Gestion des alertes sur les services Cylance Endpoint Security
Cylance Endpoint Security
La vue Alertes constitue un moyen efficace d‘examiner les alertes détectées et corrélées entre les services
Cylance Endpoint Security
, ce qui vous permet d‘identifier et de suivre plus facilement les modèles de menaces en vigueur dans votre écosystème d‘entreprise et de résoudre plus efficacement les ensembles d‘alertes. La vue Alertes élimine la nécessité d‘examiner les alertes provenant de différentes sections de la console qui sont chacune dédiées à un service spécifique tel que CylancePROTECT Desktop
ou CylanceOPTICS
. Vous pouvez utiliser la vue Alertes pour examiner et gérer les alertes de tous les services Cylance Endpoint Security
pris en charge par votre environnement.Service | Pris en charge par la vue Alertes |
|---|---|
CylancePROTECT Desktop | Télémétrie des menaces et alertes de protection de la mémoire de l‘agent CylancePROTECT Desktop sur les terminaux de bureau. |
CylancePROTECT Mobile | Alertes détectées par l‘application CylancePROTECT Mobile. |
CylanceOPTICS | Alertes détectées par l‘agent CylanceOPTICS sur les ordinateurs de bureau. |
CylanceGATEWAY | Paramètres de protection du réseau que vous avez configurés ou réputations de destination que CylanceGATEWAY a déterminées comme étant à haut risque. |
CylanceAVERT | Évènements d‘exfiltration de l‘agent CylanceAVERT sur les terminaux de bureau. |
Connecteur Okta | Télémétrie des évènements utilisateur Okta à l‘aide du connecteur BlackBerry Okta.Requiert une licence CylanceENDPOINT Pro. |
Connecteur Mimecast | Télémétrie de protection des pièces jointes Mimecast à l‘aide du connecteur BlackBerry Mimecast.Requiert une licence CylanceENDPOINT Pro. |
La vue Alertes initiale est un résumé qui regroupe les alertes similaires en fonction de divers critères tels que la priorité, la classification des alertes, les réponses configurées et d‘autres attributs d‘alerte clés. Pour en savoir plus sur ces critères, consultez la section Comment Cylance Endpoint Security regroupe les alertes.
Le regroupement automatisé des alertes reflète à la fois la fréquence et la prévalence des alertes, offrant aux analystes une vision claire de la fréquence des menaces et des zones sur lesquelles elles se produisent. Par défaut, les groupes d‘alertes sont triés par ordre décroissant de priorité pour fournir une vue descendante de toutes les télémétries de sécurité pertinentes. Chaque groupe affiche des icônes pour les types d‘artéfacts d‘indicateurs clés associés au groupe (par ex., fichier, processus, e-mail, etc.). Vous pouvez cliquer sur une icône d‘indicateur clé pour en consulter les attributs et, le cas échéant, vous pouvez copier ou filtrer ces valeurs. Lorsque de nouvelles alertes sont détectées et traitées à partir des sources de télémétrie, elles sont ajoutées à un groupe existant ou à un nouveau groupe.
La vue Alertes prend en charge les alertes à détection unique et à détection multiple. Les règles de détection des alertes peuvent parfois effectuer plusieurs détections avant de générer une alerte et de l‘afficher dans la vue Alertes. Chaque détection est modélisée à l‘aide d‘un évènement (par exemple, fichier ouvert, clé de registre ajoutée, etc.).
Vous pouvez cliquer sur un groupe d‘alertes pour accéder aux informations suivantes :
- L‘onglet Présentation des alertes, qui récapitule les détails de la détection et les indicateurs clés pertinents pour le groupe.
- L‘onglet Indicateurs clés affiche les attributs de détection qui sont identiques dans chaque alerte individuelle comprise dans le groupe. Par exemple, si l‘indicateur clé est un hachage de fichier, ce hachage est détecté dans chaque alerte, que le terminal soit identique ou différent. Les indicateurs clés sont représentés visuellement pour indiquer la relation entre les objets parents, enfants et frères. Pour les alertes à détection multiple, les indicateurs clés sont inclus dans chaque évènement et résumés dans l‘ordre d‘exécution.
- La liste des alertes individuelles du groupe. Vous pouvez cliquer sur une alerte individuelle pour ouvrir des détails granulaires. Vous pouvez également afficher l‘ensemble complet des artéfacts, représentés sous forme d‘icônes, associés à l‘alerte. Les artéfacts contiennent l‘ensemble complet des facettes capturées par le moteur de détection sous-jacent. Comme les indicateurs clés, ces artéfacts sont représentés visuellement pour indiquer la relation entre les objets parents, enfants et frères. Pour les alertes à détection multiple, les indicateurs clés sont inclus dans chaque évènement et résumés dans l‘ordre d‘exécution.
Selon les types d‘alertes d‘un groupe, vous pouvez également effectuer des actions de gestion. Par exemple, pour les alertes de menace
CylancePROTECT Desktop
, vous pouvez ajouter ou supprimer un fichier de la liste sécurisée globale ou de la liste de quarantaine globale.