Gérer les Indicateurs de TDR

Dans Threat Detection and Response, les indicateurs sont des évènements provenant des Host Sensors et des Fireboxes de votre réseau et évalués par le moteur d'analyse. Sur la page Indicateurs, vous pouvez voir tous les indicateurs du système, créer rapidement des histogrammes et des diagrammes circulaires, et effectuer des actions manuelles sur les hôtes.

Afficher les Indicateurs

La page Tableau de Bord de TDR dans WatchGuard Cloud permet d'afficher une synthèse des indicateurs et d'accéder rapidement à une vue filtrée de la page Indicateurs. Pour plus d'informations, consultez Tableau de bord TDR. Vous pouvez également accéder directement à la page Indicateurs pour afficher tous les indicateurs.

  1. Sélectionnez ThreatSync > Indicateurs.

Capture d'écran de la page Indicateurs

Par défaut, la page Indicateurs affiche les indicateurs présentant un indice égal ou supérieur à 6 ou vus pour la dernière fois au cours des dernières 24 heures.

  1. Pour rechercher des indicateurs, saisissez le mot ou la valeur à rechercher dans la zone de texte Rechercher. La recherche peut détecter un texte dans un nom de fichier, une valeur MD5, une adresse IP, un nom DNS ou une URL associée à un indicateur.
  2. Utilisez les en-têtes de colonne pour modifier ou effacer les filtres.
    • Pour appliquer un filtre, sélectionnez les commandes dans les en-têtes de colonne.
    • Si vous souhaitez que le filtre persiste dans l'ensemble des sessions et des navigateurs, enregistrez-le.

La liste des Indicateurs affiche la liste des indicateurs accompagnée des informations d'état et des actions demandées.

Certaines colonnes ne sont pas visibles par défaut. Pour sélectionner les colonnes devant être visibles, cliquez sur Sélectionner les Colonnes.

Pour consulter la description des actions et des résultats possibles, consultez la section Actions et Résultats de l’Indicateur TDR.

Filtres d'Indicateurs

Vous pouvez filtrer les Indicateurs en fonction de l'une des colonnes ou sur une période donnée. Vous pouvez enregistrer un filtre de manière à ce qu'il persiste dans l'ensemble des sessions et des navigateurs.

Gérer les Filtres

Vous pouvez filtrer les informations figurant sur la page en haut de chaque colonne. Vous pouvez enregistrer un paramètre de filtrage afin que la page affiche par défaut les informations spécifiées à chaque ouverture.

Filtrer les Indicateurs par Date

Actions

Chaque indicateur est associé à un hôte. Les indicateurs peuvent être liés à des fichiers ou des processus d'un hôte, détectés par Host Sensor () ou des évènements réseau pour le trafic entrant ou sortant d'un hôte, ou détectés par un Firebox (). Pour les indicateurs signalés par un Firebox, des actions de traitement sont effectuées par le Firebox en fonction des paramètres de la configuration du Firebox. Par exemple, APT Blocker, IPS et Gateway AntiVirus peuvent bloquer l'accès à un fichier et WebBlocker peut bloquer l'accès à un site Web. Pour les indicateurs signalés par un Host Sensor, l'action de traitement peut être automatiquement entreprise par le Host Sensor en fonction des stratégies TDR configurées, ou vous pouvez entreprendre l'action demandée pour traiter la menace à partir de la page des Indicateurs.

Journal des Actions et Historique de Traitement

Pour chaque indicateur, le Journal des Actions affiche la liste des actions de l'indicateur concerné. Pour un indicateur traité, le Journal des Actions comprend également l'Historique de Traitement, qui indique l'indice d'origine de l'indicateur avant qu'il ne soit traité avec succès

Détails de l'Indicateur

Indicateurs Corrélés

Des indicateurs corrélés sont créés lorsqu'une activité de processus suspecte est détectée par un périphérique et confirmée par une source secondaire, telle que le Host Sensor ou APT Blocker.

Pour activer les indicateurs corrélés, vous devez activer le paramètre Autoriser Host Sensors à Mettre en Cache les Métadonnées des Fichiers sur la page Paramètres Host Sensor. Consultez Configurer les Paramètres d’Host Sensor TDR pour plus d'informations.

Indicateur de Réseau + Processus

Les Indicateurs de Réseau + Processus sont déclenchés lorsqu'une activité de processus suspecte est détectée par le Firebox puis confirmée sur le Host Sensor. Lorsque le Firebox signale une connexion malveillante au TDR, un Indicateur de Réseau est créé. TDR stocke les informations tandis que le Host Sensor recherche le processus malveillant sur l'hôte en fonction des adresses IP et ports d'origine et de destination.

  • Si le processus est situé sur l'hôte, un Indicateur de Réseau + Processus est créé et et apparaissent tous deux dans la colonne source.
  • Si le processus n'est pas situé sur l'hôte, l'Indicateur de Réseau standard restera.

La menace est traitée selon une stratégie basée sur le Score de Menace. Si le processus s'est arrêté, l'indicateur est automatiquement corrigé en externe. En général, un score corrélé sera suffisamment élevé pour déclencher l'action Terminer le Processus. La Mise en quarantaine n'est pas une action disponible pour les Indicateurs de Réseau + Processus.

Si Host Sensor trouve le processus, la boite de dialogue Informations Complémentaires affiche des informations sur l'Évènement Réseau et le Processus ainsi que les Détails de la Menace.

Atténuation des Nouvelles Failles APT par Proxy HTTP(S)

Cette fonctionnalité est uniquement compatible avec Fireware v12.1.3 Update 2 pour XTMv et Fireware v12.4 et versions ultérieures pour les modèles Firebox M Series et T Series.

Lorsque des fichiers suspects sont envoyés à APT Blocker pour analyse, il peut s'écouler plusieurs minutes avant de recevoir une réponse du centre de données APT Blocker basé sur le cloud. Si le fichier est malveillant, il pourrait se propager sur votre réseau avant qu’APT Blocker ne réagisse. TDR continue de suivre l'emplacement du fichier et de ses éventuelles copies pendant une durée maximale de 20 minutes. Si la réponse d’APT Blocker est que le fichier est malveillant, TDR mettra en œuvre la stratégie de traitement appropriée pour toutes les copies du fichier.

Un évènement HttpAPTDetected est déclenché lorsqu'un fichier suspect est signalé comme malveillant par APT Blocker. Une demande est envoyée au Host Sensor pour connaitre l'emplacement du fichier.

Lorsque le Host Sensor renvoie les informations, un Indicateur APT HTTP Détecté et Trouvé est généré pour chaque copie du fichier. Cliquez sur le lien Informations Complémentaires de l'indicateur afin d'ouvrir la boite de dialogue Informations Complémentaires sur l’APT Détecté et Trouvé.

Screenshot of APT Detected and Found Information

A Etudier

Pour étudier en détail un indicateur, vous pouvez rechercher sa valeur MD5 sur Google, VirusTotal ou MetaScan.

Pour rechercher la valeur MD5 d'un indicateur, cliquez sur l'un des liens dans la colonne A Etudier :

  • Rechercher le MD5 sur Google
  • Rechercher le MD5 sur VirusTotal
  • Rechercher le MD5 sur MetaScan

Créer et Exporter des Graphiques d'Indicateurs

Vous pouvez afficher les indicateurs sous forme d'histogramme, de camembert ou de séries chronologiques empilées. Vous pouvez exporter le graphique au format .PNG, .JPB, .GIF ou .PDF.

Exécuter une Action Manuelle

Vous pouvez sélectionner manuellement les actions visant à traiter les indicateurs. La colonne Action Demandée indique l'action recommandée pour traiter un indicateur signalé par un Host Sensor. Lorsque vous entreprenez l'action demandée, elle est classée comme traitement Manuel dans le widget Traitements de la page Tableau de Bord de TDR.

Pour obtenir une liste des actions et leurs résultats, consultez Actions et Résultats de l’Indicateur TDR.

Une fois qu'un Host Sensor exécute une action de traitement avec succès, l'indice de l'indicateur diminue à 1 et la colonne Résultat de la page des Indicateurs indique que l'action a réussi.

Voir Également

Actions et Résultats de l’Indicateur TDR

Installation Manuelle de Host Sensor TDR

Installation CLI et GPO de Host Sensor TDR