Afficher le tableau de bord d’intégrité de Security Incident Response

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • La fonctionnalité de tableau de bord d’intégrité de Security Incident Response fournit une vue centralisée des aspects critiques liés à l’implémentation du processus de réponse aux incidents, aux problèmes/erreurs rencontrés et aux mesures des performances. Il s’agit d’un outil essentiel pour surveiller et optimiser l’efficacité des capacités de réponse aux incidents de sécurité d’une organisation.

    Avant de commencer

    Rôle requis : sn_si.admin, sn_si.analyst ou sn_si.analytics_read : afficher le tableau de bord.

    Pourquoi et quand exécuter cette tâche

    Vous pouvez surveiller l’intégrité des incidents de sécurité à l’aide des widgets et des graphiques de tendance de chaque application. Ces statistiques présentent un score d’intégrité complet détaillant l’état de configuration et l’efficacité du rattrapage au sein des applications SIR. Le tableau de bord Intégrité de Security Incident Response prend en charge les quatre onglets suivants :
    • Processus : cet onglet affiche un résumé de tous les incidents provenant de différents capteurs d’alerte regroupés chaque semaine.
    • Implémentation : cet onglet affiche les personnalisations que les clients effectuent dans leurs instances (includes de script, règles métier, flux et mises à niveau).
    • Problèmes/Erreurs : cet onglet affiche des widgets mettant en évidence les erreurs dans les processus d’intégration, les discordances lors de l’ingestion des données d’incident brutes, les erreurs HTTP sortantes dans les applications SIR et tout problème survenant lors de l’exécution des playbooks.
    • Performance : cet onglet affiche les problèmes de performances dans les applications SIR, notamment la lenteur des requêtes de performance, des règles métier et des scripts.

    Procédure

    1. Accédez à la Tout > Espaces de travail > Espace de travail Réponse aux incidents de sécurité.
    2. Sélectionnez l’icône Tableaux de bord SIR sur la page d’accueil de l’espace de travail SIR.
    3. Sélectionnez le tableau de bord Intégrité de Security Incident Response dans la liste déroulante.
    4. Sélectionnez l’onglet Processus pour afficher le nombre d’incidents de sécurité qui ont été déclenchés chaque semaine pour chaque capteur d’alerte du graphique.
      Figure 1. Onglet Processus
      Onglet Processus sur le tableau de bord d’intégrité SIR

      Vous pouvez effectuer les tâches suivantes :

      1. Sélectionnez un capteur d’alerte sur le graphique pour afficher les détails KPI du nombre d’incidents de sécurité déclenchés par les capteurs d’alerte en une semaine.
      2. Pour obtenir les détails des KPI d’une semaine particulière, utilisez l’option Calendrier .
      3. Pour comparer les incidents de sécurité déclenchés par le capteur d’alerte, sélectionnez l’option Comparer les enregistrements .
      4. Pour utiliser le type de graphique, les séries chronologiques ou l’analyse, sélectionnez les options de graphique.
    5. Sélectionnez l’onglet Implémentation pour afficher le nombre de personnalisations qui ont été créées pour les incidents de sécurité dans les applications Réponse aux incidents de sécurité.
      Figure 2. Onglet Implémentation
      Onglet Implémentation sur le tableau de bord d’intégrité SIR

      Onglet Implémentation :

      Vous pouvez afficher le tableau de bord agrégé correspondant au nombre de personnalisations créées pour chaque application Incident Response.
      • Includes de script personnalisés : ce widget affiche le nombre de scripts personnalisés qui ont été ajoutés en fonction de vos besoins dans les applications SIR.
      • Règles métier personnalisées : ce widget affiche le nombre de règles métier personnalisées qui ont été ajoutées en fonction de vos besoins dans les applications SIR.
      • Flux personnalisés : ce widget affiche le nombre de flux personnalisés qui ont été ajoutés en fonction de vos besoins dans les applications SIR.
      • Nouvelle règle métier sur la table Incident de sécurité : ce widget affiche le nombre de règles métier qui ont été créées dans la table Incident de sécurité.
      • Conflits de mise à niveau : ce widget affiche le nombre de conflits qui ont été déclenchés pendant les mises à niveau dans les applications SIR.
    6. Sélectionnez l’onglet Problèmes/Erreurs pour afficher le nombre de problèmes ou d’erreurs qui ont été déclenchés dans les applications Réponse aux incidents de sécurité.
      Figure 3. Onglet Problèmes/Erreurs
      Onglet Problèmes/Erreurs sur le tableau de bord d’intégrité SIR

      Onglet Problèmes/Erreurs :

      Vous pouvez afficher le tableau de bord agrégé pour les problèmes ou les erreurs dans les applications Réponse aux incidents de sécurité.
      • Erreurs lors de l’importation de transformation : ce widget affiche le nombre d’erreurs qui ont été déclenchées pendant l’importation de transformation dans les applications SIR.
      • Erreurs liées aux intégrations : ce widget affiche le nombre d’erreurs qui ont été déclenchées au cours des intégrations SIR.
      • Exécutions du cadre de travail d’aptitude en état d’erreur : ce widget affiche le nombre d’erreurs qui ont été déclenchées pendant les exécutions du cadre de travail d’aptitude dans les applications SIR.
      • Échec des appels HTTP sortants : ce widget affiche le nombre d’échecs des appels HTTP sortants qui ont été déclenchés dans les applications SIR.
      • Exécutions de playbook PAD en état d’erreur : ce widget affiche le nombre d’erreurs d’exécution de playbook PAD qui ont été déclenchées dans les applications SIR.
    7. Sélectionnez l’onglet Performance pour afficher le nombre de problèmes de performance qui ont été déclenchés dans les applications Security Incident Response.
      Figure 4. Onglet Performances
      Onglet Performances sur le tableau de bord d’intégrité SIR

      Onglet Performance :

      Vous pouvez afficher le tableau de bord agrégé pour les problèmes de performances dans les applications Réponse aux incidents de sécurité.
      • Requêtes de performances lentes : ce widget affiche le nombre de requêtes de performances dans les applications SIR dont le temps d’exécution moyen est supérieur à 10 ms et dont la moyenne est calculée sur 1 000 exécutions ou plus.
      • Règles métier et scripts lents : ce widget affiche le nombre de règles métier et de scripts dans les applications SIR dont le temps d’exécution moyen est supérieur à 10 ms et dont la moyenne est calculée sur 1 000 exécutions ou plus.
    8. Vous pouvez utiliser l’icône Actualiser pour actualiser les données dans le tableau de bord d’intégrité de Security Incident Response.
    9. Vous pouvez utiliser l’icône Afficher les détails du tableau de bord pour afficher les détails du tableau de bord d’intégrité de Security Incident Response.
    10. Vous pouvez utiliser l’option Modifier pour modifier les détails du tableau de bord d’intégrité de Security Incident Response.
    11. Vous pouvez utiliser l’option Plus pour effectuer des actions supplémentaires sur le tableau de bord d’intégrité de Security Incident Response.