Rapport Advanced Malware (APT)
S'applique à : Fireboxes Gérés sur le Cloud, Fireboxes Gérés en Local
Le rapport Advanced Malware (APT) présente une synthèse des malware et des activités malveillantes détectés par APT Blocker sur votre réseau.
Ce rapport est disponible lorsqu'il existe pour la période spécifiée des messages de journal comprenant des données pour ce rapport. Pour vous assurer que votre Firebox envoie les messages de journal nécessaires à la génération de ce rapport, suivez la procédure pour Activer la Journalisation pour ce Rapport.
Comment Utiliser ce Rapport ?
Ce rapport peut vous indiquer les principales instances de malware téléchargés par les utilisateurs de votre réseau. Voici différentes manières d'utiliser ce rapport :
- Sélectionnez les pivots Destinataire/Destination et Expéditeur/Source pour identifier l'expéditeur et le destinataire des fichiers malveillants ainsi que la source et la destination des connexions.
- Sélectionnez les pivots Protocoles, Type MIME et Activités Malveillantes pour identifier les protocoles et les types de fichiers utilisés pour introduire des fichiers malveillants sur votre réseau, et consulter les comportements malveillants liés à ces fichiers.
- Sélectionnez le pivot Tendance d'Activité pour afficher les activités des malware au fil du temps.
- Sélectionnez le pivot Nom du Contenu pour afficher le nom des fichiers identifiés comme malveillants par APT Blocker ou dépanner les fichiers à l'origine de faux positifs. Si vous identifiez des fichiers ayant provoqué de faux positifs, ajoutez-les à la liste des Exceptions de Fichier.
Afficher le Rapport
Ce rapport est disponible dans WatchGuard Cloud et Dimension.
- Connectez-vous à WatchGuard Cloud.
- Sélectionnez Surveiller > Périphériques.
- Sélectionnez un dossier ou un périphérique spécifique.
- Pour sélectionner la période du rapport, cliquez sur .
- Dans la liste des rapports, sélectionnez Services > Advanced Malware (APT).
Le rapport Advanced Malware (APT) s'ouvre.
- Pour voir les rapports concernant vos Fireboxes ou clusters FireCluster, sélectionnez Accueil > Périphériques.
La liste Périphériques s'ouvre.
Pour voir les rapports concernant vos groupes de Fireboxes, sélectionnez Accueil > Groupes.
La liste Groupes s'ouvre. - Sélectionnez le Nom d'un Firebox, cluster, ou groupe.
La page Outils > Tableau de bord Exécutif s'ouvre. - Sélectionnez l'onglet Rapports.
- Sélectionnez Services > Advanced Malware (APT).
Le rapport Advanced Malware (APT) s'ouvre.
Pivots
Vous pouvez utiliser des pivots pour modifier l'affichage des données du rapport.
Pour basculer entre les vues, sélectionnez un pivot dans la liste déroulante située au-dessus du rapport.
Ce rapport inclut les pivots suivants :
Tendance d'Activité
Rapport de synthèse des tendances des malware détectés par APT Blocker au fil du temps.
Nom du Contenu
Synthèse des malware détectés par APT Blocker, organisée par nom du contenu. Comprend les visites autorisées et refusées.
Activité Malveillante
Synthèse des différents types d'activités malveillantes détectées sur votre réseau par APT Blocker.
Type MIME
Synthèse des types MIME utilisés pour les activités malveillantes détectées sur votre réseau par APT Blocker.
Protocole
Synthèse des protocoles utilisés pour les activités malveillantes détectées sur votre réseau par APT Blocker.
Destinataire/Destination
Synthèse des noms des destinataires et adresses de destination de l'activité malveillante sur votre réseau.
Expéditeur/Source
Synthèse des noms des expéditeurs et des adresses sources de l'activité malveillante sur votre réseau.
Identifiant de la Menace
Synthèse des malware détectés par APT Blocker, organisée par Identifiant de menace.
Niveau de Menace
Synthèse des niveaux de menace attribués à une activité malveillante sur votre réseau.
Vue Détaillée
Pour consulter un rapport détaillé de l'ensemble des activités malveillantes détectées par APT Blocker, cliquez sur Afficher les Détails en haut du rapport.
Le rapport Détails Advanced Malware (APT) comporte une ligne pour chaque instance d'activité malveillante détectée par APT Blocker :
Colonne | Description |
---|---|
Disposition | Action entreprise par le Firebox pour ce trafic, par exemple Supprimé ou Autorisé |
Heure | Date et heure de l'évènement |
Niveau de Menace | Gravité de la menace (Élevée, Moyenne ou Faible) |
Identifiant de la Menace | Numéro d'identification assigné à la menace |
Nom du Contenu | Nom du fichier ou du contenu qui contenait la menace |
Source | Adresse IP de la source du trafic |
Destination | Adresse IP de la destination du trafic |
Stratégie | Nom de la stratégie Firebox ayant examiné le trafic |
Protocole | Protocole utilisé pour envoyer le trafic |
Hôte | Nom de l'hôte utilisé pour envoyer le trafic |
Expéditeur | Pour les protocoles SMTP, POP3 et IMAP, l'adresse e-mail ayant envoyé l'e-mail |
Destinataire | Pour les protocoles SMTP, POP3 et IMAP, l'adresse du destinataire de l'e-mail |
Visites | Nombre de tentatives |
Plus d'Informations | Pour voir des informations plus détaillées (Comprenant MD5 et des informations sur le Niveau de Menace), cliquez sur Détails de la Menace. |
Activer la Journalisation pour ce Rapport
Afin de recueillir les données nécessaires à ce rapport :
- Dans les Paramètres Généraux de toutes les actions de proxy pour lesquelles APT Blocker est activé, sélectionnez Activer la journalisation pour les rapports.
- Dans toutes les Actions APT Blocker, cochez la case Journaliser des niveaux de menace que vous souhaitez faire figurer dans le rapport. Pour plus d'informations, consultez Configurer APT Blocker.