Configurer les incidents détaillés émis par les agents

Les incidents détaillés sont tous les logs produits par l'agent dans le périmètre d'une attaque, y compris ceux qui n'apparaissent pas sur la console d'administration habituellement. Par exemple même les logs restés en local sur l'agent ou envoyés vers un serveur Syslog sont affichés dans les incidents détaillés. Pour plus d'informations, reportez-vous à la section Analyser les incidents pour comprendre une attaque.

Vous pouvez configurer la taille de ces incidents, l'ancienneté maximale de leurs logs, ainsi que la manière dont ils sont envoyés au gestionnaire d'agents.

  1. Dans l'onglet État et logs d'un groupe d'agents, rendez-vous dans la section Incidents détaillés.
  2. Définissez la Taille maximale d'un contexte détaillé qui est de 500 Ko par défaut. Il s'agit de la taille estimée des données qui transitent sur le réseau. Si les connexions réseau entre les agents et le gestionnaire d'agents sont limitées, réduisez cette taille. À l'inverse, si vous avez ajouté des jeux de règles d'audit très verbeuses, augmentez cette taille pour être sûr de récupérer suffisamment de logs utiles.
  3. Définissez l'Ancienneté maximale des logs. La valeur par défaut est de 10 minutes car la plupart des attaques se déroulent rapidement, mais vous pouvez l'ajuster à votre convenance.
  4. Choisissez la manière dont s'effectue la Remontée du contexte détaillé des incidents de l'agent au gestionnaire d'agents. La remontée peut être :
    • Immédiate : Les logs d'incidents sont envoyés au gestionnaire d'agents en même temps que l'alerte. Ils sont visibles immédiatement dans la console d'administration.
    • Différée : Les logs d'incidents sont envoyés au gestionnaire d'agents à une Fréquence que vous pouvez définir, la valeur par défaut étant toutes les heures. Si vous n'analysez les attaques qu'une fois par jour, augmentez cette fréquence à deux ou trois heures pour éviter d'encombrer le réseau.
    • Sur demande : Les logs d'incidents ne seront pas transmis au gestionnaire d'agents de manière automatique. Vous pourrez télécharger ces données manuellement au moment d'étudier une attaque. Pour plus d'informations, reportez-vous à la section Analyser les incidents pour comprendre une attaque.