Répondre : Vue Détails sur l'incident

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Dans la vue Détails sur l'incident (RÉPONDRE > Incidents > cliquez sur le lien d'un ID ou d'un nom dans la liste des incidents), vous pouvez afficher des détails étendus relatifs à l'incident. La vue Détails sur l'incident contient plusieurs panneaux qui offrent les avantages suivants :

  • Présentation : Afficher un récapitulatif de l'incident et mettre à jour l'incident.
  • Indicateurs : Afficher les indicateurs (alertes) impliqués dans l'incident, les événements au sein de ces alertes et les informations d'enrichissement disponibles.
  • Graphique de nœud : Visualiser la taille et les interactions entre les entités (adresse IP, adresse MAC, utilisateur, hôte, domaine, nom de fichier ou hachage de fichier).
  • Fiche produit des événements : Examiner les événements associés à l'incident.
  • Journal : Ajouter des remarques et collaborer avec d'autres analystes.
  • Tâches : Créer des tâches d'incidents et effectuer leur suivi jusqu'à leur résolution.
  • Indicateurs connexes : Afficher les indicateurs (alertes) qui sont liés à l'incident et les ajouter à l'incident s'ils ne sont pas associés à un incident.

Vous pouvez également filtrer les données dans la vue Détails sur l'incident pour étudier des indicateurs et les entités dignes d'intérêt.

Workflow

Ce workflow montre le processus général que les responsables de la réponse aux incidents utilisent pour répondre aux incidents dans NetWitness Suite.

Incident Details view workflow diagram

Dans la vue Détails sur l'incident, vous pouvez utiliser les informations détaillées fournies sur les incidents afin de déterminer les incidents qui exigent une action. Vous disposez également des outils et des informations nécessaires pour enquêter sur l'incident, et le faire remonter ou le corriger.

Que voulez-vous faire ?

                                                                                             
Rôle Je souhaite...Me montrer comment

Responsables de la réponse aux incidents, analystes, responsables du SOC

Afficher les incidents prioritaires, filtrer et trier la liste des incidents, trouver des incidents, afficher mes incidents et attribuer les incidents à moi-même.

Passer en revue la liste des incidents hiérarchisés

Responsables de la réponse aux incidents, analystesAfficher les détails sur l'incident.*Afficher les détails sur l'incident
Responsables de la réponse aux incidents, analystesAfficher les alertes et enrichissements.*Afficher les indicateurs et les enrichissements
Responsables de la réponse aux incidents, analystesAfficher les événements.*Afficher et étudier les événements
Responsables de la réponse aux incidents, analystesAfficher un graphique des entités impliquées dans les événements.*Afficher et étudier les entités impliquées dans les événements
Responsables de la réponse aux incidents, analystesFiltrer les données relatives aux incidents.*Filtrer les données dans la vue Détails de l'incident
Responsables de la réponse aux incidents, analystesAfficher et ajouter des remarques relatives aux incidents.*Afficher les notes sur l'incident et Documenter les étapes suivies en dehors de NetWitness
Responsables de la réponse aux incidents, analystesAfficher et créer des tâches.*Afficher les tâches associées à un incident et Créer une tâche
Responsables de la réponse aux incidents, analystesAjouter des alertes associées et les ajouter à l'incident.*Rechercher des indicateurs connexes et Ajouter des indicateurs connexes à l'incident
Responsables de la réponse aux incidents, analystesAfficher des informations contextuelles sur un incident à partir de Context Hub.*Afficher les informations contextuelles
Responsables de la réponse aux incidents, analystes

Réduire les faux positifs en ajoutant une entité à la liste blanche.*

Ajouter une entité à une liste blanche

Responsables de la réponse aux incidents, analystes

Pivoter vers Investigate.*

Pivoter vers Investigate

Responsables de la réponse aux incidents, analystesPivoter vers NetWitness Endpoint. *Pivoter vers NetWitness Endpoint
Responsables de la réponse aux incidents, analystesMettre à jour ou clore un incident.*

Mettre à jour un incident et Clore un incident

Responsables de la réponse aux incidents, analystes, responsables du SOCAfficher toutes les tâches.

Faire remonter ou corriger l'incident

Responsables de la réponse aux incidents, analystes, responsables du SOCMettre à jour les incidents et les tâches en bloc.Faire remonter ou corriger l'incident

*Vous pouvez effectuer ces tâches ici (c'est-à-dire dans la vue Détails sur l'incident).

Rubriques connexes

Aperçu rapide

L'exemple suivant montre les emplacements des panneaux de la vue Détails sur l'incident.

Incident Details view Quick Look Diagram

                                 
1 Panneau de présentation (cliquez sur l'onglet PRÉSENTATION pour l'afficher.)
2 Panneau Indicateurs
3 Graphique de nœud
4 Fiche produit des événements (Cliquez sur un événement dans la liste Événements pour afficher les détails sur l'événement.).
5 Panneau Journal
6Panneau Tâches (cliquez sur l'onglet TÂCHES pour l'afficher.)
7 Panneau Indicateurs connexes (cliquez sur l'onglet associé pour l'afficher.)

Panneau Présentation

Le panneau Présentation contient des informations récapitulatives de base sur un incident sélectionné. Il vous permet également de modifier le nom de l'incident et de mettre à jour sa priorité, son état et la personne affectée. Le panneau Présentation de la vue Liste des incidents contient les mêmes informations. La rubrique Panneau Présentation de la vue Liste des incidents fournit des détails.

Incident Details view Overview Panel

Panneau Indicateurs

Le panneau Indicateurs contient une liste chronologique des indicateurs. Les indicateurs sont des alertes, comme une alerte ESA ou une alerte NetWitness Endpoint. (Il ne s'agit pas d'une chronologie, qui fournit une représentation visuelle de la chronologie des événements dans l'incident). Cette liste vous aide à connecter les indicateurs et les données importantes. Par exemple, une adresse IP est connectée à une commande, et une alerte ESA de communication peut également avoir déclenché une alerte NetWitness Endpoint ou d'autres activités suspectes.

Pour afficher le panneau Indicateurs, dans le panneau gauche de la vue Détails sur l'incident, sélectionnez INDICATEURS.

Incident Details view Indicators panel

Les informations de sources de données sont présentées sous les noms des indicateurs. Vous pouvez également voir la date de création et l'heure de l'indicateur, ainsi que le nombre d'événements dans l'indicateur.

Graphique nodal

Le graphique de nœud est un graphique interactif qui illustre les entités impliquées dans l'incident. Une entité est un composant spécifié de méta, comme l'adresse IP, l'adresse MAC, l'utilisateur, l'hôte, le domaine, le nom de fichier ou le hachage de fichier.

Nodal Graph example

Nœuds

Dans le graphique de noeud, des cercles représentent les nœuds. Le tableau suivant présente les types de nœuds du graphique de nœud.

                                        
NœudDescription

Adresse IP

Si l'événement est une anomalies détectée, vous pouvez voir une adresse IP de détecteur. Si l'événement est une transaction, vous pouvez voir une adresse IP de destination et une adresse IP source.

Adresse MAC

Vous pouvez voir une adresse MAC pour chaque type d'adresse IP.

Utilisateur

Si la machine est associée à un utilisateur, vous pouvez voir un nœud d'utilisateur.
HôteUn hôte peut être un équipement physique ou une machine virtuelle. Il est désigné par un nom de domaine complet (FQDN) ou une adresse IP sur laquelle un service est installé.

Domaine

 

Nom du fichierSi l'événement implique des fichiers, vous pouvez voir un nom de fichier.

Hachage de fichier

Si l'événement implique des fichiers, vous pouvez voir un hachage de fichier.

La légende en bas du graphique de nœud indique le nombre de nœuds de chaque type et le code couleur des nœuds. Elle permet également de localiser les entités lorsque les valeurs, telles que les adresses IP, sont hachées.

Vous pouvez cliquer sur n'importe quel nœud et le faire glisser pour le repositionner.

Flèches

Les flèches entre les nœuds fournissent des informations supplémentaires relatives aux relations d'entité. Le tableau suivant présente les types de flèches du graphique de nœud.

                                    
FlècheDescription
Communique avecUne flèche entre un nœud de machine source (adresse IP ou adresse MAC) et un nœud de machine de destination nommée « communique avec » indique la direction de la communication.
En tant queUne flèche entre les nœuds nommée « en tant que » fournit des informations complémentaires sur l'adresse IP vers laquelle la flèche pointe. Par exemple, s'il existe une flèche partant du cercle du nœud hôte qui pointe vers le nœud d'une adresse IP et qui est nommée « en tant que », elle indique que le nom du cercle du noeud hôte est le nom d'hôte de cette adresse IP et qu'il ne s'agit pas d'une autre entité.
Contient le fichierUne flèche entre un nœud de machine (adresse IP, adresse MAC ou hôte) et un nœud de hachage de fichier identifié par « contient » indique que l'adresse IP contient ce fichier.
UtilisationsUne flèche entre un nœud d'utilisateur et un nœud de machine (adresse IP, adresse MAC ou hôte) nommée « utilise » indique la machine que l'utilisateur utilisait lors de l'événement.
Est nomméUne flèche à partir d'un nœud de hachage de fichier vers un nœud de nom de fichier accompagné de « est nommé » indique que le hachage de fichier correspond à un fichier portant ce nom.
Appartient àUne flèche entre deux nœuds identifiée par « appartient à » indique qu'ils appartiennent au même nœud. Par exemple, une flèche entre une adresse MAC et un hôte nommée « appartient à » indique qu'il s'agit de l'adresse MAC de l'hôte.

Des flèches avec une ligne de taille supérieure représentent plus de communication entre les nœuds. Des nœuds plus grands (cercles) indiquent davantage d'activité que les nœuds plus petits. Les nœuds de plus grande taille sont les entités les plus courantes mentionnées dans les événements.

Fiche produit des événements

La fiche produit des événements affiche les événements associés à l'incident. Il présente des informations relatives aux événements, comme l'heure de l'événement, l'adresse IP source, l'adresse IP de destination, l'adresse IP du détecteur, l'utilisateur source, l'utilisateur de destination et les informations de fichier sur les événements. La quantité d'informations répertoriées varie selon le type d'événement.

La fiche produit des événements affiche une liste d'événements pour plusieurs événements ou les détails de l'événement pour un seul événement.

Liste d'événements

La figure ci-dessous présente la liste des événements.

Incident Details view Events List

Le tableau suivant décrit les colonnes de la liste des événements.

                                                                           

Colonne

Description

HEUREAffiche l'heure à laquelle l'événement s'est produit.
TYPEAffiche le type d'alerte, comme Log et Réseau.
IP SOURCEAffiche l'adresse IP source s'il y a eu une transaction entre les deux machines.
PORT SOURCEIndique le port de la source de la transaction. Les ports source et de destination peuvent être sur la même adresse IP.
HÔTE SOURCEAffiche l'hôte de destination sur lequel l'événement a eu lieu.
MAC SOURCEAffiche l'adresse MAC de la machine source.
UTILISATEUR SOURCEAffiche l'utilisateur de la machine source.
IP de destinationAffiche l'adresse IP de destination s'il y a eu une transaction entre les deux machines.
Port de destinationIndique le port de la destination de la transaction. Les ports source et de destination peuvent être sur la même adresse IP.
HÔTE DE DESTINATIONAffiche le nom d'hôte de la machine de destination.
ADRESSE MAC DE DESTINATIONAffiche l'adresse MAC de la machine de destination.
UTILISATEUR DE DESTINATIONAffiche l'utilisateur de la machine de destination.
IP DÉTECTEURAffiche l'adresse IP de la machine sur laquelle une anomalie a été détectée.
NOM DE FICHIERAffiche le nom du fichier si un fichier est impliqué dans l'événement.
HACHAGE DE FICHIERPrésente un hachage du contenu du fichier.

Détails de l'événement

Cliquez sur un événement dans la liste des événements pour afficher les détails relatifs à l'événement. S'il existe un seul événement dans la liste, vous verrez les détails de cet événement au lieu d'une liste.

Incident Details view Event Details

Panneau Journal

Le Journal de l'incident présente l'historique de l'activité sur un incident.

Incident Details view Journal panel

Le tableau suivant décrit les options de la Nouvelle entrée de journal.

                        
ChampDescription

Nouvelle entrée de journal

Saisissez votre remarque dans le champ.

Étape

(Facultatif) Sélectionnez une étape, le cas échéant. Ce champ est utilisé pour effectuer le suivi des événements importants pour l'incident.

Bouton Envoyer

Cliquez sur Envoyer pour ajouter une entrée dans le journal. Votre entrée de journal sera visible par tout utilisateur qui affiche l'incident.

Panneau Tâches

Dans le panneau Tâches, vous pouvez gérer et suivre les tâches relatives aux incidents jusqu'à sa fermeture.

Incident Details view Tasks panel

Le tableau suivant présente les champs de la tâche.

                                                
ChampDescription

<ID tâche / <ID incident>

ID tâche généré automatiquement / Incident associé à la tâche.

CRÉE

Date de création de la tâche.

DERNIÈRE MISE À JOUR

Date à laquelle la tâche a été modifiée pour la dernière fois.

OUVERTHeure depuis la dernière ouverture de la tâche. Par exemple, il y a 3 minutes ou il y a 2 jours.

NOM

Nom de la tâche. Par exemple : Nouvelle image de la machine. Vous pouvez cliquer sur ce champ pour le modifier.

PERSONNE AFFECTÉENom d'utilisateur de la personne à laquelle le dossier est attribué. Vous pouvez cliquer sur ce champ pour le modifier.

PRIORITÉ

Priorité de la tâche : Faible, Moyenne, Élevée ou Critique. Vous pouvez cliquer sur le bouton de priorité et sélectionner une nouvelle priorité pour la tâche dans la liste déroulante.

ÉTATÉtat de la tâche : Nouveau, Attribué, En cours, Corrigé, Risque accepté et Sans objet. Vous pouvez cliquer sur le bouton d'état et sélectionner un nouvel état de la tâche dans la liste déroulante.

Description

Saisissez les informations qui décrivent la tâche. Vous pouvez inclure des numéros de référence applicables. Vous pouvez cliquer sur ce champ pour le modifier.

Panneau Indicateurs connexes

Le panneau Indicateurs connexes vous permet d'effectuer une recherche dans la base de données des alertes NetWitness Suite pour trouver les alertes liées à cet incident. Vous pouvez ajouter des alertes que vous trouvez associées à l'incident, si elles ne sont pas déjà associées à un incident.

Incident Details view Related Indicators panel

Le tableau suivant décrit les champs de la section de recherche en haut du panneau.

                            
ChampDescription

Rechercher

Sélectionnez l'entité que vous souhaitez trouver dans les alertes. Par exemple, IP.

Valeur

Saisissez la valeur de l'entité. Par exemple, saisissez l'adresse IP réelle de l'entité.

Quand

Sélectionnez une plage de temps pour rechercher les alertes. Par exemple, Dernières 24 heures.

Bouton Rechercher

Permet de lancer des recherches. Une liste des indicateurs connexes s'affiche sous le bouton Rechercher dans la section Indicateurs pour.

Le tableau suivant décrit les options de la section Indicateurs pour (résultats) au bas du panneau.

                            
OptionDescription
Indicateurs pour : Affiche les résultats de la recherche.
Lien Ouvrir dans une nouvelle fenêtreAffiche les détails sur l'alerte pour l'indicateur.

Bouton Ajouter à un incident

Permet d'ajouter l'indicateur associé à l'incident. L'indicateur associé est ajouté dans le panneau Indicateurs.

Bouton Partie intégrante de cet incident

Indique que l'indicateur fait déjà partie de l'incident.

Actions de la barre d'outils

                                                 
OptionDescription
Back to Alerts icon (arrow pointing left)

(Revenir aux Incidents) Vous permet de revenir à la vue Liste des incidents.

Close (X) icon Ferme le panneau.

Trash can (delete) icon

Supprime l'entrée, par exemple une entrée de journal ou une tâche.

Bouton Priorité(Dans le panneau Présentation) Vous permet de modifier la priorité d'un ou de plusieurs incidents sélectionnés dans la liste des Incidents.
Bouton État(Dans le panneau Présentation) Vous permet de modifier l'état d'un ou de plusieurs incidents.
Bouton Personne affectée(Dans le panneau Présentation) Vous permet de modifier la personne affectée d'un ou de plusieurs incidents.
View Graph icon
(Vue : Graphique)
Vous permet d'afficher le graphique de noeud.
View Datasheet icon
(Vue : Fiche produit)
Vous permet d'afficher la fiche produit des événements qui affiche une liste d'événements pour plusieurs événements ou les détails de l'événement pour un seul événement.
Journal, Tasks, and Related icon
(Journal, Tâches et Éléments connexes)
Vous permet d'afficher les panneaux Journal, Tâches et Indicateurs connexes.
You are here
Table of Contents > Informations de référence de NetWitness Respond > Vue Détails sur l'incident

Attachments

    Outcomes