Gérer les Alertes DNSWatch
Lorsque DNSWatch refuse une requête vers un domaine, le résolveur DNS renvoie l'adresse IP d'un serveur Blackhole DNSWatch. Le serveur Blackhole accepte la connexion destinée au domaine malveillant, tente de recueillir des informations concernant la source de la requête DNS et recueille les données de connexion en vue de l'analyse des programmes malveillants. Pour de plus amples informations concernant les serveurs Blackhole DNSWatch, consultez À propos des Serveurs de la Liste Noire DNSWatch.
DNSWatch génère une alerte pour chaque groupe de connexions d'un réseau protégé vers un domaine malveillant. Sur la page Alertes, vous pouvez afficher et gérer toutes les alertes de vos réseaux protégés.
Pour afficher vos alertes DNSWatch :
- Connectez-vous à votre compte DNSWatch.
- Cliquez sur Rapport > Alertes.
La page Alertes s'ouvre.
La page Alertes affiche les informations de synthèse suivantes pour chaque alerte :
- Domaine — Le domaine de la requête DNS
- Protocole — Le protocole utilisé pour la connexion au Serveur Blackhole
- Classification — Le type de menace selon la classification de l'équipe d'analyse DNSWatch de WatchGuard
- Victime — L'adresse IP publique du réseau ou périphérique protégé à partir duquel la requête DNS a été reçue
- Vu pour la Dernière Fois — La date et l'heure la plus récente à laquelle DNSWatch a reçu une requête DNS issue de ce réseau protégé et destinée à ce domaine
- État — L'état de la résolution et de la connexion :
- Un x rouge () indique que l'alerte n'est pas résolue.
- Une coche verte () indique que l'alerte a été résolue.
- L'icône d'état de connexion () est rouge si une connexion est actuellement ouverte avec le Serveur Blackhole concernant cette alerte.
Classification des Alertes
Aucune nouvelle alerte n'est classée. L'équipe DNSWatch de WatchGuard analyse les nouvelles alertes et met à jour la classification. Les nouvelles alertes ne sont pas classées tant que l'analyse n'est pas terminée. L'équipe DNSWatch s'efforce de catégoriser rapidement les alertes liées aux programmes malveillants, aux rançongiciels et au hameçonnage. Certaines alertes demeurent parfois non classifiées.
Les catégories d'alerte sont les suivantes :
- Non classifié
- Malware
- Rançongiciel
- Publicité Mensongère
- Hameçonnage
- Site Web Compromis
- Précédemment Mauvais
- Adware Détecté
- Adware Évité
- Fausse alarme — L'alerte
- Test
- Bloqué Manuellement
La classification Bloqué Manuellement indique que la requête DNS vers un domaine a été refusée, car celui-ci figure sur la Liste de Blocage. Pour obtenir plus d'informations sur la liste de Blocage, consultez Gérer les Domaines sur Liste de Blocage de DNSWatch.
Afficher les Détails d'une Alerte
Pour afficher les informations détaillées d'une alerte, cliquez sur Afficher dans la colonne Actions. Lorsque vous affichez les détails d'une alerte, vous pouvez choisir les actions vous permettant de Résoudre ou Désactiver l'alerte.
Pour plus d'informations, consultez Afficher les Détails des Alertes de DNSWatch.
Résoudre les Alertes
Vous pouvez modifier l'état d'une alerte en sélectionnant Résolu. Il convient de procéder ainsi à l'issue d'une discussion ou d'une enquête, une fois que l'alerte est considérée résolue. Lorsque l'état d'une alerte est Résolu, DNSWatch n'envoie pas d'alertes par e-mail en cas de modification des commentaires. En cas de détection d'une nouvelle connexion au domaine issue du même réseau protégé, DNSWatch rouvre automatiquement une alerte résolue.
Il est impossible de résoudre une alerte qui présente une connexion ouverte.
Pour résoudre une alerte à partir de la page Alertes :
- Cochez la case correspondant à une ou plusieurs alertes
- Cliquez sur Résoudre les Alertes Sélectionnées.
Si vous souhaitez désactiver les notifications par e-mail d'une alerte mais que vous ne désirez pas configurer son état comme Résolu, vous pouvez également désactiver ses notifications par e-mail. Vous pouvez effectuer cette opération après avoir cliqué sur Afficher pour afficher les détails de l'alerte. Pour plus d'informations, consultez Afficher les Détails des Alertes de DNSWatch.
Filtrer la Liste des Alertes
Vous pouvez filtrer la liste des alertes par domaine, protocole, adresse IP de la victime, état de résolution, commentaires et classification.
Pour filtrer la liste des Alertes :
- Cliquez sur Filtre.
La liste des filtres disponibles s'affiche.
- Spécifiez un ou plusieurs filtres disponibles.
- Cliquez sur Appliquer les Filtres.
Conseils concernant les filtres des alertes :
- Pour afficher les alertes d'un domaine donné, dans le filtre Domaine, spécifiez le nom de domaine exactement comme indiqué dans la colonne Domaine de la liste Alertes. Vous devez ajouter des crochets autour du point. Par exemple : baddomain[.]com. Pour confirmer que le domaine est effectivement correct, vous pouvez le copier-coller depuis la colonne Domaine vers une alerte du filtre Domaine.
- Pour afficher les alertes d'un réseau protégé donné, dans le filtre IP Victime, spécifiez l'adresse IP du réseau protégé comme elle s'affiche dans la colonne Victime.
Pour désactiver les filtres dans l'onglet Liste des alertes :
- Cliquez sur Filtres.
- Cliquez sur Supprimer les Filtres.
Vous pouvez également cliquer sur Alertes dans le menu de navigation supérieur pour rafraîchir la page et effacer les filtres.
Afficher les Connexions
Pour afficher les connexions liées à une alerte, cliquez sur Afficher pour afficher les détails de l'alerte. Pour plus d'informations, consultez Afficher les Détails des Alertes de DNSWatch.
Pour afficher toutes les connexions refusées par DNSWatch, cliquez sur le lien connexions en haut de la page Alertes.
Pour plus d'informations, consultez Afficher les Connexions de DNSWatch.