Affichage et enregistrement de pièces jointes
Pour afficher une pièce jointe
1. Cliquez avec le bouton droit sur une pièce jointe > Afficher ou Enregistrer la pièce jointe.
REMARQUE : pour visualiser une pièce jointe, vous devez configurer un visualiseur.
Si une pièce jointe n'est pas associée à un type de fichier, une invite s'affiche vous demandant avec quel programme le fichier doit être ouvert. Les pièces jointes sont enregistrées dans la base de données Sentinel.
Configuration du visualiseur de pièces jointes
Configuration du visualiseur de pièces jointes
1. Cliquez sur l'onglet Incidents.
2. Cliquez sur Incidents > Configuration du visualiseur de pièces jointes ou sur
Configurer le visualiseur de pièces jointes.
3. Cliquez sur Ajouter.
Onglet Incidents
4-7
Entrez le type d'extension (tel que .doc, .xls, .txt, .html), cliquez sur Parcourir ou tapezle nom de l'application qui permet de lancer le type de fichier (notepad.exe pour Bloc-notes, par exemple).
4. Cliquez sur OK.
Envoi d'un incident par courrier électronique
La fonctionnalité d'envoi de courriers électroniques est activée dans le fichier execution properties lors de l'installation. Pour configurer ce fichier, reportez-vous au Chapitre 11 :
Utilitaires.
Envoi d'un incident par courrier électronique
1. Cliquez sur l'onglet Incidents.
2. Dans le navigateur, développez le dossier Incidents, s'il est disponible, ou cliquez sur Incidents > View Incidents List (Afficher la liste des incidents). Vous pouvez
également cliquer sur View Incidents List (Afficher la liste des incidents).
.
3. Double-cliquez sur le nom d'une vue d'incident.
4. Double-cliquez sur un incident.
5. Double-cliquez sur Incident de message électronique
6. Entrez :
Adresse électronique
Objet du message électronique
Message électronique
.
7. Cliquez sur OK. Le message électronique comportera une pièce jointe au format HTML qui répertorie les détails de l'incident, les informations relatives aux événements, aux actifs, aux vulnérabilités et à l'Advisor ainsi que l'historique de l'incident.
4-8
Guide de L'Utilisateur de Sentinel
Modification d'un incident
Pour modifier un incident
1. Cliquez sur l'onglet Incidents.
2. Cliquez sur Incidents > Afficher le gestionnaire de vues d'incidents ou sur Afficher le gestionnaire de vues d'incidents.
3. Double-cliquez sur une vue d'incident.
.
4. Double-cliquez sur un incident.
5. La fenêtre Détails de l'incident s'ouvre.
6. Vous pouvez également modifier les champs suivants d'un incident :
Titre
État
Gravité
Priorité
Catégorie
Responsable
Description
Résolution
7. Sous l'onglet Pièces jointes, vous pouvez ajouter des pièces jointes ou en supprimer.
8. Cliquez sur Enregistrer.
Suppression d'un incident
REMARQUE : pour supprimer un incident joint à un processus de travail (iTRAC), vous devez d'abord mettre fin au processus iTRAC.
Pour supprimer un incident
1. Cliquez sur l'onglet Incidents.
2. Cliquez sur Incidents > Afficher le gestionnaire de vues d'incidents ou sur Afficher le gestionnaire de vues d'incidents.
3. Double-cliquez sur une vue d'incident.
.
4. Dans la fenêtre Vue de l'incident, cliquez avec le bouton droit sur un incident, puis cliquez sur Supprimer.
REMARQUE : pour supprimer un incident joint à un processus de travail (iTRAC), vous devez d'abord mettre fin au processus iTRAC. Pour ce faire, vous pouvez utiliser le Gestionnaire d'affichage des processus disponible depuis l'onglet iTRAC.
Pour plus d'informations, reportez-vous au Chapitre 5 : Onglet iTRAC.
5. Dans la fenêtre de confirmation, cliquez sur Oui.
Onglet Incidents
4-9
4-10
Guide de L'Utilisateur de Sentinel
5
Onglet iTRAC™
REMARQUE : les termes Agent et Collecteur sont interchangeables. Le terme
Collecteur sera utilisé dans la suite de cette documentation. iTRAC (flux de travail) permet d'automatiser des procédures et de réagir face à des incidents.
Sentinel propose un système de gestion iTRAC qui permet d'automatiser des processus dans le cadre de procédures. Le framework d'activités de Sentinel est lié au système iTRAC.
Celui-ci fournit des activités qui peuvent être réalisées automatiquement à chaque étape du processus iTRAC.
Les modèles (définition du processus) et l'exécution du processus forment ensemble le système de gestion du processus de travail.
Modèles (définition du processus)
Le modèle est l'élément qui contrôle le flux des tâches d'exécution au sein d'iTRAC. Il se compose d'un réseau d'activités liées entre elles, de critères de transition entre les activités et d'informations relatives à chaque activité. Les modèles sont dotés d'attributs modifiables par l'utilisateur. iTRAC permet de définir des attributs de timeout dans un modèle iTRAC.
Une activité est une unité de travail indépendante qui fait partie du processus iTRAC.
Elle est traitée soit par des utilisateurs/rôles (activité manuelle) soit par des applications
(activité automatique).
Les activités, qu'elles soient manuelles ou automatiques, sont associées à des timeouts que vous pouvez activer/désactiver.
Les activités manuelles, outre les attributs de timeout, permettent de configurer l'attribut de ressource qui détermine l'utilisateur/le rôle qui exécute l'activité.
Les activités automatiques, outre les attributs de timeout, peuvent être configurées à partir du framework d'activité Sentinel à exécuter.
Gestionnaire de modèles
Le système iTRAC vous permet de créer des modèles, de configurer les attributs de processus et d'activités dans des modèles existants et de supprimer des modèles à partir de la fenêtre
Gestionnaire de modèle disponible depuis l'onglet iTRAC.
Onglet iTRAC™
5-1
Vous pouvez accéder au Gestionnaire de modèles en cliquant sur le nœud Gestionnaire de modèles dans l'arborescence du navigateur de l'onglet iTRAC.
Modèles par défaut
iTRAC est fourni avec quatre modèles par défaut comportant des activités automatiques et manuelles. Les valeurs des attributs de processus et d'activité de ces modèles sont prédéfinies et peuvent être adaptées en fonction des besoins. Les modèles par défaut sont les suivants :
1. HIPAA
2. Sarbanes Oxley
3. SANS Incident Handling
4. Réponse automatique
Création de modèles
1. Cliquez sur l'onglet iTRAC.
2. Dans le navigateur, cliquez sur Administration iTRAC > Gestionnaire de modèles.
3. Sélectionnez un processus existant (HIPAA, Sarbanes Oxley, SANS ou un processus défini par l'utilisateur), cliquez avec le bouton droit sur celui-ci, puis cliquez sur Créer une copie.
4. Entrez un nom.
5. Si vous sélectionnez un timeout, vous devez entrer une adresse de messagerie ainsi qu'une heure. L'heure est exprimée en nombres entiers. Vous pouvez sélectionner des minutes, des secondes, des heures ou des jours.
6. Entrez une description. Reportez-vous à Modification de modèles existants pour modifier les attributs de processus et d'activité. Cliquez sur OK.
7. Dans le Personnalisateur de modèles, cliquez sur Enregistrer.
Modification de modèles existants
Lorsque vous modifiez un modèle existant, vous pouvez modifier les attributs de processus ou d'activité.
Vous pouvez modifier les attributs de processus suivants :
Nom
Limite de timeout et activation/désactivation du timeout
Description
5-2 Guide de L'Utilisateur de Sentinel
Modification des attributs de processus
1. Cliquez sur l'onglet iTRAC.
2. Dans le navigateur, cliquez sur Administration iTRAC > Gestionnaire de modèles.
3. Sélectionnez un modèle existant, cliquez avec le bouton droit sur celui-ci, puis cliquez sur Afficher. Dans la fenêtre du modèle, cliquez sur le bouton Détails du processus.
4. Dans la boîte de dialogue Personnalisateur de processus, vous pouvez modifier les attributs suivants :
Nom
Durée (minutes, secondes, heures et jours)
Timeout (s'il est activé, vous devez entrer une adresse de messagerie et une heure)
Description
Modification d'activités manuelles
Vous pouvez modifier les champs Ressource (utilisateur/rôle), Timeout et Description des activités manuelles.
1. Cliquez sur l'onglet iTRAC.
2. Dans le navigateur, cliquez sur Administration iTRAC > Gestionnaire de modèles.
3. Sélectionnez un modèle existant, cliquez avec le bouton droit sur celui-ci, puis cliquez sur Afficher.
4. Le modèle s'affiche dans une fenêtre distincte.
5. Pour le modifier, double-cliquez sur l'une des icônes d'activité manuelle dans le modèle et effectuez vos modifications.
REMARQUE : vous pouvez modifier les activités manuelles suivantes.
Onglet iTRAC™
5-3
à AssignUser
à AcceptIncident
à ConfirmStartDataCollection
à ConfirmEndDataCollection
à ConfirmStartContainment
à ConfirmEndContainment
à ConfirmStartEradication
à ConfirmEndEradication
Modification d'activités automatiques
Vous pouvez modifier les champs Activité, Timeout et Description des activités automatiques.
1. Pour effectuer une modification, double-cliquez sur l'une des icônes d'activité automatique dans le modèle.
2. Le menu déroulant dans la boîte de dialogue Personnalisateur d'activités répertorie toutes les activités susceptibles d'être utilisées en tant qu'activités automatiques.
Ces activités sont créées à l'aide du framework d'activités.
REMARQUE : vous pouvez modifier les activités automatiques suivantes.
DataCollection
Containment
Eradication
5-4 Guide de L'Utilisateur de Sentinel
Suppression de modèles
1. Cliquez sur l'onglet iTRAC.
2. Dans le navigateur, cliquez sur Administration iTRAC > Gestionnaire de modèles.
3. Sélectionnez un modèle existant, cliquez avec le bouton droit sur celui-ci, puis cliquez sur Supprimer.
4. Cliquez sur Oui dans le menu contextuel.
Exécution du processus
L'exécution du processus est la durée pendant laquelle le processus est opérationnel et au cours de laquelle des instances de processus sont créées et gérées.
Lorsqu'un processus iTRAC est exécuté ou instancié au sein du serveur iTRAC, une instance de processus est créée, gérée et terminée par le serveur iTRAC conformément à la définition du processus. À mesure que le processus s'approche de son terme, il exécute diverses activités définies dans le modèle de processus de travail en fonction de critères qui régissent les transitions entre ces activités. Le serveur de processus de travail iTRAC ne traite pas les activités manuelles et automatiques de la même façon.
Un processus iTRAC étant dépendant d'un incident Sentinel, une instance de processus ne peut pas exister en l'absence d'incident associé. En revanche, un incident peut exister sans être associé au serveur de processus de travail. Seul un incident peut être associé à une instance de processus iTRAC.
Onglet iTRAC™
5-5
Instanciation d'un processus
Il est possible de créer une instance d'un processus iTRAC au sein du serveur iTRAC en associant un incident à un processus iTRAC. Pour cela, trois méthodes existent :
Associer un processus iTRAC à un incident au moment de la création de l'incident
Associer un processus iTRAC à un incident après la création de l'incident
Associer un processus iTRAC à un incident par l'intermédiaire d'une corrélation
Reportez-vous au chapitre consacré à l'onglet Incidents pour plus de détails sur l'association d'un processus à un incident.
Exécution d'une activité automatique
Lorsqu'une instance de processus exécute une activité automatique, elle exécute l'activité associée définie dans le modèle. L'activité associée est créée à l'aide du framework d'activités.
Le serveur iTRAC exécute l'activité, stocke les résultats des variables de processus et passe
à l'activité suivante du modèle iTRAC.
Par exemple, l'activité du framework d'activités peut consister à exécuter une commande ping sur un serveur et à joindre les résultats à l'incident associé.
Exécution d'une activité manuelle
Lorsqu'il rencontre une activité manuelle, le serveur iTRAC envoie des notifications sous la forme d'éléments de travail à la ressource assignée. Si cette ressource est un utilisateur, l'élément de travail n'est envoyé qu'à cet utilisateur. Si l'activité a été assignée à un rôle, l'élément de travail est envoyé à tous les utilisateurs associés à ce rôle. Le serveur iTRAC attend ensuite que l'utilisateur termine l'élément de travail avant de passer à l'activité suivante.
Listes d'éléments de travail
Les éléments de travail sont présentés à l'utilisateur dans une liste de travail qui répertorie tous les détails relatifs aux éléments de travail qui reviennent à cet utilisateur. Il s'agit en fait d'une liste de tâches destinée à l'utilisateur.
5-6 Guide de L'Utilisateur de Sentinel
Cette liste est consultable à partir de n'importe quel onglet de l'interface Sentinel.
Les éléments de travail sont regroupés par processus et activité. Les éléments de travail en caractères gras sont ceux qui n'ont pas encore été acceptés par l'utilisateur.
La liste des éléments de travail vous permet d'intervenir sur des éléments individuels.
Pour afficher les détails relatifs à l'élément de travail, double-cliquez sur l'élément ou cliquez avec le bouton droit sur celui-ci, puis cliquez sur Détails.
Pour accepter des éléments de travail encore non acceptés, cliquez sur ceux-ci avec le bouton droit, puis cliquez sur Accepter.
Pour afficher les détails relatifs à l'incident associé, cliquez avec le bouton droit sur ceuxci, puis sur Afficher.
Éléments de travail
Un élément de travail est une tâche qu'un utilisateur doit réaliser dans le cadre de l'activité manuelle en cours d'exécution au sein d'un processus iTRAC. C'est l'utilisateur qui a la charge de son contrôle et de sa progression.
Le serveur iTRAC attend que l'utilisateur termine la tâche avant de passer à l'activité suivante au sein de l'instance de processus.
La boîte de dialogue Détails présentée ci-dessus affiche les informations suivantes :
Détails relatifs à l'élément de travail
Variables relatives à l'élément de travail
Description de l'activité
Description du processus
Onglet iTRAC™
5-7
Toute intervention sur un élément de travail implique les trois étapes suivantes :
Acceptation de l'élément de travail
Mise à jour des variables relatives à l'élément de travail
Arrêt de l'élément de travail
Acceptation d'un élément de travail
Un élément de travail peut être assigné à tous les utilisateurs affectés à un même rôle ou à un seul d'entre eux. Un élément de travail doit être accepté par l'utilisateur avant qu'il puisse faire l'objet d'une autre action. Lorsqu'un utilisateur accepte un élément de travail, il en devient le propriétaire. En outre, l'élément de travail est supprimé de la liste de travail des autres utilisateurs auxquels il était assigné.
Acceptation d'éléments de travail
1. Dans la liste de travail, vous pouvez cliquez avec le bouton droit sur un élément et choisir l'une des options suivantes :
Accepter (lorsque le processus est à une étape d'acceptation)
Vous pouvez également afficher la fenêtre Détails, puis cliquer sur le bouton Accepter.
Mise à jour des variables relatives à l'élément de travail
Le serveur iTRAC se sert des éléments de travail pour obtenir des informations auprès des utilisateurs. Ces informations sont consignées dans des variables et déterminent la prochaine activité de processus devant avoir lieu. Les variables sont accessibles uniquement après acceptation de l'élément de travail. iTRAC prend en charge les variables en lecture et les variables actualisables. Les premières permettent d'informer l'utilisateur, par exemple du statut d'une activité ou de l'ID d'un incident.
Les secondes servent à accepter les informations entrées par l'utilisateur. Actuellement dans iTRAC, deux types de variables actualisables existent : les listes définies par l'utilisateur et les listes booléennes.
5-8 Guide de L'Utilisateur de Sentinel
Mise à jour des variables
1. Cliquez avec le bouton droit ou double-cliquez sur l'élément de travail à afficher dans la boîte de dialogue Détails.
2. Seules les variables actualisables sont modifiables. Les variables en lecture seule ne le sont pas.
3. Cliquez sur la liste déroulante et sélectionnez la valeur qui convient.
Arrêt de l'élément de travail
L'arrêt de l'élément de travail signale au serveur iTRAC que la tâche est terminée. Les variables actualisables que comporte l'élément de travail sont traitées par le serveur en vue de passer
à l'activité suivante en fonction de certains critères. L'élément de travail est supprimé de la liste de travail de l'utilisateur. Un élément de travail doit être accepté avant d'être terminé.
Arrêt d'éléments de travail
1. Cliquez avec le bouton droit ou double-cliquez sur l'élément de travail à afficher dans la boîte de dialogue Détails.
2. Dans la boîte de dialogue, cliquez sur le bouton Terminé.
Gestion des processus
La fonction Gestion des processus vous permet :
d'afficher le statut d'un processus (Traiter le moniteur) ;
de démarrer un processus ;
de mettre fin à un processus.
Traiter le moniteur
La fonction Traiter le moniteur permet de surveiller la progression d'un processus. À mesure qu'une instance du processus passe d'une activité à une autre, l'utilisateur peut en suivre une représentation graphique en cliquant sur le bouton Rafraîchir. Cette fonction fournit galement un suivi d'audit de toutes les opérations réalisées par le serveur iTRAC lors de l'exécution du processus.
Onglet iTRAC™
5-9
Les activités terminées sont signalées par un cadre vert et l'activité en cours par un cadre rouge.
Accès à la fonction Traiter le moniteur
1. Cliquez sur l'onglet iTRAC.
2. Cliquez sur le bouton Gestionnaire des options de vues.
3. Double-cliquez sur l'une des options de vues par défaut ou créez une nouvelle vue.
Les vues par défaut sont :
All Processes (Tous les processus)
Processes By Incident (Processus par incident)
Processes By Status (Processus par état)
4. Dans le Gestionnaire des processus actifs, sélectionnez un processus, puis doublecliquez sur celui-ci.
Pour définir une option du Gestionnaire de processus
1. Cliquez sur l'onglet iTRAC.
2. Double-cliquez sur un processus.
3. Cliquez sur le bouton Options. Dans cette fenêtre, vous pouvez également définir les options suivantes :
Champs...
Regrouper par...
Trier...
Filtre...
Affichage sous forme d'arborescence
4. Cliquez sur Appliquer puis sur Enregistrer.
5-10 Guide de L'Utilisateur de Sentinel
L'illustration ci-dessous montre une vue avec Affichage sous forme d’arborescence défini
à Statut (en cours d'exécution ou non démarré).
Démarrage ou arrêt d'un processus
Démarrage ou arrêt d'un processus
1. Cliquez sur l'onglet iTRAC.
2. Cliquez sur le bouton Gestionnaire des options de vues.
3. Double-cliquez sur l'une des options de vues par défaut ou créez une nouvelle vue.
Les vues par défaut sont :
All Processes (Tous les processus)
Processes By Incident (Processus par incident)
Processes By Status (Processus par état)
4. Dans le Gestionnaire des processus actifs, sélectionnez un processus, cliquez avec le bouton droit sur celui-ci, puis cliquez sur Début du processus ou Terminer
le processus.
Création d'une activité à l'aide du framework d'activités
Création d'une activité
1. Cliquez sur l'onglet iTRAC.
2. Dans le navigateur, cliquez sur Administration iTRAC > Gestionnaire d'activités.
3. Cliquez avec le bouton droit, puis sélectionnez Nouvelle activité.
4. Sélectionnez l'une des options suivantes :
Onglet iTRAC™
5-11
Activité de commande d'incident : démarre une commande spécifique avec ou sans arguments.
L'option Sortie d'incident génère les arguments suivants :
à DIP
à DIP:Port
à incident
à RT1 (DeviceAttackName)
à SIP
à SIP:Port
à Texte
L'option Personnalisé vous permet d'entrer des arguments personnalisés.
Pour cette activité, vous pouvez également envoyer la sortie par courrier électronique et/ou la joindre à l'incident.
Activité interne d'incident : permet d'envoyer par courrier électronique et/ou de joindre des informations relatives aux points suivants :
à Vulnérabilité pour (SIP ou DIP)
à Données de l'Advisor
à Actif
5-12 Guide de L'Utilisateur de Sentinel
Activité composite d'incident : permet de créer une activité en fusionnant une ou plusieurs activités existantes.
Modification d'une activité
Modification d'une activité
1. Cliquez sur l'onglet iTRAC.
2. Dans le navigateur, cliquez sur Administration iTRAC > Gestionnaire d'activité >
Activités iTRAC.
3. Double-cliquez sur une activité iTRAC. Effectuez vos modifications, puis cliquez sur OK.
Importation/exportation d'une activité
Vous pouvez exporter des activités en tant que fichiers xml. Ces fichiers peuvent être importés d'un système à un autre.
Exportation d'une activité
1. Cliquez sur l'onglet iTRAC.
2. Dans le navigateur, cliquez sur Administration iTRAC > Gestionnaire d'activités.
3. Cliquez avec le bouton droit, puis sélectionnez Activités iTRAC > Activité
d'importation/exportation.
4. Sélectionnez Exporter l'activité, puis cliquez sur Explorer.
5. Accédez à l'emplacement auquel vous voulez enregistrer le fichier exporté.
6. Entrez le nom du fichier, puis cliquez sur Exporter.
7. Cliquez sur Suivant.
8. Sélectionnez une ou plusieurs activités à exporter.
9. Cliquez sur Suivant, puis sur Terminer.
Importation d'une activité
1. Cliquez sur l'onglet iTRAC.
2. Dans le navigateur, cliquez sur Administration iTRAC > Gestionnaire d'activités.
Onglet iTRAC™
5-13
3. Cliquez avec le bouton droit, puis sélectionnez Activités iTRAC > Activité
d'importation/exportation.
4. Sélectionnez Importer l'activité, puis cliquez sur le bouton Explorer.
5. Accédez au fichier à importer. Cliquez sur Importer.
6. Cliquez sur Suivant.
7. Cliquez sur Suivant, puis sur Terminer.
5-14 Guide de L'Utilisateur de Sentinel
Lien public mis à jour
Le lien public vers votre chat a été mis à jour.
