Afficher et gérer les alertes agrégées
Vérifiez que votre rôle d‘administrateur dispose des autorisations requises pour utiliser la vue Alertes. L‘autorisation Afficher les alertes fournit un accès en lecture seule à la vue Alertes. Vous devez disposer des autorisations Modifier les alertes et Supprimer les alertes pour apporter des modifications aux groupes d‘alertes et aux alertes individuelles dans cette vue. Pour utiliser la vue Alertes afin d‘ajouter un fichier des alertes de menace
CylancePROTECT Desktop
à la liste sécurisée globale ou à la liste de quarantaine globale, ou de supprimer un fichier de ces listes, votre rôle nécessite les autorisations associées à la liste globale en question. Pour en savoir plus, consultez la section Configuration des administrateurs dans le contenu relatif à la configuration.- Dans la barre de menus de la console de gestion, cliquez surAlertes.Pour sélectionner les colonnes que vous souhaitez afficher, faites défiler l‘écran vers la droite et cliquez sur .
- Effectuez l‘une des opérations suivantes :TâcheÉtapesFiltrez et triez les groupes d‘alertes.
- Cliquez sur sur une colonne et saisissez ou sélectionnez les critères de filtre. Vous pouvez effectuer l‘une des opérations suivantes :
- Appliquez plusieurs critères de filtre à la fois. Pour supprimer un filtre, cliquez sur le signe x en regard du filtre.
- Si vous souhaitez filtrer par classification, sous-classification, description ou indicateurs clés, effectuez l‘une des opérations suivantes :
- Pour trouver des correspondances exactes, cliquez sur >est égal à. Saisissez une valeur pour afficher les correspondances. Cliquez sur jusqu‘à 5 correspondances en vue de les ajouter à la liste de filtrage, puis cliquez surAppliquer.
- Pour rechercher des correspondances contenant la valeur spécifiée, cliquez sur >contient. Saisissez une ou plusieurs valeurs (cliquez sur pour ajouter des valeurs supplémentaires). Cliquez surApply(Appliquer).
Lorsque vous affichez les résultats, vous pouvez cliquer sur le filtre qui figure en haut de l‘écran pour ajouter ou supprimer des critères de filtre. - Si vous filtrez parNombre, cliquez sur pour obtenir des options supplémentaires (supérieur à, inférieur à, etc.).
- Filtrez parProduitpour appliquer les résultats à des servicesCylance Endpoint Securityspécifiques.
- Filtrez parTemps de détectionpour appliquer les résultats à une plage de dates et d‘heures spécifique.
- Pour trier les groupes d‘alertes dans l‘ordre croissant ou décroissant en fonction d‘une colonne, cliquez sur le nom de celle-ci (le cas échéant).
Affichez les détails des indicateurs clés d‘un groupe d‘alertes et filtrez les groupes d‘alertes par type ou valeur d‘indicateur clé.- Passez le curseur sur une icône d‘indicateur clé pour connaitre le type d‘objet ou d‘évènement. Cliquez sur une icône pour afficher les détails.
- Le cas échéant, pour afficher le texte complet d‘une valeur de chaine tronquée, passez le curseur dessus et cliquez sur .
- Le cas échéant, pour copier une valeur, passez le curseur dessus et cliquez sur .
- Pour filtrer les groupes d‘alertes en fonction d‘un indicateur clé, placez le pointeur de la souris dessus, puis cliquez sur .
Affichez les détails d‘un groupe d‘alertes et d‘alertes individuelles.- Cliquez sur un groupe d‘alertes.
- Dans le volet de gauche, faites défiler vers le bas pour afficher les relations entre les objets déclencheurs et cibles. Cette vue affiche un ensemble unique d‘indicateurs clés associés à des évènements spécifiques (fichiers, utilisateurs, exécutables, processus, etc.).
- Dans le volet de gauche, faites défiler vers le bas pour afficher les relations entre les objets déclencheurs et cibles. Cette vue affiche un ensemble unique d‘indicateurs clés associés à des évènements spécifiques (fichiers, utilisateurs, exécutables, processus, etc.).Par exemple, vous pouvez afficher un objet de processus parent ou un fichier exécutable qui est le processus à l‘origine d‘un processus enfant. Les évènements ou objets au même niveau sont considérés comme des éléments frères sous le même parent.Si besoin, vous pouvez passer le curseur sur les valeurs et cliquer sur pour afficher les chaines de texte intégral ou sur pour copier la valeur. Pour les artefacts de processus, cliquez sur pour générer une analyse par l‘Cylance Assistant. Pour plus d‘informations, reportez-vous à Utiliser Cylance Assistant optimisé par l‘IA pour examiner les alertes.
- Pour les alertes de terminaux individuelles, effectuez l‘une des opérations suivantes :
- Triez et filtrez les informations d‘alerte.
- Modifiez l‘état des alertes. Reportez-vous à la section Changements d'état pour les alertes.
- Attribuez les alertes à un utilisateur.
- Ajoutez ou modifiez les libellés des alertes.
- Pour ouvrir le panneau de détails d‘une alerte individuelle, cliquez sur celle-ci. Effectuez l‘une des opérations suivantes :
- Le cas échéant, vous pouvez cliquer surDétails de détectionpour afficher d‘autres détails et actions dans d‘autres zones de la console (par exemple, dans la vue Détections de CylanceOPTICS). Le lien Détails de détection reste actif pendant 60 jours pour les alertes de menaceCylancePROTECT Desktopet pendant 30 jours pour les autres types d‘alertes.
- Développez les artéfacts associés à l‘alerte pour examiner les détails et afficher les relations entre les objets et évènements déclencheurs et cibles. L‘ensemble complet des objets associés à une règle de détection est inclus dans la vue des artéfacts.Si besoin, vous pouvez passer le curseur sur les valeurs et cliquer sur pour afficher les chaines de texte intégral ou sur pour copier la valeur. Pour les artefacts de processus, cliquez sur pour générer une analyse par l‘Cylance Assistant. Pour plus d‘informations, reportez-vous à Utiliser Cylance Assistant optimisé par l‘IA pour examiner les alertes.
Demande de prise en charge deCylanceMDRCette fonction est disponible pour les abonnementsCylanceMDRà la demande uniquement.Si vous avez observé une alerte qui vous semble suspecte et que vous souhaitez que la menace soit analysée par un expert, vous pouvez demander de l‘aide à un analysteCylanceMDR. L‘alerte sera transmise à un analyste pour enquête. Vous pouvez utiliser le portailCylanceMDR(CylanceGUARD) pour communiquer avec l‘analyste au sujet de l‘alerte transmise à partir de l‘écran Escalades. Par exemple, il peut vous être demandé de fournir des détails supplémentaires sur l‘alerte.- Cliquez sur un groupe d‘alertes contenant des alertes de menaceCylancePROTECT Desktop.
- Dans le volet de droite, cliquez sur le boutonAssistance CylanceMDR.
- Cliquez surDemande d‘assistancepour confirmer que vous souhaitez transmettre l‘alerte à un analyste.
- Effectuez un suivi de la demande via le portailCylanceMDR(CylanceGUARD). Voir la documentationCylanceMDR
Si vous souhaitez bénéficier d‘une surveillance des menaces 24 h/24, 7 j/7, envisagez des abonnementsCylanceMDRStandard ou Avancé. Pour plus d‘informations, reportez-vous à la présentation deCylanceMDR.Alertes de menaceCylancePROTECT Desktop: ajoutez un fichier à la liste sécurisée globale ou à la liste de quarantaine globale ou le supprimer.- Cliquez sur un groupe d‘alertes contenant des alertes de menaceCylancePROTECT Desktop.
- Cliquez surActions > Gérer la liste globale.Le hachage SHA256 du fichier associé aux alertes de menace s‘affiche. Une notification est fournie si le fichier figure déjà dans la liste sécurisée globale ou dans la liste de quarantaine globale.
- Sélectionnez l‘action appropriée pour ajouter le fichier dans la liste sécurisée globale ou dans la liste de quarantaine globale, ou pour ou l‘en supprimer. Si le fichier figure déjà dans la liste de sécurité globale ou dans la liste de quarantaine globale, vous pouvez le déplacer vers l‘autre liste.
- Si vous ajoutez le fichier à la liste de sécurité globale, cliquez sur la catégorie appropriée dans la liste déroulanteCatégorie.
- Si vous ajoutez le fichier à une liste, saisissez-en le motif.
- Cliquez surEnregistrer.
Les modifications sont appliquées à la liste sécurisée ou de quarantaine appropriée. Le groupe d‘alertes n‘a pas été modifié dans la vue Alertes.Modifiez l‘état des groupes d‘alertes.Effectuez l‘une des opérations suivantes :- Pour modifier l‘état d‘un groupe d‘alertes, dans la liste déroulanteÉtat, cliquez sur l‘état approprié.
- Pour modifier l‘état de plusieurs groupes d‘alertes, sélectionnez-les, cliquez surModifier l‘état, cliquez sur l‘état approprié, puis cliquez surAppliquer.
Reportez-vous à la section Changements d'état pour les alertes.Attribuez des groupes d‘alertes à un utilisateur.Effectuez l‘une des opérations suivantes :- Pour attribuer un groupe d‘alertes à un utilisateur, dans la colonneDestinataire, cliquez sur +, recherchez un utilisateur et cliquez dessus, puis cliquez surAttribuer.
- Pour attribuer plusieurs groupes d‘alertes à un utilisateur, sélectionnez-les, cliquez surAttribuer une alerte, recherchez et sélectionnez un utilisateur, puis cliquez surAttribuer.
Ajoutez ou modifiez le libellé des groupes d‘alertes.Vous pouvez ajouter des libellés personnalisés aux groupes d‘alertes pour fournir des notes ou des rappels, ou des critères de filtre. Pour afficher les libellés, vous devez activer l‘affichage de la colonne Libellés.- Sélectionnez un ou plusieurs groupes d‘alertes.
- Cliquez surModifier les libellés.
- Saisissez un libellé et appuyez sur la touche ENTRÉE ou recherchez et sélectionnez un libellé existant.
- Cliquez surApply(Appliquer).
Pour supprimer un libellé, cliquez dessus, cliquez sur l‘icône x, puis cliquez surAppliquer.Exportez les données d‘alerte.Effectuez l‘une des opérations suivantes :- Pour exporter les détails de tous les groupes d‘alertes, cliquez sur . Saisissez le nom du fichier et saisissez et cliquez surExporter.
- Pour exporter les détails de toutes les alertes d‘un groupe, cliquez sur un groupe d‘alertes, puis sur . Saisissez le nom du fichier et saisissez et cliquez surExporter.
Supprimez les groupes d‘alertes.- Sélectionnez un ou plusieurs groupes d‘alertes.
- Cliquez surSupprimer.
- Cliquez à nouveau surSupprimerpour confirmer.
Supprimer des groupes d‘alertes des résultats filtrés- Filtrez les groupes d‘alertes selon les critères appropriés.
- Effectuez l‘une des opérations suivantes :
- Pour supprimer tous les groupes d‘alertes des résultats filtrés, cochez la case en haut à gauche et cliquez surTout supprimer. Cliquez à nouveau surTout supprimerpour confirmer.
- Pour supprimer des groupes d‘alertes spécifiques des résultats filtrés, sélectionnez les groupes d‘alertes et cliquez surSupprimer. Cliquez à nouveau surSupprimerpour confirmer.