Utilisation des tableaux de bord
Gestion des alertes sur les services Cylance Endpoint Security
- Comment Cylance Endpoint Security regroupe les alertes
- Afficher et gérer les alertes agrégées
  - Changements d'état pour les alertes
Gestion d'utilisateurs, de terminaux et de groupes
Gestion des menaces détectées par CylancePROTECT Desktop
Gestion des menaces détectées par CylancePROTECT Mobile
- Afficher les alertes CylancePROTECT Mobile
- Menaces mobiles détectées par l'application CylancePROTECT Mobile
Gestion des listes sécurisées et dangereuses pour CylancePROTECT Desktop et CylancePROTECT Mobile
Analyse des données collectées par CylanceOPTICS
Utilisation de CylanceOPTICS pour détecter les évènements et y répondre
Surveillance des connexions réseau avec CylanceGATEWAY
- Affichage de l‘activité réseau
  - Afficher la page Détails de l‘évènement
Surveiller les fichiers sensibles avec CylanceAVERT
Afficher les vulnérabilités du SE mobile
Audit des actions de l'administrateur
Gestion des journaux
- Configurer la journalisation BlackBerry Connectivity Node
- Gérer les journaux de l'agent CylancePROTECT Desktop
  - Activer la journalisation détaillée sur un terminal CylancePROTECT Desktop
  - Journalisation Linux
    - Définir le niveau de journalisation
    - Collecter les fichiers journaux de l'agent à partir des terminaux Linux
Envoyer les événements à une solution SIEM ou à un serveur syslog
Activer l'accès à l'API utilisateur Cylance
Résolution des problèmes Cylance Endpoint Security

Afficher et gérer les alertes agrégées

Vérifiez que votre rôle d‘administrateur dispose des autorisations requises pour utiliser la vue Alertes. L‘autorisation Afficher les alertes fournit un accès en lecture seule à la vue Alertes. Vous devez disposer des autorisations Modifier les alertes et Supprimer les alertes pour apporter des modifications aux groupes d‘alertes et aux alertes individuelles dans cette vue. Pour utiliser la vue Alertes afin d‘ajouter un fichier des alertes de menace

CylancePROTECT Desktop

à la liste sécurisée globale ou à la liste de quarantaine globale, ou de supprimer un fichier de ces listes, votre rôle nécessite les autorisations associées à la liste globale en question. Pour en savoir plus, consultez la section Configuration des administrateurs dans le contenu relatif à la configuration.

Dans la barre de menus de la console de gestion, cliquez sur

Alertes

Pour sélectionner les colonnes que vous souhaitez afficher, faites défiler l‘écran vers la droite et cliquez sur Icône de sélection de colonne

Effectuez l‘une des opérations suivantes :

Tâche	Étapes
Filtrez et triez les groupes d‘alertes.	Cliquez sur sur une colonne et saisissez ou sélectionnez les critères de filtre. Vous pouvez effectuer l‘une des opérations suivantes : Appliquez plusieurs critères de filtre à la fois. Pour supprimer un filtre, cliquez sur le signe x en regard du filtre. Si vous souhaitez filtrer par classification, sous-classification, description ou indicateurs clés, effectuez l‘une des opérations suivantes : Pour trouver des correspondances exactes, cliquez sur > est égal à . Saisissez une valeur pour afficher les correspondances. Cliquez sur jusqu‘à 5 correspondances en vue de les ajouter à la liste de filtrage, puis cliquez sur Appliquer . Pour rechercher des correspondances contenant la valeur spécifiée, cliquez sur > contient . Saisissez une ou plusieurs valeurs (cliquez sur pour ajouter des valeurs supplémentaires). Cliquez sur Apply (Appliquer). Lorsque vous affichez les résultats, vous pouvez cliquer sur le filtre qui figure en haut de l‘écran pour ajouter ou supprimer des critères de filtre. Si vous filtrez par Nombre , cliquez sur pour obtenir des options supplémentaires (supérieur à, inférieur à, etc.). Filtrez par Produit pour appliquer les résultats à des services Cylance Endpoint Security spécifiques. Filtrez par Temps de détection pour appliquer les résultats à une plage de dates et d‘heures spécifique. Pour trier les groupes d‘alertes dans l‘ordre croissant ou décroissant en fonction d‘une colonne, cliquez sur le nom de celle-ci (le cas échéant).
Affichez les détails des indicateurs clés d‘un groupe d‘alertes et filtrez les groupes d‘alertes par type ou valeur d‘indicateur clé.	Passez le curseur sur une icône d‘indicateur clé pour connaitre le type d‘objet ou d‘évènement. Cliquez sur une icône pour afficher les détails. Le cas échéant, pour afficher le texte complet d‘une valeur de chaine tronquée, passez le curseur dessus et cliquez sur . Le cas échéant, pour copier une valeur, passez le curseur dessus et cliquez sur . Pour filtrer les groupes d‘alertes en fonction d‘un indicateur clé, placez le pointeur de la souris dessus, puis cliquez sur .
Affichez les détails d‘un groupe d‘alertes et d‘alertes individuelles.	Cliquez sur un groupe d‘alertes. Pour afficher les détails d‘indicateurs clés associés au groupe, dans le volet de gauche, cliquez sur Indicateurs clés . Développez les indicateurs clés pour examiner les détails et afficher les relations entre les objets déclencheurs et cibles. Cette vue affiche un ensemble unique d‘indicateurs clés associés à des évènements spécifiques (fichiers, utilisateurs, exécutables, processus, etc.). Par exemple, vous pouvez afficher un objet de processus parent ou un fichier exécutable qui est le processus à l‘origine d‘un processus enfant. Les évènements ou objets au même niveau sont considérés comme des éléments frères sous le même parent. Si besoin, vous pouvez passer le curseur sur les valeurs et cliquer sur pour afficher les chaines de texte intégral ou sur pour copier la valeur. Pour les alertes de terminaux individuelles, effectuez l‘une des opérations suivantes : Triez et filtrez les informations d‘alerte. Modifiez l‘état des alertes. Reportez-vous à la section Changements d'état pour les alertes. Attribuez les alertes à un utilisateur. Ajoutez ou modifiez les libellés des alertes. Pour ouvrir le panneau de détails d‘une alerte individuelle, cliquez sur celle-ci. Effectuez l‘une des opérations suivantes : Le cas échéant, vous pouvez cliquer sur Détails de détection pour afficher d‘autres détails et actions dans d‘autres zones de la console (par exemple, dans la vue Détections de CylanceOPTICS). Le lien Détails de détection reste actif pendant 60 jours pour les alertes de menace CylancePROTECT Desktop et pendant 30 jours pour les autres types d‘alertes. Développez les artéfacts associés à l‘alerte pour examiner les détails et afficher les relations entre les objets et évènements déclencheurs et cibles. L‘ensemble complet des objets associés à une règle de détection est inclus dans la vue des artéfacts. Si besoin, vous pouvez passer le curseur sur les valeurs et cliquer sur pour afficher les chaines de texte intégral ou sur pour copier la valeur.
Vous pouvez ajouter un fichier à la liste sécurisée globale CylancePROTECT Desktop ou à la liste de quarantaine globale ou l‘en supprimer.	Cliquez sur un groupe d‘alertes contenant des alertes de menace CylancePROTECT Desktop . Cliquez sur Actions > Gérer la liste globale . Le hachage SHA256 du fichier associé aux alertes de menace s‘affiche. Une notification est fournie si le fichier figure déjà dans la liste sécurisée globale ou dans la liste de quarantaine globale. Sélectionnez l‘action appropriée pour ajouter le fichier dans la liste sécurisée globale ou dans la liste de quarantaine globale, ou pour ou l‘en supprimer. Si le fichier figure déjà dans la liste de sécurité globale ou dans la liste de quarantaine globale, vous pouvez le déplacer vers l‘autre liste. Si vous ajoutez le fichier à la liste de sécurité globale, cliquez sur la catégorie appropriée dans la liste déroulante Catégorie . Si vous ajoutez le fichier à une liste, saisissez-en le motif. Cliquez sur Enregistrer . Les modifications sont appliquées à la liste sécurisée ou de quarantaine appropriée. Le groupe d‘alertes n‘a pas été modifié dans la vue Alertes.
Modifiez l‘état des groupes d‘alertes.	Effectuez l‘une des opérations suivantes : Pour modifier l‘état d‘un groupe d‘alertes, dans la liste déroulante État , cliquez sur l‘état approprié. Pour modifier l‘état de plusieurs groupes d‘alertes, sélectionnez-les, cliquez sur Modifier l‘état , cliquez sur l‘état approprié, puis cliquez sur Appliquer . Reportez-vous à la section Changements d'état pour les alertes.
Attribuez des groupes d‘alertes à un utilisateur.	Effectuez l‘une des opérations suivantes : Pour attribuer un groupe d‘alertes à un utilisateur, dans la colonne Destinataire , cliquez sur +, recherchez un utilisateur et cliquez dessus, puis cliquez sur Attribuer . Pour attribuer plusieurs groupes d‘alertes à un utilisateur, sélectionnez-les, cliquez sur Attribuer une alerte , recherchez et sélectionnez un utilisateur, puis cliquez sur Attribuer .
Ajoutez ou modifiez le libellé des groupes d‘alertes.	Vous pouvez ajouter des libellés personnalisés aux groupes d‘alertes pour fournir des notes ou des rappels, ou des critères de filtre. Pour afficher les libellés, vous devez activer l‘affichage de la colonne Libellés. Sélectionnez un ou plusieurs groupes d‘alertes. Cliquez sur Modifier les libellés . Saisissez un libellé et appuyez sur la touche ENTRÉE ou recherchez et sélectionnez un libellé existant. Cliquez sur Apply (Appliquer). Pour supprimer un libellé, cliquez dessus, cliquez sur l‘icône x, puis cliquez sur Appliquer .
Exportez des données d‘alerte au format .CSV.	Effectuez l‘une des opérations suivantes : Pour exporter les détails de tous les groupes d‘alertes, cliquez sur . Pour exporter les détails de toutes les alertes d‘un groupe, cliquez sur un groupe d‘alertes, puis sur .
Supprimez les groupes d‘alertes.	Sélectionnez un ou plusieurs groupes d‘alertes. Cliquez sur Supprimer . Cliquez à nouveau sur Supprimer pour confirmer.

Section:

Gestion des alertes sur les services Cylance Endpoint Security

Changements d'état pour les alertes