Surveiller l'Activité de Botnet Detection

Pour identifier les clients sur votre réseau qui sont infectés par des programmes malveillants de botnet et qui essaient de communiquer avec un serveur de commande et de contrôle de botnet, vous pouvez surveiller l'activité de Botnet Detection de votre réseau.

Statistiques de Botnet Detection

Dans Fireware Web UI, vous pouvez visualiser les statistiques de Botnet Detection qui comprennent le nombre total d'adresses IP d'origine et de destination qui ont été analysées et les adresses qui ont été bloquées. Vous pouvez aussi voir les informations de version de votre liste de sites de Botnet Detection.

Messages de Journal de Botnet Detection

Vous pouvez configurer votre Firebox pour générer un message de journal si votre Firebox détecte des clients infectés sur votre réseau qui sont en communication avec un serveur de commande et de contrôle de botnet. Les messages de journal de Botnet Detection indiquent les adresses IP d'origine et de destination du trafic. Par exemple :

Jan 1 10:25:40 2016 WatchGuard-Firebox local0.warn firewall: msg_id="3000-0148" Deny 4-Optional-3 0-External 84 icmp 20 63 10.0.5.97 42.62.40.103 8 0 id=4124 seq=3 botnet="destination" msg="blocked sites" (Internal Policy)

Jan 1 10:31:45 2016 WatchGuard-Firebox local0.warn firewall: msg_id="3000-0148" Deny 4-Optional-3 0-External 28 icmp 20 63 85.17.31.111 100.0.0.1 8 0 id=14608 seq=512 botnet="source" msg="blocked sites " (Internal Policy)

Notifications de Botnet Detection

Le service à abonnement de Botnet Detection utilise une liste d'adresses IP de sites de botnets connus de Reputation Enabled Defense (RED) et ajoute ces adresses à la Liste des Sites Bloqués sur le Firebox. Pour visualiser l'activité de Botnet Detection sur votre réseau, vous pouvez configurer les paramètres de journalisation pour la Liste des Sites Bloqués.

Dans Policy Manager, vous pouvez configurer votre Firebox pour qu'il crée un message de journal ou envoie un message de notification si un ordinateur tente d'utiliser un site bloqué.

Dans la boîte de dialogue Configuration des Sites Bloqués :

Cliquez sur Journalisation.
La boîte de dialogue Journalisation et notification s'ouvre.
Configurez les paramètres de notification tel que décrit dans Définir les préférences de Journalisation et de Notification.

Botnet Detection dans Dimension

Si vous avez configuré votre Firebox pour générer des messages de journal concernant l'activité de Botnet Detection et avez configuré votre Firebox pour qu'il envoie des messages de journal à Dimension, vous pouvez voir l'activité de Botnet Detection sur votre Firebox dans ces outils et rapports Dimension :

Outils > Tableaux de Bord > Tableau de Bord de Sécurité
- Principaux Sites Botnet Bloqués
- Principaux Clients Bloqués
Outils > Tableaux de Bord > Carte des Menaces — Sites Botnet Bloqués
Rapports > Services > Botnet Detection — Tendances d'activité de Botnet Detection
Rapports > Détails — Botnet Detection

Pour plus d'informations, consultez Tableau de Bord de Sécurité (Dimension), Carte des Menaces, À propos des Rapports de Dimension.

Voir Également

À propos de Botnet Detection

Exceptions de Sites Botnet

Configurer le Serveur de Mise à Jour de Botnet Detection

© 2023 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et/ou dans d'autres pays. Toutes les autres marques appartiennent à leurs propriétaires respectifs.