Utilisation de la vue Events Summary (Récapitulatif des événements)

Barre de recherche et de filtre
Symantec EDR
propose plusieurs méthodes pour rechercher les détails de l'événement.
Symantec EDR
valide votre requête et signale les requêtes valides (coche verte) ou les requêtes non valides (croix rouge).
Les résultats de recherche s'affichent dans la vue Events Summary (Récapitulatif des événements). Cliquez sur le lien suivant pour en savoir plus sur la façon d'utiliser la vue Events Summary (Récapitulatif des événements).
Vous pouvez exporter les résultats de la recherche au format .csv à partir de la zone de requête de recherche. Le rapport contient les mêmes colonnes que celles qui apparaissent dans
Console de l'appliance EDR
et duplique le tri des colonnes
Console de l'appliance EDR
.
Pour exporter le tableau récapitulatif Events Summary (Récapitulatif des événements) :
  1. Cliquez sur la flèche déroulante en regard du nombre d'événements trouvés, puis sur
    Export (Exporter)
    .
  2. Saisissez un nom pour votre rapport.
  3. Cliquez sur
    OK
    .
  4. Dans la boîte de dialogue de confirmation, cliquez sur
    OK
    .
    Accédez au rapport exporté sur la page
    Reports > Export Reports (Rapports > Rapports d'exportation)
    .
    Les caractères ASCII étendus ne sont pas rendus correctement au format .csv.
Filtres
Les méthodes de filtrage du tableau récapitulatif des événements décrivent les méthodes permettant de filtrer les résultats du tableau récapitulatif des événements.
Filtrage du tableau de récapitulatif des événements
Type de filtre
Description
Procédure
Filtres rapides
Symantec EDR
fournit des filtres rapides prédéfinis pour renvoyer rapidement les informations générales souhaitées.
La liste des filtres rapides disponibles varie en fonction de la page de recherche. Par exemple, la vue
Events Summary (Récapitulatif des événements) Search > Database > Events (Recherche > Base de données > Événements)
vous permet de filtrer par analyse (par exemple, SONAR), risque (par exemple, non bloqué) et comportement (par exemple, point de chargement). À l'inverse, l'onglet
Related Events (Événements connexes)
de la page d'informations Fichier vous permet uniquement de filtrer le comportement.
Vous pouvez associer plusieurs filtres rapides en les séparant par des opérateurs (AND, OR) et en utilisant des parenthèses pour définir la priorité de l'exécution du filtre.
À propos des filtres rapides pour plus d'informations.
  1. Cliquez sur
    Add Filter (Ajouter un filtre)
    .
  2. Dans la boîte de dialogue contextuelle, sélectionnez les filtres et les opérateurs que vous souhaitez appliquer.
Certaines pages de recherche utilisent la commande
Show Filters (Afficher les filtres)
. Ces pages affichent un tableau des filtres rapides que vous pouvez sélectionner (ou désélectionner). Consultez la rubrique associée pour plus d'informations.
Filtres personnalisés
Un filtre personnalisé est créé lorsque vous effectuez une recherche ou que vous exécutez un filtre qui n'est pas un filtre rapide.
Les filtres personnalisés sont créés en sélectionnant un champ, puis en appliquant un opérateur (« est », « n'est pas », « fait partie de », etc.) et une valeur, ou si l'opérateur est « entre », un jeu de valeurs. Vous pouvez associer plusieurs valeurs/champs à l'aide d'opérateurs (AND, OR) et en utilisant des parenthèses pour définir la priorité de l'exécution du filtre.
Reportez-vous à Actions de filtre personnalisées pour les actions que vous pouvez appliquer aux filtres personnalisés.
Les filtres personnalisés ne sont pas conservées lors du changement de vues ou de la déconnexion.
Pour accéder aux options de filtre personnalisé :
  1. Cliquez sur
    Add Filter (Ajouter un filtre)
    , sélectionnez les filtres et les opérateurs à utiliser dans la boîte de dialogue contextuelle, puis cliquez sur
    Apply (Appliquer)
    .
Statistiques de compte rapide
Les statistiques de compte rapide sont un échantillon de données qui représentent tous les événements qui se sont produits dans votre environnement. Dans la liste des champs, vous pouvez consulter les événements se produisant le plus souvent, ainsi que les pourcentages. Vous pouvez utiliser les comptes rapides pour créer rapidement des filtres d'inclusion ou d'exclusion de valeurs.
Pour accéder aux statistiques de compte rapide, cliquez sur le nom du champ.
Pour inclure uniquement les événements qui contiennent la valeur, cliquez sur l'icône du signe plus.
Pour exclure tous les événements qui contiennent la valeur, cliquez sur l'icône du signe moins.
Actions des filtres personnalisés
Option d'action
Nom de l'action
Description de l'action
Toggle filter (Basculer le filtre)
Basculez entre le filtre inclusion et le filtre exclusion.
Edit filter (Modifier le filtre)
Modifiez les paramètres de filtre.
Supprimer le filtre
Supprimez le filtre.
Filtres temporels
Les filtres temporels limitent les résultats de la recherche à une période spécifique. Vous pouvez définir des filtres temporels des manières suivantes :
  1. Pour définir le filtre temporel à l'aide des options de filtre temporel
  2. Sur la droite de la vue Events Summary (Récapitulatif des événements), cliquez sur l'icône d'horloge.
    Par défaut, le filtre temporel est défini sur les dernières 24 heures.
  3. Effectuez l'une des tâches suivantes :
    Options de filtre temporel
    Cliquez sur...
    Puis...
    Pour définir un filtre rapide
    Quick (Rapide)
    Cliquez sur l'une des périodes prédéfinies.
    Pour définir une période de temps relative à la période actuelle
    Relative
    Saisissez une période en secondes, minutes, heures, jours, mois ou années, puis cliquez sur
    Go (Aller)
    .
    Pour définir une heure de début et une heure de fin
    Absolute (Absolu)
    Utilisez le widget de calendrier pour sélectionner une plage de dates. Vous pouvez ajuster la plage en modifiant les champs
    À
    et
    De
    .
  4. Cliquez sur le caret au-dessus de la barre de requête pour fermer les options de filtre temporel.
  5. Pour définir le filtre temporel depuis l'histogramme
  6. Dans l'histogramme, placez votre curseur sur la barre qui représente le début de la période que vous voulez afficher.
  7. Faites glisser le curseur vers l'avant ou l'arrière sur la période spécifique que vous voulez afficher.
    Conseil :
    cliquez sur l'option Précédent du navigateur pour annuler vos modifications.
  8. Utilisez le menu déroulant
    Histrogram interval (Intervalle d'histogramme)
    pour sélectionner la durée de chaque barre de l'histogramme.
    Pour certains intervalles,
    Symantec EDR
    arrondit l'intervalle à une valeur supérieure. Une mise à l'échelle est effectuée lorsque tous les intervalles ne peuvent être affichés sur l'histogramme en raison d'un trop grand nombre de petits intervalles.
Listes de champs
Les listes de champs permettent de personnaliser les champs que vous affichez sous forme de colonnes dans Events Summary (Récapitulatif des événements). Les statistiques de compte rapide sont également disponibles dans la liste de champs.
Ce que vous pouvez faire à partir de la liste de champs
Option/lien d'action
Description de l'action
Ajouter une colonne.
Supprimer une colonne.
Accéder aux statistiques de compte rapide.
Events summary (Récapitulatif des événements)
Events summary (Récapitulatif des événements) affiche les événements qui correspondent à la requête de recherche. Cliquez sur le lien suivant pour en savoir plus sur les type_ids.
Ce que vous pouvez faire depuis Events summary (Récapitulatif des événements)
Option/lien d'action
Description de l'action
Afficher les détails de l'événement.
<Nom d'appareil>
Explorer les détails du terminal.
<Nom de fichier>
Explorer les détails du fichier.
<Nom de domaine>
Explorer les détails du domaine.
Supprimer une colonne.
Trier une colonne (disponible uniquement si le champ est indexé).
Déplacer une colonne vers la gauche ou la droite.
Détails des événements
Quand vous développez un élément dans Events Summary (Récapitulatif des événements), toutes les données disponibles pour cet événement sont affichées. Pour plus d'informations sur les descriptions de champ, consultez le
Guide de référence des champs de recherche
Symantec™ Endpoint Detection and Response
.
Ce que vous pouvez faire depuis Event Details (Détails des événements)
Option/lien d'action
Description de l'action
Inclure uniquement les événements qui incluent la valeur.
Exclure tous les événements qui incluent la valeur.
Activer/désactiver une colonne dans le tableau des événements.
Nom de l'appareil
Explorer les détails du terminal.
Nom de fichier
Explorer les détails du fichier.
Nom de domaine
Explorer les détails du domaine.
Activer/désactiver une colonne.