StealedStealed Documentation
Open Stealed
Monitoring

Gestion d'incident

Assigner, commenter, clôturer les événements et utiliser la timeline d'activité comme piste d'audit pour la conformité NIS2 / DORA.

Quand une alerte se déclenche, Stealed crée un événement. Votre équipe le traite à l'intérieur de Stealed : assigne un responsable, laisse des commentaires, le marque acquitté, le clôture une fois résolu. Chaque action est capturée dans la timeline d'activité.

Page de détail d'événement avec les actions disponibles (assigner, acquitter, clôturer) et la timeline d'activité

Actions disponibles

Chaque événement supporte le même ensemble d'actions, indépendamment du monitor sous-jacent :

ActionCe qu'elle fait
AfficherOuvrir la page de détail de l'événement avec le contexte complet (fuites correspondantes, monitor, date de trigger)
AssignerChoisir un membre d'équipe comme responsable. Auto-assigne la première personne qui clique sur "Mark as seen"
AcquitterMarquer l'événement comme vu / pris en charge. Ne ferme pas l'événement, signale juste qu'il est en cours de traitement. Suspend les rappels quotidiens temporels ; les rappels volumiques continuent si de nouvelles fuites s'accumulent. Voir Re-notification.
CommenterLaisser une note libre (jusqu'à 4 000 caractères). Utile pour les passations et le contexte
Mettre le monitor sous-jacent en sourdineSilencer le monitor pour 15 min, 1 h, 4 h, 24 h ou une date personnalisée
ClôturerRésoudre l'événement. La clôture est l'état terminal. Les fuites correspondantes ultérieures ouvrent un NOUVEL événement (voir Déduplication)

Assignation

Chaque événement a zéro ou un assignee. La première personne qui clique sur Mark as seen devient le responsable par défaut (auto-assignation).

Vous pouvez réassigner en un clic via le dropdown. Le dropdown liste chaque membre de votre organisation avec une recherche en direct au-delà de cinq membres.

Deux filtres sont disponibles sur la liste d'événements :

  • Mes événements : votre file personnelle
  • Non assignés : le backlog à redistribuer en stand-up

Dropdown d'assignation ouvert sur un événement, avec la liste des membres et la recherche live

Commentaires

Les commentaires sont des notes libres attachées à un événement. Utilisez-les pour :

  • Documenter le contexte (credentials issus de la fuite @acme-dumps)
  • Signaler une passation (@Thomas, à toi)
  • Tracer les actions (mots de passe invalidés dans Okta à 11:23)
  • Conclure avec un résumé

Les commentaires sont en texte brut, jusqu'à 4 000 caractères. Le nom d'affichage de l'auteur est capturé à la soumission et persiste même si l'utilisateur est ensuite renommé ou retiré de l'organisation.

Les commentaires ne peuvent être ni édités ni supprimés une fois soumis. C'est intentionnel : la timeline d'activité est conçue comme une piste d'audit, pas comme un historique de chat.

Timeline d'activité

La timeline d'activité est un flux chronologique unifié de tout ce qui s'est passé sur un événement :

  • Trigger initial
  • Notifications envoyées sur chaque canal
  • Commentaires utilisateur
  • Transitions d'état (acquitté, résolu, rouvert)
  • Changements d'assignation
  • Actions de mise en sourdine / sortie de sourdine

Timeline d'événement affichant le tiroir d'aperçu de fuites (onglets At trigger / Live) à côté du flux d'activité

La timeline est triée du plus récent au plus ancien par défaut. Un toggle bascule sur l'ordre du plus ancien au plus récent. Un filtre Hide system events ne garde que les commentaires humains, utile pour relire un long incident.

Piste d'audit

Chaque entrée de la timeline porte un timestamp immuable en UTC et l'identité de l'acteur (utilisateur ou système). Le journal complet d'un événement est exportable en JSON via l'API et est adapté comme piste d'audit pour le reporting NIS2 Article 23 (early warning sous 24h + notification d'incident sous 72h).

Pour les entités régulées DORA, la même timeline plus la logique de dedup fournissent la chaîne de preuve requise pour le reporting des incidents liés aux TIC.

Clôturer un événement

Cliquez sur Close pour marquer un événement comme résolu. Un événement clôturé :

  • Arrête de déclencher des notifications de rappel
  • Est exclu du filtre Open events
  • Reste accessible dans l'historique des événements pour toujours
  • Voit sa timeline d'activité figée

Si de nouveaux credentials correspondant au même monitor arrivent après la clôture, un nouvel événement est ouvert. Crucialement, le nouvel événement ne compte que les nouveaux hashes : les credentials déjà tracés dans l'événement clôturé ne sont pas recomptés. C'est ainsi que Stealed évite le bruit historique quand on rouvre l'attention sur un sujet. Voir Déduplication.

Réouverture

Vous pouvez rouvrir un événement clôturé si vous découvrez qu'il a été fermé prématurément. La réouverture :

  • Ajoute une entrée "rouvert par X à Y" à la timeline
  • Réarme la logique de re-notification pour que les rappels puissent à nouveau partir sur les canaux attachés

La suite

  • Déduplication : la règle qui décide quand les fuites correspondantes enrichissent un événement existant ou en ouvrent un nouveau.
  • Mettre un monitor en sourdine : silencer temporairement le monitor sans perdre l'état de l'événement.

Recevoir des notifications

Configurez Slack, Microsoft Teams, des webhooks personnalisés et l'email pour que les alertes Stealed atterrissent là où votre équipe travaille.

Déduplication

Comment Stealed évite de créer des événements en double depuis le même monitor, et pourquoi vos alertes ne signalent que des fuites véritablement nouvelles.

On this page

Actions disponiblesAssignationCommentairesTimeline d'activitéPiste d'auditClôturer un événementRéouvertureLa suite