Répondre : Réponse aux incidents

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Un Incident est un ensemble logiquement groupé d'alertes créé automatiquement par le moteur d'agrégation d'incidents et regroupé selon un critère spécifique. Un Incident, disponible dans la vue Respond, permet à un analyste de filtrer, de rechercher et de résoudre ces groupes d'alertes. Les incidents peuvent être déplacés entre les utilisateurs, notés et explorés à l'aide d'un graphique nodal. Les incidents permettent aux utilisateurs de s'assurer qu'ils comprennent toute la portée d'une attaque ou d'un événement dans son système NetWitness Suite pour prendre les mesures appropriées.

La vue Répondre est conçue pour vous aider à identifier rapidement les problèmes en cours sur votre réseau et à travailler avec d'autres analystes afin de les résoudre rapidement.

La vue Répondre présente aux Responsable de la réponse aux incidents une file d'attente d'incidents par ordre de gravité. Lorsque vous intégrez un incident à la file d'attente, vous recevez des données de support pertinentes pour vous aider à enquêter sur l'incident. Cela vous permet de déterminer la portée de l'incident et de le faire remonter ou bien de le corriger, le cas échéant.

Dans la vue Répondre, vous pouvez afficher les Incidents, les Alertes et les Tâches :

  • Incidents : Permet de répondre aux incidents et de les gérer du début à la fin.
  • Alertes : Permet de gérer les alertes à partir de toutes les sources reçues par NetWitness Suite et de créer des incidents à partir des alertes sélectionnées.
  • Tâches : Permet d'afficher et de gérer la liste complète de tâches créées pour tous les incidents.

Si vous accédez à Répondre > Incidents, vous pouvez afficher la vue Liste d'incidents et à partir de là, vous pouvez accéder à la vue Détails de l'incident pour un incident sélectionné. Voici les principales vues qui vous permettent de répondre aux incidents. La figure suivante présente la liste des incidents de priorité dans la vue Liste d'incidents.

Respond view - Incidents List view

La figure suivante présente un exemple d'informations disponibles dans la vue Détails de l'incident.

Incident Details View

La vue Répondre est conçue pour aider à évaluer des incidents, contextualiser ces données, collaborer avec d'autres analystes et pivoter vers une procédure d'enquête approfondie en fonction des besoins.

Workflow de réponse aux incidents

Ce workflow montre le processus général que les responsables de la réponse aux incidents utilisent pour répondre aux incidents dans NetWitness Suite.

High-level workflow for responding to incidents

Tout d'abord, vous passez en revue la liste d'incidents prioritaires, qui affiche des informations de base sur chaque incident, et vous déterminez les incidents qui exigent une action. Vous pouvez cliquer sur un lien dans un incident pour obtenir une vue plus claire de l'incident, avec des détails associés dans la vue Détails de l'incident. À partir de là, vous pouvez étudier davantage l'incident. Vous pouvez ensuite déterminer comment répondre à l'incident, en le faisant remonter ou en le corrigeant.

Voici les étapes de base pour répondre à un incident :

  1. Passer en revue la liste des incidents hiérarchisés
  2. Déterminer les incidents exigeant une action
  3. Enquêter sur l'incident
  4. Faire remonter ou corriger l'incident

 

Passer en revue la liste des incidents hiérarchisés

Dans la vue Répondre, vous pouvez afficher les incidents prioritaires. La Liste Incidents affiche les incidents à la fois clôturés et actifs.

Afficher la liste des incidents

Une fois connectés à NetWitness Suite, la plupart des Responsables de la réponse aux incidents ont accès à la vue Répondre, qui est définie sur la vue par défaut. Si votre vue initiale est différente, vous pouvez naviguer jusqu'à la vue Répondre.

  1. Connectez-vous à NetWitness Suite.
    La vue Répondre affiche la liste des incidents, également appelée Vue Liste des incidents.
    Incident List View
  2. Si vous ne voyez pas la liste d'incidents dans la vue Répondre, accédez à RÉPONDRE > Incidents.
  3. Faites défiler la liste des incidents, qui affiche des informations de base sur chaque incident, comme décrit dans le tableau suivant.
                                           
ColonneDescription
CRÉEAffiche la date de création de l'incident.
PRIORITÉAffiche la priorité de l'incident. La priorité peut être critique, élevée, moyenne ou faible.

La Priorité est désignée par un code couleur où le rouge indique un incident critique, l'orange un incident à risque élevé, le jaune un incident à risque moyen et le vert un incident à faible risque. Par exemple :

Shows Risk Levels

VALEUR DE RISQUE

Affiche la valeur de risque de l'incident. La valeur de risque indique le risque de l'incident, calculé via un algorithme et compris entre 0 et 100. 100 désigne la valeur de risque la plus élevée.

IDIndique le numéro d'un incident créé automatiquement. Un numéro unique que vous pouvez utiliser pour effectuer le suivi de l'incident est attribué à chaque incident.
NOMAffiche le nom de l'incident. Le nom de l'incident est dérivé de la règle utilisée pour déclencher l'incident. Cliquez sur le lien pour accéder à la vue Détails sur l'incident sélectionné.
ÉTAT

Affiche l'état de l'incident. L'état peut être : Nouveau, Attribué, En cours, Tâche demandée, Tâche terminée, Clôturé et Clôturé (faux positif).

PERSONNE AFFECTÉEAffiche le membre de l'équipe actuellement attribué à l'incident.
ALERTESAffiche le nombre d'alertes associées à l'incident. Un incident peut inclure de nombreuses alertes. Un grand nombre d'alertes peut signifier que vous êtes confronté à une attaque à grande échelle.

Au bas de la liste, vous voyez le nombre d'incidents sur la page en cours, le nombre total d'incidents et le nombre sélectionné. Par exemple : Affichage 1 000 éléments sur 1 115 | 3 sélectionnés. Le nombre maximal d'incidents que vous pouvez afficher en même temps est 1 000.

Filtrer la liste des incidents

Le nombre d'incidents dans la Liste d'incidents peut être très volumineux, ce qui complexifie la recherche de tâches particulières. Le filtre vous permet de spécifier les incidents que vous souhaitez afficher. Vous pouvez également choisir la période d'apparition de ces incidents. Par exemple, vous pouvez afficher tous les incidents critiques et nouveaux qui ont été créés au cours de la dernière heure.

  1. Vérifiez que le panneau Filtres apparaît à gauche de la liste des incidents. Si vous ne voyez pas le panneau Filtres, dans la barre d'outils de la vue Liste des incidents, cliquez sur Filter icon afin d'ouvrir le panneau Filtres.
    Filters panel
  2.  Dans le panneau Filtres, sélectionnez une ou plusieurs options pour filtrer la liste des incidents :
    • PLAGE TEMPORELLE : Vous pouvez sélectionner une période spécifique dans la liste déroulante Période. La période est basée sur la date de création des incidents. Par exemple, si vous sélectionnez Dernière heure, vous verrez les incidents qui ont été créés au cours des 60 dernières minutes.
    • PLAGE DE DATES PERSONNALISÉE : Vous pouvez spécifier une plage de dates spécifique au lieu de sélectionner une option de période. Pour ce faire, cliquez sur le cercle blanc devant Plage de dates personnalisée pour afficher les champs Date de début et Date de fin. Sélectionnez les dates et heures dans le calendrier.
      Custom Date Range option in the filter
    • ID D'INCIDENT : Saisissez l'ID d'incident pour un incident que vous souhaitez rechercher, par exemple INC-1050.
    • PRIORITÉ : Sélectionnez les priorités que vous souhaitez afficher.
    • ÉTAT : Sélectionnez un ou plusieurs états d'incident. Par exemple, sélectionnez Clôturé (faux positif) pour afficher uniquement les incidents à l'état faux positif, c'est-à-dire qui ont été initialement identifiés comme suspects et qui ont ensuite été identifiés comme sûrs.
    • PERSONNE AFFECTÉE : Sélectionnez la ou les personnes affectées aux incidents que vous souhaitez afficher. Par exemple, si vous souhaitez uniquement afficher les incidents attribués à Cale ou à Stanley, sélectionnez Cale et Stanley dans la liste déroulante Personne affectée. Si vous souhaitez afficher les incidents, quelle que soit la personne affectée, n'effectuez pas de sélection dans la liste Personne affectée.
      (Disponible dans la version 11.1 et versions ultérieures). Pour afficher uniquement des incidents non attribués, sélectionnez N'afficher que les incidents non attribués.
    • CATÉGORIES : Dans la liste déroulante, sélectionnez une ou plusieurs catégories. Par exemple, si vous souhaitez uniquement afficher les incidents classés avec les catégories Porte dérobée ou Abus de privilège, sélectionnez Porte dérobée et Abus de privilège.

    La liste des incidents affiche une liste d'incidents qui répondent à vos critères de sélection. Vous pouvez voir le nombre d'incidents dans votre liste filtrée en bas de la liste des incidents.
    Number of incidents shown in the Incident List footer

  3. Cliquez sur Close (x) icon pour fermer le panneau Filtres et revenir à la vue Liste d'incidents, qui affiche maintenant vos incidents filtrés.

Supprimer mes filtres de la vue Liste des incidents

NetWitness Suite mémorise vos sélections de filtre dans la vie Liste des incidents. Vous pouvez supprimer vos sélections de filtre lorsque vous n'en avez plus besoin. Par exemple, si vous ne voyez pas le nombre d'incidents que vous devriez voir ou si vous souhaitez afficher tous les incidents dans la liste d'incidents, vous pouvez réinitialiser les filtres.

  1. Dans la barre d'outils Vue de la Liste des incidents, cliquez sur Filter icon.
    Le panneau filtres s'affiche à gauche de la liste des incidents.
  2. Au bas du panneau Filtres, cliquez sur Réinitialiser les filtres.

Afficher mes incidents

Vous pouvez afficher vos incidents en filtrant les incidents par votre nom d'utilisateur.

  1. Si vous ne voyez pas le panneau Filtrer, dans la barre d'outils de la vue Liste des incidents, cliquez sur Filter icon.
  2. Dans le panneau Filtre, sous PERSONNE AFFECTÉE, sélectionnez votre nom d'utilisateur dans la liste déroulante.
    La liste d'incidents présente les incidents qui vous sont attribués.

Trouver un incident

Si vous connaissez l'ID de l'incident, vous pouvez localiser rapidement un incident à l'aide du filtre. Par exemple, vous pouvez localiser un incident spécifique parmi des milliers de tâches.

  1. Accédez à RÉPONDRE > Incidents.
    .Le panneau Filtres apparaît à gauche de la liste des incidents. Si vous ne voyez pas le panneau Filtres, dans la barre d'outils de la vue Liste des incidents, cliquez sur Filter icon afin d'ouvrir le panneau Filtres.
    Part of Incidents List Filters panel showing example search for an incident in the INCIDENT ID field
  2. Dans le champ ID D'INCIDENT, saisissez l'ID D'INCIDENT pour un incident que vous souhaitez localiser, par exemple INC-43763.

    L'incident spécifié s'affiche dans la liste de vos incidents. Si vous ne voyez pas les résultats, essayez de réinitialiser vos filtres.
    Incidents List showing the result of an Incident ID filter

Trier la liste des incidents

Le tri par défaut de la liste des incidents se fait par Date de création, dans l'ordre décroissant (les plus récents en haut).

Incidents List showing default sort column "Created"

Vous pouvez modifier l'ordre de tri de la liste d'incidents en cliquant sur une colonne dans la liste.

Par exemple, pour définir la priorité des incidents, vous pouvez trier l'affichage dans la colonne Priorité. Pour ce faire, passez le pointeur sur la colonne Priorité, puis cliquez sur la flèche vers le bas Down arrow icon. La liste des incidents est triée par priorité décroissante (priorité la plus élevée en haut), comme illustré sur la figure suivante.

Incident List showing sort by Priority descending

Pour trier par priorité croissante (priorité la plus faible en haut), cliquez sur la flèche vers le haut Up arrow icon comme le montre la figure suivante.

Incident List showing sort by Priority ascending

Afficher les incidents non affectés

Cette option est disponible dans la version 11.1 ou supérieure.

Vous pouvez afficher les incidents non affectés à l'aide du filtre.

  1. Si vous ne voyez pas le panneau Filtrer, dans la barre d'outils de la vue Liste des incidents, cliquez sur Filter icon.
  2. Dans le panneau Filtres, sous PERSONNE AFFECTÉE, sélectionnez N'afficher que les incidents non attribués.
    "Show only unassigned incidents" option filter selection
    La liste des incidents sera filtrée pour afficher les incidents non affectés.

Attribuer les incidents à moi-même

  1. Dans la vue Liste des incidents, sélectionnez un ou plusieurs incidents qui vous voulez attribuer à vous-même.
  2. Cliquez sur Changer la personne affectée et sélectionnez un utilisateur dans la liste déroulante.
    Incidents List showing Assignee drop-down list
  3. Si vous sélectionnez plus d'un incident, dans la boîte de dialogue Confirmer la mise à jour, cliquez sur OK.
    Confirm Update dialog

Vous verrez une notification de modification réussie.
Incident List showing success message

Annuler l'attribution d'un incident

  1. Dans la vue Liste des incidents, sélectionnez un ou plusieurs incidents dont vous souhaitez annuler l'attribution.
  2. Cliquez sur Changer la personne affectée et sélectionnez (Annuler l'attribution) dans la liste déroulante.
    Incidents List showing Assignee drop-down list with (Unassign) selected
  3. Si vous sélectionnez plus d'un incident, dans la boîte de dialogue Confirmer la mise à jour, cliquez sur OK.
    Confirm Update dialog for Unassign
  4. Vérifiez que l'état est toujours correct et apportez les modifications requises. Pour modifier l'état, sélectionnez un ou plusieurs incidents, cliquez sur Modifier l'état, puis sélectionnez un nouvel état.
    Par exemple, si vous attribuez un incident à vous-même par erreur, vous pouvez annuler l'attribution de l'incident, puis remplacer l'état Attribué par Nouveau.


You are here
Table of Contents > Réponse aux incidents

Attachments

    Outcomes