Afficher et gérer les alertes agrégées

Vérifiez que votre rôle d'administrateur dispose des autorisations requises pour utiliser la vue Alertes. L'autorisation Afficher les alertes fournit un accès en lecture seule à la vue Alertes. Vous devez disposer des autorisations Modifier les alertes et Supprimer les alertes pour apporter des modifications aux groupes d'alertes et aux alertes individuelles dans cette vue. Pour utiliser la vue Alertes afin d'ajouter un fichier des alertes de menace Aurora Protect Desktop à la liste sécurisée globale ou à la liste de quarantaine globale, ou de supprimer un fichier de ces listes, votre rôle nécessite les autorisations associées à la liste globale en question. Pour en savoir plus, consultez la section Configuration des administrateurs dans le contenu relatif à la configuration.
  1. Dans la barre de menus de la console de gestion, cliquez sur Alertes.
    Pour sélectionner les colonnes que vous souhaitez afficher, faites défiler l'écran vers la droite et cliquez sur Icône de sélection de colonne.
  2. Effectuez l'une des opérations suivantes :

    Tâche

    Étapes

    Filtrez et triez les groupes d'alertes.
    1. Cliquez sur Icône de filtrage de colonne dans une colonne et saisissez ou sélectionnez les critères de filtre. Vous pouvez effectuer l'une des opérations suivantes :
      • Appliquez plusieurs critères de filtre à la fois. Pour supprimer un filtre, cliquez sur le signe x en regard du filtre.
      • Si vous souhaitez filtrer par classification, sous-classification, description ou indicateurs clés, effectuez l'une des opérations suivantes :
        • Pour trouver des correspondances exactes, cliquez sur Icône Paramètres > est égal à. Saisissez une valeur pour afficher les correspondances. Cliquez sur jusqu'à 5 correspondances en vue de les ajouter à la liste de filtrage, puis cliquez sur Appliquer.
        • Pour rechercher des correspondances contenant la valeur spécifiée, cliquez sur Icône Paramètres > contient. Saisissez une ou plusieurs valeurs (cliquez sur Ajouter icône pour ajouter des valeurs supplémentaires). Cliquez sur Apply (Appliquer).

        Lorsque vous affichez les résultats, vous pouvez cliquer sur le filtre qui figure en haut de l'écran pour ajouter ou supprimer des critères de filtre.

      • Si vous filtrez par Nombre, cliquez sur Icône Paramètres pour obtenir des options supplémentaires (supérieur à, inférieur à, etc.).
      • Filtrez par Produit pour appliquer les résultats à des services Aurora Endpoint Security spécifiques.
      • Filtrez par Temps de détection pour appliquer les résultats à une plage de dates et d'heures spécifique.
    2. Pour trier les groupes d'alertes dans l'ordre croissant ou décroissant en fonction d'une colonne, cliquez sur le nom de celle-ci (le cas échéant).

    Affichez les détails des indicateurs clés d'un groupe d'alertes et filtrez les groupes d'alertes par type ou valeur d'indicateur clé.
    1. Passez le curseur sur une icône d'indicateur clé pour connaitre le type d'objet ou d'évènement. Cliquez sur une icône pour afficher les détails.
    2. Le cas échéant, pour afficher le texte complet d'une valeur de chaine tronquée, passez le curseur dessus et cliquez sur Icône Afficher.
    3. Le cas échéant, pour copier une valeur, passez le curseur dessus et cliquez sur Icône Copier.
    4. Pour filtrer les groupes d'alertes en fonction d'un indicateur clé, placez le pointeur de la souris dessus, puis cliquez sur Icône Filtrer.

    Affichez les détails d'un groupe d'alertes et d'alertes individuelles.
    1. Cliquez sur un groupe d'alertes.
    2. Dans le volet de gauche, faites défiler vers le bas pour afficher les relations entre les objets déclencheurs et cibles. Cette vue affiche un ensemble unique d'indicateurs clés associés à des évènements spécifiques (fichiers, utilisateurs, exécutables, processus, etc.).

      Par exemple, vous pouvez afficher un objet de processus parent ou un fichier exécutable qui est le processus à l'origine d'un processus enfant. Les évènements ou objets au même niveau sont considérés comme des éléments frères sous le même parent.

      Si besoin, vous pouvez passer le curseur sur les valeurs et cliquer sur Icône Afficher pour afficher les chaines de texte intégral ou sur Icône Copier pour copier la valeur. Pour les artefacts de processus et de script, cliquez sur L'icône Assistant Cylance. pour générer une analyse par l'Aurora Security Assistant. Pour plus d'informations, reportez-vous à Utiliser Aurora Security Assistant optimisé par l'IA pour examiner les alertes.

    3. Pour les alertes de terminaux individuelles, effectuez l'une des opérations suivantes :
      • Triez et filtrez les informations d'alerte.
      • Modifiez l'état des alertes. Reportez-vous à la section Changements d'état pour les alertes.
      • Attribuez les alertes à un utilisateur.
      • Ajoutez ou modifiez les libellés des alertes.
    4. Pour ouvrir le panneau de détails d'une alerte individuelle, cliquez sur celle-ci. Effectuez l'une des opérations suivantes :
      • Le cas échéant, vous pouvez cliquer sur Détails de détection pour afficher d'autres détails et actions dans d'autres zones de la console (par exemple, dans la vue Détections de Aurora Focus). Le lien Détails de détection reste actif pendant 60 jours pour les alertes de menace Aurora Protect Desktop et pendant 30 jours pour les autres types d'alertes.
      • Développez les artéfacts associés à l'alerte pour examiner les détails et afficher les relations entre les objets et évènements déclencheurs et cibles. L'ensemble complet des objets associés à une règle de détection est inclus dans la vue des artéfacts.

        Si besoin, vous pouvez passer le curseur sur les valeurs et cliquer sur Icône Afficher pour afficher les chaines de texte intégral ou sur Icône Copier pour copier la valeur. Pour les artefacts de processus et de script, cliquez sur L'icône Assistant Cylance. pour générer une analyse par l'Aurora Security Assistant. Pour plus d'informations, reportez-vous à Utiliser Aurora Security Assistant optimisé par l'IA pour examiner les alertes.

    Demande de prise en charge de Aurora Managed Endpoint Defense

    Cette fonction est disponible pour les abonnements Aurora Managed Endpoint Defense à la demande uniquement.

    Si vous avez observé une alerte qui vous semble suspecte et que vous souhaitez que la menace soit analysée par un expert, vous pouvez demander de l'aide à un analyste Aurora Managed Endpoint Defense. L'alerte sera transmise à un analyste pour enquête. Vous pouvez utiliser le portail Aurora Managed Endpoint Defense pour communiquer avec l'analyste au sujet de l'alerte transmise à partir de l'écran Escalades. Par exemple, il peut vous être demandé de fournir des détails supplémentaires sur l'alerte.

    1. Cliquez sur un groupe d'alertes contenant des alertes de menace Aurora Protect Desktop.
    2. Dans le volet de droite, cliquez sur le bouton Assistance CylanceMDR.
    3. Cliquez sur Demande d'assistance pour confirmer que vous souhaitez transmettre l'alerte à un analyste.
    4. Effectuez un suivi de la demande via le portail Aurora Managed Endpoint Defense (CylanceGUARD). Voir la documentation Aurora Managed Endpoint Defense

    Si vous souhaitez bénéficier d'une surveillance des menaces 24 h/24, 7 j/7, envisagez des abonnements Aurora Managed Endpoint Defense Standard ou Avancé. Pour plus d'informations, reportez-vous à la présentation de Aurora Managed Endpoint Defense.

    Alertes de menace Aurora Protect Desktop : ajoutez un fichier à la liste sécurisée globale ou à la liste de quarantaine globale ou le supprimer.
    1. Cliquez sur un groupe d'alertes contenant des alertes de menace Aurora Protect Desktop.
    2. Cliquez sur Actions > Gérer la liste globale.

      Le hachage SHA256 du fichier associé aux alertes de menace s'affiche. Une notification est fournie si le fichier figure déjà dans la liste sécurisée globale ou dans la liste de quarantaine globale.

    3. Sélectionnez l'action appropriée pour ajouter le fichier dans la liste sécurisée globale ou dans la liste de quarantaine globale, ou pour ou l'en supprimer. Si le fichier figure déjà dans la liste de sécurité globale ou dans la liste de quarantaine globale, vous pouvez le déplacer vers l'autre liste.
    4. Si vous ajoutez le fichier à la liste de sécurité globale, cliquez sur la catégorie appropriée dans la liste déroulante Catégorie.
    5. Si vous ajoutez le fichier à une liste, saisissez-en le motif.
    6. Cliquez sur Enregistrer.

    Les modifications sont appliquées à la liste sécurisée ou de quarantaine appropriée. Le groupe d'alertes n'a pas été modifié dans la vue Alertes.

    Modifiez l'état des groupes d'alertes.
    Effectuez l'une des opérations suivantes :
    • Pour modifier l'état d'un groupe d'alertes, dans la liste déroulante État, cliquez sur l'état approprié.
    • Pour modifier l'état de plusieurs groupes d'alertes, sélectionnez-les, cliquez sur Modifier l'état, cliquez sur l'état approprié, puis cliquez sur Appliquer.

    Reportez-vous à la section Changements d'état pour les alertes.

    Attribuez des groupes d'alertes à un utilisateur.
    Effectuez l'une des opérations suivantes :
    • Pour attribuer un groupe d'alertes à un utilisateur, dans la colonne Destinataire, cliquez sur +, recherchez un utilisateur et cliquez dessus, puis cliquez sur Attribuer.
    • Pour attribuer plusieurs groupes d'alertes à un utilisateur, sélectionnez-les, cliquez sur Attribuer une alerte, recherchez et sélectionnez un utilisateur, puis cliquez sur Attribuer.

    Ajoutez ou modifiez le libellé des groupes d'alertes.

    Vous pouvez ajouter des libellés personnalisés aux groupes d'alertes pour fournir des notes ou des rappels, ou des critères de filtre. Pour afficher les libellés, vous devez activer l'affichage de la colonne Libellés.

    1. Sélectionnez un ou plusieurs groupes d'alertes.
    2. Cliquez sur Modifier les libellés.
    3. Saisissez un libellé et appuyez sur la touche ENTRÉE ou recherchez et sélectionnez un libellé existant.
    4. Cliquez sur Apply (Appliquer).

    Pour supprimer un libellé, cliquez dessus, cliquez sur l'icône x, puis cliquez sur Appliquer.

    Exportez les données d'alerte.
    Effectuez l'une des opérations suivantes :
    • Pour exporter les détails de tous les groupes d'alertes, cliquez sur Icône Exporter. Saisissez le nom du fichier et saisissez et cliquez sur Exporter.
    • Pour exporter les détails de toutes les alertes d'un groupe, cliquez sur un groupe d'alertes, puis sur Icône Exporter. Saisissez le nom du fichier et saisissez et cliquez sur Exporter.

    Supprimez les groupes d'alertes.
    1. Sélectionnez un ou plusieurs groupes d'alertes.
    2. Cliquez sur Supprimer.
    3. Cliquez à nouveau sur Supprimer pour confirmer.

    Supprimer des groupes d'alertes des résultats filtrés
    1. Filtrez les groupes d'alertes selon les critères appropriés.
    2. Effectuez l'une des opérations suivantes :
      • Pour supprimer tous les groupes d'alertes des résultats filtrés, cochez la case en haut à gauche et cliquez sur Tout supprimer. Cliquez à nouveau sur Tout supprimer pour confirmer.
      • Pour supprimer des groupes d'alertes spécifiques des résultats filtrés, sélectionnez les groupes d'alertes et cliquez sur Supprimer. Cliquez à nouveau sur Supprimer pour confirmer.