utilisateur, hôte, domaine, nom de fichier ou hachage de fichier).
  • Fiche produit des événements : Examiner les événements associés à l'incident.
  • Journal : Ajouter des remarques et collaborer avec d'autres analystes.
  • Tâches : Créer des tâches d'incidents et effectuer leur suivi jusqu'à leur résolution.
  • Indicateurs connexes : Afficher les indicateurs (alertes) qui sont liés à l'incident et les ajouter à l'incident s'ils ne sont pas associés à un incident.

Vous pouvez également filtrer les données dans la vue Détails sur l'incident pour étudier des indicateurs et les entités dignes d'intérêt.

Workflow

Ce workflow montre le processus général que les responsables de la réponse aux incidents utilisent pour répondre aux incidents dans NetWitness Platform.

Incident Details view workflow diagram

Dans la vue Détails sur l'incident, vous pouvez utiliser les informations détaillées fournies sur les incidents afin de déterminer les incidents qui exigent une action. Vous disposez également des outils et des informations nécessaires pour enquêter sur l'incident, et le faire remonter ou le corriger.

Que voulez-vous faire ?

                                                                                                       
Rôle Je souhaite...Me montrer comment

Responsables de la réponse aux incidents, analystes, responsables du SOC

Afficher les incidents prioritaires, filtrer et trier la liste des incidents, trouver des incidents, afficher mes incidents et attribuer les incidents à moi-même.

Passer en revue la liste des incidents hiérarchisés

Responsables de la réponse aux incidents, analystesAfficher les détails sur l'incident.*Afficher les détails sur l'incident
Responsables de la réponse aux incidents, analystesAfficher les alertes et enrichissements.*Afficher les indicateurs et les enrichissements
Responsables de la réponse aux incidents, analystesAfficher les événements.*Afficher et étudier les événements
Répondeurs d'incidents, Analystes (autorisations supplémentaires requises)Afficher l'analyse d'un événement.*Afficher Détails de l'analyse des événements pour les indicateurs.
Responsables de la réponse aux incidents, analystesAfficher un graphique des entités impliquées dans les événements.*Afficher et étudier les entités impliquées dans les événements
Responsables de la réponse aux incidents, analystesFiltrer les données relatives aux incidents.*Filtrer les données dans la vue Détails sur l'incident
Responsables de la réponse aux incidents, analystesAfficher et ajouter des remarques relatives aux incidents.*Afficher les notes sur l'incident et Documenter les étapes suivies en dehors de NetWitness
Responsables de la réponse aux incidents, analystesAfficher et créer des tâches.*Afficher les tâches associées à un incident et Créer une tâche
Responsables de la réponse aux incidents, analystesAjouter des alertes associées et les ajouter à l'incident.*Rechercher des indicateurs connexes et Ajouter des indicateurs connexes à l'incident
Responsables de la réponse aux incidents, analystesAfficher des informations contextuelles sur un incident à partir de Context Hub.*Afficher les informations contextuelles
Responsables de la réponse aux incidents, analystes

Réduire les faux positifs en ajoutant une entité à la liste blanche.*

Ajouter une entité à une liste blanche

Responsables de la réponse aux incidents, analystes

Pivotez vers NetWitness Investigate.*

Pivoter vers Investigate > Naviguer

Responsables de la réponse aux incidents, analystesPivoter vers NetWitness Endpoint. *Pivoter vers NetWitness Endpoint Thick Client
Responsables de la réponse aux incidents, analystes, responsables du SOCAjouter un incident à Archer Cyber Incident & Breach Response.*Envoyer un incident à RSA Archer
Responsables de la réponse aux incidents, analystesMettre à jour ou clore un incident.*

Mettre à jour un incident et Clore un incident

Responsables de la réponse aux incidents, analystes, responsables du SOCAfficher toutes les tâches.

Faire remonter ou corriger l'incident

Responsables de la réponse aux incidents, analystes, responsables du SOCMettre à jour les incidents et les tâches en bloc.Faire remonter ou corriger l'incident

*Vous pouvez effectuer ces tâches ici (c'est-à-dire dans la vue Détails sur l'incident).

Rubriques connexes

Aperçu rapide

L'exemple suivant montre les emplacements des panneaux de la vue Détails sur l'incident.

Incident Details view Quick Look Diagram

Incident Details view Quick Look Diagram showing Event Analysis in Respond

                                     
1 Panneau de présentation (cliquez sur l'onglet PRÉSENTATION pour l'afficher.)
2 Panneau Indicateurs
3 Graphique de nœud
4 Fiche produit des événements (Cliquez sur un événement dans la liste Événements pour afficher les détails sur l'événement.).
5 Panneau Journal
6Panneau Tâches (cliquez sur l'onglet TÂCHES pour l'afficher.)
7 Panneau Indicateurs connexes (cliquez sur l'onglet associé pour l'afficher.)
8Panneau d'analyse d'événements (cliquez sur un lien hypertexte de type d'événement dans le panneau Indicateurs pour afficher l'analyse des événements.)

Panneau Présentation

Le panneau Présentation contient des informations récapitulatives de base sur un incident sélectionné. Il vous permet également de modifier le nom de l'incident et de mettre à jour sa priorité, son état et la personne affectée. Le panneau Présentation de la vue Liste des incidents contient les mêmes informations. La rubrique Panneau Présentation de la vue Liste des incidents fournit des détails.

Incident Details view Overview Panel

Panneau Indicateurs

Le panneau Indicateurs contient une liste chronologique des indicateurs. Les indicateurs sont des alertes, comme une alerte ESA ou une alerte NetWitness Endpoint. (Il ne s'agit pas d'une chronologie, qui fournit une représentation visuelle de la chronologie des événements dans l'incident). Cette liste vous aide à connecter les indicateurs et les données importantes. Par exemple, une adresse IP est connectée à une commande, et une alerte ESA de communication peut également avoir déclenché une alerte NetWitness Endpoint ou d'autres activités suspectes.

Pour afficher le panneau Indicateurs, dans le panneau gauche de la vue Détails sur l'incident, sélectionnez INDICATEURS.

Incident Details view Indicators panel

Les informations de sources de données sont présentées sous les noms des indicateurs. Vous pouvez également voir la date de création et l'heure de l'indicateur, ainsi que le nombre d'événements dans l'indicateur. Dans le panneau indicateurs, vous pouvez approfondir les événements associés aux indicateurs répertoriés afin d'obtenir une meilleure compréhension des événements.

Analyse d'événements

Vous pouvez effectuer une analyse d'événement à partir du panneau Indicateurs. Les événements précédés de la mention EA (Analyse d'événement) présentent des informations de reconnaissance d'événement disponibles : Event with EA icon visible. Vous pouvez sélectionner un lien hypertexte de type d'événement, tel que le réseau, pour accéder à une analyse d'événement pour l'événement sélectionné.

Dans la vue Analyse d'événements, vous pouvez visualiser les métadonnées et les événements bruts grâce aux fonctions interactives qui améliorent la capacité à déceler des schémas significatifs dans les données. Vous pouvez examiner les événements liés au réseau, aux logs et aux points de terminaison. Le panneau Analyse d'événements de la vue Répondre affiche la vue Analyse d’événements présente dans Investigate pour des événements d'indicateurs spécifiques. Pour obtenir des informations détaillées sur la vue Analyse d'événement, consultez le guide de l'utilisateur de NetWitness Investigate.

Event Analysis panel in the Respond Incident Details view

Remarque : Les incidents migrés vers les versions NetWitness Platform antérieures à 11.2 n'affichent pas le panneau Analyse des événements dans le panneau Indicateurs de la Vue Répondre - vue Détails relatifs aux incidents. De même, si vous utilisez des alertes migrées depuis des versions antérieures à 11.2 pour créer des incidents dans la version 11.2, vous ne pourrez pas non plus afficher le panneau Analyse d'événements dans la Vue Répondre - vue Détails relatifs aux incidents

Graphique de nœud 

Le graphique de nœud est un graphique interactif qui illustre les entités impliquées dans l'incident. Une entité est un composant spécifié de méta, comme l'adresse IP, l'adresse MAC, l'utilisateur, l'hôte, le domaine, le nom de fichier ou le hachage de fichier.

Nodal Graph example

Nodal graph showing a single user

Nœuds

Dans le graphique de noeud, des cercles représentent les nœuds. Le tableau suivant présente les types de nœuds du graphique de nœud.

                                        
NœudDescription

Adresse IP

Si l'événement est une anomalies détectée, vous pouvez voir une adresse IP de détecteur. Si l'événement est une transaction, vous pouvez voir une adresse IP de destination et une adresse IP source.

Adresse MAC

Vous pouvez voir une adresse MAC pour chaque type d'adresse IP.

Utilisateur

Si la machine est associée à un utilisateur, vous pouvez voir un nœud d'utilisateur.
HôteUn hôte peut être un équipement physique ou une machine virtuelle. Il est désigné par un nom de domaine complet (FQDN) ou une adresse IP sur laquelle un service est installé.

Domaine

 

Nom du fichierSi l'événement implique des fichiers, vous pouvez voir un nom de fichier.

Hachage de fichier

Si l'événement implique des fichiers, vous pouvez voir un hachage de fichier.

La légende en bas du graphique de nœud indique le nombre de nœuds de chaque type et le code couleur des nœuds. Elle permet également de localiser les entités lorsque les valeurs, telles que les adresses IP, sont hachées.

Vous pouvez cliquer sur n'importe quel nœud et le faire glisser pour le repositionner.

Dans NetWitness Platform, version 11.2 et versions ultérieures, vous pouvez sélectionner les types de nœuds que vous souhaitez afficher en désactivant ou en sélectionnant les cases à cocher dans la légende. La figure suivante montre un exemple de légende de graphique de nœud avec tous les types de nœuds sélectionnés sauf IP.
Nodal Graph legend with all node types selected except IP

Flèches

Les flèches entre les nœuds fournissent des informations supplémentaires relatives aux relations d'entité. Le tableau suivant présente les types de flèches du graphique de nœud.

                                    
FlècheDescription
Communique avecUne flèche entre un nœud de machine source (adresse IP ou adresse MAC) et un nœud de machine de destination nommée « communique avec » indique la direction de la communication.
En tant queUne flèche entre les nœuds nommée « en tant que » fournit des informations complémentaires sur l'adresse IP vers laquelle la flèche pointe. Par exemple, s'il existe une flèche partant du cercle du nœud hôte qui pointe vers le nœud d'une adresse IP et qui est nommée « en tant que », elle indique que le nom du cercle du noeud hôte est le nom d'hôte de cette adresse IP et qu'il ne s'agit pas d'une autre entité.
Contient le fichierUne flèche entre un nœud de machine (adresse IP, adresse MAC ou hôte) et un nœud de hachage de fichier identifié par « contient » indique que l'adresse IP contient ce fichier.
UtilisationsUne flèche entre un nœud d'utilisateur et un nœud de machine (adresse IP, adresse MAC ou hôte) nommée « utilise » indique la machine que l'utilisateur utilisait lors de l'événement.
Est nomméUne flèche à partir d'un nœud de hachage de fichier vers un nœud de nom de fichier accompagné de « est nommé » indique que le hachage de fichier correspond à un fichier portant ce nom.
Appartient àUne flèche entre deux nœuds identifiée par « appartient à » indique qu'ils appartiennent au même nœud. Par exemple, une flèche entre une adresse MAC et un hôte nommée « appartient à » indique qu'il s'agit de l'adresse MAC de l'hôte.

Des flèches avec une ligne de taille supérieure représentent plus de communication entre les nœuds. Des nœuds plus grands (cercles) indiquent davantage d'activité que les nœuds plus petits. Les nœuds de plus grande taille sont les entités les plus courantes mentionnées dans les événements.

Fiche produit des événements

La fiche produit des événements affiche les événements associés à l'incident. Il présente des informations relatives aux événements, comme l'heure de l'événement, l'adresse IP source, l'adresse IP de destination, l'adresse IP du détecteur, l'utilisateur source, l'utilisateur de destination et les informations de fichier sur les événements. La quantité d'informations répertoriées varie selon le type d'événement.

La fiche produit des événements affiche une liste d'événements pour plusieurs événements ou les détails de l'événement pour un seul événement.

Liste d'événements

La figure ci-dessous présente la liste des événements.

Incident Details view Events List

Le tableau suivant décrit les colonnes de la liste des événements.

                                                                           

Colonne

Description

HEUREAffiche l'heure à laquelle l'événement s'est produit.
TYPEAffiche le type d'alerte, comme Log et Réseau.
IP SOURCEAffiche l'adresse IP source s'il y a eu une transaction entre les deux machines.
PORT SOURCEIndique le port de la source de la transaction. Les ports source et de destination peuvent être sur la même adresse IP.
HÔTE SOURCEAffiche l'hôte de destination sur lequel l'événement a eu lieu.
MAC SOURCEAffiche l'adresse MAC de la machine source.
UTILISATEUR SOURCEAffiche l'utilisateur de la machine source.
IP de destinationAffiche l'adresse IP de destination s'il y a eu une transaction entre les deux machines.
Port de destinationIndique le port de la destination de la transaction. Les ports source et de destination peuvent être sur la même adresse IP.
HÔTE DE DESTINATIONAffiche le nom d'hôte de la machine de destination.
ADRESSE MAC DE DESTINATIONAffiche l'adresse MAC de la machine de destination.
UTILISATEUR DE DESTINATIONAffiche l'utilisateur de la machine de destination.
IP DÉTECTEURAffiche l'adresse IP de la machine sur laquelle une anomalie a été détectée.
NOM DE FICHIERAffiche le nom du fichier si un fichier est impliqué dans l'événement.
HACHAGE DE FICHIERPrésente un hachage du contenu du fichier.

Détails de l'événement

Cliquez sur un événement dans la liste des événements pour afficher les détails relatifs à l'événement. S'il existe un seul événement dans la liste, vous verrez seulement les détails de cet événement au lieu d'une liste.

Incident Details view Event Details

Panneau Journal

Le Journal de l'incident présente l'historique de l'activité sur un incident.

Incident Details view Journal panel

Le tableau suivant décrit les options de la Nouvelle entrée de journal.

                        
ChampDescription

Nouvelle entrée de journal

Saisissez votre remarque dans le champ.

Étape

(Facultatif) Sélectionnez une étape, le cas échéant. Ce champ est utilisé pour effectuer le suivi des événements importants pour l'incident.

Bouton Envoyer

Cliquez sur Envoyer pour ajouter une entrée dans le journal. Votre entrée de journal sera visible par tout utilisateur qui affiche l'incident.

Panneau Tâches

Dans le panneau Tâches, vous pouvez gérer et suivre les tâches relatives aux incidents jusqu'à sa fermeture.

Incident Details view Tasks panel

Le tableau suivant présente les champs de la tâche.

                                                
ChampDescription

<ID tâche / <ID incident>

ID tâche généré automatiquement / Incident associé à la tâche.

CRÉE

Date de création de la tâche.

DERNIÈRE MISE À JOUR

Date à laquelle la tâche a été modifiée pour la dernière fois.

OUVERTHeure depuis la dernière ouverture de la tâche. Par exemple, il y a 3 minutes ou il y a 2 jours.

NOM

Nom de la tâche. Par exemple : Nouvelle image de la machine. Vous pouvez cliquer sur ce champ pour le modifier.

PERSONNE AFFECTÉENom d'utilisateur de la personne à laquelle le dossier est attribué. Vous pouvez cliquer sur ce champ pour le modifier.

PRIORITÉ

Priorité de la tâche : Faible, Moyenne, Élevée ou Critique. Vous pouvez cliquer sur le bouton de priorité et sélectionner une nouvelle priorité pour la tâche dans la liste déroulante.

ÉTATÉtat de la tâche : Nouveau, Attribué, En cours, Corrigé, Risque accepté et Sans objet. Vous pouvez cliquer sur le bouton d'état et sélectionner un nouvel état de la tâche dans la liste déroulante.

Description

Saisissez les informations qui décrivent la tâche. Vous pouvez inclure des numéros de référence applicables. Vous pouvez cliquer sur ce champ pour le modifier.

Panneau Indicateurs connexes

Le panneau Indicateurs connexes vous permet d'effectuer une recherche dans la base de données des alertes NetWitness Platform pour trouver les alertes liées à cet incident. Vous pouvez ajouter des alertes que vous trouvez associées à l'incident, si elles ne sont pas déjà associées à un incident.

Incident Details view Related Indicators panel

Le tableau suivant décrit les champs de la section de recherche en haut du panneau.

                            
ChampDescription

Rechercher

Sélectionnez l'entité que vous souhaitez trouver dans les alertes. Par exemple, IP.

Valeur

Saisissez la valeur de l'entité. Par exemple, saisissez l'adresse IP réelle de l'entité.

Quand

Sélectionnez une plage de temps pour rechercher les alertes. Par exemple, Dernières 24 heures.

Bouton Rechercher

Permet de lancer des recherches. Une liste des indicateurs connexes s'affiche sous le bouton Rechercher dans la section Indicateurs pour.

Le tableau suivant décrit les options de la section Indicateurs pour (résultats) au bas du panneau.

                            
OptionDescription
Indicateurs pour : Affiche les résultats de la recherche.
Lien Ouvrir dans une nouvelle fenêtreAffiche les détails sur l'alerte pour l'indicateur.

Bouton Ajouter à un incident

Permet d'ajouter l'indicateur associé à l'incident. L'indicateur associé est ajouté dans le panneau Indicateurs.

Bouton Partie intégrante de cet incident

Indique que l'indicateur fait déjà partie de l'incident.

Actions de la barre d'outils

                                                     
OptionDescription
Back to Alerts icon (arrow pointing left)

(Revenir aux Incidents) Vous permet de revenir à la vue Liste des incidents.

Close (X) icon Ferme le panneau.

Trash can (delete) icon

Supprime l'entrée, par exemple une entrée de journal ou une tâche.

Bouton Priorité(Dans le panneau Présentation) Vous permet de modifier la priorité d'un ou de plusieurs incidents sélectionnés dans la liste des Incidents.
Bouton État(Dans le panneau Présentation) Vous permet de modifier l'état d'un ou de plusieurs incidents.
Bouton Personne affectée(Dans le panneau Présentation) Vous permet de modifier la personne affectée d'un ou de plusieurs incidents.
View Graph icon
(Vue : Graphique)
Vous permet d'afficher le graphique de noeud.
View Datasheet icon
(Vue : Fiche produit)
Vous permet d'afficher la fiche produit des événements qui affiche une liste d'événements pour plusieurs événements ou les détails de l'événement pour un seul événement.
Journal, Tasks, and Related icon
(Journal, Tâches et Éléments connexes)
Vous permet d'afficher les panneaux Journal, Tâches et Indicateurs connexes.
Show / Hide icons in the Event Analysis panel for Header, Request, Response, and Meta Vous permet d'afficher ou de masquer l'en-tête, la demande, la réponse ou le Méta dans le panneau Analyse d'événements dans la Vue Répondre - vue Détails relatifs aux incidents Pour plus d'informations sur l’analyse d’événements, consultez la section « Vue Analyse d'événements » du Guide de l'utilisateur NetWitness Investigate.
You are here
Table of Contents > Informations de référence de NetWitness Respond > Vue Détails sur l'incident

Attachments

    Outcomes