Seqrite XDR 3.0

Visualizzazione dell'endpoint

Stampa Friendly, PDF e Email

Navigazione verso Endpoint View

  1. Nella pagina Incidenti, nella tabella Incidenti, fare clic su Vedi DettagliNel riquadro di destra viene visualizzato il Riepilogo dell'incidente.
  1. Scorri il riepilogo finché non appare il titolo ENDPOINTS AND USERS. Puoi visualizzare il nome dell'endpoint.
  1. Fare clic sul nome dell'endpoint.

La vista dell'endpoint appare sulla pagina. Il nome dell'endpoint appare sulla riga più in alto.

List View

La visualizzazione elenco è la visualizzazione predefinita. Elenco, Cronologia e Correlazione sono le 3 visualizzazioni disponibili.

Viene mostrato il conteggio totale degli avvisi. Puoi selezionare una delle seguenti opzioni per visualizzare il conteggio e l'elenco:

  • Tutti gli avvisi
  • Avvisi associati
  • Avvisi non associati

Vengono visualizzati i conteggi degli avvisi in base al seguente livello di gravità.

  • Alta
  • Medio
  • Basso
  • Tavola XY

La gravità viene visualizzata anche nel codice colore.

Nella tabella seguente vengono descritti i campi che è possibile visualizzare nella tabella nella vista Elenco.

Settore Description
NOME DELL'ALLERTA Visualizza il nome dell'avviso.
TIPO DI AVVISO Visualizza uno dei seguenti tipi di avviso:

Custom

Avvisi associati

Avvisi non associati
FONTE Visualizza la fonte dell'avviso
GRAVITÀ Visualizza uno dei seguenti livelli di gravità:

Alta

Medio

Basso

Tavola XY
TATTICHE Mostra le tattiche dell'allerta
CREATO IL Visualizza l'ora e la data in cui è stato creato l'avviso corrente.

È possibile ordinare l'elenco visualizzato in base alla data di creazione degli avvisi, dal più recente al più vecchio.

Azione

Combina con l'incidente attuale

  1. Fai clic sul cursore vicino al conteggio degli Incidenti attivi nel riquadro Riepilogo. Viene visualizzata la finestra di dialogo Altri incidenti associati all'endpoint.
  1. Nella scheda Incidente attivo, viene visualizzato l'elenco degli incidenti attivi. Seleziona l'incidente che vuoi combinare con l'incidente corrente cliccando sulla rispettiva casella di controllo.
  1. Clicchi Combina con l'incidente attualeViene visualizzata la finestra di dialogo di conferma.
  1. Clicchi Combinare.

Il messaggio di successo appare quando l'incidente viene combinato.

Associare all'incidente

  1. Seleziona l'opzione Avvisi non associati. Appare l'elenco degli avvisi non associati.
  1. Selezionare l'avviso che si desidera associare all'incidente cliccando sulla rispettiva casella di controllo. Associare all'incidente il pulsante è abilitatoled.
  1. Clicca su Associato all'incidente. Viene visualizzata la finestra di dialogo Seleziona incidente.
  1. Seleziona un incidente a cui vuoi associare questi avvisi di base. Puoi cercare l'incidente per nome o ID nell'elenco.
  2. Clicchi Associato all'incidente.

Azioni di bonifica

Se durante l'analisi degli avvisi si rileva che un endpoint sta eseguendo un malware, è possibile eseguire le seguenti azioni correttive su tale endpoint.

La funzionalità di isolamento e ripristino degli endpoint consente a IR di isolare l'endpoint dalla rete quando esegue un malware, per garantire che il malware non si diffonda ad altri endpoint.

Quando l'endpoint è isolato, IR esegue un'indagine e risolve i problemi di sicurezza. Una volta che l'endpoint è pulito, IR può riconnettere l'endpoint a Internet.

  • Isolare: Questa azione isolerà l'endpoint dalla rete. Questa azione garantirà che il malware non si diffonda nella rete. Questa opzione è disponibile solo se l'endpoint è infetto. Dopo l'isolamento, IR esegue un'indagine e risolve i problemi di sicurezza.
  • ricollegare : Questa azione ricollegherà l'endpoint alla rete. Una volta che l'endpoint è pulito, IR può ricollegare l'endpoint alla rete con questa azione. Questa opzione è disponibile solo se l'endpoint è isolato.

Selezione della durata della visualizzazione

È possibile visualizzare gli avvisi nei seguenti orari, giorni o fasce orarie settimanali o mensili:

  • Orario saggio
    • Ultima 1 ora
    • ore ultimi 3
    • ore ultimi 6
    • ore ultimi 12
    • ore ultimi 24
    • Oggi (da mezzanotte alle 12.00 AM)
  • Per quanto riguarda la giornata
    • Ultimi 7 giorni
    • Ultimi 15 giorni
    • Ultimi 30 giorni
  • Questa settimana (da domenica mezzanotte 12.00 AM)
  • Questo mese (dall'inizio del mese)

Opzione filtro

Utilizzo della visualizzazione filtro

Applica i filtri per restringere i criteri di ricerca per la visualizzazione degli avvisi. Puoi filtrare per Incidente e Tipo di incidente.

Vista della sequenza temporale

È possibile visualizzare il numero di avvisi in base alla gravità su una scala di data e ora. Il singolo avviso è rappresentato da un piccolo cerchio pieno e un cluster di avvisi generati contemporaneamente è rappresentato da un count+ in un cerchio.

Legenda del codice colore

Colore dei punti Attività correlata a
Giallo Processo
Viola Compila il
Blu Reti
Verde registro

Inoltre, puoi effettuare le seguenti operazioni:

Possiamo ingrandire e rimpicciolire usando il mouse. Possiamo regolare la finestra temporale, se ci sono più avvisi contemporaneamente, allora ci sarà un cerchio con un conteggio su questa vista, altrimenti sarà un cerchio pieno per un singolo avviso.

Inoltre, quando l'utente clicca su questo conteggio nel cerchio in questa vista, può vedere i dettagli nel pannello di destra.

Inoltre, quando l'utente clicca sul cerchio pieno in questa vista, può vedere i dettagli dell'avviso nel pannello di destra.

Quando l'utente clicca sul conteggio nel cerchio, sul pannello di destra vengono visualizzati tutti gli avvisi che si sono verificati nello stesso momento. L'utente può vedere ulteriori dettagli dell'avviso cliccando sul nome dell'avviso.

Inoltre, possiamo selezionare la visualizzazione della sequenza temporale per Giorno/Settimana o Mese dall'elenco nell'angolo in alto a destra.

Visualizzazione della correlazione

È possibile passare alla vista Correlazione per visualizzare tutti gli avvisi verificatisi negli ultimi 7, 15 o 30 giorni associati a un attributo Chiave.

Clicchi Correlazione scheda per visualizzare la relazione tra l'avviso e gli attributi Chiave.

Inoltre, possiamo visualizzare gli avvisi elencati in serie con nome, tipo, associazione e reputazione degli attributi chiave.

Tabella degli attributi chiave

Settore Description
NOME Nome dell'attributo chiave.
TIPO DI ATTRIBUTO Tipo di attributo chiave.
ASSOCIATO A Associato al numero di avvisi.
REPUTAZIONE

 

 Reputazione dell'attributo chiave.

Interrogazione in tempo reale

Qui è possibile eseguire query sugli endpoint selezionati per raccogliere informazioni a fini di analisi della sicurezza e di igiene IT.
Fare riferimento Interrogazione in tempo reale per ulteriori dettagli.

Note:
Quando fai clic sulla scheda "Live Query", vengono visualizzati i menu a discesa "Seleziona piattaforma" e "Seleziona host" menus non saranno visibili, poiché sono già stati compilatiled prima di raggiungere questa fase.

Utilizzo della vista filtro per gli attributi chiave

Applica i filtri per restringere i criteri di ricerca per la visualizzazione degli avvisi. Puoi filtrare per nome, tipo e reputazione degli Attributi chiave.

questa pagina è stata utile?
Si Non