Un incident est une activité dont le caractère malveillant a été confirmé. Un incident peut être un simple indicateur de compromission, voire être plus complexe tel qu'un indicateur d'attaque qui séquence des comportements afin de déterminer une intention malveillante.
La page Incidents fournit la liste centralisée des incidents que les Personnes Répondant aux Incidents peuvent consulter et sur lesquels ils peuvent effectuer des actions. Chaque incident figurant sur la page peut faire l'objet d'une action.
Pour ouvrir la liste des incidents ThreatSync :
- Sélectionnez Surveiller > Menaces > Incidents.
La page Incidents s'ouvre.
- Pour afficher des incidents spécifiques sur la page :
- Pour afficher les informations détaillées concernant un incident spécifique sur la page Détails de l'Incident, cliquez sur l'incident. Astuce ! Pour de plus amples informations, accédez à Consulter les Détails de l'Incident.
Vous pouvez effectuer des actions sur les incidents directement à partir de la page Incidents. Pour de plus amples informations, accédez à Réaliser des Actions pour Traiter les Incidents.
Modifier la Plage de Date
Par défaut, la liste des incidents indique les incidents survenus le jour même. Vous pouvez modifier la plage de date de manière à afficher les incidents de différentes dates.
Pour filtrer la liste des incidents par plage de date :
- En haut de la page, cliquez sur l'icône calendrier
. - Dans la liste déroulante, sélectionnez l'une de ces périodes :
- Aujourd'hui
- Hier
- Dernières 24 Heures
- 7 Derniers Jours
- 14 Derniers Jours
- Ce Mois
- Le Mois Dernier
- Personnaliser
- Si vous sélectionnez Personnalisé, spécifiez la date de début et la date de fin de la période personnalisée. Cliquez sur Enregistrer.
Trier et Filtrer la Liste des Incidents
Par défaut, la liste des incidents affiche les incidents dont l'état est Nouveau et Lu, triés par niveau de risque par ordre décroissant, de sorte que les menaces critiques figurent en tête de liste.
Pour personnaliser les incidents que vous affichez, vous pouvez filtrer la liste des incidents par type d'incident, action, risque ou état. Vous pouvez également opter pour trier la liste par niveau de risque ou par date.
Pour trier la liste des incidents :
- En haut à droite de la page, cliquez sur l'icône tri
.
Une liste déroulante s'ouvre.
- Optez pour trier les incidents par date ou par niveau de risque, par ordre croissant ou décroissant.
Pour filtrer la liste des incidents :
- En haut à droite de la page, cliquez sur l'icône filtre
.
La boîte de dialogue Filtre s'ouvre.
- Sélectionnez une ou plusieurs options de filtrage :
- Cliquez sur Appliquer les Filtres.
Type d'Incident
Pour filtrer la liste des incidents par Type d'Incident, sélectionnez une ou plusieurs options parmi les suivantes :
- Stratégie de Sécurité Avancée — Exécution de scripts malveillants et de programmes inconnus employant des techniques d'infection avancées.
- Exploit — Attaques tentant d'injecter du code malveillant de manière à exploiter des processus vulnérables.
- Tentative d'Intrusion — Événement de sécurité lors duquel un intrus tente d'accéder sans autorisation à un système.
- IOA — Les Indicateurs d'Attaque (IOA) sont des indicateurs présentant une forte probabilité de constituer une attaque.
- URL Malveillante — URL créée de manière à disséminer des malwares tels que les logiciels de rançon.
- IP Malveillante — Adresse IP liée à une activité malveillante.
- Malware — Logiciel malveillant conçu de manière à endommager, perturber et accéder sans autorisation à des systèmes informatiques.
- PUP — Programmes potentiellement indésirables (PUP) susceptibles d'être installés lors de l'installation d'autres logiciels sur un ordinateur.
- Virus — Code malveillant s'introduisant dans des systèmes informatiques.
- Programme Inconnu — Le programme a été bloqué, car il n'a pas encore été classifié par WatchGuard Endpoint Security.
Action
Pour filtrer la liste des incidents par action effectuée sur l'incident, cochez une ou plusieurs cases à cocher parmi les suivantes :
- Connexion Bloquée — Connexion bloquée.
- Processus Bloqué — Processus bloqué par un périphérique d'endpoint.
- Périphérique Isolé — La communication avec le périphérique a été bloquée.
- Fichier Supprimé — Le fichier a été classifié en tant que malware et supprimé.
- IP Bloquée — Les connexions réseau à destination et en provenance de cette adresse IP ont été bloquées.
- Processus Terminé — Processus terminé par un périphérique d'endpoint.
Pour filtrer la liste des incidents par état de l'action, cochez une ou plusieurs cases à cocher parmi les suivantes :
- Effectuée — L'action demandée a été effectuée.
- En Cours — L'action demandée est en cours d'exécution.
- Non Effectuée — L'action demandée n'a pas encore été effectuée.
- Erreur — L'action demandée n'a pas été effectuée et a retourné une erreur. Pour de plus amples informations, accédez à Dépanner les Erreurs d'Incident.
Risque
Pour filtrer la liste des incidents par niveau de risque, sélectionnez une ou plusieurs options parmi les suivantes :
- 10 — Critique
- 9 — Critique
- 8 — Élevé
- 7 — Élevé
- 6 — Moyen
- 5 — Moyen
- 4 — Moyen
- 3 — Faible
- 2 — Faible
- 1 — Faible
Pour de plus amples informations, accédez à Niveau de Risque et Indices des Incidents ThreatSync.
État
Par défaut, la liste des incidents affiche les incidents dont l'état est Nouveau et Lu. Pour filtrer la liste des incidents par état, sélectionnez une ou plusieurs options parmi les suivantes :
- Nouveau — Nouveaux incidents qui n'ont pas encore été consultés sur la page Détails de l'Incident.
- Lu — Incidents consultés sur la page Détails de l'Incident ou marqués manuellement comme lus.
- Archivé — Incidents archivés par une stratégie d'automatisation ou manuellement, car un analyste a déterminé que la menace a cessé de représenter un danger.
Pour de plus amples informations concernant l'archivage ou la modification de l'état d'un incident, consultez la section Archiver ou Modifier l'État des Incidents.
Afficher les Graphiques d'Incidents
Quatre graphiques figurent sur la page Incidents à partir de la liste déroulante Afficher le Graphique. Chaque graphique comprend les données de la plage de date spécifiée.
- Risque de l'Incident — Affiche un graphique en camembert des incidents présentant un risque Faible, Moyen, Élevé et Critique.
- État de l'Incident — Affiche un graphique en camembert des incidents Nouveaux, Lus et Archivés.
- Actions Effectuées — Affiche le graphique des actions effectuées sur les incidents.
- Chronologie de l'Incident — Affiche la chronologie des incidents sous forme d'histogramme ou de graphique en courbes. Survolez les données du graphique pour afficher la date et l'heure de l'incident.
Télécharger le Rapport de la Liste des Incidents
Vous pouvez télécharger le rapport Liste des Incidents au format CSV ou PDF sur la page Incidents. Les rapports présentent les données d'incident de la période spécifiée, filtrées selon vos options de tri et de filtrage.
Le rapport PDF contient jusqu'à 200 entrées et affiche les 200 premières entrées de la liste des incidents dans le rapport. Le rapport CSV contient jusqu'à 3000 entrées et affiche les 3000 premières entrées de la liste des incidents.
Si vous sélectionnez le graphique à afficher dans la liste déroulante Afficher le Graphique, le graphique sélectionné s'affiche également dans le rapport PDF Liste des Incidents. Si vous ne souhaitez pas inclure de graphique dans le rapport PDF, sélectionnez Aucun dans la liste déroulante Afficher le Graphique.
Pour télécharger un rapport Liste des Incidents, cliquez sur 
puis sélectionnez Télécharger le Rapport CSV ou Télécharger le Rapport PDF.
Le rapport PDF fournit des détails concernant les incidents de la plage de date sélectionnée avec les filtres appliqués en termes d'incident, d'action, de risque ou d'état.
Pour télécharger le Rapport de Synthèse des Menaces, accédez à Synthèse des Incidents ThreatSync.
Pour planifier un rapport ThreatSync, accédez à Planifier des Rapports de ThreatSync dans WatchGuard Cloud.
Réaliser des Actions pour Traiter les Incidents