Gérer les Incidents de TDR

Un Incident est un groupe d'indicateurs liés à une activité sur un hôte spécifique. L'analyse ThreatSync identifie un incident lorsque plusieurs indicateurs présentant un indice de menace élevé sont signalés sur le même hôte. Un incident peut contenir des indicateurs signalés par un Host Sensor et/ou un Firebox.

La page ThreatSync > Hôtes vous permet d'afficher les hôtes dont les indicateurs présentent la gravité la plus élevée de manière à exécuter rapidement une action sur l'ensemble des indicateurs de chaque hôte. Un incident fournit une vue globale des indicateurs d'un hôte.

La page ThreatSync > Hôtes vous permet de développer un incident pour :

• Afficher tous les indicateurs de cet hôte
• Afficher les indicateurs contribuant à l'indice de l'incident (identifié par )
• Afficher la chronologie du signalement de chaque indicateur
• Exécuter une action pour gérer les menaces dans un indicateur

L'analyse ThreatSync emploie un ensemble d'algorithmes propriétaires pour déterminer l'indice de chaque incident en fonction des indices des indicateurs de cet hôte. Seuls les indicateurs présentant des indices de menace critiques ou élevés contribuent à l'indice de l'incident. Les indicateurs présentant un indice de menace faible ne sont pas inclus dans le calcul de l'indice de l'incident. Dans la liste des incidents de chaque indicateur, indique qu'un indicateur contribue à l'indice ThreatSync final de l'incident. Pour plus d'informations, consultez À propos des Indices de Menace TDR.

Vous pouvez également configurer des stratégies de manière à entreprendre automatiquement les actions visant à gérer une menace. Pour plus d'informations, consultez Configurer les Stratégies TDR.

Afficher les Incidents

Par défaut, la page ThreatSync > Hôtes indique les incidents présentant un indice de menace supérieur ou égal à six.

Pour afficher les incidents en cours :

1. Sélectionnez ThreatSync > Hôtes.
   La page Hôte s'ouvre avec un filtre défini de manière à afficher tous les incidents présentant un indice supérieur ou égal à 6 identifiés lors des 24 dernières heures.

2. Pour étendre la plage de date, dans l'en-tête de colonne Vu pour la Dernière Fois, cliquez sur et sélectionnez une plage de date. Cliquez sur Appliquer.

3. Pour accéder sur la page Hôtes filtrée de manière à afficher les incidents d'un indicateur, dans la colonne Actions Manuelles de l'indicateur, cliquez sur Sélectionner les actions.
   La page Hôtes s'ouvre dans un nouvel onglet du navigateur.
4. Pour développer l'incident de manière à consulter ses indicateurs, cliquez sur .
   L'incident se développe pour montrer la liste des indicateurs. la liste est automatiquement filtrée pour ne montrer que les indicateurs qui contribuent au score de l'incident.

À partir de la liste Hôtes développée d'un indicateur, vous pouvez exécuter les actions disponibles à la page Indicateurs.

• Pour afficher des détails supplémentaires concernant un indicateur, cliquez sur Informations Supplémentaires dans la colonne Indicateur. Les détails de l'indicateur fournissent davantage d'informations concernant l'indicateur et le motif de l'indice.
• Pour entreprendre une action de traitement, cliquez sur Sélectionner des actions dans la colonne Actions Manuelles. Vous pouvez exécuter l'action demandée, marquer l'indicateur comme mesure corrective externe ou l'ajouter à la liste d'autorisation. Si un fichier a déjà été mis en quarantaine, vous pouvez sélectionner l'action permettant de le retirer de la quarantaine et de l'ajouter à la liste d'autorisation. Pour plus d'informations, consultez Retirer un Fichier de Quarantaine.
• Pour rechercher la valeur MD5 de cet indicateur sur Google, VirusTotal ou MetaScan, cliquez sur l'un des liens de la colonne A Etudier.
• Pour afficher la chronologie de l'incident, suivez les instructions de la section suivante.

Pour de plus amples informations concernant l'état, les détails, les actions et l'étude des indicateurs, consultez Gérer les Indicateurs de TDR.

Gérer les Filtres

Vous pouvez filtrer les informations figurant sur la page en haut de chaque colonne. Vous pouvez enregistrer un paramètre de filtrage afin que la page affiche par défaut les informations spécifiées à chaque ouverture.

Afficher la Chronologie d'un Incident

Pour afficher les indicateurs d'un incident sur une chronologie :

1. Pour afficher les indicateurs d'un incident, cliquez sur .
2. Cliquez sur Afficher la Chronologie.
   La chronologie s'affiche au-dessus de la liste des indicateurs de l'incident.

Dans la chronologie :

• L'échelle gauche est l'indice de menace de l'Indicateur.
• La taille de chaque bulle indique le nombre d'Indicateurs Non Résolus du jour correspondant.
• La couleur de chaque bulle est identique à celle des indices figurant sur les pages Incidents et Indicateur.

Pour afficher davantage d'informations à propos d'une chronologie, vous pouvez zoomer sur l'une de ses sections et cliquer ou faire passer le curseur sur une bulle.

Pour agrandir une section de la chronologie :

1. Cliquez et faites glisser le curseur sur une zone du graphique.
   La taille du graphique change pour afficher la zone sélectionnée.
2. Cliquez sur Réinitialiser le Zoome pour effectuer un zoom arrière et afficher l'ensemble de la chronologie.

Pour afficher davantage de détails concernant une bulle :

1. Placez le curseur sur la bulle.
   La bulle s'affiche en bleu. Une info-bulle s'affiche pour indiquer la Date, l'Indice et le Nombre. Le Nombre est le nombre d'indicateurs affichant cet indice.
2. Pour afficher uniquement la liste des indicateurs d'une bulle, cliquez sur cette dernière.
   Vous pouvez également cliquer sur Nombre dans l'info-bulle.
   La liste des indicateurs située sous la chronologie est filtrée en fonction de l'indice et de la date de la bulle sélectionnée.

Pour masquer la chronologie, cliquez sur Masquer la Chronologie.

Voir Également

Gérer les Indicateurs de TDR

Retirer un Fichier de Quarantaine