Surveiller les Traitements de TDR
Sur la page Traitements, les Administrateurs et les Analystes peuvent voir une synthèse de tous les indicateurs traités, créer des histogrammes et des diagrammes circulaires, et exécuter des actions manuelles sur différents hôtes. Pour mettre en évidence la gravité des menaces traitées, la page Traitements affiche l'indice précédent, à savoir l'indice d'origine de l'indicateur avant son traitement. Les observateurs ne peuvent que visualiser la page.
Afficher les Traitements
Dans le Tableau de bord TDR, vous pouvez utiliser la Chronologie de l'Indicateur pour afficher la chronologie des indicateurs résolus. Cliquez sur la bulle d'un indicateur résolu pour accéder à une vue filtrée de la page Traitements. Pour de plus amples informations concernant la Chronologie de l'Indicateur, consultez Tableau de bord TDR.
Vous pouvez également sélectionner ThreatSync > Traitements pour accéder directement à la page Traitements.
Nombre de Menaces Traitées
Par défaut, le Nombre de Menaces Traitées s'affiche en haut de la page Traitements. Ce graphique est un résumé visuel de tous les indicateurs traités dans le système. Les traitements sont classés en fonction des indices précédemment attribués aux indicateurs avant leur traitement. Le nombre et la taille de chaque bulle indiquent le nombre total d'indicateurs traités ainsi que les indices précédents dans chaque catégorie.
- Critique — Indice égal à 8, 9 ou 10
- Élevé — Indice égal à 6 ou 7
- Moyen/Faible — Indice égal à 3, 4 ou 5
Le Nombre de Menaces Traitées englobe tous les traitements du système. Ces nombres ne changent pas en fonction des filtres définis sur la page Traitements.
Pour afficher le Nombre de Menaces Traitées après avoir généré un autre graphique, cliquez sur .
Indicateurs Traités
Lorsque vous sélectionnez ThreatSync > Traitements, les filtres de la page Traitements sont configurés de manière à afficher les indicateurs présentant un indice précédent égal ou supérieur à 6, qui ont été restaurés au cours des 24 dernières heures. Utilisez les en-têtes de colonne pour effacer ou modifier les filtres.
- Pour effacer tous les filtres, cliquez sur et sélectionnez Effacer.
- Pour appliquer ou modifier un filtre, sélectionnez les commandes dans les en-têtes de colonne.
Pour rechercher des indicateurs, saisissez le mot ou la valeur à rechercher dans la zone de texte Rechercher. La recherche peut rechercher un texte dans un nom de fichier, une valeur MD5, une adresse IP, un nom DNS ou une URL associée à un indicateur.
La liste des Traitements affiche la liste des indicateurs accompagnée des informations d'état et des actions demandées. Le même indicateur peut figurer plusieurs fois dans la liste, une fois pour chaque action. Il est ainsi plus simple d'afficher toutes les actions de chaque indicateur.
Pour chaque indicateur, la liste Traitements comprend les informations suivantes :
- Indice Précédent — L'indice précédemment assigné à un indicateur avant l'exécution d'une action de traitement.
Pour de plus amples informations concernant les indices de menace, consultez À propos des Indices de Menace TDR. - Source — L'origine de l'indicateur : Host Sensor () ou Firebox ().
- Indicateur — Les détails de l'indicateur. Vous pouvez filtrer cette colonne en fonction du type d'indicateur, comme indiqué à la section suivante. Pour afficher davantage de détails, cliquez sur Informations Supplémentaires. Pour obtenir des informations concernant les détails de l'indicateur, consultez Gérer les Indicateurs de TDR.
- Hôte/IP — Le nom d'hôte ou l'adresse IP du système de l'hôte.
- Utilisateur — Nom d'utilisateur de l'utilisateur.
- Action Demandée — L'action recommandée par Threat Detection and Response pour un indicateur d'un Host Sensor.
- Résultat — Indique, le cas échéant, la mesure de traitement entreprise. Pour afficher le journal des actions et l'historique des traitements, cliquez sur .
- Utilisateur — Indique l'utilisateur ayant entrepris une action de traitement. Lorsque Threat Detection and Response entreprend une action, l'utilisateur est Système.
- Date de l'Action — La date et l'heure à laquelle l'action a été effectuée.
- Date de Traitement — La date et l'heure à laquelle l'action de traitement de cet indicateur a été effectuée.
Pour de plus amples informations concernant les actions susceptibles de traiter un indicateur, consultez Actions de Traitement et Indices de Menace de TDR.
Actions
Sur la page Traitements, vous pouvez sélectionner les actions suivantes pour les indicateurs sélectionnés :
Liste d'Autorisation
Cette action ajoute cet indicateur à la Liste d'Autorisation en tant que fichier ou processus sûr. Lorsque vous sélectionnez cette action, une signature de remplacement en liste d'autorisation est créée avec la valeur MD5 de l'indicateur. Pour de plus amples informations concernant la Liste d'Autorisation, consultez Configurer les Signatures de Remplacement de TDR.
Sortir le fichier de quarantaine
Cette action retire un fichier de quarantaine. Lorsque vous retirez un fichier de quarantaine, celui-ci est automatiquement ajouté à la Liste d'Autorisation.
Sortir le HRP de quarantaine
Cette action retire tous les fichiers liés à une action HRP (Host Ransomware Prevention) de quarantaine. Les fichiers retirés de quarantaine sont automatiquement ajoutés à la Liste d'Autorisation.
Pour de plus amples informations concernant les actions pour supprimer un fichier de quarantaine, consultez Retirer un Fichier de Quarantaine.
Après avoir sélectionné l'une de ces actions, l'indicateur cesse d'être considéré comme menace et est supprimé de la page Traitements.
Créer et Exporter des Graphiques de Traitement
Par défaut, le Nombre de Menaces Traitées s'affiche en haut de la page Traitements afin de résumer l'ensemble des indicateurs traités de votre compte. À partir de la page Traitements, vous pouvez également générer des graphiques basés sur la liste filtrée d'indicateurs traités.
Pour créer un graphique :
- Définissez les filtres pour afficher les indicateurs traités que vous souhaitez inclure dans le graphique.
- Pour sélectionner le type de graphique, cliquez sur l'une de ces icônes :
Histogramme
Graphique Circulaire
Histogramme Empilé
- Sélectionnez les options du graphique en haut de chaque graphique.
Les graphiques de la page Traitements sont identiques à ceux de la page Indicateurs. Pour de plus amples informations concernant les options des graphiques et la manière d'exporter un graphique, consultez Gérer les Indicateurs de TDR.