Centro Assistenza ACSIA

Manuale Utente - V7.0.0

Nadia Riccardi
Nadia Riccardi
  • Aggiornato

Dashboard 

La sezione Dashboard mostra un'overview degli incidenti della vostra infrastruttura.

 

I dati possono essere filtrati per tenant (2) e per timeframe (3):

2024-02-16_10-29.png


Incidents 

La sezione Incidents mostra i dettagli degli incidenti sulla vostra infrastruttura, indicando se l'evento è categorizzato come low, medium, high, o critical:

2024-02-16_10-32.png

 

Di default, gli incidenti sono categorizzati in base alla criticità (low, medium, high, critical), ma potete creare filtri differenti cliccando su +Add filter:

2024-02-16_10-33.png

 

Dopo che un evento è stato verificato, potete decidere se metterlo on hold, chiuderlo, o lasciarlo aperto cambiando il suo status:

 

Per visualizzare i dettagli dell'incidente, cliccate sull'evento:

2024-02-16_10-52.png

 

La sezione Geolocalizzazione mostra dove è localizzato l'IP dell'attaccante:

2024-02-16_10-53.png

Il Raw event mostra tutti i dettagli associati con l'incidente, come il time stamp e molto altro. 


Devices

Quando si desidera utilizzare il software su un device, è necessario installare prima l'agente.

Per farlo, è necessario andare su Devices > + Device per aggiungere un nuovo dispositivo e seguire le istruzioni dell'interfaccia utente per installare l'agente sul computer.

Si noti che al punto 1 è necessario selezionare il tenant e al punto 2 il sistema operativo del device.

2024-02-16_11-06.png

I device possono essere filtrati come indicato nell'immagine:


Global Settings

Qui è possibile personalizzare il nome, il logo e le informazioni aziendali dell'app (solo gli Staff User possono apportare queste modifiche).


Global Audit Logs

Qui è possibile vedere un registro dettagliato di tutti gli accessi e delle operazioni di gestione. Gli Staff User possono filtrare le entry del log in base al tenant o ad utenti specifici.

Facendo clic sul log, è possibile visualizzare ulteriori dettagli sull'entry.

 


Detection Rules

Questa sezione consente agli utenti di attivare o disattivare le Sigma Rules dall'interfaccia utente. Ciò consente un approccio più flessibile e personalizzato alla gestione delle regole all'interno del sistema.

2024-02-16_11-07.png


Network Policies

In questa sezione, si possono gestire la Whitelist/Blacklist degli IP e delle reti.

  • Le regole possono essere definite in ACSIA: il sistema può inserire automaticamente nella whitelist/blacklist IP o reti in base ai trigger delle regole.

  • Gli amministratori della Network Security possono inserire manualmente nella whitelist/blacklist IP o reti dall'incident view.

  • Gli amministratori della Network Security possono inserire manualmente nella whitelist/blacklist IP, reti o intervalli di IP specifici con i relativi dettagli.

  • Le azioni di notifica sono configurate in modo da ignorare gli IP o le reti nella whitelist o nella blacklist.

    2024-02-16_11-08.png

Come aggiungere una nuova policy

    • Cliccare su +Policy
    • Scrivere l'indirizzo IP e selezionare l'azione (Block/Allow)
    • Selezionare se applicare la policy su tutti i devices o solamente su quelli selezionati
    • Cliccare "Save"

2024-02-16_11-09.png


Notification rules

Questa sezione consente di creare notifiche personalizzate in base alla criticità dell'incidente. Attualmente supportiamo le notifiche via e-mail, Teams e Slack.

 

Per creare una regola, cliccare su Notifications rules > +Rule:

 

Selezionare il tipo di notifica desiderato:

 

In base a ciò che avete scelto, dovrete inserire le e-mail dei destinatari (separate da una virgola), o un webhook nel caso di notifiche Teams o Slack.


Users 

In questa sezione è possibile aggiungere utenti in due modi:

  • È possibile aggiungere un nuovo utente compilando i campi richiesti. Dovrete anche specificare un ruolo per il nuovo utente (vedere anche la sezione Ruoli).
  • È possibile importare gli utenti esistenti. Facendo clic su Importa utente, viene visualizzato l'elenco degli utenti esistenti.

Roles 

È possibile creare ruoli completamente personalizzati nella sezione ruoli facendo clic su +Roles.

 

Assegnate un nome al nuovo ruolo e decidete quali privilegi avrà:

2024-02-16_11-14.png

 


Audit Logs

Qui è possibile visualizzare un log dettagliato di tutti gli accessi e delle operazioni di gestione.

Facendo clic sul registro, è possibile trovare ulteriori dettagli sulla voce.

2024-02-16_11-18.png


Preferences 

In questa sezione è possibile gestire le proprie preferenze.

  • Configurazione del blocco automatico degli IP malevoli
    Personalizzate il blocco automatico degli IP malevoli specificando quali IP attaccanti attivano un ban e scegliendo se applicarli universalmente o selettivamente ai device sotto attacco, fornendo un controllo granulare sulle vostre misure di cybersecurity.
  • Configurazione del blocco automatico dei file malevoli
    Abilitate il blocco automatico dei file malevoli per limitare l'accesso ai file potenzialmente pericolosi.
  • Configurazione della whitelist nel caso di dispositivi isolati
    La modalità Device Isolation è configurata per limitare la connettività dei dispositivi sotto attacco, rendendoli inaccessibili a e da tutti gli host, tranne quelli specificati nella whitelist. Confermare l'elenco degli host che possono raggiungere i dispositivi compromessi prima di attivare la modalità Isolamento dispositivo.
  • Allowed IPs:
    Personalizzare l'elenco degli host autorizzati a comunicare con i dispositivi isolati. Definire host specifici che mantengono i privilegi di connettività, fornendo flessibilità e controllo sulla comunicazione durante gli incidenti di sicurezza.

2024-02-16_11-29.png

 


Settings

In questa sezione si trovano le informazioni sul proprio account, si può selezionare la modalità Light/Dark per la dashboard ed effettuare il logout dalla piattaforma.

 

2024-02-16_11-31.png