Comprendre les types de contexte
Les incidents sont composés de deux types de contextes :
- Le contexte simple affiche uniquement les logs de création et mort de tous les processus qui se sont exécutés sur l'agent dans le périmètre de l'attaque, ainsi que les alertes. Le contexte simple est affiché par défaut dans l'incident détaillé.
- Le contexte détaillé affiche tous les logs émis par l'agent dans le périmètre de l'attaque, y compris ceux qui n'apparaissent pas sur la console d'administration habituellement. Par exemple même les logs restés en local sur l'agent ou envoyés vers un serveur Syslog sont visibles dans le contexte détaillé. Ils sont produits par le jeu de règle d'audit Stormshield - Audits pour contextes d'attaque de la politique par défaut.
Selon la configuration du groupe d'agents, l'affichage du contexte complet peut nécessiter une action manuelle.