Afficher les Détails des Alertes de DNSWatch
Lorsque DNSWatch refuse la connexion d'un utilisateur à un domaine suspect, il génère une alerte contenant les informations de l'incident.
Vous pouvez accéder à la page Détails de l'Alerte à partir de la page Alertes de DNSWatch ou cliquer sur le lien d'un e-mail de notification d'alerte de DNSWatch. Pour de plus amples informations concernant les e-mails de notification DNSWatch, consultez À propos des Notifications par E-mail de DNSWatch.
Pour afficher les détails d'une alerte DNSWatch :
- Connectez-vous à votre compte DNSWatch.
- Cliquez sur Rapport > Alertes.
La page Alertes s'ouvre. - Dans la colonne Actions d'une alerte, cliquez sur Afficher.
La page des détails de l'alerte s'ouvre.
Informations de Synthèse et Actions
Les informations de synthèse indiquées dans la liste des Alertes s'affichent en haut de la page :
- Domaine — Le domaine de la requête DNS
- Victime — L'adresse IP publique du réseau protégé à partir duquel la requête DNS a été reçue
- Classification — Le type de menace selon la classification de l'équipe d'analyse DNSWatch de WatchGuard
- Protocole — Le protocole utilisé pour la connexion au Serveur Blackhole
D'autres informations de synthèse et actions s'affichent à droite. Les informations comprennent :
- Informations de connexion — Le nombre total de connexions et l'existence éventuelle d'une connexion ouverte
- Actions — Actions permettant de résoudre, annuler la résolution, désactiver l'alerte ou signaler l'alerte en tant que faux positif
- Vu pour la Première Fois — La première date et heure à laquelle DNSWatch a reçu une requête DNS issue de ce réseau protégé et destinée à ce domaine
- Vu pour la Dernière Fois — La date et l'heure la plus récente à laquelle DNSWatch a reçu une requête DNS issue de ce réseau protégé et destinée à ce domaine
Résoudre ou Annuler la Résolution d'une Alerte
Vous pouvez modifier l'état d'une alerte en sélectionnant Résolu. Il convient de procéder ainsi à l'issue d'une discussion ou d'une enquête, une fois que l'alerte est considérée résolue. Lorsque l'état d'une alerte est Résolu, DNSWatch n'envoie pas d'alertes par e-mail en cas de modification des commentaires. En cas de détection d'une nouvelle connexion au domaine issue du même réseau protégé, DNSWatch rouvre automatiquement une alerte résolue.
- Pour remplacer l'état de l'alerte par Résolu, cliquez sur Résoudre l'Alerte.
- Pour remplacer l'état de l'alerte par « non résolu », cliquez sur Annuler la Résolution de l'Alerte.
Désactiver ou Activer les E-mails de Notification d'une Alerte
Par défaut, DNSWatch envoie des e-mails de notification lorsqu'une alerte non résolue est mise à jour. Si vous souhaitez désactiver les notifications par e-mail d'une alerte, mais que vous ne désirez pas basculer son état en Résolu, vous pouvez désactiver l'alerte depuis la page des détails.
- Pour désactiver les notifications par e-mail d'une alerte, cliquez sur Désactiver les Alertes.
- Pour activer les notifications par e-mail d'une alerte, cliquez sur Activer les Alertes.
Détails
L'onglet Détails affiche les informations concernant la victime, la destination et le type de programmes malveillants.
Informations de la Victime
La Victime est l'hôte qui a transmis la requête DNS refusée par DNSWatch. Le Serveur Blackhole DNSWatch tente de recueillir des informations afin d'identifier la source de la requête DNS sur votre réseau protégé. Les informations que DNSWatch recueille comprennent :
- Emplacement de la victime — L'adresse IP publique du réseau protégé à partir duquel la requête DNS a été reçue
- Adresses IP de la victime — L'adresse IP locale de la victime signalée par le programme malveillant, si celle-ci est connue
- Nom d'hôte de la victime — Le nom d'hôte de la victime
- Nom d'utilisateur de la victime — Le nom d'utilisateur de la victime
Les détails des adresses IP des victimes ne sont parfois pas disponibles dans DNSWatch. En effet, la possibilité de communiquer avec le navigateur et d'extraire les informations dépend du type de navigateur utilisé par la victime. DNSWatch peut extraire les informations des navigateurs Chrome, Firefox et Edge, bien que chaque alerte ne contienne pas tous les détails recueillis. Internet Explorer et Safari ne permettent pas à DNSWatch d'extraire ces informations. Certaines mesures de sécurité telles que TLS peuvent également empêcher la collecte des données non chiffrées.
Si plusieurs interfaces externes du Firebox utilisent la même adresse IP publique, DNSWatch ne parvient pas à déterminer le réseau protégé qui a émis une requête DNS à partir de cette adresse IP publique. Dans ce cas, l'Emplacement de la victime de l'alerte peut ne pas refléter exactement le réseau protégé qui a émis la requête DNS.
Pour de plus amples informations concernant le serveur Blackhole DNSWatch Server, consultez À propos des Serveurs de la Liste Noire DNSWatch.
Informations de la Destination
Les informations de la destination comprennent le domaine de la requête DNS et le port utilisé pour se connecter au Serveur Blackhole.
Informations des Programmes Malveillants (Malware)
La section informations des programmes malveillants comprend le Protocole et les emplacements des Programmes Malveillants. Si DNSWatch est parvenu à déterminer l'emplacement d'un programme malveillant sur un ordinateur victime, l'emplacement du logiciel malveillant contient le chemin du programme malveillant sur l'ordinateur victime.
Commentaire
Pour demander de l'aide à l'Équipe d'Assistance DNSWatch de WatchGuard, vous pouvez ajouter un commentaire ou une question à une alerte.
L'Équipe d'Assistance DNSWatch de WatchGuard peut joindre ses commentaires de manière à répondre à votre question ou fournir davantage d'informations concernant l'alerte. Votre commentaire et les éventuelles réponses s'affichent dans l'onglet Discussion. Vous pouvez ajouter un commentaire dans l'onglet Détails ou Discussion.
Pour ajouter un commentaire à une alerte depuis l'onglet Détails :
- Saisissez le commentaire ou la question destiné(e) à l'Équipe d'Assistance DNSWatch de WatchGuard.
- Pour appliquer des styles au texte, vous pouvez utiliser Markdown. Pour afficher un exemple de texte, cliquez sur Le Style « Markdown » est pris en charge. Astuce !
- Cliquez sur l'onglet Aperçu pour prévisualiser votre commentaire.
- Cliquez sur Commentaire pour ajouter votre commentaire à cette alerte.
Le Commentaire s'affiche dans l'onglet Discussion.
Lorsque vous ajoutez un commentaire à une alerte non résolue dont les alertes n'ont pas été désactivées, DNSWatch envoie un e-mail de notification d'alerte indiquant ce commentaire accompagné d'un lien vers les détails de l'alerte.
Discussion
Dans l'onglet Discussion, vous pouvez afficher tous les commentaires d'une alerte. Il comprend tous les commentaires de l'Équipe d'Assistance DNSWatch de WatchGuard ou des utilisateurs de votre compte.
Pour ajouter un commentaire à une alerte depuis l'onglet Discussion :
- Saisissez le commentaire ou la question destiné(e) à l'Équipe d'Assistance DNSWatch de WatchGuard.
- Pour appliquer des styles au texte, vous pouvez utiliser Markdown. Pour afficher un exemple de texte, cliquez sur Le Style « Markdown » est pris en charge. Astuce !
- Cliquez sur l'onglet Aperçu pour prévisualiser votre commentaire.
- Cliquez sur Commentaire pour ajouter votre commentaire à cette alerte.
Le Commentaire s'affiche dans l'onglet Discussion.
Analyse du Domaine
L'onglet Analyse du Domaine indique le domaine lié à l'alerte. Il indique également pourquoi le domaine a été bloqué par DNSWatch.
Actions d'Analyse du Domaine
Vous pouvez effectuer les actions suivantes sur chaque élément de l'onglet Analyse du Domaine :
Supprimer de la Liste de Blocage
Pour un domaine ou sous-domaine figurant sur votre Liste de Blocage DNSWatch, cette action le supprime de la Liste de Blocage. Pour plus d'informations, consultez Gérer les Domaines sur Liste de Blocage de DNSWatch.
Ajouter à la Liste d'Autorisation
Pour un domaine ou sous-domaine figurant dans un Flux de Domaines, cette action l'ajoute à la Liste d'Autorisation. Pour plus d'informations, consultez Gérer les Domaines sur Liste d’Autorisation de DNSWatch.
Analyse de Connexion
Lorsqu'une victime se connecte au serveur Blackhole DNSWatch, DNSWatch recueille des détails concernant la connexion en vue de leur analyse. Les informations recueillies sont utilisées par l'Équipe d'Assistance DNSWatch de WatchGuard afin d'analyser et de catégoriser l'alerte.
Les informations recueillies comprennent :
- Données de débit réseau
- Octets de la Connexion Initiale
- Détails du Protocole Analysé
L'onglet Analyse de Connexion comprend les informations de connexion de la première connexion liée à cette alerte. Pour afficher des informations concernant les autres connexions, sélectionnez l'onglet Connexions.
Historique
L'onglet Historique indique la liste des actions effectuées par les utilisateurs de DNSWatch pour une alerte et détaille les actions de chaque utilisateur de votre compte. Sous Évènements, vous pouvez observer toutes les situations lors desquelles un utilisateur a résolu ou annulé la résolution d'une alerte ou a désactivé ou activé la notification par e-mail d'une alerte.
Connexions
L'onglet Connexions affiche la liste des connexions liées à une alerte. Pour chaque connexion, il indique l'adresse IP et le port sources ainsi que l'heure de début et de fin de la connexion. Pour afficher les détails d'une connexion, cliquez sur Afficher. Les informations de connexion sont identiques à celles de l'onglet Analyse de Connexion.
Les informations recueillies comprennent :
- Données de débit réseau
- Octets de la Connexion Initiale
- Détails du Protocole Analysé