Liste Indicateurs d'Attaque

S'applique À : WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR

La liste Indicateurs d'Attaque présente les détails des IOA détectés sur les stations de travail et les serveurs par WatchGuard Endpoint Security.

Chaque IOA fait référence à un seul ordinateur et un seul type d'IOA. Si une chaîne d'événements suspects donnée se produit sur différents ordinateurs, WatchGuard Endpoint Security génère un IOA distinct pour chacun d'eux. Si un motif donné est détecté plusieurs fois en une heure sur le même ordinateur, deux IOA sont générés au minimum : un lorsque le premier IOA est détecté et l'autre toutes les heures indiquant le nombre d'occurrences au cours de cette heure.

Dans le menu d'options d'une ligne d'un ordinateur, vous pouvez :

Filtrer la Liste des Indicateurs d'Attaque

Pour filtrer la liste des Indicateurs d'Attaque et ouvrir les détails de l'attaque :

  1. Cliquez sur Filtres.

Screen shot of WatchGuard Endpoint Security, Indicators of Attack list

  1. Spécifiez les paramètres en fonction desquels vous souhaitez filtrer les résultats.
    • Risque — Incidence de l'IOA détecté (Critique, Elevé, Moyen, Faible, Inconnu).
    • Action — Type d'action exécutée par WatchGuard Endpoint Security sur les attaques par force brute contre les IOA RDP (Signalé, Attaque Bloquée).
    • Tactique — Catégorie de la tactique d'attaque ayant généré l'IOA, mappée sur la matrice MITRE ATT&CK.
    • Dates — Période durant laquelle l'IOA a été généré.
    • Etat — État de l'IOA (Archivé ou En Attente). Les IOA archivés ne demandent plus d'attention particulière de la part de l'administrateur. En effet, il s'agit de faux positifs ou d'indicateurs résolus. Les IOA en attente n'ont pas été analysés par l'administrateur.
    • Indicateur d'Attaque — Nom de la règle ayant détecté le schéma d'événements qui a déclenché l'IOA. Sélectionnez Tout ou recherchez et sélectionnez l’IOA pour lequel vous souhaitez filtrer la liste.
    • Technique — Catégorie (et sous-catégorie, si disponible) de la technique d'attaque qui a généré l'IOA, mappée à la matrice MITRE (par exemple, T1012 - Query Registry). Vous pouvez rechercher et sélectionner plusieurs techniques.
  2. Cliquez sur Filtrer.
    Pour exporter la liste sous forme de fichier CSV, cliquez sur L'icône Exporter..
  3. Pour afficher les détails de l'IOA d'un ordinateur, sélectionnez ce dernier dans la liste.
    Pour de plus amples informations, accédez à Détails d'un Indicateur d'Attaque.

Rubriques Connexes

Indicateurs d'Attaque (IOA)

Tableau de Bord Indicateurs d'Attaque

Détails d'un Indicateur d'Attaque