Gérer les Indicateurs de TDR

Dans Threat Detection and Response, les indicateurs sont des évènements provenant des Host Sensors et des Fireboxes de votre réseau et évalués par le moteur d'analyse. Sur la page Indicateurs, vous pouvez voir tous les indicateurs du système, créer rapidement des histogrammes et des diagrammes circulaires, et effectuer des actions manuelles sur les hôtes.

Afficher les Indicateurs

La page Tableau de Bord de TDR dans WatchGuard Cloud permet d'afficher une synthèse des indicateurs et d'accéder rapidement à une vue filtrée de la page Indicateurs. Pour plus d'informations, consultez Tableau de bord TDR. Vous pouvez également accéder directement à la page Indicateurs pour afficher tous les indicateurs.

  1. Sélectionnez ThreatSync > Indicateurs.

Capture d'écran de la page Indicateurs

Par défaut, la page Indicateurs affiche les indicateurs présentant un indice égal ou supérieur à 6 ou vus pour la dernière fois au cours des dernières 24 heures.

  1. Pour rechercher des indicateurs, saisissez le mot ou la valeur à rechercher dans la zone de texte Rechercher. La recherche peut détecter un texte dans un nom de fichier, une valeur MD5, une adresse IP, un nom DNS ou une URL associée à un indicateur.
  2. Utilisez les en-têtes de colonne pour modifier ou effacer les filtres.
    • Pour appliquer un filtre, sélectionnez les commandes dans les en-têtes de colonne.
    • Si vous souhaitez que le filtre persiste dans l'ensemble des sessions et des navigateurs, enregistrez-le.

La liste des Indicateurs affiche la liste des indicateurs accompagnée des informations d'état et des actions demandées.

  • Indice — L'indice de menace de cet indicateur. Par défaut, cette colonne est filtrée de manière à afficher les scores égaux ou supérieurs à 6.
    Pour plus d'informations, consultez À propos des Indices de Menace TDR.
  • Source — La source de l'indicateur : Host Sensor (), Firebox (Réseau) () ou les deux si l'indicateur est corrélé.
  • Indicateur — Les détails de l'indicateur. Vous pouvez filtrer cette colonne en fonction du type d'indicateur, comme indiqué à la section suivante. Pour afficher davantage de détails, cliquez sur Informations Supplémentaires.
  • Vu pour la Dernière Fois — La dernière fois que l'indicateur a été reçu par le Host Sensor. Par défaut, cette colonne est filtrée de manière à afficher les indicateurs vus pour la dernière fois au cours des dernières 24 heures.
  • État du Capteur — L'état du Host Sensor.
    Pour plus d'informations, consultez Gérer les Hôtes et les Host Sensors TDR.
  • Hôte/IP — Le nom d'hôte ou l'adresse IP du système de l'hôte.
  • Action Demandée — L'action recommandée par Threat Detection and Response pour un indicateur d'un Host Sensor.
  • Résultat — Indique l'état de l'action indiquée dans la colonne Action Demandée.
  • Aucune Stratégie indique qu'il n'existe aucune stratégie susceptible d'entreprendre une action face à cette menace.
  • Succès indique que l'action a été effectuée avec succès et que la menace a été traitée.
  • Échec indique que l'action a échoué en raison d'un problème d'autorisation ou car la menace a été traitée par une autre action.
  • Utilisateur — Indique le propriétaire du processus ou du fichier pour lequel l'indicateur a été créé.
  • Indicateurs du Fichier — Indique le propriétaire du fichier.
  • Indicateurs du Processus — Indique le propriétaire du processus.
  • Indicateurs de Registre — Aucune information concernant l'utilisateur n'est affichée.
  • Indicateurs Réseau Corrélés — Indique le propriétaire du processus ayant établi la connexion réseau suspecte.
  • Indicateurs Réseau Non corrélés — Aucune information concernant l'utilisateur ne s'affiche.
  • Date de l'Action — La date et l'heure de l'action de traitement.
  • Indice Précédent — Indique l'indice précédemment assigné à un indicateur avant l'exécution d'une action de traitement. Cette colonne n'est pas visible par défaut.
  • À Etudier — Contient des liens cliquables permettant de rechercher le MD5 sur Google, VirusTotal et MetaScan.

Certaines colonnes ne sont pas visibles par défaut. Pour sélectionner les colonnes devant être visibles, cliquez sur Sélectionner les Colonnes.

Pour consulter la description des actions et des résultats possibles, consultez la section Actions et Résultats de l’Indicateur TDR.

Filtres d'Indicateurs

Vous pouvez filtrer les Indicateurs en fonction de l'une des colonnes ou sur une période donnée. Vous pouvez enregistrer un filtre de manière à ce qu'il persiste dans l'ensemble des sessions et des navigateurs.

Gérer les Filtres

Vous pouvez filtrer les informations figurant sur la page en haut de chaque colonne. Vous pouvez enregistrer un paramètre de filtrage afin que la page affiche par défaut les informations spécifiées à chaque ouverture.

  1. Sélectionnez les paramètres de colonne que vous souhaitez enregistrer.
  2. Dans l'en-tête de colonne la plus à gauche, cliquez sur .
  3. Sélectionnez Enregistrer.
  1. Dans l'en-tête de colonne la plus à gauche, cliquez sur .
  2. Sélectionnez Appliquer.
  1. Dans l'en-tête de colonne la plus à gauche, cliquez sur .
  2. Sélectionnez Effacer.
  1. Dans l'en-tête de colonne la plus à gauche, cliquez sur .
  2. Sélectionnez Supprimer.

Filtrer les Indicateurs par Date

  1. Dans l'en-tête de colonne, cliquez sur .
    Une boîte de dialogue de sélection de date s'affiche. Le cas échéant, le filtre de plage de dates sélectionné s'affiche en haut de l'écran.

Screen shot of the date selection dialog box

  1. Sélectionnez les dates de début et de fin dans le calendrier ou un raccourci de plage de dates. Les raccourcis disponibles sont les suivants :
    • Dernières 24 heures
    • 3 derniers jours
    • 7 derniers jours
    • 30 derniers jours
  2. Pour appliquer le filtre de plage de dates sélectionné, cliquez sur Appliquer.
  3. Pour effacer le filtre de plage de dates, cliquez sur Effacer.

Vous pouvez appliquer un filtre sur la colonne Indicateur pour afficher les indicateurs par type d'indicateur.

  • Fichier — un fichier suspect ou malveillant
  • Processus — un processus suspect ou malveillant
  • Registre — une entrée de registre suspecte ou malveillante d'un hôte Windows
  • Host Ransomware Prevention — processus et fichiers présentant les caractéristiques des rançongiciels
  • Sites Bloqués par Botnet
  • Sites Bloqués par FQDN
  • Sites Bloqués par IP
  • Correspondance de la Question DNS
  • HTTP APT Blocked
  • APT HTTP Détecté
  • Mauvaise Réputation HTTP
  • Catégories de Requête HTTP
  • Virus HTTP Détecté
  • APT SMTP Bloqué
  • APT SMTP Détecté
  • Virus SMTP Détecté
  • APT HTTP Détecté et Trouvé — La réponse d’APT Blocker indique que le fichier est malveillant et Host Sensor a renvoyé les emplacements des fichiers pour qu'ils soient traités.
  • Processus + Réseau — Corrèle les évènements réseau du Firebox à un processus individuel sur l'hôte. (Uniquement disponible pour les Host Sensors de Windows).

Vous pouvez également afficher l'ensemble du message de journal généré par le Firebox pour chaque évènement réseau à la page Evènements Réseau. Pour les évènements réseau, chaque indicateur correspond à un type d'évènement différent. Pour plus d'informations, consultez Afficher les Évènements Réseau dans TDR.

L'analyse ThreatSync assigne à chaque indicateur un indice basé sur la gravité de la menace. 10 correspond à la menace la plus importante et 2 à la plus faible. ThreatSync assigne un indice de 1 lorsqu'un indicateur a été traité avec succès et un indice de 0 si un indicateur figure dans la Liste d'Autorisation.

Pour de plus amples informations concernant les indices de menace des indicateurs, consultez À propos des Indices de Menace TDR.

Pour de plus amples informations concernant les actions de traitement et les indices de menace, consultez Actions de Traitement et Indices de Menace de TDR.

Actions

Chaque indicateur est associé à un hôte. Les indicateurs peuvent être liés à des fichiers ou des processus d'un hôte, détectés par Host Sensor () ou des évènements réseau pour le trafic entrant ou sortant d'un hôte, ou détectés par un Firebox (). Pour les indicateurs signalés par un Firebox, des actions de traitement sont effectuées par le Firebox en fonction des paramètres de la configuration du Firebox. Par exemple, APT Blocker, IPS et Gateway AntiVirus peuvent bloquer l'accès à un fichier et WebBlocker peut bloquer l'accès à un site Web. Pour les indicateurs signalés par un Host Sensor, l'action de traitement peut être automatiquement entreprise par le Host Sensor en fonction des stratégies TDR configurées, ou vous pouvez entreprendre l'action demandée pour traiter la menace à partir de la page des Indicateurs.

Journal des Actions et Historique de Traitement

Pour chaque indicateur, le Journal des Actions affiche la liste des actions de l'indicateur concerné. Pour un indicateur traité, le Journal des Actions comprend également l'Historique de Traitement, qui indique l'indice d'origine de l'indicateur avant qu'il ne soit traité avec succès

  1. Sur la page des Indicateurs, recherchez l'indicateur.
  2. Dans la colonne Résultats de l'indicateur, cliquez sur .

Capture d'écran du Journal des Actions d'un indicateur traité avec succès

  1. Cliquez sur Fermer pour fermer le Journal des Actions.

Détails de l'Indicateur

  1. Sélectionnez ThreatSync > Indicateurs.
  2. Cliquez sur Informations Supplémentaires dans la colonne Indicateur.
    La boîte de dialogue Informations Supplémentaires s'ouvre.

Capture d'écran de la boîte de dialogue Informations Supplémentaires d'un Host Sensor

Les informations supplémentaires qui s'affichent diffèrent selon la source de l’indicateur. La source peut être un Host Sensor, un Firebox ou les deux.

Indicateurs d'un Host Sensor —

Pour un indicateur signalé par un Host Sensor, la boîte de dialogue Informations Supplémentaires indique des informations concernant le méthode de calcul de l'indice d'indicateur par l'analyse ThreatSync. Elle indique des informations concernant trois composantes de l'indice : Flux de Menaces, Malware Verification Service et Heuristique. L'état de chaque indicateur est affiché en surbrillance.

Options d'état du Flux de Menaces :

  • Aucune Correspondance — Le fichier ou processus ne figure pas dans le Flux de Menaces
  • Correspondance — Le fichier ou processus figure dans le Flux de Menaces

Options d'état de Malware Verification Service (MVS) :

  • Bénin — MVS a identifié que le fichier ou processus ne constitue pas une menace connue
  • Inconnu — MVS ne dispose pas de suffisamment d'informations concernant le fichier ou processus
  • Potentiel — MVS a identifié que le fichier ou processus constitue une menace potentielle connue
  • Malveillant — MVS a identifié que le fichier ou processus constitue une menace connue

Options d'état de l'Heuristique :

  • Inférieur au Seuil — Le comportement observé de ce fichier ou processus n'est pas connu pour être suspect
  • Suspect — Le comportement observé de ce fichier ou processus est connu pour être suspect. Si l'apprentissage machine a été utilisé pour déterminer l'état, (ML) s'affiche en face de l'étiquette Suspect.

Pour obtenir davantage d'informations concernant l'évènement suspect, cliquez sur Détails.

Si le hachage de cet indicateur a été détecté sur d'autres hôtes, le coin supérieur droit de la boîte de dialogue Informations Supplémentaires indique le nombre d'autres host sensors qui ont identifié cet indicateur. Pour afficher la liste des hôtes ayant identifié cet indicateur, cliquez sur Hachage détecté sur d'autres hôtes.

Si le Host Sensor demande une action Envoi en Bac à Sable du Fichier, la boîte de dialogue Informations Supplémentaires comprend également des informations à propos de l'Analyse de Bac à Sable d'APT Blocker.

Capture d'écran de la boîte de dialogue Informations Supplémentaires d'un indicateur présentant d'état Analyse de Bac à Sable

Pour plus d'informations, consultez Analyse de Bac à Sable de TDR d'APT Blocker.

Indicateurs d'un Firebox (Réseau) —

Pour un indicateur signalé par un Firebox, la boîte de dialogue Informations Supplémentaires indique des informations concernant la menace signalée par le Firebox.

Capture d'écran de la boîte de dialogue Informations Supplémentaires d'un Firebox

La page Evènements Réseau vous permet d'afficher des détails supplémentaires concernant les évènements réseau identifiés par un Firebox. Pour plus d'informations, consultez Afficher les Évènements Réseau dans TDR.

Indicateurs Corrélés

Des indicateurs corrélés sont créés lorsqu'une activité de processus suspecte est détectée par un périphérique et confirmée par une source secondaire, telle que le Host Sensor ou APT Blocker.

Pour activer les indicateurs corrélés, vous devez activer le paramètre Autoriser Host Sensors à Mettre en Cache les Métadonnées des Fichiers sur la page Paramètres Host Sensor. Consultez Configurer les Paramètres d’Host Sensor TDR pour plus d'informations.

Indicateur de Réseau + Processus

Les Indicateurs de Réseau + Processus sont déclenchés lorsqu'une activité de processus suspecte est détectée par le Firebox puis confirmée sur le Host Sensor. Lorsque le Firebox signale une connexion malveillante au TDR, un Indicateur de Réseau est créé. TDR stocke les informations tandis que le Host Sensor recherche le processus malveillant sur l'hôte en fonction des adresses IP et ports d'origine et de destination.

  • Si le processus est situé sur l'hôte, un Indicateur de Réseau + Processus est créé et et apparaissent tous deux dans la colonne source.
  • Si le processus n'est pas situé sur l'hôte, l'Indicateur de Réseau standard restera.

La menace est traitée selon une stratégie basée sur le Score de Menace. Si le processus s'est arrêté, l'indicateur est automatiquement corrigé en externe. En général, un score corrélé sera suffisamment élevé pour déclencher l'action Terminer le Processus. La Mise en quarantaine n'est pas une action disponible pour les Indicateurs de Réseau + Processus.

Si Host Sensor trouve le processus, la boite de dialogue Informations Complémentaires affiche des informations sur l'Évènement Réseau et le Processus ainsi que les Détails de la Menace.

Atténuation des Nouvelles Failles APT par Proxy HTTP(S)

Cette fonctionnalité est uniquement compatible avec Fireware v12.1.3 Update 2 pour XTMv et Fireware v12.4 et versions ultérieures pour les modèles Firebox M Series et T Series.

Lorsque des fichiers suspects sont envoyés à APT Blocker pour analyse, il peut s'écouler plusieurs minutes avant de recevoir une réponse du centre de données APT Blocker basé sur le cloud. Si le fichier est malveillant, il pourrait se propager sur votre réseau avant qu’APT Blocker ne réagisse. TDR continue de suivre l'emplacement du fichier et de ses éventuelles copies pendant une durée maximale de 20 minutes. Si la réponse d’APT Blocker est que le fichier est malveillant, TDR mettra en œuvre la stratégie de traitement appropriée pour toutes les copies du fichier.

Un évènement HttpAPTDetected est déclenché lorsqu'un fichier suspect est signalé comme malveillant par APT Blocker. Une demande est envoyée au Host Sensor pour connaitre l'emplacement du fichier.

Lorsque le Host Sensor renvoie les informations, un Indicateur APT HTTP Détecté et Trouvé est généré pour chaque copie du fichier. Cliquez sur le lien Informations Complémentaires de l'indicateur afin d'ouvrir la boite de dialogue Informations Complémentaires sur l’APT Détecté et Trouvé.

Screenshot of APT Detected and Found Information

A Etudier

Pour étudier en détail un indicateur, vous pouvez rechercher sa valeur MD5 sur Google, VirusTotal ou MetaScan.

Pour rechercher la valeur MD5 d'un indicateur, cliquez sur l'un des liens dans la colonne A Etudier :

  • Rechercher le MD5 sur Google
  • Rechercher le MD5 sur VirusTotal
  • Rechercher le MD5 sur MetaScan

Créer et Exporter des Graphiques d'Indicateurs

Vous pouvez afficher les indicateurs sous forme d'histogramme, de camembert ou de séries chronologiques empilées. Vous pouvez exporter le graphique au format .PNG, .JPB, .GIF ou .PDF.

  1. Cliquez sur le type de graphique à générer :
    • — Histogramme
    • — Camembert
    • — Graphique à Barres Empilées

Le graphique sélectionné s'affiche

Capture d'écran d'un camembert d'indicateurs

  1. Pour modifier la plage temporelle du graphique, sélectionnez-la au dessus de ce dernier.
  2. Dans la liste déroulante Regrouper Par, sélectionnez le mode de regroupement des données du graphique.
  3. Dans la liste déroulante Afficher, sélectionnez le nombre d'indicateurs à afficher dans le graphique.
  4. Pour exporter le graphique, cliquez sur et sélectionnez le format d'export du fichier : .PNG, .JPG, .GIF ou .PDF.
    Le fichier est téléchargé au format sélectionné.

Exécuter une Action Manuelle

Vous pouvez sélectionner manuellement les actions visant à traiter les indicateurs. La colonne Action Demandée indique l'action recommandée pour traiter un indicateur signalé par un Host Sensor. Lorsque vous entreprenez l'action demandée, elle est classée comme traitement Manuel dans le widget Traitements de la page Tableau de Bord de TDR.

Pour obtenir une liste des actions et leurs résultats, consultez Actions et Résultats de l’Indicateur TDR.

  1. Cochez la case pour un ou plusieurs indicateurs.
  2. Dans la liste déroulante Actions, sélectionnez l'action à entreprendre.
    Une boîte de dialogue de confirmation comprenant la liste des indicateurs auxquels l'action sélectionnée s'ouvre.

Capture d'écran de la boîte de dialogue Confirmer l'Action

  1. Cliquez sur Exécuter l'Action.

Une fois qu'un Host Sensor exécute une action de traitement avec succès, l'indice de l'indicateur diminue à 1 et la colonne Résultat de la page des Indicateurs indique que l'action a réussi.

Voir Également

Actions et Résultats de l’Indicateur TDR

Installation Manuelle de Host Sensor TDR

Installation CLI et GPO de Host Sensor TDR