Liste des incidents

Un incident représente une activité pertinente pour la sécurité détectée par NSX Network Detection and Response qui s'est produite sur le réseau surveillé. Un incident peut être constitué d'un événement unique ou d'un certain nombre d'événements qui ont été automatiquement corrélés et qui ont été déterminés comme étroitement liés. La liste des incidents affiche les incidents enregistrés avec leurs niveaux de menace correspondants.

Vous pouvez voir tous les incidents signalés qui ont été considérés comme critiques, ceux que vous devez surveiller ou ceux qui sont considérés comme des incidents dans votre réseau. Les incidents critiques doivent être gérés rapidement. L'échec de la gestion des incidents critiques est hautement à risque et augmente la probabilité que d'autres hôtes de votre réseau soient également compromis.

Les incidents que vous n'avez pas encore examinés sont marqués comme non lus, tandis que ceux que vous avez déjà examinés sont marqués comme lus. Vous avez la possibilité de sélectionner des incidents et d'effectuer des actions sur ceux-ci, telles que les marquer comme lus ou non lus. Vous pouvez également fermer ou ouvrir les incidents sélectionnés.

La zone de texte Recherche rapide au-dessus de la liste fournit une recherche rapide. Elle filtre les lignes de la liste, affichant uniquement les lignes qui ont du texte, dans n'importe quel champ, qui correspond à la chaîne de requête.

Utilisez le menu déroulant SÉLECTIONNER pour une sélection ajustée. Ses options vous permettent de sélectionner Tous les incidents visibles ou Effacer la sélection. Vous pouvez également sélectionner des incidents Lu (page actuelle) ou Non lu (page actuelle). Vous pouvez également cliquer sur l'icône Modifier dans la ligne de titre pour sélectionner tous les messages visibles.

Utilisez le menu déroulant ACTION pour mettre à jour les incidents sélectionnés : Marquer comme lu, Marquer comme non lu, Fermer ou Ouvrir.

Personnalisez le nombre de lignes à afficher. La valeur par défaut est de 20 entrées. Utilisez les icônes et pour parcourir plusieurs pages.

Les colonnes à afficher dans la liste peuvent être personnalisées en cliquant sur l'icône contenu supplémentaire.

Chaque ligne est un résumé d'un incident. Cliquez sur l'icône Plus (ou n'importe où sur une ligne d'entrée) pour accéder aux détails de l'incident. Pour sélectionner une ligne de message, cliquez sur l'icône Modifier.

La liste est triée par Impact et inclut les colonnes suivantes.

Colonne	Description
Hôte	Hôte affecté par cet incident. Cette colonne affiche l'adresse IP, le nom d'hôte ou l'étiquette de l'hôte, en fonction de la fenêtre contextuelle Paramètres d'affichage actuels. Cliquez sur l'icône pour afficher la page Profil d'hôte, affichant des détails sur l'hôte. Cliquez sur l'icône pour trier la liste en fonction des informations de l'hôte.
Événements de détection	Nombre d’événements qui composent cet incident. Il s'agit d'un lien affichant un nombre d'événements et l'icône . Cliquer sur ce lien charge la page Événements, filtrée pour afficher uniquement les événements de cet incident. Cliquez sur l'icône pour trier la liste par événements.
Démarrer	Heure de début de l’incident. Cliquez sur l'icône pour trier la liste par heure de début.
Fin	Heure de fin de l’incident. Cliquez sur l'icône pour trier la liste en fonction de l'heure de fin.
Menace	Nom du risque de sécurité détecté. Cliquez sur l'icône pour trier la liste par menace.
Classe de menace	Nom de la classe de risque de sécurité détectée. Cliquez sur l'icône Trier pour trier la liste par classe de menace.
Impact	La valeur d’impact indique le niveau critique de la menace détectée et est comprise entre 1 et 100 : Les menaces de 70 ou plus sont considérées comme critiques. Les menaces comprises entre 30 et 69 sont considérées comme des risques moyens. Les menaces comprises entre 1 et 29 sont considérées comme inoffensives. Si l'icône stop s'affiche, elle indique que l'artefact a été bloqué. La liste est triée par ordre décroissant d'impact (la plupart des incidents critiques en haut). Cliquez sur l'icône pour trier la liste dans l'ordre croissant (incidents les moins critiques en haut), puis cliquez sur l'icône angle décroissant pour revenir à la valeur par défaut.

Détails de l’incident

Lorsque vous cliquez dans une ligne d'incident, la vue Détails de l'incident est développée dans la liste des incidents.

Il existe un certain nombre de boutons en haut des détails de l'incident :

Cliquez sur le bouton pour fermer l'incident.
Utilisez le menu déroulant Action pour effectuer une action sur l'incident :
- Si l'incident n'est pas encore fermé, sélectionnez Fermer l'incident . Sinon, sélectionnez Ouvrir l'incident.
- Si l'incident n'est pas encore lu, sélectionnez Marquer comme lu. Sinon, sélectionnez Marquer comme non lu.
- Sélectionnez Ignorer la menace. Les détails de la menace sont répertoriés dans l’élément de menu. La sélection de cet élément indique que la présence de cette menace particulière sur l'hôte n'est pas utile. Par conséquent, tous les incidents où cette menace est détectée sur cet hôte sont fermés automatiquement.
- Sélectionnez Marquer l'hôte <host> comme nettoyé. Le système indique que l'hôte impliqué dans l'incident est nettoyé. Par conséquent, tous les incidents sur cet hôte sont fermés.
Lorsque vous cliquez sur Afficher les détails de l'incident affiche le contenu de la page Profil d'accès dans un nouvel onglet du navigateur.
Cliquer sur Gérer les alertes lance la barre latérale Gérer les alertes. Utilisez cette fonctionnalité pour supprimer ou rétrograder les événements anodins associés à l'incident spécifié, tels que les incidents liés au test système ou au blocage. Pour plus d'informations, reportez-vous à la section Utilisation de la barre latérale Gérer les alertes.
Cliquez sur Marquer comme lu pour marquer l'incident. Le bouton bascule sur Marquer comme non lu, ce qui vous permet de restaurer son état de lecture.

Résumé de l’incident

La section supérieure fournit une présentation visuelle de la menace détectée et affiche son score d'impact.

Détails de l’incident

Le widget Détails de l’incident affiche des informations réseau détaillées sur l'incident. Il inclut les données suivantes.

Colonne	Description
IP source	Adresse IP de la source de l’incident. Cliquez sur pour afficher la page Activité de l'hôte. Cliquez sur l'icône pour afficher la source sur la page Analyse réseau.
Hôte source	S'il est disponible, le nom de domaine complet de la source de l'incident.
Événements	Nombre d’événements qui composent cet incident.
ID de l'incident	Lien permanent vers la page Profil de l'incident. Le lien s'ouvre dans un nouvel onglet/une nouvelle fenêtre du navigateur.
ID de campagne	Lien permanent vers la page des campagnes. Le lien s'ouvre dans un nouvel onglet du navigateur.
Impact	Score d’impact appliqué par le système à cet incident.
Heure de début	Horodatage du début de l’incident.
Heure de fin	Horodatage du dernier événement enregistré de l’incident.
État	Indique si l’incident a été fermé.

Preuve

Le widget Preuve lorsqu'il est développé affiche la liste des événements détectés par NSX Network Detection and Response.

Les colonnes à afficher dans la liste peuvent être personnalisées en cliquant sur l'icône .

Chaque ligne est un résumé d'une entrée de preuve et inclut les colonnes suivantes.

Colonne	Description
Première connexion	Horodatage de la première connexion de cet événement.
Dernière connexion	Horodatage de la dernière connexion de cet événement.
Menace	Nom du risque de sécurité détecté.
Classe de menace	Nom de la classe de risque de sécurité détectée.
Impact	Score d’impact appliqué à cet incident.
Preuve	Catégorie de preuve de cet incident. Le titre du bloc Détails de la preuve est dérivé du nom de la catégorie.
Sujet	L'artefact, généralement un fichier, en cours d'analyse.
Référence	Lien permanent vers la page d'événements. Le lien s'ouvre dans un nouvel onglet du navigateur.

Détails de la preuve

Cliquez sur l'icône (ou n'importe où sur une ligne d'entrée d'incident) pour afficher le bloc de détails de la preuve.

Le titre du bloc Détails de la preuve est dérivé du type de la preuve. Par exemple, preuve de réputation.

Cette section affiche des informations plus détaillées sur la preuve. Elle inclut les données suivantes.

Données	Description
Menace	Nom du risque de sécurité détecté.
Classe de menace	Nom de la classe de risque de sécurité détectée.
Impact	Score d’impact appliqué à cet incident.
Détecteur	S'il est présent, affiche le module NSX Network Detection and Response qui a identifié la menace. Cliquez sur le lien pour afficher la fenêtre contextuelle Détecteur. Reportez-vous à la section Fenêtre contextuelle Documentation du détecteur.
Afficher l’événement réseau	Lien permanent vers la page d'événements. Le lien s'ouvre dans un nouvel onglet du navigateur.
Afficher l’événement réseau	Lien permanent vers la page d'événements. Le lien s'ouvre dans un nouvel onglet du navigateur.
Première connexion	Horodatage de la première connexion de cet événement.
Dernière connexion	Horodatage de la dernière connexion de cet événement.
Gravité	Estimation de l'importance de la menace détectée. Par exemple, une connexion à un serveur Commande et contrôle est généralement considérée comme une gravité élevée, car la connexion est potentiellement nuisible.
Confiance	Indique la probabilité que la menace individuelle détectée soit potentiellement malveillante. Comme le système utilise des heuristiques avancés pour détecter des menaces inconnues, dans certains cas, la menace détectée peut avoir une valeur de confiance inférieure si le volume d'informations disponibles pour cette menace spécifique est limité.
Sujet	S'il est présent, affiche l'artefact, généralement un fichier, qui est en cours d'analyse.

Pour plus de détails, reportez-vous à la section À propos de la preuve.