ESET PROTECT – Sommaire

Incidents

Les incidents nous permettent d'établir une corrélation entre les détections et les incidents, ce qui améliore les enquêtes sur les menaces. Les incidents sont créés automatiquement à partir des détections, ce qui réduit considérablement le temps de triage des alertes.

La section Incidents répertorie les incidents créés automatiquement à partir des détections en fonction de règles prédéfinies.

Filtrer l'affichage

Il existe différentes manières de filtrer l'affichage :

Cliquez sur le sélecteur de balises (icône en forme de flèche) et choisissez une ou plusieurs balises pour activer le filtre sur les incidents répertoriés. Les résultats sont surlignés en bleu et montrent les incidents avec les balises sélectionnées.

Cliquez sur une gravité de l'incident :severity_high élevée, severity_medium moyenne ou severity_low faible. Vous pouvez combiner ces icônes en les activant ou en les désactivant.

État de l'incident :open_incident Ouvert, in_progress_incident En cours, scheduled En attente de l'entrée ou closed_incident Fermé

Cliquez sur Ajouter un filtre et sélectionnez les types d'incidents dans le menu déroulant.

oDestinataire : saisissez le nom de du destinataire.

oAuteur : sélectionnez dans le menu déroulant : ESET, le service ESET ou le nom d'utilisateur.

oMotif de clôture : sélectionnez dans le menu déroulant : Tous, Faux positif, Suspect, Vrai positif.

oHeure de création : sélectionnez dans le menu déroulant : ≤ Aujourd'hui, ≤ Il y a 24 heures, ≤ Il y a 3 jours, ≤ Il y a 7 jours, ≤ Il y a 14 jours, ≤ Il y a 30 jours, ≤ Il y a 90 jours ou ≤ Il y a 180 jours.

oDernière mise à jour : sélectionnez dans le menu déroulant : ≤ Aujourd'hui, ≤ Il y a 24 heures, ≤ Il y a 3 jours, ≤ Il y a 7 jours, ≤ Il y a 14 jours, ≤ Il y a 30 jours, ≤ Il y a 90 jours ou ≤ Il y a 180 jours.

oNom : saisissez le nom de l’incident.

oNombre d'ordinateurs : saisissez le nombre d'ordinateurs sélectionnés.

oNombre de détections : saisissez le nombre de détections sélectionnées.

Filtres et personnalisation de la mise en page

Vous pouvez personnaliser l'affichage de l'écran actuel de la console Web :

Gérer le panneau latéral et le tableau principal.

Ajouter des filtres et des préréglages de filtres. Vous pouvez utiliser les balises pour filtrer les éléments affichés.


Remarque

Si vous ne parvenez pas à trouver un incident spécifique dans la liste alors qu'il figure dans l'infrastructure ESET PROTECT, vérifiez que tous les filtres sont désactivés et que les jeux d'autorisations sont attribués à votre compte d'utilisateur.

IMPORTANT

Les autorisations que vous configurez sont appliquées à la société mère du groupe statique que vous avez sélectionné à l'étape Groupes statiques.

gear_icon Valeurs prédéfinies

Ensembles de filtres

icon_inspect_default Inspect

Ouvrez la section Incidents de la console web ESET Inspect. ESET Inspect n’est disponible que lorsque vous disposez d’une licence ESET Inspect et que ESET Inspect est connecté à ESET PROTECT. Un utilisateur de la console web doit disposer d'une autorisation Lire ou d'une autorisation supérieure pour accéder à ESET Inspect.

update_default Actualiser

Rafraîchir la page.

Détails de l’incident

Sélectionnez un ou plusieurs incidents, cliquez sur le bouton Actions, puis sur le bouton à trois points icon_more_vertical pour afficher les options suivantes :

Afficher les détails : permet d'afficher une vue d'ensemble de l’incident.

Vue d'ensemble : fournit les informations suivantes :

oDétails de l'incident tels qu'ils sont affichés dans la section principale.

oImpact sur la société : nombre d'ordinateurs, d'exécutables et de processus affectés. Cliquez sur le chiffre pour accéder à la page spécifique associée.

IMPORTANT

Les exécutables et les processus ne sont disponibles que pour les clients disposant d'un niveau EDR avec une licence ESET Inspect active. Vous serez redirigé vers la console ESET Inspect cloud pour voir les listes.

oCommentaires : vous pouvez ajouter un commentaire pour l'incident. Cliquez sur Afficher tous les commentaires pour afficher tous les commentaires créés. Vous pouvez modifier le commentaire, épingler le commentaire ou supprimer le commentaire.

oDescription : explication de l'incident.

oTechniques MITTRE ATT&CK® : techniques MITTRE ATT&CK disponibles pour l'incident sélectionné.

oÉtapes recommandées : étapes pour lancer le processus de réponse aux incidents.

Détections : liste des détections. Cliquez sur une détection pour afficher les détails de celle-ci. Vous pouvez afficher une arborescence de processus avec des nœuds de processus et de détection :

Arborescence de processus

IMPORTANT

Actuellement, nous ne fournissons que la version bêta de l'arborescence des processus, avec uniquement la détection sélectionnée affichée.

L'arborescence des processus permet aux utilisateurs de naviguer dans la détection. Vous pouvez cliquer sur un nœud de processus (nœud arrondi) ou un nœud de détection (nœud rectangulaire) dans l'arborescence des processus pour afficher des détails en fonction de la disponibilité des données :

arrow_down_businessNœud de détection :
arrow_down_businessNœud de processus :

Ordinateurs affectés : liste des ordinateurs affectés.

Chronologie des incidents : chronologie avec un bref historique des incidents, depuis l'événement déclencheur jusqu'à la clôture de l'incident

Dans chaque section, vous pouvez cliquer sur :

le bouton Inspecter pour être redirigé vers ESET Inspect et examiner l'incident dans le graphique des incidents.

le bouton d'actualisation update_default pour actualiser la page.

Cliquez sur le bouton Répondre à un incident pour sélectionner les objets concernés et définir les mesures d'intervention correspondantes. Sélectionnez la mesure d'intervention (Isoler, Déconnecter l'utilisateur, Redémarrer, Analyser et nettoyer) et cliquer sur Confirmer.

oOrdinateurs > Continuer > sélectionnez la mesure d'intervention (Isoler, Déconnecter l'utilisateur, Redémarrer, Analyser et nettoyer) > Confirmer.

oProcessus > Continuer, la mesure d'intervention (Arrêter le processus) > Confirmer.

oExécutables > Continuer, sélectionnez la mesure d'intervention (Bloquer, Bloquer et nettoyer) > Confirmer.

Changer l'état et la personne responsable : cliquez pour effectuer une sélection dans le menu déroulant.

oÉtat : sélectionnez l'état actuel de l'incident dans le menu déroulant : Ouvert, En cours, En attente de l'entrée ou Fermé. Lorsque vous sélectionnez Fermé, sélectionnez également le motif de clôture de l'incident (Vrai positif, Suspect, Faux positif ou non valide) et saisissez éventuellement un commentaire.

oDestinataire : lorsque vous avez sélectionné l'état Ouvert ou En cours, sélectionnez l'utilisateur disponible dans le menu déroulant.

Cliquez sur Enregistrer.

Balises : cliquez sur cette option pour sélectionner des balises dans le menu déroulant, puis cliquez sur Appliquer. Vous pouvez également saisir un nouveau mot-clé et appuyer sur Entrée pour créer une balise.