Incidents
La section Incidents sera publiée progressivement dans les semaines à venir. |
Les incidents nous permettent d'établir une corrélation entre les détections et les incidents. Cela permet d'améliorer considérablement les enquêtes sur les menaces. Les incidents sont automatiquement créés à partir des détections, de sorte qu'il n'est pas nécessaire d'examiner un grand nombre de détections, ce qui réduit considérablement le temps de triage des alertes.
La section Incidents répertorie les incidents créés automatiquement à partir des détections en fonction de règles prédéfinies.
Filtrer l'affichage
Il existe différentes manières de filtrer l'affichage :
•Vous pouvez filtrer par le sélecteur de balises (icône en forme de flèche) et choisir une ou plusieurs balises pour activer le filtre sur les incidents répertoriés. Les résultats affichent les incidents avec des balises sélectionnées (surlignées en bleu).
•Vous pouvez filtrer par gravité de l'incident : élevée, moyenne ou faible. Vous pouvez utiliser une combinaison de ces icônes en les activant ou les désactivant.
•Vous pouvez filtrer par État de l'incident : Ouvert, En cours ou Fermé
•Cliquez sur Ajouter un filtre et sélectionnez les types d'incidents dans le menu déroulant.
oDestinataire : saisissez le nom d'un destinataire.
oAuteur : sélectionnez dans le menu déroulant : ESET, ESET Service ou le nom de l'utilisateur.
oHeure de création : sélectionnez dans le menu déroulant : il y a moins de 24 h, il y a 24 h ou plus, il y a 3 jours ou plus, il y a 7 jours ou plus, il y a 14 jours ou plus, il y a 1 mois ou plus, il y a 3 mois ou plus.
oDernière mise à jour : sélectionnez dans le menu déroulant : il y a moins de 24 h, il y a 24 h ou plus, il y a 3 jours ou plus, il y a 7 jours ou plus, il y a 14 jours ou plus, il y a 1 mois ou plus, il y a 3 mois ou plus, il y a 6 mois.
oNom : saisissez le nom de l'incident.
oNombre d'ordinateurs : saisissez le nombre d'ordinateurs sélectionnés.
oNombre de détections : saisissez le nombre de détections sélectionnées.
Filtres et personnalisation de la mise en page
Vous pouvez personnaliser l'affichage de l'écran actuel de la console Web :
•Gérer le panneau latéral et le tableau principal.
•Ajouter des filtres et des préréglages de filtres. Vous pouvez utiliser les balises pour filtrer les éléments affichés.
Si vous ne parvenez pas à trouver un incident spécifique dans la liste alors qu'il figure dans l'infrastructure ESET PROTECT, vérifiez que tous les filtres sont désactivés et que les jeux d'autorisations sont attribués à votre compte d'utilisateur. |
Détails de l’incident
Sélectionnez un ou plusieurs incidents, cliquez sur le bouton Actions, puis sur le bouton à trois points pour afficher les options suivantes :
•Afficher les détails : permet d'afficher une vue d'ensemble de l’incident.
Vue d'ensemble : fournit les informations suivantes :
oDétails rapides : détails de l'incident tels qu'ils sont affichés dans la section principale.
oImpact sur la société : nombre d'ordinateurs, d'exécutables et de processus affectés. Cliquez sur le chiffre pour accéder à la page spécifique associée.
oCommentaires : vous pouvez ajouter un commentaire pour l'incident. Cliquez sur Afficher tous les commentaires pour afficher tous les commentaires créés. Vous pouvez modifier le commentaire, épingler le commentaire ou supprimer le commentaire.
oDescription : explication de l'incident.
oÉtapes recommandées : étapes à suivre pour lancer le processus de réponse aux incidents.
Détections : liste des détections. Vous pouvez cliquer sur le bouton à trois points pour afficher les détails.
Ordinateurs affectés : liste des ordinateurs affectés.
Chronologie des incidents : chronologie avec un bref historique des incidents, depuis l'événement déclencheur jusqu'à la clôture de l'incident
Cliquez sur le bouton Répondre à un incident pour sélectionner les objets concernés et définir les mesures d'intervention correspondantes. Sélectionnez la mesure d'intervention (Isoler, Déconnecter l'utilisateur, Redémarrer, Analyser et nettoyer) et cliquer sur Confirmer.
oOrdinateurs > Continuer > sélectionnez la mesure d'intervention (Isoler, Déconnecter l'utilisateur, Redémarrer, Analyser et nettoyer) > Confirmer.
oProcessus > Continuer, la mesure d'intervention (Arrêter le processus) > Confirmer.
oExécutables > Continuer, sélectionnez la mesure d'intervention (Bloquer, Bloquer et nettoyer) > Confirmer.
•Changer l'état et la personne responsable : cliquez pour sélectionner l'état et le destinataire dans le menu déroulant. Cliquez sur Enregistrer.
•Balises : cliquez sur cette option pour sélectionner des balises dans le menu déroulant, puis cliquez sur Appliquer. Vous pouvez également saisir un nouveau mot-clé et appuyer sur Entrée pour créer une balise.