Incidents liés aux indicateurs d'attaque

La liste d'incidents Indicateurs d'attaques (IoA) fournit des informations détaillées sur des attaques spécifiques sur votre infrastructure Active Directory (AD). Cela vous permet de prendre les mesures nécessaires en fonction du niveau de sévérité des IoA.

Pour afficher les incidents d'attaque :

  1. Dans Tenable Identity Exposure, cliquez sur Indicateurs d'attaque dans le volet de navigation.

    Le volet Indicateurs d'attaque apparaît.

  2. Cliquez sur une tuile de domaine.

    Le volet Liste des incidents affiche la liste des incidents survenus sur le domaine.

  3. Dans cette liste, vous pouvez effectuer les actions suivantes :

    • Définir des critères de recherche pour rechercher des incidents spécifiques ❶.

    • Accéder à des explications détaillées sur les attaques affectant l'infrastructure AD ❷.

    • Fermer ou rouvrir un incident ❸.

    • Télécharger un rapport montrant tous les incidents ❹.

Pour rechercher un incident :

  1. Dans la zone de recherche, saisissez le nom d'une source ou d'une destination.

  2. Cliquez sur le sélecteur de date pour sélectionner les dates de début et de fin de l'incident.

  3. Cliquez sur n/n Indicateurs pour sélectionner les indicateurs associés.

  4. Cliquez sur le curseur Incidents clos pour activer l'option Oui, afin de limiter la recherche aux incidents clos.

  5. Cliquez sur Actualiser.

    Tenable Identity Exposure met à jour la liste avec les incidents correspondants.

Pour clore un incident :

  1. Dans la liste des incidents, sélectionnez un incident à clore ou à rouvrir.

  1. Au bas du volet, cliquez sur le menu déroulant et sélectionnez Clore les incidents sélectionnés.

  1. Cliquez sur OK.

    Un message demande de confirmer la clôture.

  1. Cliquez sur Confirmer.

    Un message confirme que Tenable Identity Exposure a clos l'incident et ne l'affiche plus.

Pour rouvrir un incident :

  1. Dans le volet Liste des incidents, cliquez sur le curseur Incidents clos pour activer l'option Oui.

    Tenable Identity Exposure met à jour la liste des incidents clos.

  2. Sélectionnez l'incident à rouvrir.

  3. Au bas du volet, cliquez sur le menu déroulant et sélectionnez Rouvrir l'incident sélectionné.

  4. Cliquez sur OK.

    Un message confirme que Tenable Identity Exposure a rouvert l'incident.

Astuce : vous pouvez fermer ou rouvrir plusieurs incidents simultanément. Au bas du volet, cliquez sur Sélectionner les objets affichés.

Détails de l'incident

Chaque entrée de la liste des incidents affiche les informations suivantes :

  • Date : date à laquelle l'incident déclenchant l'IoA s'est produit. Tenable Identity Exposure affiche le plus récent en haut de la chronologie.

  • Source : la source à l'origine de l'attaque et son adresse IP.

  • Vecteur d'attaque : explication de ce qui s'est passé pendant l'attaque.

    Astuce : survolez le vecteur d'attaque pour afficher plus d'informations sur l'IoA.
  • Destination : cible de l'attaque et son adresse IP.

  • Nom de l'attaque : nom technique de l'attaque.

  • Domaine : domaines touchés par l'attaque.

    Astuce : Tenable Identity Exposure peut afficher un maximum de cinq volets lorsque vous cliquez sur plusieurs éléments interactifs (liens, boutons d'action, etc.) dans la liste des incidents. Pour fermer tous les volets simultanément, cliquez n'importe où sur la page.

Détails de l'attaque

Dans la liste des incidents, vous pouvez explorer une attaque et prendre les mesures nécessaires pour y remédier.

Pour afficher les détails d'une attaque :

  1. Dans la liste des incidents, sélectionnez un incident pour afficher ses détails.

  2. Cliquez sur Détails.

    Tenable Identity Exposure affiche les détails associés à l'attaque :

Voir aussi