Répondre : Vue Détails relatifs aux alertes

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Dans la vue Détails relatifs aux alertes (RÉPONDRE > Alertes > cliquez sur un lien hypertexte de NOM dans la liste des alertes), vous pouvez afficher des informations récapitulatives sur une alerte, telles que la source de l'alerte, le nombre d'événements au sein de l'alerte, et si elle fait partie ou non d'un incident. Vous pouvez également afficher des informations détaillées sur les événements au sein de l'alerte, ainsi que les métadonnées de l'événement.

Workflow

Ce workflow montre le processus de haut niveau que les analystes utilisent pour vérifier les alertes et créer des incidents.

Incident Details view workflow diagram

Après avoir vérifié la liste des alertes, dans la vue Détails relatifs aux alertes, vous pouvez examiner ces alertes davantage et créer des incidents à partir des alertes. Dans la vue CONFIGURER > Règles de l'incident, vous pouvez créer des règles d'incidents pour créer des incidents.

Remarque : Vous pouvez également utiliser l'option Détection automatisée des menaces NetWitness Suite pour créer des incidents sans créer manuellement des règles.

Que voulez-vous faire ?

                                                     
RôleJe souhaite...Me montrer comment
Responsables de la réponse aux incidents,
analystes
Afficher toutes les alertes dans NetWitness Suite.

Afficher les alertes

Responsables du SOC,
administrateurs
Créer des règles d'incidents.

Voir « Créer une règle d'incident pour les alertes » dans le Guide de configuration NetWitness Respond.

Responsables de la réponse aux incidents,
analystes
Afficher la liste des événements dans l'alerte.*Afficher les détails relatifs à l'événement pour une alerte
Responsables de la réponse aux incidents, analystesAfficher les métadonnées d'événements pour chaque événement dans l'alerte.*Afficher les détails relatifs à l'événement pour une alerte

Responsables de la réponse aux incidents,
analystes

Examiner les événements dans l'alerte.*

Examiner les événements

Responsables de la réponse aux incidents,
analystes
Ajouter des alertes à un incident existant.

Ajouter des alertes à un incident

Ajouter des indicateurs connexes à l'incident

Responsables de la réponse aux incidents,
analystes
Créer des incidents à partir des alertes.Créer un incident manuellement
Agents de confidentialité des données,
administrateurs
Supprimer les alertes.Supprimer les alertes

*Vous pouvez effectuer ces tâches ici (c'est-à-dire dans la vue Détails relatifs aux alertes).

Rubriques connexes

Vue Détails relatifs aux alertes

  1. Pour accéder à la vue Détails relatifs aux alertes, accédez à RÉPONDRE > Alertes.

  2. Dans la liste des alertes, choisissez une alerte à afficher, puis cliquez sur le lien dans la colonne NOM de cette alerte.
    La vue Détails relatifs aux alertes comporte un panneau Présentation sur la gauche et un panneau Événements sur la droite. Vous pouvez redimensionner les panneaux pour afficher plus d'informations, comme illustré sur la figure suivante.
    Alert Details view

Panneau Présentation

Le panneau Présentation contient des informations récapitulatives de base sur l'alerte sélectionnée. Le panneau Présentation de la vue Liste des alertes contient les mêmes informations. La rubrique Panneau Présentation de la vue Liste des alertes fournit des détails.

Alert Details view Overview panel (This panel is the same as the Overview panel in the Alerts List view)

Panneau Événements

Le panneau Événements peut afficher une liste d'événements s'il existe plusieurs événements dans l'alerte. Si l'alerte comporte un seul événement ou si vous cliquez sur un événement dans la liste des événements, vous pouvez voir les détails relatifs à l'événement dans le panneau Événements.

Liste d'événements

La liste d'événements d'une alerte sélectionnée présente tous les événements contenus dans cette alerte.

Alerts Details view - Events panel showing Event List

Le tableau suivant répertorie certaines des colonnes affichées dans la liste des événements, qui fournissent un résumé des événements répertoriés.

                                               

Colonne

Description

HEUREAffiche l'heure à laquelle l'événement s'est produit.
TYPEAffiche le type d'alerte, comme Log et Réseau.
IP SOURCEAffiche l'adresse IP source s'il y a eu une transaction entre les deux machines.
IP DE DESTINATIONAffiche l'adresse IP de destination s'il y a eu une transaction entre les deux machines.
IP DÉTECTEURAffiche l'adresse IP de la machine sur laquelle une anomalie a été détectée.
UTILISATEUR SOURCEAffiche l'utilisateur de la machine source.
UTILISATEUR DE DESTINATIONAffiche l'utilisateur de la machine de destination.
NOM DE FICHIERAffiche le nom du fichier si un fichier est impliqué dans l'événement.
HACHAGE DE FICHIERPrésente un hachage du contenu du fichier.

Détails de l'événement

Les détails de l'événement contenus dans le panneau Événements affichent les métadonnées d'événement pour chaque événement de l'alerte.

Alerts Details view - Events panel showing Event List

Métadonnées de l'événement

Le tableau suivant répertorie des sections et sous-sections de métadonnées d'événement illustrées dans les deux premières colonnes des détails de l'événement. Cette liste n'est pas complète.

                                                                                                                                

Section

Sous-section

Description

Données

 

Affiche des informations relatives aux données impliquées dans l'événement, telles que les fichiers concernés. Il peut en exister 0 ou plusieurs par événement.
 Nom du fichierAffiche le nom du fichier si un fichier est impliqué dans l'événement.
 HachagePrésente un hachage du contenu du fichier, par exemple, MD5 ou SHA1.
 TailleAffiche la taille de la transmission ou du fichier impliqué dans l'événement.
Description Affiche une description générale de l'événement.
Destination

 

Affiche l'utilisateur et le périphérique de destination.
 PériphériqueAffiche des informations relatives au périphérique de destination. Reportez-vous à la section Attributs de la source d'événement ou du périphérique de destination ci-dessous.
 UtilisateurAffiche des informations relatives à l'utilisateur ou aux utilisateurs de la destination. Reportez-vous à la section Attributs de la source d'événement ou de l'utilisateur du périphérique de destination ci-dessous.
Détecteur

 

Présente le produit logiciel ou hôte qui a détecté le problème. Ceci est particulièrement vrai pour les logs et les scanneurs de malware

 

Classe de périphérique

Affiche la classe du périphérique du produit qui a détecté l'alerte.

 

Adresse IP

Affiche l'adresse IP du périphérique du produit qui a détecté l'alerte.

 

Nom du produit

Affiche le nom du périphérique du produit qui a détecté l'alerte.

Domaine Affiche le domaine associé à l'événement.
Enrichissement

 

Affiche les informations d'enrichissement disponibles.

Liens associés Le cas échéant, affiche un lien vers l'interface utilisateur (IU) du produit source.

 

Type

Affiche le type d'événement, tel qu'investigate_original_event.

 

URL

Affiche le lien URL vers l'interface utilisateur du produit source.

Taille

 

Affiche la taille de la transmission ou du fichier impliqué.

Source Affiche le périphérique source et l'utilisateur.

 

Périphérique

Affiche des informations relatives à la machine source. Reportez-vous à la section Attributs de la source d'événement ou du périphérique de destination ci-dessous.
 UtilisateurAffiche des informations relatives à l'utilisateur ou aux utilisateurs de la machine source. Reportez-vous à la section Attributs de la source d'événement ou de l'utilisateur du périphérique de destination ci-dessous.

Horodatage

 

Affiche l'heure à laquelle l'événement s'est produit.

Type

 

Affiche le type de l'alerte, par exemple log, réseau, corrélation, Renvoyer, Téléchargement manuel, À la demande, Partage de fichiers ou IOC instantané.

Attributs de la source d'événement ou du périphérique de destination

Le tableau suivant répertorie les attributs d'une source d'événement ou d'un périphérique de destination qui peuvent être affichés dans les détails des événements.

                                                   

Nom

Description

Type de ressource

Affiche le type de périphérique, par exemple, ordinateur de bureau, ordinateur portable, serveur, équipement réseau, tablette, etc.

EntitéAffiche l'entité associée à .
Évaluation de la conformitéIndique le niveau de conformité du périphérique. Le niveau peut être Faible, Moyen ou Élevé.
Degré de criticitéIndique à quel point le périphérique est stratégique pour l'entreprise (criticité).
SiteIndique l'emplacement du périphérique.
GéolocalisationIndique l'emplacement géographique de l'hôte. Peut contenir les attributs suivants : ville, pays, latitude, longitude, organisation et domaine.
Adresse IPAffiche l'adresse IP du périphérique du périphérique.
Adresse MACAffiche l'adresse MAC du périphérique.
Nom NetBIOSAffiche le nom NetBIOS du périphérique.
Port

Affiche le port TCP, le port UDP ou le port IP Src (le premier disponible) utilisé pour se connecter à l'hôte.

Attributs de la source d'événement ou de l'utilisateur du périphérique de destination

Le tableau suivant répertorie les attributs d'une source d'événement ou de l'utilisateur d'un périphérique de destination qui peuvent être affichés dans les détails des événements.

                           

Nom de l'attribut

Description

Domaine AD

Affiche le domaine Active Directory.

Nom d'utilisateur ADAffiche le nom de l'utilisateur Active Directory.
Adresse e-mailAffiche l'adresse électronique de l'utilisateur.
Nom d'utilisateurAffiche un nom général s'affiche si vous ne connaissez pas la source du nom d'utilisateur, par exemple UNIX ou un nom d'utilisateur dans un système spécifique.

Actions de la barre d'outils

Ce tableau répertorie les actions de la barre d'outils disponibles dans la vue Liste des alertes.

                    
OptionDescription
Back to Alerts icon (arrow pointing left)

(Revenir aux alertes) Vous permet de revenir à la vue Liste des alertes.

Events Details Navigation options showing Back To Table button Cliquez sur les flèches pour parcourir les détails des métadonnées d'événements pour chaque événement de l'alerte. Les nombres, tels que « 1 sur 2 », affichent le numéro de l'événement que vous visualisez. Cliquez sur Revenir au Tableau pour revenir à la vue Liste des événements, également appelée Tableau des événements.

 

Previous Topic:Vue Liste des alertes
You are here
Table of Contents > Informations de référence de NetWitness Respond > Vue Détails relatifs aux alertes

Attachments

    Outcomes