S'applique à : Fireboxes Gérés sur le Cloud, Fireboxes Gérés en Local
Le rapport Malware Inédits (APT) présente une synthèse de l'ensemble des menaces identifiées par APT Blocker en tant que malware inédits (non identifiés avant que le trafic ne transite par le pare-feu).
Lorsqu'APT Blocker détecte un fichier qu'il n'a jamais observé ou analysé par le passé, il l'envoie au centre de données afin de l'analyser dans un environnement de bac à sable. Pour les proxies autres que SMTP et IMAP, la connexion est autorisée pendant que le périphérique attend le résultat de l'analyse. Lorsque le résultat est renvoyé, en cas de preuves d'existence d'une activité malveillante dans le fichier, le périphérique génère un message de journal et le fichier apparaitra sur le rapport Malware Inédits (APT).
Ce rapport est disponible lorsqu'il existe pour la période spécifiée des messages de journal comprenant des données pour ce rapport. Pour vous assurer que votre Firebox envoie les messages de journal nécessaires à la génération de ce rapport, suivez la procédure pour Activer la Journalisation pour ce Rapport.
Comment Utiliser ce Rapport ?
Ce rapport peut vous indiquer les malware inédits téléchargés par les utilisateurs de votre réseau. Voici différentes manières d'utiliser ce rapport :
- Cliquez sur Afficher les Détails pour afficher les détails de tous les malware inédits téléchargés et utiliser ces informations pour identifier les menaces et y réagir.
- Sélectionnez le pivot Destinataire/Destination pour identifier les destinataires des fichiers de malware inédits.
- Sélectionnez les pivots Nom du Contenu ou Identifiant de la Menace pour afficher le nom des fichiers qu'APT Blocker a identifiés comme malware inédits.
- Sélectionnez le pivot Activité Malveillante pour afficher les comportements malveillants liés aux malware inédits.
Afficher le Rapport
Ce rapport est disponible dans WatchGuard Cloud et Dimension.
- Connectez-vous à WatchGuard Cloud.
- Sélectionnez Surveiller > Périphériques.
- Sélectionnez un dossier ou un périphérique spécifique.
- Pour sélectionner la période du rapport, cliquez sur
.
- Dans la liste des rapports, sélectionnez Services > Malware Inédits (APT).
Le rapport Malware Inédits (APT) s'ouvre.
- Pour voir les rapports concernant vos Fireboxes ou clusters FireCluster, sélectionnez Accueil > Périphériques.
La liste Périphériques s'ouvre.
Pour voir les rapports concernant vos groupes de Fireboxes, sélectionnez Accueil > Groupes.
La liste Groupes s'ouvre. - Sélectionnez le Nom d'un Firebox, cluster, ou groupe.
La page Outils > Tableau de bord Exécutif s'ouvre. - Sélectionnez l'onglet Rapports.
- Sélectionnez Services > Malware Inédits (APT).
Le rapport Malware Inédits (APT) s'ouvre.
Pivots
Vous pouvez utiliser des pivots pour modifier l'affichage des données du rapport.
Pour basculer entre les vues, sélectionnez un pivot dans la liste déroulante située au-dessus du rapport.
Ce rapport inclut les pivots suivants :
Nom du Contenu
Synthèse du malware identifié comme Malware Inédits par APT Blocker, organisée par nom de contenu.
Activité Malveillante
Synthèse de l'activité malveillante sur votre réseau, qui a été identifiée comme étant un malware inédit par APT Blocker.
Destinataire/Destination
Synthèse des noms de destinataire et d'adresses de destination pour l'activité sur votre réseau identifiée comme malware inédit par APT Blocker.
Identifiant de la Menace
Synthèse du malware identifié comme malware inédit par APT Blocker, organisée par Identifiant de Menace.
Niveau de Menace
Synthèse du niveau de menace attribué à l'activité sur votre réseau, qui a été identifiée comme étant un malware inédit par APT Blocker.
Vue Détaillée
Pour consulter un rapport détaillé des menaces identifiées par APT Blocker comme malware inédits une fois que le trafic a passé le pare-feu, cliquez sur Afficher les Détails en haut du rapport.
Le rapport Détails Malware Inédits (APT) comporte une ligne pour chaque instance de malware identifiée. Il fournit les informations suivantes :
| Colonne | Description |
|---|---|
| Disposition | Action entreprise par le Firebox pour ce trafic, par exemple Supprimé ou Autorisé |
| Heure | Date et heure auxquelles l'événement s'est produit |
| Niveau de Menace | Gravité de la menace (Élevée, Moyenne ou Faible) |
| Identifiant de la Menace | Numéro d'identification assigné à la menace |
| Nom du Contenu | Nom du fichier ou du contenu qui contenait la menace |
| Source | Adresse IP de la source du trafic |
| Destination | Adresse IP de la destination du trafic |
| Stratégie | Nom de la stratégie Firebox ayant examiné le trafic |
| Protocole | Protocole utilisé pour envoyer le trafic |
| Hôte | Nom de l'hôte utilisé pour envoyer le trafic |
| Expéditeur | Pour les protocoles SMTP, POP3 et IMAP, l'adresse e-mail ayant envoyé l'e-mail |
| Destinataire | Pour les protocoles SMTP, POP3 et IMAP, l'adresse du destinataire de l'e-mail |
| Visites | Nombre de tentatives |
| Plus d'Informations | Pour voir des informations plus détaillées (Comprenant MD5 et des informations sur le Niveau de Menace), cliquez sur Détails de la Menace. |
Activer la Journalisation pour ce Rapport
Afin de recueillir les données nécessaires à ce rapport :
- Dans les Paramètres Généraux de toutes les actions de proxy pour lesquelles APT Blocker est activé, sélectionnez Activer la journalisation pour les rapports.
- Dans toutes les Actions APT Blocker, cochez la case Journaliser des niveaux de menace que vous souhaitez faire figurer dans le rapport. Pour plus d'informations, consultez Configurer APT Blocker.