ESET PROTECT – Table des matières

Incidents

Les incidents nous permettent de corréler les détections en incidents, afin d’améliorer les enquêtes sur les menaces. Les incidents sont créés automatiquement à partir de détections, ce qui réduit considérablement le temps de triage des alertes.

La section Incidents répertorie les incidents créés automatiquement à partir des détections basées sur des règles prédéfinies.

Filtrer l'affichage

Il existe différentes manières de filtrer l'affichage :

Cliquez sur le sélecteur de balises (icône en forme de flèche) et choisissez une ou plusieurs balises pour activer le filtre sur les incidents répertoriés. Les résultats sont surlignés en bleu et montrent les incidents avec les balises sélectionnées.

Cliquez sur Gravité de l’incident :severity_high élevée, severity_medium moyenne ou severity_low faible. Vous pouvez utiliser une combinaison de ces icônes en les activant ou les désactivant.

État de l’incident :open_incident Ouvert, in_progress_incident En cours, scheduled En attente de saisie ou closed_incident Fermé

Cliquez sur Ajouter un filtre et sélectionnez les types d’incidents dans le menu déroulant.

oAttributaire : saisissez le nom de l’attributaire.

oAuteur : sélectionnez l’une des options ci-dessous dans le menu déroulant : ESET, service ESET ou le nom d’utilisateur.

oRaison de la fermeture : sélectionnez l’une des options ci-dessous dans le menu déroulant : Tous, Faux positif, Suspect, Vrai positif.

oHeure de création, sélectionnez dans le menu déroulant : il y a moins d’un jour, il y a moins de 24 heures, il y a moins de 3 jours, il y a moins de 7 jours, il y a moins de 14 jours, il y a moins de 30 jours, il y a moins de 90 jours ou il y a moins de 180 jours.

oDernière mise à jour, sélectionnez dans le menu déroulant : il y a moins d’un jour, il y a moins de 24 heures, il y a moins de 3 jours, il y a moins de 7 jours, il y a moins de 14 jours, il y a moins de 30 jours, il y a moins de 90 jours ou il y a moins de 180 jours.

oNom : saisissez le nom de l’incident.

oNombre d’ordinateurs : saisissez le nombre d’ordinateurs sélectionnés.

oNombre de détections : saisissez le nombre de détections sélectionnées.

Filtres et personnalisation de la mise en page

Vous pouvez personnaliser l'affichage de l'écran actuel de la console Web :

Gérer le panneau latéral et le tableau principal.

Ajouter des filtres et des préréglages de filtres. Vous pouvez utiliser les balises pour filtrer les éléments affichés.


Remarque

Si vous ne parvenez pas à trouver un incident spécifique dans la liste et que vous savez qu’il se trouve dans votre infrastructure ESET PROTECT, assurez-vous que tous les filtres sont désactivés et que les ensembles d’autorisations sont attribués à votre compte d’utilisateur.

IMPORTANT

Les autorisations que vous configurez sont appliquées à la société mère du groupe statique que vous avez sélectionné à l’étape Groupes statiques.

gear_icon Préréglages

Ensembles de filtres

icon_inspect_default Inspect

Ouvrez la section Incidents de la console web de ESET Inspect. ESET Inspect n’est disponible que lorsque vous disposez d’une licence ESET Inspect et que ESET Inspect est connecté à ESET PROTECT. Un utilisateur de la console web a besoin d’une autorisation de lecture ou d’une autorisation supérieure pour accéder à ESET Inspect.

update_default Actualiser

Actualisez la page.

Détails de l’incident

Sélectionnez n’importe quels incident(s), cliquez sur le bouton Actions et cliquez sur le bouton représentant les trois points icon_more_vertical pour accéder à l’une des options ci-dessous.

Afficher les détails : pour afficher une vue d’ensemble de l’incident.

La vue d’ensemble fournit les informations ci-après.

oLes détails de l’incident sont affichés dans la section principale.

oImpact sur l’entreprise : nombre d’ordinateurs, d’exécutables et de processus affectés. Cliquez sur le numéro pour aller à la page spécifique associée.

IMPORTANT

Les exécutables et les processus ne sont disponibles que pour les clients ayant un niveau EDR avec une licence ESET Inspect active. Vous serez redirigé vers la version en nuage de la console ESET Inspect pour voir les listes.

oCommentaires : vous pouvez ajouter un commentaire pour l’incident. Cliquez sur Afficher tous les commentaires pour afficher tous les commentaires créés. Vous pouvez modifier le commentaire, épingler le commentaire ou supprimer le commentaire.

oDescription : explication de l’incident.

oTechniques MITTRE ATT&CK® : techniques MITTRE ATT&CK pour l’incident sélectionné disponibles.

oÉtapes recommandées : étapes pour lancer le processus de réponse aux incidents.

Détections : liste des détections. Cliquez sur une détection pour afficher les détails de la détection. Vous pouvez afficher un arbre de processus avec des nœuds de processus et de détection :

Arborescence des processus

IMPORTANT

Actuellement, nous ne fournissons que la version bêta de l’arborescence des processus, seule la détection sélectionnée étant affichée.

L’arborescence des processus permet aux utilisateurs de naviguer dans la détection. Vous pouvez cliquer sur un nœud de processus (un nœud arrondi) ou un nœud de détection (un nœud rectangle) dans l’arborescence des processus pour afficher les détails en fonction de la disponibilité des données :

arrow_down_businessNœud de détection :
arrow_down_businessNœud de processus :

Ordinateurs affectés : liste des ordinateurs affectés.

Chronologie de l’incident : une chronologie avec un bref historique des incidents, depuis l’événement déclencheur jusqu’à la clôture de l’incident

Dans chaque section, vous pouvez cliquer sur :

le bouton Inspecter pour accéder à ESET Inspect et enquêter sur l’incident dans le graphique des incidents.

le bouton Actualiser update_default pour actualiser la page.

Cliquez sur le bouton Réagir à un incident pour sélectionner les objets concernés et définir les actions de traitement pour ces derniers. Vous pouvez sélectionner l’action de réponse (Isoler, Déconnecter l’utilisateur, Redémarrer, Analyser et nettoyer) et cliquer sur Confirmer.

oOrdinateurs > Continuer > sélectionnez l’action de réponse (Isoler, Déconnecter l’utilisateur, Redémarrer, Analyser et nettoyer) > Confirmer.

oProcessus > Continuer > sélectionnez l’action de réponse (Supprimer le processus) > Confirmez.

oExécutables > Continuer > sélectionnez l’action de réponse (Bloquer, Bloquer et nettoyer) > Confirmer.

Changer d’état et de cessionnaire : cliquez pour sélectionner dans le menu déroulant.

oÉtat : sélectionnez l’état actuel de incident dans le menu déroulant : Ouvert, En cours, En attente de saisie ou Fermé. Lorsque vous sélectionnez Fermé, sélectionnez en outre la raison de la fermeture de l’incident (Vrai positif, Suspect, Faux positif ou non valide) et écrivez éventuellement un commentaire.

oCessionnaire : lorsque vous avez sélectionné Ouvert ou En cours, sélectionnez l’utilisateur disponible dans le menu déroulant.

Cliquez sur Enregistrer.

Balises : cliquez pour sélectionner des balises dans le menu déroulant, puis cliquez sur Appliquer. Vous pouvez également saisir un nouveau mot-clé et appuyer sur Entrée pour créer une nouvelle balise.