Régler les détections

Le réglage de la détection vous permet de réduire le bruit et de détecter les détections critiques nécessitant une attention immédiate.

Vous pouvez régler les détections de deux manières : vous pouvez ajouter des paramètres de réglage qui empêchent toute génération de détections, ou vous pouvez créer des règles de réglage qui masquent les détections existantes en fonction du type de détection, des participants ou des propriétés de détection.

Paramètres de réglage

Les paramètres de réglage vous permettent de spécifier des domaines connus et fiables, des serveurs DNS et des cibles HTTP CONNECT qui ne doivent pas générer de détection. Vous pouvez également activer les paramètres de réglage qui suppriment les détections fréquentes et redondantes associées aux périphériques de passerelle et aux nœuds tor.

Les paramètres de réglage sont gérés à partir du Paramètres de réglage page et domaines de confiance sont gérés depuis la page Localités du réseau.

Règles de réglage

Les règles de réglage vous permettent de définir des critères qui masquent les détections qui ont été générées, mais qui sont de faible valeur et ne nécessitent pas d'attention.

Remarque :Les règles de réglage peuvent ne pas masquer certaines détections si vos capteurs de paquets n'exécutent pas la même version de microprogramme que votre console.
Les règles de réglage masquent toutes les détections et tous les participants passés, actuels et futurs qui répondent aux critères spécifiés et affectent les domaines suivants du système :
  • Les détections masquées n'entraînent pas l'exécution des déclencheurs et des alertes associés lorsque la règle est activée.
  • Les détections masquées n'apparaissent pas sous forme de marqueurs de détection dans les graphiques.
  • Les détections masquées n'apparaissent pas sur les cartes d'activité, mais les participants cachés apparaîtront sur les cartes d'investigation.
  • Les détections masquées n'apparaissent pas dans le décompte des détections sur les pages associées, telles que la page de présentation de l'appareil ou la page d'activité.
  • Les détections masquées et les participants n'apparaissent pas dans le rapport exécutif.
  • Les détections masquées ne sont pas incluses dans les notifications par e-mail et par webhook.
Remarque :Si aucun marqueur de détection ne s'affiche pour aucune détection, confirmez que marqueurs de détection n'ont pas été désactivés.

Afficher les détections masquées

En appliquant le statut Masqué sur la page Détections, vous pouvez afficher les détections actuellement masquées par une règle de réglage.

Le filtre Ouvrir est sélectionné par défaut sur la page Détections. Cliquez sur le Ouvert filtre pour accéder à d'autres options de filtrage. Si le filtre Ouvrir n'est pas appliqué, cliquez sur État pour afficher les options de filtre, puis cliquez sur Caché. Le résumé des détections masquées s'affiche uniquement.



Le résumé identifie les règles de réglage qui masquent actuellement les détections sélectionnées, les participants masqués, les propriétés de détection et les localisations du réseau.

Cliquez sur une règle de réglage, un participant, une propriété ou une valeur de localité du réseau pour afficher un résumé des détections masquées associées à la valeur sélectionnée.

Les participants
Répertorie à la fois les délinquants et les victimes qui sont actuellement masqués. Les listes des délinquants et des victimes sont classées en fonction du nombre de détections où le participant est caché.
Valeurs des propriétés
Répertorie les valeurs des propriétés associées au type de détection masqué. La liste des valeurs de propriété est ordonnée en fonction du nombre de détections où la valeur de propriété est masquée.
Localités du réseau concernées
Répertorie les localités du réseau qui contiennent des détections masquées du type sélectionné . La liste des localités du réseau concernées est ordonnée en fonction du nombre de détections masquées dans la localité du réseau.

En filtrant les résultats pour une seule règle de réglage, un seul participant, une propriété ou une localité, vous pouvez afficher le nombre de détections masquées associées à la valeur spécifiée. Cliquez sur le Afficher les détections bouton pour afficher les cartes de détection individuelles.

Meilleures pratiques en matière de réglage

Il est préférable de créer un paramètre ou une règle unique plus large au lieu de créer plusieurs paramètres et règles qui se chevauchent.

Voici quelques recommandations pour optimiser le réglage de votre détection :
  • Commencez par ajouter des paramètres de réglage pour éviter les détections impliquant des agents connus ou fiables. N'oubliez pas de consulter le Paramètres de réglage et Localités du réseau pages pour les paramètres existants afin d'éviter toute redondance.
  • Déterminez si vous souhaitez masquer toutes les détections pour un participant spécifique, tel qu'un analyseur de vulnérabilités, et sélectionnez Tous les types de détection. Si vous souhaitez effectuer un masquage en fonction du rôle de l'équipement, étendez le champ d'application au groupe d'équipements.
  • Quand un Adresse IP ou bloc CIDR est sélectionné dans le menu déroulant Délinquant ou victime, ajoutez ou supprimez des entrées de la liste dans le champ Adresses IP pour augmenter ou réduire la portée de la règle de réglage.

  • Par défaut, les règles de réglage expirent au bout de 8 heures. Vous pouvez sélectionner une autre date d'expiration dans la liste déroulante ou sélectionner une nouvelle date d'expiration après avoir réactivé une règle expirée dans Règles de réglage page.

  • Le système ExtraHop supprime automatiquement les détections présentes sur le système depuis 21 jours depuis le début de la détection, qui ne sont pas en cours et qui sont masquées. Si une règle de réglage nouvellement créée ou modifiée masque une détection répondant à ces critères, la détection concernée ne sera pas supprimée pendant 48 heures.
  • Lorsque vous ajoutez une règle de réglage, si vous identifiez un équipement qui n'est pas correctement classé, vous pouvez modifier le rôle de l'équipement.

  • Certaines détections peuvent nécessiter une règle de réglage précise basée sur une propriété spécifique de la détection. Sous le titre Propriété, cliquez sur la case à cocher à côté d'une propriété pour spécifier une valeur ou une expression régulière et ajouter des critères pour une règle de réglage ciblée.

  • Appliquez le Caché filtre d'état vers le Détections page pour afficher les détections qui sont actuellement masqué en réglant les règles.

Apprenez comment supprimer les détections à l'aide des paramètres de réglage et masquer les détections à l'aide de règles de réglage .

Last modified 2023-11-07