Conservation Des Violations; Surveiller Les Violations - IBM Security QRadar Guide D'utilisation

Conservation des violations

Sur l'onglet Admin, vous pouvez configurer les paramètres du système de la
période de conservation des violations pour supprimer celles de la base de
données après une période de temps configurée.
La valeur par défaut de la durée de conservation de la violation est 3 jours. Vous
devez disposer de l'autorisation d'administration pour accéder à l'onglet Admin et
configurer les paramètres du système. Lorsque vous configurez les seuils, cinq
jours sont configurés pour tout seuil défini.
Lorsqu'elles sont fermées, les violations sont retirées de la base de données une
fois la période de conservation écoulée. Si des événements supplémentaires se
produisent pour cette violation, une nouvelle violation est créée. Si vous effectuez
une recherche qui inclut les violations fermées, l'élément est affiché dans les
résultats de la recherche tant qu'il n'a pas été retiré de la base de données.

Surveiller les violations

A l'aide des différentes vues disponibles sur l'onglet Offenses, vous pouvez
surveiller les violations pour déterminer celles qui se produisent actuellement sur
votre réseau.
Les violations sont énumérées d'abord en fonction de la plus grande ampleur. Vous
pouvez localiser et afficher les détails d'une violation particulière puis effectuer
une action par rapport à la violation, si nécessaire.
Après avoir commencé à naviguer à travers les différentes vues, la partie
supérieure de l'onglet Offenses affiche le trajet de navigation sur votre vue actuelle.
Si vous souhaitez retourner à une page déjà affichée, cliquez sur le nom de cette
page sur le trajet de navigation.
Dans le menu de navigation, sur l'onglet Offenses, vous pouvez accéder aux pages
suivantes énumérées dans le tableau ci-après.
Tableau 10. Pages auxquelles on peut accéder à partir de l'onglet Offenses
Page
My Offenses
All Offenses
By Category
28
IBM Security QRadar - Guide d'utilisation
Article
Adresses IP sources
Adresses IP de destination
Description
Une adresse IP source indique le
périphérique qui tente de violer la sécurité
d'un composant sur votre réseau. Une
adresse IP source peut utiliser plusieurs
méthodes d'attaque, comme les attaques de
reconnaissance ou de déni de service (DoS),
pour tenter un accès non autorisé.
Une adresse IP de destination indique le
périphérique réseau auquel une adresse IP
source tente d'accéder.
Description
Affiche toutes les violations qui vous sont affectées.
Affiche toutes les violations globales sur le réseau.
Affiche toutes les violations regroupées par catégorie de
haut et de bas niveau.