Répondre : Vue Liste des incidents

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

La liste des incidents (RÉPONDRE > Incidents) affiche la liste hiérarchisée des résultats des incidents créés à partir de différentes sources, à l'attention des responsables de la réponse aux incidents et des analystes. Par exemple, la liste de vos résultats peut afficher les incidents créés à partir de règles ESA, NetWitness Endpoint, ou des modules d'ESA Analytics pour la détection automatisée des menaces, comme C2 pour les paquets ou les logs. Dans la liste des incidents, vous accédez facilement aux informations dont vous avez besoin pour trier et gérer rapidement les incidents jusqu'à leur résolution.

Workflow

Ce workflow montre le processus de haut niveau que les responsables de la réponse aux incidents utilisent pour répondre aux incidents dans NetWitness Suite.

Incidents List view workflow diagram

Dans la liste des incidents, vous pouvez consulter la liste hiérarchisée des incidents, qui donne des informations relatives à chaque incident. Vous pouvez également modifier la personne affectée, la priorité et l'état des incidents. Étant donné que les résultats peuvent être volumineux dans la liste des incidents, vous pouvez filtrer ces incidents par période, par ID d'incident, par plage de dates personnalisée, par priorité, par état, par personne affectée et par catégorie.

Que voulez-vous faire ?

                                                          
Rôle Je souhaite...Me montrer comment

Responsables de la réponse aux incidents, analystes, responsables du SOC

Afficher les incidents prioritaires*

Passer en revue la liste des incidents hiérarchisés

Responsables de la réponse aux incidents, analystes, responsables du SOC

Filtrer et trier la liste des incidents*Filtrer la liste des incidents
Responsables de la réponse aux incidents, analystesAfficher mes incidents*Afficher mes incidents
Responsables de la réponse aux incidents, analystesAttribuer les incidents à moi-même*Attribuer les incidents à moi-même

Responsables de la réponse aux incidents, analystes, responsables du SOC

Trouver les incidents*Trouver un incident

Responsables de la réponse aux incidents, analystes, responsables du SOC

Mettre à jour un incident.*

Faire remonter ou corriger l'incident

Responsables de la réponse aux incidents, analystesAfficher les détails sur l'incident.

Déterminer les incidents exigeant une action

Responsables de la réponse aux incidents, analystesEnquêter davantage sur un incident.Enquêter sur l'incident
Responsables de la réponse aux incidents, analystes, responsables du SOCCréer une tâche.Faire remonter ou corriger l'incident

*Vous pouvez effectuer ces tâches ici (c'est-à-dire dans la liste des incidents).

Rubriques connexes

Aperçu rapide

L'exemple suivant présente la liste des incidents initiale avec le panneau Filtres. Vous pouvez ouvrir le panneau Présentation concernant un incident en cliquant sur la Liste des incidents.

Incidents List view diagram showing Filter Panel and access to Overview Panel

                 
1Panneau Filtres
2Liste des incidents
3Panneau Présentation

Vous pouvez accéder directement à la vue Détails sur l'incident à partir de la liste des incidents en cliquant sur le lien de l'ID ou du nom. Le panneau Présentation est également disponible dans la vue Détails sur l'incident. Pour plus d'informations sur la vue Détails sur l'incident, reportez-vous à la section Vue Détails sur l'incident.

Vue Liste des incidents

Pour accéder à la liste des incidents, accédez à RÉPONDRE > Incidents. La liste des incidents affiche tous les incidents. La liste des incidents se compose du panneau Filtres, de la liste des incidents et du panneau Présentation des incidents.

La figure suivante illustre le panneau Filtres sur la gauche et la liste des incidents sur la droite.

Incident Lists View

La figure suivante illustre la Liste des incidents sur la gauche et le panneau Présentation des incidents sur la droite.

Incidents List view showing Overview panel

Liste des incidents

La liste des incidents répertorie tous les incidents sous une forme hiérarchisée. Vous pouvez filtrer cette liste pour afficher uniquement les incidents intéressants.

                                            
ColonneDescription
CRÉEAffiche la date de création de l'incident.
PRIORITÉ Affiche la priorité de l'incident. La priorité peut être critique, élevée, moyenne ou faible.

La Priorité est désignée par un code couleur où le rouge indique un incident critique, l'orange un incident à risque élevé, le jaune un incident à risque moyen et le vert un incident à faible risque. Par exemple :

Shows Priority Levels

VALEUR DE RISQUE

Affiche la valeur de risque de l'incident. La valeur de risque indique le risque de l'incident, calculé via un algorithme et compris entre 0 et 100. 100 désigne la valeur de risque la plus élevée.

IDIndique le numéro d'un incident créé automatiquement. Un numéro unique que vous pouvez utiliser pour effectuer le suivi de l'incident est attribué à chaque incident.
NOMAffiche le nom de l'incident. Le nom de l'incident est dérivé de la règle utilisée pour déclencher l'incident. Cliquez sur le lien pour accéder à la vue Détails sur l'incident sélectionné.
ÉTAT

Affiche l'état de l'incident. L'état peut être : Nouveau, Attribué, En cours, Tâche demandée, Tâche terminée, Clôturé et Clôturé (faux positif).

PERSONNE AFFECTÉEAffiche le membre de l'équipe actuellement attribué à l'incident.
ALERTESAffiche le nombre d'alertes associées à l'incident. Un incident peut inclure de nombreuses alertes. Un grand nombre d'alertes peut signifier que vous êtes confronté à une attaque à grande échelle.

Au bas de la liste, vous voyez le nombre d'incidents sur la page en cours, le nombre total d'incidents et le nombre d'incidents sélectionnés. Par exemple : Affichage 1 000 éléments sur 2 517 | 2 sélectionnés. Le nombre maximal d'incidents que vous pouvez afficher en même temps est 1 000.

Panneau Filtres

La figure suivante présente les filtres disponibles dans le panneau Filtres.

Incidents List Filter panel

Le panneau Filtres, sur la gauche de la liste des incidents, propose des options que vous pouvez utiliser pour filtrer la liste des incidents. Lorsque vous quittez le panneau Filtres, la liste des incidents conserve vos sélections de filtre.

                                            
OptionDescription
PÉRIODE Vous pouvez sélectionner une période spécifique dans la liste déroulante Période. La période est basée sur la date de réception des alertes. Par exemple, si vous sélectionnez Dernière heure, vous verrez les alertes qui ont été créées au cours des 60 dernières minutes.
PLAGE DE DATES PERSONNALISÉE Vous pouvez spécifier une plage de dates spécifique au lieu de sélectionner une option de période. Pour ce faire, cliquez sur le cercle blanc devant Plage de dates personnalisée pour afficher les champs Date de début et Date de fin. Sélectionnez les dates et heures dans le calendrier.
Custom Date Range
ID D'INCIDENTVous pouvez saisir l'ID d'incident pour un incident que vous souhaitez rechercher, par exemple INC-1050.

PRIORITÉ

Sélectionnez les priorités que vous souhaitez afficher.

ÉTAT

Sélectionnez un ou plusieurs états d'incident. Par exemple, sélectionnez Clôturé (faux positif) pour afficher uniquement les incidents à l'état faux positif, c'est-à-dire qui ont été initialement identifiés comme suspects et qui ont ensuite été identifiés comme sûrs.

PERSONNE AFFECTÉE

Sélectionnez la ou les personnes affectées aux incidents que vous souhaitez afficher. Par exemple, si vous souhaitez uniquement afficher les incidents attribués à Cale ou à Stanley, sélectionnez Cale et Stanley dans la liste déroulante Personne affectée. Si vous souhaitez afficher les incidents, quelle que soit la personne affectée, n'effectuez pas de sélection dans la liste Personne affectée.
(Disponible dans la version 11.1 et versions ultérieures). Pour afficher uniquement des incidents non attribués, sélectionnez N'afficher que les incidents non attribués.

CATÉGORIESDans la liste déroulante, sélectionnez une ou plusieurs catégories. Par exemple, si vous souhaitez uniquement afficher les incidents classés avec les catégories Porte dérobée ou Abus de privilège, sélectionnez Porte dérobée et Abus de privilège.

Réinitialiser les filtres

Supprime vos sélections de filtre.

Panneau Présentation

Le panneau Présentation contient des informations récapitulatives de base sur un incident sélectionné. Dans la liste Incidents, vous pouvez cliquer sur un incident pour accéder au panneau Présentation. Le panneau Présentation de la liste des incidents contient les mêmes informations.

Incident Overview panel

Le tableau suivant répertorie les champs affichés dans le panneau Présentation des incidents.

                                                       

Champ

Description

<ID d'incident> Affiche l'ID de l'incident.
<Nom de l'incident>Affiche le nom de l'incident. Vous pouvez cliquer sur le nom de l'incident pour le modifier. Par exemple, les règles peuvent créer de nombreux incidents portant le même nom. Vous pouvez modifier les noms des incidents pour plus de précision.

Créé

Affiche la date et l'heure de création de l'incident.

Règle / ParAffiche le nom de la règle qui a créé l'incident ou le nom de la personne qui a créé l'incident.
Valeur de risqueIndique le risque de l'incident, calculé via un algorithme et compris entre 0 et 100. 100 est la valeur de risque la plus élevée.
PrioritéAffiche la priorité de l'incident. La priorité peut être critique, élevée, moyenne ou faible. Pour modifier la priorité, vous pouvez cliquer sur le bouton Priorité et sélectionner une nouvelle priorité dans la liste déroulante.
ÉtatAffiche l'état de l'incident. L'état peut être Nouveau, Attribué, En cours, Tâche demandée, Tâche terminée, Clôturé et Clôturé (faux positif). Pour modifier l'état, vous pouvez cliquer sur le bouton État et sélectionner un nouvel état dans la liste déroulante.
Personne affectéeAffiche le membre de l'équipe actuellement affecté à l'incident. Pour modifier la personne affectée, vous pouvez cliquer sur le bouton Personne affectée et sélectionner un nouveau destinataire dans la liste déroulante.
SourcesIndique les sources de données utilisées pour localiser l'activité suspecte.

Catégories

Affiche les catégories des événements d'incidents.

CatalyseursAffiche le nombre d'indicateurs ayant donné lieu à l'incident.

Actions de la barre d'outils

Ce tableau répertorie les actions de la barre d'outils disponibles dans la liste des incidents.

                                    
OptionDescription
Filter icon

Vous permet d'ouvrir le panneau Filtres afin que vous puissiez spécifier les alertes que vous aimeriez afficher dans la vue Liste des alertes.

Close (X) icon

Ferme le panneau.

Bouton Modifier la prioritéVous permet de modifier la priorité d'un ou de plusieurs incidents sélectionnés dans la liste des incidents.
Bouton Modifier l'étatVous permet de modifier l'état d'un ou de plusieurs incidents.
Bouton Changer la personne affectéeVous permet de modifier la personne affectée d'un ou de plusieurs incidents.
Bouton SupprimerVous permet de supprimer les incidents sélectionnés si vous disposez des autorisations appropriées, par exemple Administrateur ou Responsable de la confidentialité des données.
You are here
Table of Contents > Informations de référence de NetWitness Respond > Vue Liste des incidents

Attachments

    Outcomes