Incidents
La section Incidents sera publiée graduellement au cours des prochaines semaines. |
Les incidents nous permettent d’établir une corrélation entre les détections et les incidents, ce qui a considérablement amélioré les enquêtes sur les menaces. Les incidents sont créés automatiquement à partir de détections, ce qui réduit considérablement le temps de triage des alertes.
La section Incidents répertorie les incidents créés automatiquement à partir des détections basées sur des règles prédéfinies.
Filtrer l'affichage
Il existe différentes manières de filtrer l'affichage :
•Cliquez sur le sélecteur de balises (icône en forme de flèche) et choisissez une ou plusieurs balises pour activer le filtre sur les incidents répertoriés. Les résultats sont surlignés en bleu et montrent les incidents avec les balises sélectionnées.
•Cliquez sur Gravité de l’incident : élevée, moyenne ou faible. Vous pouvez utiliser une combinaison de ces icônes en les activant ou les désactivant.
•État de l’incident : Ouvert, En cours ou Fermé
•Cliquez sur Ajouter un filtre et sélectionnez les types d’incidents dans le menu déroulant.
oAttributaire : saisissez le nom de l’attributaire.
oAuteur : sélectionnez l’une des options ci-dessous dans le menu déroulant : ESET, service ESET ou le nom d’utilisateur.
oHeure de création : sélectionnez dans le menu déroulant une option, par exemple, il y a moins de 24 h, il y a plus de 24 h, il y a plus de 3 jours, il y a plus de 7 jours, il y a plus de 14 jours, il y a plus d’un mois, il y a plus de 3 mois, il y a plus de 6 mois.
oDernière mise à jour : sélectionnez dans le menu déroulant une option, par exemple, il y a moins de 24 h, il y a plus de 24 h, il y a plus de 3 jours, il y a plus de 7 jours, il y a plus de 14 jours, il y a plus d’un mois, il y a plus de 3 mois, il y a plus de 6 mois.
oNom : saisissez le nom de l’incident.
oNombre d’ordinateurs : saisissez le nombre d’ordinateurs sélectionnés.
oNombre de détections : saisissez le nombre de détections sélectionnées.
Filtres et personnalisation de la mise en page
Vous pouvez personnaliser l'affichage de l'écran actuel de la console Web :
•Gérer le panneau latéral et le tableau principal.
•Ajouter des filtres et des préréglages de filtres. Vous pouvez utiliser les balises pour filtrer les éléments affichés.
Si vous ne parvenez pas à trouver un incident spécifique dans la liste et que vous savez qu’il se trouve dans votre infrastructure ESET PROTECT, assurez-vous que tous les filtres sont désactivés et que les ensembles d’autorisations sont attribués à votre compte d’utilisateur. |
Détails de l’incident
Sélectionnez n’importe quels incident(s), cliquez sur le bouton Actions et cliquez sur le bouton représentant les trois points pour accéder à l’une des options ci-dessous.
•Afficher les détails : pour afficher une vue d’ensemble de l’incident.
La vue d’ensemble fournit les informations ci-après.
oDétails rapides : les détails de l’incident sont affichés dans la section principale.
oImpact sur l’entreprise : nombre d’ordinateurs, d’exécutables et de processus affectés. Cliquez sur le numéro pour aller à la page spécifique associée.
oCommentaires : vous pouvez ajouter un commentaire pour l’incident. Cliquez sur Afficher tous les commentaires pour afficher tous les commentaires créés. Vous pouvez modifier le commentaire, épingler le commentaire ou supprimer le commentaire.
oDescription : explication de l’incident.
oÉtapes recommandées : étapes pour lancer le processus de réponse aux incidents.
Détections : liste des détections. Vous pouvez cliquer sur l’icône des trois points pour afficher les détails.
Ordinateurs affectés : liste des ordinateurs affectés.
Chronologie de l’incident : une chronologie avec un bref historique des incidents, depuis l’événement déclencheur jusqu’à la clôture de l’incident
Cliquez sur le bouton Réagir à un incident pour sélectionner les objets concernés et définir les actions de traitement pour ces derniers. Vous pouvez sélectionner l’action de réponse (Isoler, Déconnecter l’utilisateur, Redémarrer, Analyser et nettoyer) et cliquer sur Confirmer.
oOrdinateurs > Continuer > sélectionnez l’action de réponse (Isoler, Déconnecter l’utilisateur, Redémarrer, Analyser et nettoyer) > Confirmer.
oProcessus > Continuer > sélectionnez l’action de réponse (Supprimer le processus) > Confirmez.
oExécutables > Continuer > sélectionnez l’action de réponse (Bloquer, Bloquer et nettoyer) > Confirmer.
•Changer d’état et de cessionnaire : cliquez pour sélectionner État et Cessionnaire dans le menu déroulant. Cliquez sur Enregistrer.
•Balises : cliquez pour sélectionner des balises dans le menu déroulant, puis cliquez sur Appliquer. Vous pouvez également saisir un nouveau mot-clé et appuyer sur Entrée pour créer une nouvelle balise.