Afficher la page Détails de l'évènement
Vous pouvez afficher des métadonnées et des détails supplémentaires pour un évènement réseau qui a été consigné sur la page Évènements. Les métadonnées affichées dépendent de plusieurs facteurs, tels que le type de demande réseau effectuée et la manière dont vous avez configuré les règles ACL. Par exemple, les évènements DNS affichent des détails spécifiques au DNS et les évènements TLS affichent des détails spécifiques au TLS. De même, si la protection réseau est activée dans une règle ACL, des métadonnées supplémentaires s'affichent. Vous pouvez partager l'évènement réseau avec d'autres utilisateurs de la console pour auditer ou examiner les destinations auxquelles l'utilisateur a tenté d'accéder. Les utilisateurs de la console doivent disposer des autorisations appropriées pour afficher l'évènement partagé. Cliquez sur pour copier le lien vers l'évènement.
Vous pouvez filtrer les évènements réseau consignés à l'aide des filtres de données suivants :
| Filtre | Description |
|---|---|
|
Présentation de l'évènement |
|
|
ID d'évènement |
Il s'agit d'un identifiant unique pour l'évènement réseau de votre locataire. |
|
Adresse IP source |
Il s'agit de l'adresse IP de la passerelle privée qui a été attribuée au tunnel du point de terminaison pendant l'évènement. |
|
Port source |
Il s'agit du numéro de port de la destination. |
|
Nom de la requête DNS |
Il s'agit du nom de ressource demandée (RR) du serveur DNS que l'agent Gateway a interrogé. |
|
Type de requête DNS |
Il s'agit du type de requête DNS (par exemple, un enregistrement A, AAAA, TXT ou SRV) qui a été envoyé au serveur DNS. |
|
Destination |
Il s'agit de la destination de l'évènement. L'adresse IP de destination est toujours incluse. L'évènement peut également afficher le nom du service réseau ou le nom d'hôte, le cas échéant. |
|
Port de destination |
Il s'agit du port de la destination à laquelle vous avez accédé. |
|
Adresse IP source de la NAT privée |
Il s'agit de l'adresse IP source de cet évènement lorsqu'il a quitté le Gateway Connector pour l'un de vos réseaux privés. Si l'adresse IP source n'est pas disponible ou si cette fonctionnalité n'a pas été activée, le filtre indique « Inconnu ».
Important : Vous devez vous assurer que l'heure du système Gateway Connector est exacte. Si l'heure du système Gateway Connector manque de précision, les détails de la NAT signalés par le connecteur peuvent ne pas correspondre à l'événement réseau dans le Protect Backend. Par défaut, le système Gateway Connector utilise le serveur de temps Ubuntu (serveur ntp.ubuntu.com) pour la synchronisation de l'heure ; vous pouvez également spécifier un serveur NTP personnalisé. Si vous utilisez le serveur de temps Ubuntu, assurez-vous qu'il est accessible depuis votre réseau privé. Pour en savoir plus, consultez la section Configurer le système CylanceGATEWAY Connector.
Le système Gateway Connector envoie les détails de la NAT mis à jour à l'écran Détails de l'évènement toutes les minutes. Cette fonctionnalité est activée par défaut. Si les détails de la source de la NAT privée ne s'affichent pas dans la page Détails de l'évènement de la console Endpoint Defense, vérifiez que vous avez installé la dernière version Gateway Connector et redémarré le connecteur. |
|
Port source de la NAT privée |
Il s'agit du port IP source de cet évènement lorsqu'il a quitté le système Gateway Connector pour l'un de vos réseaux privés. Si le numéro de port n'est pas disponible ou si cette fonctionnalité n'a pas été activée, le filtre indique « Inconnu ». Cette fonctionnalité est activée par défaut. Si les détails de la source de la NAT privée ne s'affichent pas dans la page Détails de l'évènement de la console Endpoint Defense, vérifiez que vous avez installé la dernière version Gateway Connector et redémarré le connecteur. |
|
Arctic Wolf Adresse IP source |
Il s'agit de l'adresse IP de cet évènement lorsqu'il a quitté le Protect Backend. Cette adresse IP source Arctic Wolf n'est pas disponible pour les flux qui n'utilisent pas le tunnel Gateway (par exemple, mode sans échec). |
|
Adresse IP source du tunnel |
Il s'agit de l'adresse IP du point de terminaison telle qu'elle est détectée par l'Protect Backend lors de son accès au tunnel Gateway. |
|
Protocole |
Il s'agit du protocole (couche 4) utilisé par l'évènement réseau pour accéder à la destination. Le protocole peut être UDP ou TCP. |
|
Protocole d'application |
Il s'agit du protocole (couche 6 ou 7), tel que TLS, DNS ou HTTP, utilisé pour la communication. |
|
Type d'accès |
Il s'agit du type d'accès (par exemple, mode sans échec ou tunnel de passerelle) utilisé par l'évènement réseau pour accéder à la destination. |
|
Routage réseau |
Le trafic est ainsi fourni en tant que connexions publiques ou privées qui ont été utilisées pour acheminer le trafic. En ce qui concerne les connexions privées, vous pouvez filtrer par nom de groupe de connecteurs et par Gateway Connector. |
|
Connecteur |
Il s'agit du système Gateway Connector auquel l'événement réseau est associé. Pour afficher plus d'informations sur le connecteur, cliquez sur le nom du connecteur. |
|
Catégorie |
Il s'agit de la catégorie appliquée à l'évènement. Par exemple, si Gateway a déterminé que la destination contient des menaces potentiellement malveillantes, la catégorie affichée peut être Risque dynamique. Pour plus d'informations sur la catégorie Risque dynamique, reportez-vous à la section Configuration de la protection réseau dans le contenu relatif à la configuration. La destination peut également être classée en fonction de son contenu, par exemple « Informatique et technologies de l'information ». Pour plus d'informations sur les catégories de contenu de destination, reportez-vous à la section Catégories de contenu de destination dans le contenu relatif à la configuration. |
|
Sous-catégorie |
Il s'agit de la description de la sous-catégorie de trafic réseau liée à la catégorie associée à la destination. Pour plus d'informations sur les sous-catégories qui peuvent s'afficher lorsque la catégorie est Risque dynamique, reportez-vous à la section Configuration de la protection réseau dans le contenu relatif à la configuration. Pour plus d'informations sur les sous-catégories qui peuvent s'afficher lorsque la catégorie est une catégorie de contenu de destination, reportez-vous à la section Catégories de contenu de destination dans le contenu relatif à la configuration. |
|
Heure de début (UTC) |
Il s'agit de l'heure à laquelle la communication de l'activité réseau a commencé. L'heure est affichée en UTC. |
|
Heure de fin (UTC) |
Il s'agit de l'heure à laquelle la communication de l'activité réseau s'est terminée. L'heure est affichée en UTC. |
|
PID |
Il s'agit de l'ID numérique du processus qui a déclenché la demande DNS. Le PID est signalé par le terminal Windows ou macOS lorsque l'agent est activé avec le mode sans échec. |
|
Chemin d'accès |
Indique le chemin d'accès à l'exécutable à partir duquel le processus a été exécuté. Il s'agit généralement du chemin d'accès au fichier svchost.exe. Le chemin est tronqué à 1 024 caractères. Le chemin est signalé par le terminal Windows ou macOS lorsqu'il est activé avec le mode sans échec. |
|
Transféré(e)(s) |
Cela indique le nombre d'octets échangés entre la destination et l'agent Gateway. Il s'affiche sous la forme du nombre total d'octets chargés et téléchargés sur le serveur et l'agent Gateway. |
|
Flux de paquets |
Il s'agit du nombre de paquets envoyés entre la destination et l'agent Gateway. |
|
Utilisateur |
Il s'agit du nom d'utilisateur auquel l'évènement réseau est associé. Vous pouvez filtrer les évènements réseau en fonction du nom d'utilisateur et du nom d'affichage d'un utilisateur Active Directory. Lorsque vous exportez la page Évènements, seul le nom d'utilisateur est exporté. Vous pouvez cliquer sur le nom d'utilisateur pour afficher les évènements associés à l'utilisateur. |
|
OS |
Il s'agit du terminal utilisé pour lancer l'activité réseau (par exemple, Android, iOS, macOS ou Windows). |
|
Modèle |
Il s'agit du modèle du terminal (par exemple, iPhone, Samsung Galaxy, Google Pixel). |
|
Terminal |
Il s'agit du nom d'hôte de l'utilisateur macOS ou du terminal Windows (par exemple, exemple.com). |
|
Action |
Cela permet d'identifier si l'évènement réseau est autorisé ou bloqué en fonction de vos paramètres de protection réseau et des règles ACL que vous avez spécifiées pour l'environnement. Des informations supplémentaires sur l'action sont incluses dans la section Action. |
|
Action |
|
|
Phase de connexion |
Il s'agit de la phase d'évaluation au cours de laquelle les propriétés de tentative d'accès ont été comparées aux destinations et conditions de chaque règle ACL. Une ou plusieurs des phases (par exemple, lors de la recherche DNS, de la tentative de connexion et de l'établissement d'une liaison TLS) qui ont été évaluées par rapport aux règles ACL s'affichent. |
|
Heure (UTC) |
Il s'agit de l'heure à laquelle l'activité réseau a été évaluée à l'aide d'une règle ACL. L'heure est affichée en UTC. |
|
Règle appliquée |
Il s'agit du nom de la règle ACL qui a été appliquée au moment de l'évaluation au cours des différentes phases des règles ACL. |
|
Action |
Indique si l'action a été autorisée ou bloquée pour les phases évaluées. |
|
Alertes |
|
|
Type |
Permet d'identifier l'anomalie déclenchée par l'activité réseau avec le niveau de protection réseau associé. Pour en savoir plus sur les anomalies prises en charge, consultez la section Affichage de l'activité réseau. |
|
Heure (UTC) |
Il s'agit de l'heure à laquelle l'activité réseau a déclenché l'alerte. L'heure est affichée en UTC. |
|
Catégorie |
C'est l'anomalie qui a déclenché l'alerte. Pour en savoir plus les anomalies, consultez la section Affichage de l'activité réseau. |
|
Signature |
Il s'agit de l'anomalie de signature déclenchée par l'évènement réseau. |
|
Transféré(e)(s) |
|
|
Téléchargé |
Il s'agit du nombre total d'octets de données envoyés de la destination à l'agent Gateway. |
|
Chargé |
Il s'agit du nombre total d'octets de données qui ont été envoyés de la destination du serveur à l'agent Gateway. |
|
TLS |
|
|
Version de TLS |
Il s'agit de la version du protocole TLS qui a été utilisée pour se connecter à la destination. |
|
ALPN client |
Il s'agit des informations d'en-tête ALPN qui ont été envoyées à l'agent Gateway depuis la destination. |
|
ALPN du serveur |
Il s'agit des informations d'en-tête qui ont été envoyées de la destination à l'agent Gateway. |
|
SNI |
Il s'agit du nom d'hôte de la destination à laquelle l'agent Gateway a tenté de se connecter. |
|
Émetteur |
Il s'agit du certificat présenté par la destination. |
|
Objet |
Il s'agit du nom de la règle qui a été appliquée au moment de l'évaluation au cours des différentes phases (par exemple, recherche DNS, établissement de la connexion et liaison TLS) en relation avec les règles ACL. |
|
Non valide avant |
Il s'agit de la date avant laquelle le certificat n'est pas valide. |
|
Non valide après |
Il s'agit de la date après laquelle le certificat n'est pas valide. |
|
Évènements HTTP |
Ce paramètre indique les flux HTTP d'origine non chiffrés en texte brut à des fins d'analyse et de recherche des menaces. Notez que les flux HTTP ne sont pas déchiffrés. Un résumé des détails de la demande et de la réponse comprend les détails de la demande et de la réponse suivants :
Les trois premiers évènements HTTP du nombre total d'évènements s'affichent. Un badge affiche le nombre total d'évènements qui ont été consignés pour l'évènement. Cliquez sur Tous les évènements HTTP pour afficher tous les évènements sur la page Aperçu des évènements. Cliquez sur chaque évènement pour afficher plus de détails, tels que des informations d'entête. Vous ne pouvez pas effectuer de recherche ou de filtrage dans les évènements HTTP pour le moment. Les détails HTTP présentent les limites suivantes :
|
|
DNS |
Indique la requête DNS et tous les détails de réponse associés à l'évènement. Un résumé des détails de la demande et de la réponse comprend les détails de la demande et de la réponse suivants :
Un badge affiche le nombre total de réponses pour la requête DNS. |