Configuration des paramètres d’horodatage pour l’acquisition du triage

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 3 minutes de lecture

    • Configurez et vérifiez les paramètres d’horodatage avant la procédure d’installation.

    Avant de commencer

    Rôle requis : administrateur d’incident de sécurité NowPlatform (sn_si.admin)

    Avant d’installer l’application FireEye, vous devez effectuer certaines conditions préalables sur FireEye.

    L’acquisition du triage peut être demandée avec une entrée du champ « Autour de l’horodatage » ou du champ « Standard ». Environ l’horodatage demande des informations collectées pendant une période spécifiée avant l’horodatage jusqu’à une durée spécifiée après l’horodatage. L’horodatage est l’heure à laquelle l’événement qui a généré l’alerte s’est produit. Si vous sélectionnez Standard, le dispositif Endpoint Security demande des informations à l’hôte pour toutes les données relatives à un événement.

    Lorsqu’un utilisateur de Endpoint Security demande une collecte de triage en fonction d’une date et d’une heure spécifiques, l’agent renvoie des informations pour une fenêtre de temps spécifiée avant et après l’alerte. Les paramètres d’horodatage contrôlent la longueur de la fenêtre pour la collecte de triage. Les paramètres d’horodatage s’appliquent uniquement aux événements d’URL d’agent (événements de surveillance d’URL) et de clé de registre (événements de clé d’enregistrement).

    Vous pouvez utiliser l’onglet Paramètres d’horodatage pour spécifier la durée avant et après l’horodatage pendant laquelle les informations sont collectées. Les paramètres d’horodatage peuvent aller de 0 à 86 400 secondes. La valeur par défaut pour les deux paramètres est de 600 secondes.

    Vous pouvez utiliser l’onglet Paramètres d’horodatage de la page Paramètres de triage automatique pour spécifier la durée avant et après l’horodatage pendant laquelle les informations sont collectées. L’horodatage est l’heure à laquelle l’événement qui a déclenché l’alerte s’est produit.

    Procédure

    1. Accédez à la Interface utilisateur Web de sécurité du point de terminaison.
    2. Sélectionner Administrateur > Paramètres de triage.
    3. Cliquer sur Paramètres d’horodatage onglet sur le Paramètres de triage automatique la page.
    4. Spécifiez la durée avant et après l’horodatage pendant laquelle les informations sont nécessaires.
    5. Entrez le nombre de secondes avant l’horodatage spécifié pendant lequel les informations sont nécessaires.
    6. Entrez le nombre de secondes après l’horodatage pendant lesquelles les informations sont nécessaires.
    7. Cliquer sur Enregistrer.
      Remarque :
      Vous pouvez rétablir les paramètres par défaut de toutes les valeurs de la page en cliquant sur Rétablir les valeurs par défaut, puis cliquez sur Enregistrer.
      • Zone d’espace d’acquisition: la page Acquisitions indique l’espace disque restant pour les acquisitions.
      • Définition des limites d’utilisation du disque pour les acquisitions :
        • Les triages, les acquisitions de fichiers et les acquisitions de données peuvent s’accumuler au fil du temps et utiliser une quantité croissante d’espace disque. Pour contrôler cela, vous pouvez leur allouer une quantité définie d’espace disque. Dix pour cent de l’espace disque que vous spécifiez est réservé aux acquisitions automatiques de triage. Lorsque la surface d’acquisition totale allouée est dépassée, les triages automatiques les plus anciens sont supprimés.
        • Lorsque la taille totale du disque des acquisitions terminées dépasse une limite spécifiée, l’appliance Endpoint Security supprime les acquisitions terminées les plus anciennes jusqu’à ce que suffisamment d’espace disque soit dégagé pour ramener le total sous la limite spécifiée. Les acquisitions qui ne sont pas encore terminées ne sont pas touchées.
        • L’appliance Endpoint Security supprime automatiquement les acquisitions si un administrateur, un analyste ou un enquêteur utilise l’interface utilisateur Web Endpoint Security pour supprimer manuellement l’agent associé.
        Pour définir des limites d’utilisation du disque pour les acquisitions complètes à l’aide de l’interface utilisateur Web :
      • Accédez à l’interface utilisateur web de la sécurité du point de terminaison.
      • Sélectionner Limites d’utilisation du disque à partir de Administrateur menu.
      • Dans le Limite d’espace d’acquisition , spécifiez la quantité maximale d’espace disque (en Go) qui peut être utilisée pour stocker le triage, les acquisitions de fichiers et de données. Les valeurs valides et les valeurs par défaut varient en fonction du modèle de votre dispositif Endpoint Security. Les valeurs appropriées pour votre modèle sont affichées sur la page Limites d’utilisation du disque.
      • Cliquer sur Enregistrer.
      Remarque :
      Tous les paramètres mentionnés sont respectés et en cas de défaillance ou d’erreur, ServiceNow AI Platform il renvoie simplement ces erreurs.