Afficher le tableau de bord Intégrité de Security Incident Response

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 4 minutes de lecture

    • La fonctionnalité du tableau de bord Intégrité de Réponse aux incidents de sécurité fournit une vue centralisée des aspects critiques liés à l’implémentation du processus de réponse aux incidents, des problèmes/erreurs rencontrés et des mesures de performances. Il s’agit d’un outil essentiel pour surveiller et optimiser l’efficacité des options de réponse aux incidents de sécurité d’une organisation.

    Avant de commencer

    Rôle requis : sn_si.admin, sn_si.analyst ou sn_si.analytics_read : afficher le tableau de bord.

    Pourquoi et quand exécuter cette tâche

    Vous pouvez surveiller l’intégrité des incidents de sécurité à l’aide des widgets et des graphiques de tendances de chaque application. Ces statistiques présentent un score d’intégrité complet détaillant l’état de la configuration et l’efficacité du rattrapage au sein des applications SIR. Le tableau de bord Intégrité de Security Incident Response prend en charge les quatre onglets suivants :
    • Processus : l’onglet affiche un résumé de tous les incidents provenant de différents capteurs d’alerte regroupés une fois par semaine.
    • Implémentation : cet onglet affiche les personnalisations que les clients effectuent dans leurs instances, notamment les includes de script, les règles métier, les flux et les mises à niveau.
    • Problèmes/Erreurs : l’onglet affiche les widgets mettant en évidence les erreurs dans les processus d’intégration, les divergences lors de l’ingestion des données brutes d’incident, les erreurs HTTP sortantes dans les applications SIR et tout problème survenant lors de l’exécution des playbooks.
    • Performance : cet onglet affiche les problèmes de performances dans les applications SIR, notamment la lenteur des requêtes de performances, des règles métier et des scripts.

    Procédure

    1. Accédez à la Tout > Espaces de travail > Espace de travail Réponse aux incidents de sécurité.
    2. Sélectionnez l’icône Tableaux de bord SIR sur la page d’accueil de l’espace de travail SIR.
    3. Sélectionnez le tableau de bord Intégrité de Security Incident Response dans la liste déroulante.
    4. Sélectionnez l’onglet Processus pour afficher le nombre d’incidents de sécurité qui ont été déclenchés sur une base hebdomadaire pour chaque capteur d’alerte sur le graphique.
      Figure 1. Onglet Traitement
      Onglet Processus du tableau de bord Intégrité SIR

      Vous pouvez effectuer les tâches suivantes :

      1. Sélectionnez un capteur d’alerte sur le graphique pour afficher les détails des KPI du nombre d’incidents de sécurité déclenchés par les capteurs d’alerte en une semaine.
      2. Pour obtenir les détails des KPI pour une semaine particulière, utilisez l’option Calendrier .
      3. Pour comparer les incidents de sécurité déclenchés par le capteur d’alerte, sélectionnez l’option Comparer les enregistrements .
      4. Pour utiliser le type de graphique, la série chronologique ou l’analyse, sélectionnez les options de graphique.
    5. Sélectionnez l’onglet Implémentation pour afficher le nombre de personnalisations créées pour les incidents de sécurité dans les applications Security Incident Response.
      Figure 2. Onglet Implémentation
      Onglet Implémentation sur le tableau de bord Intégrité SIR

      Onglet Implémentation :

      Vous pouvez afficher le tableau de bord agrégé pour le nombre de personnalisations qui ont été créées pour chaque application Réponse aux incidents.
      • Includes de script personnalisé : ce widget affiche le nombre de scripts personnalisés qui ont été ajoutés en fonction de vos besoins dans les applications SIR.
      • Règles métier personnalisées : ce widget affiche le nombre de règles métier personnalisées qui ont été ajoutées en fonction de vos besoins dans les applications SIR.
      • Flux personnalisés : ce widget affiche le nombre de flux personnalisés qui ont été ajoutés en fonction de vos besoins dans les applications SIR.
      • Nouvelle règle métier sur la table Incident de sécurité : ce widget affiche le nombre de règles métier qui ont été créées dans la table Incident de sécurité.
      • Conflits de mise à niveau : ce widget affiche le nombre de conflits qui ont été déclenchés lors de mises à niveau dans les applications SIR.
    6. Sélectionnez l’onglet Problèmes/Erreurs pour afficher le nombre de problèmes ou d’erreurs qui ont été déclenchés dans les applications Security Incident Response.
      Figure 3. Onglet Problèmes/Erreurs
      Onglet Problèmes/Erreurs du tableau de bord Intégrité SIR

      Onglet Problèmes/Erreurs :

      Vous pouvez afficher le tableau de bord agrégé des problèmes ou des erreurs dans les applications Réponse aux incidents de sécurité.
      • Erreurs lors de l’importation de transformation : ce widget affiche le nombre d’erreurs qui ont été déclenchées lors de l’importation de transformation dans les applications SIR.
      • Erreurs liées aux intégrations : ce widget affiche le nombre d’erreurs qui ont été déclenchées pendant les intégrations SIR.
      • Exécutions du cadre de travail d’aptitude en état d’erreur : ce widget affiche le nombre d’erreurs qui ont été déclenchées lors des exécutions du cadre de travail d’aptitude dans les applications SIR.
      • Échec des appels HTTP sortants : ce widget affiche le nombre d’appels HTTP sortants ayant échoué qui ont été déclenchés dans les applications SIR.
      • Exécutions du Playbook PAD en état d’erreur : ce widget affiche le nombre d’erreurs d’exécution du Playbook PAD qui ont été déclenchées dans les applications SIR.
    7. Sélectionnez l’onglet Performances pour afficher le nombre de problèmes de performances qui ont été déclenchés dans les applications Réponse aux incidents de sécurité.
      Figure 4. Onglet Performances
      Onglet Performances du tableau de bord d’intégrité SIR

      Onglet Performances :

      Vous pouvez afficher le tableau de bord regroupé des problèmes de performances dans les applications Security Incident Response.
      • Requêtes de performances lentes : ce widget affiche le nombre de requêtes de performances dans les applications SIR dont le temps d’exécution moyen est supérieur à 10 ms et en moyenne sur 1 000 exécutions ou plus.
      • Règles métier et scripts lents : ce widget affiche le nombre de règles métier et de scripts dans les applications SIR dont le temps d’exécution moyen est supérieur à 10 ms et en moyenne sur 1 000 exécutions ou plus.
    8. Vous pouvez utiliser l’icône Actualiser pour actualiser les données du tableau de bord Intégrité de Réponse aux incidents de sécurité.
    9. Vous pouvez utiliser l’icône Afficher les détails du tableau de bord pour afficher les détails du tableau de bord Intégrité de Réponse aux incidents de sécurité.
    10. Vous pouvez utiliser l’option Modifier pour modifier les détails du tableau de bord Intégrité de Réponse aux incidents de sécurité.
    11. Vous pouvez utiliser l’option Plus pour effectuer des actions supplémentaires sur le tableau de bord Intégrité de Security Incident Response.