Configuration des paramètres d’horodatage pour l’acquisition du triage

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Configurez et vérifiez les paramètres d’horodatage avant la procédure d’installation.

    Avant de commencer

    Rôle requis : administrateur d’incident de sécurité NowPlatform (sn_si.admin)

    Avant d’installer l’application FireEye, vous devez remplir certaines conditions préalables sur FireEye.

    L’acquisition du triage peut être demandée avec une entrée de champ « Autour de l’horodatage » ou « Standard ». L’horodatage Around demande des informations collectées pendant une période spécifiée avant l’horodatage jusqu’à une durée spécifiée après l’horodatage. L’horodatage correspond à l’heure à laquelle l’événement qui a généré l’alerte s’est produit. Si vous sélectionnez Standard, l’appliance Endpoint Security demande des informations à l’hôte pour toutes les données relatives à un événement.

    Lorsqu’un utilisateur de Endpoint Security demande une collecte de triage basée sur une date et une heure spécifiques, l’agent renvoie les informations pour une fenêtre de temps spécifiée, avant et après l’alerte. Les paramètres d’horodatage contrôlent la longueur de la fenêtre pour la collection de triage. Les paramètres d’horodatage s’appliquent uniquement aux événements d’URL d’agent (événements de surveillance d’URL) et aux événements de clé de registre (événements de clé réglementaire).

    Vous pouvez utiliser l’onglet Paramètres d’horodatage pour spécifier la durée avant et après l’horodatage pendant laquelle les informations sont collectées. Les paramètres d’horodatage peuvent être compris entre 0 et 86 400 secondes. La valeur par défaut pour les deux paramètres est de 600 secondes.

    Vous pouvez utiliser l’onglet Paramètres d’horodatage de la page Paramètres de triage automatique pour spécifier la durée avant et après l’horodatage pendant laquelle les informations sont collectées. L’horodatage correspond à l’heure à laquelle l’événement ayant déclenché l’alerte s’est produit.

    Procédure

    1. Accédez à la Interface utilisateur Web de la sécurité du point de terminaison.
    2. Sélectionner Administrateur > Paramètres de triage.
    3. Cliquer sur Paramètres d’horodatage de l’onglet Paramètres de triage automatique la page.
    4. Spécifiez la durée avant et après l’horodatage pour laquelle les informations sont nécessaires.
    5. Entrez le nombre de secondes avant l’horodatage spécifié pour lequel les informations sont nécessaires.
    6. Entrez le nombre de secondes après l’horodatage pendant lequel les informations sont nécessaires.
    7. Cliquer sur Enregistrer.
      Remarque :
      Vous pouvez rétablir les paramètres par défaut de toutes les valeurs de la page en cliquant sur Rétablir les valeurs par défaut, puis sur Enregistrer.
      • Zone de l’espace d’acquisition: La page Acquisitions indique la quantité d’espace disque restante pour les acquisitions.
      • Définition des limites d’utilisation du disque pour les acquisitions :
        • Les triages, les acquisitions de fichiers et les acquisitions de données peuvent s’accumuler au fil du temps et utiliser de plus en plus d’espace disque. Pour contrôler cela, vous pouvez leur allouer une quantité définie d’espace disque. Dix pour cent de l’espace disque que vous spécifiez est réservé pour les acquisitions de triage automatiques. Lorsque l’espace d’acquisition total alloué est dépassé, les triages automatiques les plus anciens sont supprimés.
        • Lorsque la taille totale du disque des acquisitions terminées dépasse une limite spécifiée, l’appliance Endpoint Security supprime les acquisitions terminées les plus anciennes jusqu’à ce que suffisamment d’espace disque soit libéré pour ramener le total sous la limite spécifiée. Les acquisitions qui ne sont pas encore réalisées ne sont pas concernées.
        • Le dispositif Endpoint Security supprime automatiquement les acquisitions si un administrateur, un analyste ou un enquêteur utilise l’interface utilisateur Web d’Endpoint Security pour supprimer manuellement l’agent associé.
        Pour définir des limites d’utilisation du disque pour les acquisitions complètes à l’aide de l’interface utilisateur Web :
      • Accédez à l’interface utilisateur Web de Endpoint Security.
      • Sélectionner Limites d’utilisation du disque à partir de la Administrateur Menu.
      • Dans l' Limite d’espace d’acquisition , spécifiez la quantité maximale d’espace disque (en Go) pouvant être utilisée pour stocker le triage, les fichiers et les acquisitions de données. Les valeurs valides et les valeurs par défaut varient en fonction de votre modèle d’appliance Endpoint Security. Les valeurs appropriées pour votre modèle sont affichées sur la page Limites d’utilisation du disque.
      • Cliquer sur Enregistrer.
      Remarque :
      Tous les paramètres mentionnés sont respectés et en cas d’échecs ou d’erreurs, Now Platform renvoie simplement ces erreurs.