Aller au contenu

Triage des alertes

Lorsque les soumissions ont generate_alert activé et déclenchent des conditions définies, des alertes sont émises pour attirer l'attention et permettre un examen complémentaire.

Il s'agit d'un sous-ensemble des données de soumission jugées intéressantes, comme un fichier signalé comme malveillant ou une heuristique déclenchée.

Gestion des alertes

Pour trier les alertes dans Assemblyline, une interface dédiée vous permet de visualiser, filtrer et gérer les alertes facilement.

Vous pouvez accéder à cette interface en cliquant sur l'onglet "Alerts" () dans le menu de navigation principal.

Pour vous familiariser avec l'interface Alerts, voici quelques fonctionnalités clés de la vue principale.

Filtres

Cliquer sur le bouton "Filters" () ouvre un panneau où vous pouvez sélectionner les filtres à appliquer à la liste des alertes.

Vous pouvez aussi partager des filtres avec d'autres utilisateurs en cliquant sur le bouton "Share" (). Cela ouvre un panneau dans lequel vous choisissez quels filtres partager et avec qui. Cela peut être utile pour partager des vues spécifiques d'alertes avec d'autres analystes ou pour créer des vues partagées pour une équipe.

Utiliser les workflows

Définissez des actions automatisées pour les alertes qui répondent à certaines conditions via des workflows. Par exemple, marquer toutes les alertes étiquetées malveillantes et contenant "invoice" comme "PHISHING".

Il existe deux approches sur la page Alerts :

  • + Workflows persistants : En utilisant le filtre actuel, créez un workflow persistant qui sera appliqué à toutes les futures alertes correspondantes. Vous pouvez gérer ces workflows persistants depuis la page "Manage Workflows".

  • Workflows éphémères : Créez une action ponctuelle sur les alertes correspondantes actuelles, sans l'enregistrer comme workflow persistant. Cela peut être utile pour effectuer rapidement des actions sur un ensemble spécifique d'alertes sans créer un nouveau workflow.

Les workflows vous permettent de :

  • Assigner un statut : Définir le statut de l'alerte (ex. MALICIOUS, NON-MALICIOUS).
  • Assigner une priorité : Spécifier le niveau d'urgence de l'alerte (ex. LOW, MEDIUM, HIGH).
  • Assigner des étiquettes : Catégoriser l'alerte pour une gestion organisée.

Détails d'une alerte

Cliquer sur une carte d'alerte ouvre la vue de détails, où vous pouvez voir toutes les informations liées à cette alerte spécifique.

Cela inclut la classification, le verdict, les étiquettes, les détails du fichier, les métadonnées et les indicateurs.

Les détails d'alerte couvrent :

  • Classification : Niveau de sécurité de l'alerte.
  • Informations de base : Données clés sur l'alerte.
  • Verdict et étiquettes : Niveau de menace évalué et tags pertinents.
  • Détails du fichier : Informations telles que le nom de fichier, le type, la taille et les hachages.
  • Métadonnées et indicateurs : Données additionnelles et signaux de sécurité potentiels.

Les actions pouvant être effectuées par les analystes de triage incluent :

  • Voir l'historique : Examiner le journal des changements de l'alerte.
  • Afficher toutes les alertes du groupe : Se concentrer sur les alertes de la même catégorie.
  • Prendre possession : Revendiquer l'alerte pour la gestion de cas.
  • Aller à la soumission liée : Passer aux détails de la soumission associée.
  • Exécuter une action de workflow : Exécuter des actions prédéfinies sur les alertes du groupe.
  • Marquer comme non malveillante : Étiqueter l'alerte comme non menaçante.
  • Marquer comme malveillante : Étiqueter l'alerte comme menace confirmée.

Détail d'alerte

Gestion des workflows

Vous pouvez trier automatiquement les alertes dès leur génération en créant des workflows.

Cela peut être un moyen efficace d'automatiser le triage de requêtes à forte confiance, réduisant la fatigue liée aux alertes pour les analystes.

Voir les workflows

Créer des workflows

Vous pouvez cliquer sur le bouton "Add Workflow" () pour créer un nouvel objet Workflow, qui nécessitera :

  • Name : Un nom pour le workflow, afin de faciliter sa revue.
  • Query : Quelles alertes doivent correspondre à ce workflow ?
  • Labels : Une liste d'étiquettes à assigner aux alertes correspondant à la requête.
  • Priority : Comment prioriser les alertes correspondant à ce workflow ?
  • Status : Quel doit être l'état de l'alerte lors d'une correspondance ?

Vous pouvez optionnellement cocher la case pour appliquer votre workflow aux alertes existantes. Pour enregistrer, cliquez sur le bouton .

Gérer les workflows

La page fournit deux filtres préprogrammés :

  1. Afficher les workflows jamais utilisés : Workflows n'ayant aucun enregistrement d'application aux alertes émises par le système.
  2. Afficher les workflows non utilisés au cours des 3 derniers mois : Workflows non utilisés durant les 90 derniers jours.

Les deux requêtes sont utiles pour faire le ménage des workflows qui ne sont plus pertinents ou qui doivent être ajustés, car ils peuvent se déclencher trop souvent ou trop rarement, entraînant un triage d'alertes inefficace.