Configuration des paramètres d’horodatage pour l’acquisition du triage

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Configurez et vérifiez les paramètres d’horodatage avant la procédure d’installation.

    Avant de commencer

    Rôle requis : administrateur d’incident de sécurité Now Platform (sn_si.admin)

    Avant d’installer l’application FireEye, vous devez effectuer certaines conditions préalables sur FireEye.

    L’acquisition du triage peut être demandée avec une entrée de champ « Autour de l’horodatage » ou « Standard ». Autour de l’horodatage demande des informations collectées pendant une durée spécifiée avant l’horodatage jusqu’à une durée spécifiée après l’horodatage. L’horodatage correspond à l’heure à laquelle l’événement qui a généré l’alerte s’est produit. Si vous sélectionnez Standard, l’appliance Endpoint Security demande des informations à l’hôte pour toutes les données relatives à un événement.

    Lorsqu’un utilisateur d’Endpoint Security demande une collecte de triage basée sur une date et une heure spécifiques, l’agent renvoie des informations pour une plage de temps spécifiée avant et après l’alerte. Les paramètres d’horodatage contrôlent la longueur de la fenêtre pour la collecte de triage. Les paramètres d’horodatage s’appliquent uniquement aux événements d’URL d’agent (événements de surveillance d’URL) et de clé de registre (événements de clé réglementaire).

    Vous pouvez utiliser l’onglet Paramètres d’horodatage pour spécifier la durée avant et après l’horodatage pendant laquelle les informations sont collectées. Les paramètres d’horodatage peuvent être compris entre 0 et 86 400 secondes. La valeur par défaut pour les deux paramètres est de 600 secondes.

    Vous pouvez utiliser l’onglet Paramètres d’horodatage de la page Paramètres de triage automatique pour spécifier la durée avant et après l’horodatage pendant laquelle les informations sont collectées. L’horodatage correspond à l’heure à laquelle l’événement qui a déclenché l’alerte s’est produit.

    Procédure

    1. Accédez à la Interface utilisateur Web de la sécurité du point de terminaison.
    2. Sélectionner Administrateur > Paramètres de triage.
    3. Cliquer sur Paramètres d’horodatage de l’onglet Paramètres de triage automatique la page.
    4. Spécifiez la durée avant et après l’horodatage pour laquelle les informations sont nécessaires.
    5. Entrez le nombre de secondes avant l’horodatage spécifié pour lequel les informations sont nécessaires.
    6. Entrez le nombre de secondes après l’horodatage pendant lesquelles les informations sont nécessaires.
    7. Cliquer sur Enregistrer.
      Remarque :
      Vous pouvez rétablir les paramètres par défaut de toutes les valeurs de la page en cliquant sur Rétablir les valeurs par défaut, puis en cliquant sur Enregistrer.
      • Zone d’espace d’acquisition: la page Acquisitions indique la quantité d’espace disque restante pour les acquisitions.
      • Définition de limites d’utilisation du disque pour les acquisitions :
        • Les triages, les acquisitions de fichiers et les acquisitions de données peuvent s’accumuler au fil du temps et utiliser une quantité croissante d’espace disque. Pour contrôler cela, vous pouvez leur allouer un certain nombre d’espace disque. Dix pour cent de l’espace disque que vous spécifiez est réservé aux acquisitions automatiques de triage. Lorsque l’espace d’acquisition total alloué est dépassé, les triages automatiques les plus anciens sont supprimés.
        • Lorsque la taille totale du disque des acquisitions terminées dépasse une limite spécifiée, le dispositif Endpoint Security supprime les acquisitions terminées les plus anciennes jusqu’à ce que suffisamment d’espace disque soit libéré pour ramener le total sous la limite spécifiée. Les acquisitions qui ne sont pas encore finalisées ne sont pas concernées.
        • Le dispositif Endpoint Security supprime automatiquement les acquisitions si un administrateur, un analyste ou un enquêteur utilise l’interface utilisateur Web d’Endpoint Security pour supprimer manuellement l’agent associé.
        Pour définir des limites d’utilisation du disque pour des acquisitions complètes à l’aide de l’interface utilisateur Web :
      • Accédez à l’interface utilisateur Web de la sécurité des points de terminaison.
      • Sélectionner Limites d’utilisation du disque à partir de l' Administrateur menu.
      • Dans l' Limite d’espace d’acquisition , spécifiez la quantité maximale d’espace disque (en Go) qui peut être utilisée pour stocker le triage, les fichiers et les acquisitions de données. Les valeurs valides et les valeurs par défaut varient en fonction de votre modèle d’appliance Endpoint Security. Les valeurs appropriées pour votre modèle sont affichées sur la page Limites d’utilisation du disque.
      • Cliquer sur Enregistrer.
      Remarque :
      Tous les paramètres mentionnés sont respectés et en cas de défaillances ou d’erreurs, Now Platform renvoie simplement ces erreurs.