ESET PROTECT – Table des matières

Recherche avancée

La section Recherche avancée Recherche avancée permet une investigation avancée des indicateurs de données Open XDR et offre des fonctionnalités standard telles que la recherche, l'envoie d'une requête et la création d'une liste.

Avertissement

Notez que les données de recherche avancée ne sont pas disponibles pour les utilisateurs ESET PROTECT ayant des autorisations personnalisées attribuées dans des entreprises avec une mauvaise configuration. Les utilisateurs dont les autorisations personnalisées sont attribuées dans des entreprises correctement configurées ont les données de ces entreprises disponibles dans la section Recherche avancée.

Remarque

Les données Open XDR sont disponibles depuis les ordinateurs fonctionnant sous la version de l'agent ESET Management 13.0+ et du connecteur ESET Inspect 3.0+.

En savoir plus sur l'unification ESET Inspect et ESET PROTECT (Open XDR).

La section Recherche Avancée

Les composantes de la page principale sont :

Filtre de requête

Saisissez une requête Lucene ou un texte intégral pour rechercher.

arrow_down_businessLangage de requête

Filtre de date

Utilisez le filtre de date pour limiter les résultats à une fenêtre de temps spécifique pour une investigation ciblée.

1.Cliquez sur l'icône du calendrier et sélectionnez Heure unique ou Durée temporelle dans le menu déroulant :

Heure unique : cliquez sur le champ Sélectionner la date pour sélectionner une plage relative prédéfinie (Dernières 15 min, Dernières 30 minutes, Dernière heure, Dernières 24 heures, 7 derniers jours, 14 derniers jours, Mois dernier) ou définissez une plage relative personnalisée via Sélectionner la direction, Saisir le montant et Sélectionner l'unité.

Durée temporelle : cliquez sur la date de début et la date de fin pour les spécifier comme Relative ou Absolue (dates/heures exactes).

2.Cliquez sur Exécuter pour appliquer le filtre et mettre à jour les résultats.

Panneau de filtres

Vous pouvez filtrer par champs et valeurs spécifiques des données Open XDR. Cliquez sur Ajouter un filtre ou cliquez dans le panneau de filtres pour sélectionner un champ et définir sa valeur.

1.Sélectionnez un champ de données Open XDR dans la liste. Dans le champ de filtre, saisissez un terme de recherche ou sélectionnez des éléments dans le menu déroulant.

2.Dans certains filtres, vous pouvez sélectionner l'opérateur en cliquant sur l'icône d'opérateur en regard du nom de filtre (les opérateurs disponibles dépendent du type de filtre) :

Est égal à Est égal à ou Contient

N'est pas égal à N'est pas égal à ou Ne contient pas

Supérieur ou égal à Supérieur ou égal à

Inférieur ou égal à Inférieur ou égal à

3.Appuyez sur Entrée. Les filtres actifs sont mis en surbrillance en bleu.

Vous pouvez appliquer un filtre par gravité à l'aide du filtre eset.severity basé sur des icônes. Vous pouvez utiliser une combinaison d'icônes, Gravité élevée Élevée, Gravité moyenne Moyenne, Gravité faible Faible, en les activant ou les désactivant. Pour n'afficher par exemple que les événements avec une gravité moyenne, sélectionnez uniquement l'icône jaune Gravité moyenne (les autres icônes doivent être désélectionnées). Pour voir les deux, la gravité moyenne Gravité moyenne et la gravité élevée Gravité élevée, ne sélectionnez que ces deux icônes.

Les filtres peuvent être enregistrés dans votre profil utilisateur afin que vous puissiez les réutiliser à l'avenir. Cliquez sur l'icône Préréglages Paramètres prédéfinis pour gérer les ensembles de filtres :

Ensembles de filtres

Vous avez enregistré des filtres; cliquez sur l'un d'entre eux pour l'appliquer. Le filtre appliqué est marqué à l'aide d'une coche Appliqué.

Enregistrer l'ensemble de filtres. Enregistrer l'ensemble de filtres

Créez un nouveau préréglage à partir de votre configuration de filtre actuelle. Une fois le préréglage enregistré, vous ne pouvez pas modifier la configuration du filtre dans le préréglage. Sélectionnez Inclure la plage horaire et les colonnes dans ce modèle pour sauvegarder la plage de temps et la visibilité des colonnes dans le préréglage.

Gérer les ensembles de filtres Gérer les ensembles de filtres

Supprimez ou renommez les préréglages existants. Cliquez sur Enregistrer pour appliquer les modifications aux préréglages.

Effacer les valeurs du filtre Effacer les valeurs du filtre

Cliquez pour supprimer uniquement les valeurs actuelles de tous les champs de filtre du panneau de filtres. Les préréglages enregistrés resteront inchangés.

Supprimer les filtres Supprimer les filtres

Cliquez pour supprimer tous les champs de filtre du panneau de filtres. Les préréglages enregistrés resteront inchangés.

Supprimer les filtres inutilisés Supprimer les filtres inutilisés

Supprimez les champs de filtre sans valeur du panneau de filtres. Les préréglages enregistrés resteront inchangés.

Réinitialiser les filtres par défaut Réinitialiser les filtres par défaut

Réinitialisez le panneau de filtres et affichez les filtres par défaut. Les préréglages enregistrés resteront inchangés.

Résultats

Les résultats sont visualisés dans l'histogramme affichant le nombre de résultats par rapport aux intervalles de temps agrégés pour les événements actuellement filtrés.

Cliquez sur une barre pour détailler les événements de l'intervalle précis. Le filtre d'heure/date se met à jour avec l'heure de début et de fin de la barre, et les résultats se rechargent automatiquement.

Cliquez et faites glisser sur l'histogramme pour sélectionner une plage continue d'intervalles. Le filtre d'heure/date se met à jour dans cette plage, et les résultats se rechargent automatiquement.

Tableau des indicateurs

Le tableau des indicateurs liste les indicateurs correspondant à la requête de recherche et aux filtres actifs. Cliquez sur l'icône d'engrenage Engrenage dans l'en-tête d'une colonne pour accéder aux actions du tableau :

Sélectionnez n'importe laquelle des actions : Modifier les colonnes : triez les valeurs dans la colonne. Utlisez l'assistant pour réarranger (Ajouterajouter, Supprimersupprimer, DescendreMonterréorganiser) les colonnes affichées. Vous pouvez également utiliser la fonction glisser-déposer pour réarranger les colonnes. Cliquez sur Réinitialiser pour réinitialiser les colonnes du tableau à leur état par défaut (colonnes disponibles par défaut dans un ordre par défaut). Ajustement automatique des colonnes : ajustez automatiquement la largeur des colonnes pour s'adapter au contenu, Afficher l'heure relative/Afficher l'heure absolue : sélectionnez les horodatages relatifs (par exemple, il y a 5 minutes) ou les horodatages absolus.

Tri de table Réinitialiser le tri : effacez tous les paramètres de tri appliqués.

Télécharger en tant que CSV (uniquement les données de table) : exportez jusqu'aux 500 premiers résultats des données de table sous forme de CSV.

Créer un incident manuellement

Pour créer un incident à partir d’un indicateur existant, procédez comme suit :

1.Cochez les cases à cocher à côté des indicateurs du tableau pour les sélectionner et cliquez sur le bouton Ajouter à l’incident.

Remarque

Vous ne pouvez sélectionner des indicateurs qu’au sein d’une seule entreprise. Le nombre d’indicateurs sélectionnés est limité.

2.Sélectionnez Créer un nouvel incident et cliquez sur Suivant.

3.Saisissez le Nom et sélectionnez Niveau de gravité, cliquez sur Ajouter.

4.L’incident est créé manuellement. Vous pouvez cliquer sur Afficher l’incident dans une notification pour afficher les détails de l’incident.

L’incident créé est également visible dans le tableau Incidents.

Pour ajouter un indicateur à un incident existant, procédez comme suit :

1.Cochez les cases à cocher à côté des indicateurs du tableau pour les sélectionner et cliquez sur le bouton Ajouter à l’incident.

Remarque

Vous ne pouvez sélectionner des indicateurs qu’au sein d’une seule entreprise. Le nombre d’indicateurs sélectionnés est limité.

2.Sélectionnez Ajouter à l’incident existant et cliquez sur Suivant.

3.Trouvez et sélectionnez l’incident dans le tableau, puis cliquez sur Ajouter.

4.L’incident a été mis à jour. Vous pouvez cliquer sur Afficher l’incident dans une notification pour afficher les détails de l’incident. Dans la section Indicateurs, vous pouvez trouver des indicateurs ajoutés. La section Chronologie de l’incident fournit aussi des informations sur les indicateurs ajoutés.

Panneau latéral des indicateurs

Cliquez sur n'importe quelle ligne pour afficher une vue détaillée de l'indicateur sélectionné dans le panneau latéral. Vous pouvez cliquer sur Afficher les détails pour ouvrir un nouvel onglet dans la fenêtre avec l'aperçu des détails de l'indicateur (accessible aussi depuis Incidents).

Panneau latéral des indicateurs dans la recherche avancée

Aperçu : les détails varient selon le type d'indicateur. La couleur du panneau reflète le niveau de gravité : bleu – faible gravité, jaune – gravité moyenne et rouge – gravité élevée.

oVous pouvez saisir des informations dans la barre de recherche pour filtrer les noms de champs et leurs valeurs.

oVous pouvez cliquer sur le bouton des trois points Plus ou n'importe où dans la ligne d'attribut pour Filtrer ou Filtrer vers le haut un attribut spécifique, ou Ajouter une colonne pour ajouter un champ sélectionné comme colonne de tableau.

oTrouvez une explication détaillée dans la section Format des données Open XDR.

JSON : une vue JSON structurée de l'indicateur. Cliquez sur Copier dans le presse-papiers pour copier le fichier JSON.