Carte des Menaces (WatchGuard Cloud)

S'applique à : Fireboxes Gérés sur le Cloud, Fireboxes Gérés en Local

Dans WatchGuard Cloud, la Carte des Menaces est une représentation visuelle de l'emplacement des sources et des destinations du trafic transitant par votre Firebox dans le monde.

La Carte des Menaces affiche uniquement les types d'évènements associés au pivot que vous avez sélectionné :

  • Paquets Refusés (Bloqués) — Ne montre que les événements refusés
  • Sites Botnet Bloqués — Apparaît seulement si du trafic botnet est inclus dans les messages de journal
  • Intrusion Prevention Service — Montre uniquement les événements refusés
  • Trafic Web — Montre uniquement les événements autorisés
  • Application Control — Montre uniquement les événements autorisés
  • Tout le Trafic — Montre uniquement les événements autorisés

Vous pouvez sélectionner les adresses IP (IPv4 ou IPv6) source et de destination dans la Carte des Menaces en fonction de la vue que vous sélectionnez. Les vues Trafic Web, Application Control et Tout le Trafic se basent sur l'adresse IP de destination pour déterminer l'emplacement du trafic. Les vues Paquets Refusés et Intrusion Prevention Service utilisent l'adresse IP source pour la localisation du trafic. L'affichage Sites Botnet Bloqués montre l'adresse IP d'origine et de destination du site de botnet.

Si ce tableau de bord n'est pas disponible pour votre périphérique, suivez la procédure pour Activer la Journalisation pour ce Tableau de bord.

Afficher la Carte des Menaces dans WatchGuard Cloud

Les couleurs qui apparaissent sur la carte indiquent le nombre de visites dans chaque aire géographique pour la vue sélectionnée.

  • Rouge — Grand nombre d'événements refusés
  • Orange — Nombre moyen d'événements refusés
  • Jaune — Faible nombre d'événements refusés
  • Vert brillant — Grand nombre d'événements autorisés
  • Vert clair — Nombre moyen d'événements autorisés
  • Gris — Aucun événement

Une fois que vous avez sélectionné une option dans la Carte des Menaces, vous pouvez cliquer sur les détails (tel que le pays ou une adresse IP) pour obtenir des informations supplémentaires. Pour un pays, ceci comprend une liste des protocoles, des villes, les adresses IP et des visites. Pour une adresse IP, ceci comprend une liste de toutes les visites, qu'il s'agissent de l'adresse source ou de destination, et que le trafic ait été autorisé ou refusé.

Pour afficher la Carte des Menaces dans WatchGuard Cloud :

  1. Connectez-vous à WatchGuard Cloud.
  2. Sélectionnez Surveiller > Périphériques.
  3. Sélectionnez un dossier ou un périphérique spécifique.
  4. Pour sélectionner la période du rapport, cliquez sur .

  1. Dans la liste des rapports, sélectionnez Tableaux de bord > Carte des Menaces.
    La page Carte des Menaces s'ouvre.

    Screen shot of the Threat Map page

  2. Pour afficher les données d'une période précise :
    1. Au-dessus de la Carte des Menaces, cliquez sur la période actuellement sélectionnée.
      Une liste déroulante s'ouvre.
    2. Sélectionnez une période prédéfinie dans la liste ou sélectionnez Personnalisée puis spécifiez une période personnalisée. Pour de plus amples informations, consultez Filtrer les Rapports et les Tableaux de bord par Date.
      Les données correspondant à la période spécifiée s'affichent.
  3. Dans la liste déroulante située au-dessus de la Carte des Menaces, sélectionnez un pivot pour réorganiser les données selon une vue différente :
    • Paquets Refusés (Bloqués)
    • Sites Botnet Bloqués
    • Intrusion Prevention Service
    • Trafic Web
    • Application Control
    • Tout le Trafic

Pour visualiser plus d'informations concernant les menaces sur la carte :

  1. Pour consulter des informations relatives aux menaces d'un pays, cliquez sur ce pays.
    Ou, pour afficher les informations relatives aux adresses IP issues d'emplacements géographiques inconnus, en haut de la carte, cliquez sur le lien Inconnu.
    La liste des menaces s'affiche.

    Screen shot of the Threat Map details dialog box

  2. Pour de plus amples informations concernant une adresse IP spécifique de la liste, cliquez sur l'adresse IP.
    Une boîte de dialogue avec les détails spécifiques concernant le trafic provenant de l'adresse IP s'ouvre.

    Screen shot of the details for an IP address

La carte de localisation des adresses IP utilise une API Google pour identifier l'emplacement actuel d'une adresse IP. Des incohérences peuvent exister entre ces données et les données de localisation des messages de journal du Firebox.

Pour chaque adresse IP, les détails suivants s'affichent :

  • Heure — La date et l'heure du trafic vers le Firebox.
  • Disposition — Autorisation ou refus du trafic.
  • Source — L'adresse d'où provient le trafic.
  • Destination — L'adresse de destination du trafic.
  • Visites — Le nombre de visites pour ce traffic.
  • Informations supplémentaires — Toute autre information concernant cette adresse IP.
  1. Pour revenir à la liste des menaces pour un pays, cliquez sur Retour à la Liste.

Activer la Journalisation pour ce Tableau de bord

Pour collecter les données nécessaires à ce tableau de bord :

  • Dans les paramètres de Journalisation et Notification de tous les filtres de paquets, sélectionnez Envoyer un message de journal pour les rapports. Pour plus d'informations, consultez Définir les préférences de Journalisation et de Notification.
  • Dans les Paramètres Généraux de toutes les actions de proxy, sélectionnez Activer la journalisation pour les rapports.
  • Dans les paramètres d'Intrusion Prevention, cochez la case Journaliser pour les niveaux de menace correspondant aux actions Bloquer et Abandonner. Pour plus d'informations, consultez Configurer Intrusion Prevention.
  • Dans toutes les actions WebBlocker, cochez la case Journaliser de toutes les catégories ainsi que la case Lorsqu'une URL n'est pas catégorisée, Journaliser cette action. Pour plus d'informations, consultez Configurer les Catégories WebBlocker.

Voir Également

Liste des Rapports des Périphériques WatchGuard Cloud