Répondre : Vue Liste des alertes

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

La vue Liste des alertes (RÉPONDRE > Alertes) vous permet d'afficher toutes les alertes de menace et les indicateurs reçus par NetWitness Suite dans un emplacement unique. Cela peut inclure les alertes provenant des règles de corrélation ESA, d'ESA Analytics, de Malware Analysis, de Reporting Engine, de NetWitness Endpoint et de nombreuses autres sources. Dans la vue Liste des alertes, vous pouvez parcourir les différentes alertes, les filtrer et les regrouper pour créer des incidents.

Workflow

Ce workflow montre le processus de haut niveau que les analystes utilisent pour vérifier les alertes et créer des incidents.

Incident List view workflow diagram

Dans la vue Liste des alertes, vous pouvez consulter la liste des alertes provenant de toutes les sources reçues par NetWitness Suite. Ensuite, vous pouvez examiner davantage ces alertes et créer des incidents à partir des alertes. Vous pouvez aussi créer des règles d'incidents pour créer des incidents.

Remarque : vous pouvez utiliser l'option Détection automatisée des menaces NetWitness Suite pour créer des incidents sans créer manuellement des règles.

Que voulez-vous faire ?

                                                          
RôleJe souhaite...Me montrer comment
Responsables de la réponse aux incidents,
analystes
Afficher toutes les alertes dans NetWitness Suite.*Afficher les alertes
Responsables de la réponse aux incidents,
analystes
Filtrer les alertes.*Filtrer la liste des alertes

Responsables de la réponse aux incidents,
analystes

Afficher les informations de présentation des alertes et les métadonnées de l'alerte brute.*

Afficher les informations récapitulatives relatives aux alertes

Responsables de la réponse aux incidents,
analystes
Créer des incidents à partir des alertes.*Créer un incident manuellement

Responsables de la réponse aux incidents, analystes

(Disponible dans la version 11.1 et les versions ultérieures) Ajouter des alertes à un incident existant*.

Ajouter des alertes à un incident

Administrateurs,
Agents de confidentialité des données

Supprimer les alertes.*

Supprimer les alertes

Responsables du SOC,
administrateurs
Créer des règles d'incidents.

Voir « Créer une règle d'incident pour les alertes » dans le Guide de configuration NetWitness Respond.

Responsables de la réponse aux incidents, analystes Examiner les événements d'une d'alerte.

Afficher les détails relatifs à l'événement pour une alerte et Examiner les événements

Responsables de la réponse aux incidents,
analystes

Ajouter des alertes à un incident existant.

Ajouter des indicateurs connexes à l'incident

*Vous pouvez effectuer ces tâches ici (c'est-à-dire dans la vue Liste des alertes).

Rubriques connexes

Vue Liste des alertes

Pour accéder à la vue Liste des alertes, accédez à RÉPONDRE > Alertes. La vue Liste des alertes affiche une liste des alertes et indicateurs reçus par la base de données Serveur Respond dans NetWitness Suite. La figure suivante illustre le panneau Filtres sur la gauche.

Alerts List view

La vue Liste des alertes se compose d'un panneau Filtres, d'une vue Liste des alertes et d'un panneau Présentation des alertes. Vous pouvez cliquer sur une alerte dans la liste Alertes pour afficher le panneau Présentation des alertes sur la droite.

Alerts List view showing the Alert Overview panel

Liste des alertes

La vue Liste des alertes affiche toutes les alertes dans NetWitness Suite. Vous pouvez filtrer cette liste pour afficher uniquement les alertes intéressantes.

Alerts List

                                           
Colonne

Description

Checkbox icon Vous permet de sélectionner une ou plusieurs alertes à modifier ou supprimer. Avec les autorisations appropriées, par exemple Administrateurs et Agents de confidentialité des données, les utilisateurs peuvent supprimer les alertes.
CRÉEAffiche la date et l'heure auxquelles l'alerte a été enregistrée dans le système source.
GRAVITÉ Affiche le niveau de gravité de l'alerte. Les valeurs sont comprises entre 1 et 100. 
NOMAffiche une description de base de l'alerte.
SOURCE Affiche la source originale de l'alerte. La source des alertes peut être NetWitness Endpoint, Malware Analysis, les règles de corrélation ESA, ESA Analytics, Reporting Engine, et bien d'autres.
NOMBRE D'ÉVÉNEMENTSIndique le nombre d'événements contenus dans une alerte. Cela varie en fonction de la source de l'alerte. Par exemple, les alertes NetWitness Endpoint et Malware Analysis ont toujours un événement. Pour certains types d'alertes, un nombre élevé d'événements peut signifier que l'alerte est plus risquée.
RÉCAPITULATIF DE L'HÔTEAffiche les détails relatifs à l'hôte tels que le nom de l'hôte d'où l'alerte a été déclenchée. Les détails peuvent inclure des informations sur les hôtes source et cible dans une alerte . Certaines alertes peuvent décrire des événements sur plusieurs hôtes.
ID D'INCIDENTAffiche l'ID d'incident de l'alerte. S'il n'y a pas d'ID d'incident, cela signifie que l'alerte ne fait pas partie d'un incident. Vous pouvez alors créer un incident pour inclure cette alerte. Cette alerte peut être ajoutée à un incident existant.

Au bas de la liste, vous voyez le nombre d'alertes sur la page en cours, le nombre total d'alertes et le nombre d'alertes sélectionnées. Par exemple : Affichage de 377 éléments sur 377 | 3 sélectionnés

Panneau Filtres

La figure suivante présente les filtres disponibles dans le panneau Filtres.

Alerts List Filter panel

Le panneau Filtres, sur la gauche de la vue Liste des alertes, propose des options que vous pouvez utiliser pour filtrer la liste des alertes. Lorsque vous quittez le panneau Filtres, la vue Liste des alertes conserve vos sélections de filtre.

                                            
OptionDescription
PÉRIODE Vous pouvez sélectionner une période spécifique dans la liste déroulante Période. La période est basée sur la date de réception des alertes. Par exemple, si vous sélectionnez Dernière heure, vous verrez les alertes qui ont été créées au cours des 60 dernières minutes.
PLAGE DE DATES PERSONNALISÉE Vous pouvez spécifier une plage de dates spécifique au lieu de sélectionner une option de période. Pour ce faire, cliquez sur le cercle blanc devant Plage de dates personnalisée pour afficher les champs Date de début et Date de fin. Sélectionnez les dates et heures dans le calendrier.
Custom Date Range
TYPEIndique le type d'événements liés à l'alerte, par exemple, les logs, sessions réseau, etc.

SOURCE

Affiche la source originale de l'alerte. La source des alertes peut être NetWitness Endpoint, Malware Analysis, Event Stream Analysis (règles de corrélation ESA), ESA Analytics, Reporting Engine, la détection des cybermenaces, et d'autres.

GRAVITÉAffiche le niveau de gravité de l'alerte. Les valeurs sont comprises entre 1 et 100. 

PARTIE INTÉGRANTE DE L'INCIDENT

Classe les alertes selon qu'elles sont associées ou non à un incident. Sélectionnez Oui pour afficher les alertes qui font partie d'un incident. Sélectionnez Non pour afficher les alertes qui ne sont pas liées aux incidents. Par exemple, avant de créer des incidents à partir des alertes, vous pouvez sélectionner Non pour afficher uniquement les alertes qui ne font pas déjà partie d'un incident.

NOMS DES ALERTES

Affiche le nom de l'alerte. Vous pouvez utiliser ce filtre pour rechercher toutes les alertes générées par une règle ou une source spécifique, par exemple, IP malveillantes - Reporting Engine.

Réinitialiser les filtresSupprime vos sélections de filtre.

La vue Liste des alertes affiche une liste d'alertes qui répondent à vos critères de sélection. Vous pouvez voir le nombre d'éléments dans votre liste filtrée en bas de la liste des alertes. Par exemple : Affichage de 30 éléments sur 30

Panneau Présentation

Le panneau Présentation contient des informations récapitulatives de base sur l'alerte sélectionnée et les métadonnées de l'alerte brute. Le panneau Présentation de la vue Détails relatifs aux alertes contient les mêmes informations, mais dans la vue Détails relatifs aux alertes, vous pouvez développer le panneau pour afficher plus d'informations.

Alert Overview panel

Le tableau suivant répertorie les champs affichés dans le panneau Présentation des alertes.

                                           

Champ

Description

<Nom de l'alerte> Affiche le nom de l'alerte.
ID d'incidentAffiche l'ID d'incident associé à l'alerte. Vous pouvez cliquer sur le lien de l'ID d'incident pour accéder à la vue Détails sur l'incident pour l'incident associé. S'il n'existe aucun ID d'incident, l'alerte n'appartient pas à un incident. Vous pouvez créer un incident pour cette alerte ou l'ajouter à un incident.
CrééAffiche la date et l'heure de création de l'alerte.
GravitéAffiche le niveau de gravité de l'alerte. Les valeurs sont comprises entre 1 et 100. 
SourceAffiche la source originale de l'alerte. La source des alertes peut être NetWitness Endpoint, Malware Analysis, les règles de corrélation ESA, ESA Analytics, Reporting Engine, et bien d'autres.
TypeIndique le type d'événements liés à l'alerte, par exemple, les logs, sessions réseau, etc.
Nombre d'événementsIndique le nombre d'événements contenus dans une alerte. Cela varie en fonction de la source de l'alerte. Par exemple, les alertes NetWitness Endpoint et Malware Analysis ont toujours un événement. Pour certains types d'alertes, un nombre élevé d'événements peut signifier que l'alerte est plus risquée.
Alerte bruteAffiche les métadonnées de l'alerte brute.

Actions de la barre d'outils

Ce tableau répertorie les actions de la barre d'outils disponibles dans la vue Liste des alertes.

                                 
OptionDescription
Filter icon

Vous permet d'ouvrir le panneau Filtres afin que vous puissiez spécifier les alertes que vous aimeriez afficher dans la vue Liste des alertes.

Close (X) icon

Ferme le panneau.

Bouton Créer un incident

Permet de créer des incidents à partir des alertes. Les alertes ne peuvent pas faire partie d'un incident. Pour obtenir la liste des alertes sans incidents, vous pouvez filtrer la Liste des alertes. Dans la section PARTIE INTÉGRANTE DE L'INCIDENT, sélectionnez Non.

Bouton Ajouter à un incident

(Cette option est disponible dans la version 11.1 ou supérieure.)
Vous permet d'ajouter des alertes sélectionnées à un incident. Les alertes ne peuvent pas faire partie d'un incident. Pour obtenir la liste des alertes sans incidents, vous pouvez filtrer la Liste des alertes. Dans la section PARTIE INTÉGRANTE DE L'INCIDENT, sélectionnez Non.
Bouton SupprimerPermet de supprimer des alertes.
You are here
Table of Contents > Informations de référence de NetWitness Respond > Vue Liste des alertes

Attachments

    Outcomes