Issue:
Normalement, l'e-mail de notification d'alerte d'EDR sera envoyé lorsqu'une détection avec le niveau de risque « Sévère », « Élevé » et « Moyen » a été ajoutée au portail, mais est-il possible de configurer l'e-mail d'alerte qui sera UNIQUEMENT notifié lorsque le niveau de risque « Sévère » ou « élevé » s'est produit ? Est-il possible de filtrer les alertes par e-mail provenant d'EDR ? Je ne veux pas recevoir beaucoup d'e-mails d'alerte à risque faible , mais uniquement des alertes à risque moyen et élevé. Ou uniquement des alertes à risque élevé ou grave, etc.
Resolution:
Depuis l'onglet Gestion > Paramètres de l'organisation > Paramètres de détection et de réponse, il n'est pas possible de modifier la classification des détections EDR qui enverraient des e-mails.
Dans ce cas, vous devez utiliser cette solution de contournement pour générer un rapport par courrier électronique qui n'est envoyé qu'en cas de détection de niveau élevé ou grave :
- Connectez-vous au portail Elements
- Accédez à Événements > Événements de sécurité
- Appliquez ces deux filtres :
- La source est égale à EDR
- La gravité est synonyme d'action nécessaire
- Ouvrez le menu d'affichage dans le coin supérieur droit et sélectionnez « Enregistrer sous » en bas du menu
- Donnez à la vue un nom descriptif et enregistrez-la
- Accédez à Rapports > Notification par e-mail et rapport
- Cliquez sur Ajouter un rapport par e-mail
- Donnez-lui un nom que vous souhaitez voir dans l'objet de votre e-mail
- Pour la source de données, sélectionnez Événements de sécurité
- Pour le modèle, sélectionnez la vue que vous avez créée précédemment
- Configurer le calendrier et le destinataire (en continu, un e-mail sera envoyé toutes les 10 minutes si un nouvel événement est apparu)
- Laissez l' option Envoyer uniquement lorsque le rapport a une option de basculement de contenu activée
- Cliquez sur Enregistrer
Ce rapport est envoyé chaque fois qu'une détection de niveau élevé ou grave apparaît sur cette page Événements de sécurité . Malheureusement, il n'est pas possible de choisir d'envoyer des e-mails uniquement concernant les détections de niveau grave , car sur la page Événements de sécurité , le filtre Gravité égale Action requise inclut à la fois les détections de niveau élevé et grave .
Nous améliorerons ces fonctionnalités de reporting et de courrier électronique cette année, mais il n’y a pas d’estimation précise pour le moment.
Ici, vous devez noter que si vous essayez d'envoyer un rapport de test à partir de ce nouveau rapport à l'aide du bouton Envoyer le rapport de test, n'oubliez pas de désactiver d'abord temporairement Envoyer uniquement lorsque le rapport a du contenu , car s'il n'y a pas de contenu dans le rapport, le rapport de test ne sera pas envoyé non plus.
Voici une explication plus détaillée de la raison pour laquelle le rapport de test n'est pas envoyé : https://community.withsecure.com/en/kb/articles/31416-no-test-report-sent-when-security-events-source-is-used-for-elements-email-notification-and-report
Article no: 000029932
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.