Traiter les incidents Stormshield XDR avec SLS

Quand un incident est détecté, une alerte XDR est levée. Si le déclenchement automatique des playbooks a été activé, des réponses automatiques à cette alerte sont alors mises en œuvre par SLS sur les produits Stormshield. Les playbooks peuvent également être déclenchés manuellement. Vous pouvez suivre le traitement de ces incidents à plusieurs endroits :

Depuis le tableau de bord de SLS : vous pouvez importer un tableau de bord dédié à XDR en vous rendant dans Settings > Knowledge base > Dashboards > Import et en sélectionnant le fichier dashboardtab.xdr.X.Y.Z-YYMMa.pak (la nomenclature est la même que celle du package de scénarios) du package de scénarios, puis en cliquant sur Activate,

ATTENTION
Le tableau de bord appartient au compte qui l'a importé et il est le seul à y avoir accès. Il est fortement recommandé de partager le tableau de bord avec des groupes d'utilisateurs SLS en cliquant sur la petite flèche pour activer le partage.
Dans les notifications par e-mail si vous les avez configurées,
Dans l'onglet Incident de SLS.

Déclencher manuellement les playbooks

Par défaut, Stormshield XDR vous propose des playbooks à déclencher manuellement. Pour les déclencher :

Rendez-vous dans Playbooks > Monitoring.
Cliquez sur l’icône Runtime d'un playbook avec le statut Waiting for approval.
Cliquez sur le triangle rouge en bas à gauche.
Cliquez sur Continue si vous voulez déclencher le playbook.

Vous pouvez voir le résultat de chaque étape en cliquant de nouveau sur l'icône Runtime.

Pour plus d'informations, reportez-vous au Guide de configuration du SOAR et au Guide des playbooks de SLS (anglais uniquement).

Déclencher automatiquement les playbooks

Dans le cas d'un déclenchement automatique, il est indiqué Automation/XDR-Alarm-Trigger dans la colonne Initiated by. Le nom de l'utilisateur qui a créé le déclencheur est indiqué dans la colonne Run as. Vous êtes informé du déclenchement d'un playbook par une fenêtre pop-up dans l'interface web de SLS.