La colonne « Nombre de règles » a été supprimée de la grille de données des événements

Vous utilisiez peut-être la colonne « Nombre de règles » sur la page « Événements » du portail d'administration pour identifier les événements UAC non couverts par une règle (c'est-à-dire dont la valeur était « 0 », ce qui signifie qu'aucune règle n'était définie pour cet événement). Cette colonne a été supprimée avec l'ajout des nouvelles fonctionnalités « Règles avancées » (attributs d'éditeur et de fichier) pour des raisons de précision et de performance. La suppression de cette métrique ouvrira également la voie à de nouvelles fonctionnalités plus utiles, plus précises et plus simples d'utilisation, améliorant ainsi les performances globales de la grille.

Le premier problème concernait l'ajout des fonctionnalités « Avancées » (Attributs d'éditeur et de fichier), où la colonne « Nombre de règles » n'était plus précise. En effet, cette mesure était basée sur le hachage MD5 de l'événement et sa correspondance avec les règles de hachage MD5. Une simple recherche des valeurs de hachage permettait d'obtenir cette mesure. Avec les attributs d'éditeur et de fichier, le calcul de ce nombre est beaucoup plus complexe et aurait un impact négatif sur les performances du portail d'administration.

Pourquoi n'a-t-il pas raconté toute l'histoire ?

Un autre problème avec la colonne « Nombre de règles » était que ce nombre pouvait être trompeur dans certaines circonstances. La mesure affichée était calculée en examinant toutes les règles de votre système (lors du chargement de la grille). Par exemple, un événement pouvait afficher la valeur 1 (ou plus) même si une règle n'existait que sur une seule machine, un seul site ou une seule entreprise. Cela pouvait alors être interprété à tort comme signifiant qu'une règle existait pour tous alors qu'elle ne concernait que quelques ordinateurs. En résumé, rechercher uniquement les événements sans règle ne garantissait pas de trouver tous les événements non couverts par une règle.

Sera-t-il remplacé ?

Oui, il sera remplacé en 2 phases par de meilleures fonctionnalités qui seront bien plus utiles pour vous aider à trouver des événements qui n'ont pas de règles correspondantes.

Phase 1 - Une nouvelle colonne sur la grille des événements indiquera si l'événement était couvert par une règle au moment où l'événement s'est produit (au lieu du moment où vous ouvrez la grille de données), ce qui est beaucoup plus précis car il prendra en compte la chaîne hiérarchique de l'ordinateur parent.

Phase 2 - Une « vue détaillée » pour chaque événement qui donnera un aperçu « en temps réel » du nombre de règles de votre locataire qui s'appliqueraient à cet événement et à quel niveau de la hiérarchie il se trouve (en tenant compte des options d'attribut de l'éditeur et du fichier).

Ces nouvelles fonctionnalités devraient vous permettre de trouver des événements qui ne sont pas couverts par des règles et de créer des règles selon vos besoins.

Remarque : certaines fonctionnalités décrites ici peuvent changer de fonctionnalité et de portée à mesure qu’elles sont développées et finalisées.