À propos des Graphiques d'Attaques

S'applique à : WatchGuard EPDR, WatchGuard EDR

Si l'Indicateur d'Attaque (IOA) est associé à un graphique, cliquez sur Afficher le Graphique de l'Attaque pour afficher un diagramme interactif illustrant la séquence d'événements ayant débouché sur la génération de l'IOA. Vous pouvez utiliser le graphique pour identifier la cause profonde de l'attaque.

Screen shot of Attack Graph

Par défaut, le graphique s'affiche horizontalement avec le nœud ayant déclenché l'IOA en son centre. Il est entouré d'un sous-ensemble de nœuds liés à l'IOA. Le graphique affiche trois niveaux de nœuds au-dessus du nœud principal ainsi qu'un niveau de nœuds en dessous du nœud principal.

Les nœuds représentent les entités qui participent à une opération (tels que les processus, les fichiers ou les cibles de communication ou d'opération). Les flèches représentent les opérations. Pour modifier le graphique selon vos besoins, utilisez les options de la barre d'outils puis sélectionnez des nœuds spécifiques. Vous pouvez utiliser la chronologie située sous le graphique pour augmenter ou réduire la période affichée au cours de laquelle les événements se sont produits.

Le volet d'information de droite offre les informations concernant les événements correspondant au nœud ou à la flèche sélectionné(e). Pour plus d'informations, consultez Événements des Indicateurs d'Attaque.

Barre d'outils

La barre d'outils vous permet de modifier l'apparence du graphique. Les boutons suivants sont disponibles dans la barre d'outils :

Bouton	Nom	Description
	Annuler	Annule la dernière action effectuée sur le graphique
	Répéter	Répéter la dernière action effectuée sur le graphique
	Zoom avant	Effectue un zoom avant sur le graphique
	Zoom arrière	Effectue un zoom arrière sur le graphique
	Réinitialiser le zoom	Restaurer le paramètre par défaut du zoom
	Graphique horizontal	Active l'orientation horizontale du graphique
	Graphique vertical	Active l'orientation verticale du graphique
	Afficher/Masquer les Couches	Affiche ou masque les couches d'information du graphique

Pour afficher ou masquer les couches d'un graphique d'attaque :

Dans la barre d'outils, cliquez sur .
Dans le menu qui s'ouvre, sélectionnez les éléments du graphique que vous souhaitez afficher ou masquer :
- Séquence d'Exécution — Masque ou affiche les numéros des événements permettant de déterminer l'ordre selon lequel ils se sont produits.
- Nom des Relations — Masque ou affiche le nom des événements. Pour plus d'informations, consultez Événements des Indicateurs d'Attaque.
- Nom des Entités — Masque ou affiche le nom des entités (telles que les processus, les fichiers ou les cibles de communication ou d'opération).

Nœuds et Flèches du Graphique

Le graphique illustre une série d'événements avec des nœuds et des flèches permettant d'illustrer les entités et leurs relations mutuelles. Le nœud ayant déclenché l'IOA se trouve au centre du graphique, entouré d'un sous-ensemble de nœuds liés à l'IOA. Le graphique affiche trois niveaux de nœuds au-dessus du nœud principal ainsi que les nœuds situés un niveau en dessous du nœud principal.

Les nœuds représentent les entités qui participent à une opération (processus, fichiers ou cibles de communication ou d'opération), tandis que les flèches représentent les opérations. Les chiffres figurant sur la flèche indiquent l'ordre selon lequel les événements ont été enregistrés. Lorsque vous sélectionnez un nœud, le volet d'information affiche les détails des événements survenus. Pour plus d'informations, consultez Événements des Indicateurs d'Attaque.

Pour sélectionner un seul nœud sur le graphique, cliquez dessus.
Pour sélectionner plusieurs nœuds non contigus sur le graphique, maintenez la touche Ctrl ou Maj enfoncée puis cliquez sur les nœuds que vous souhaitez sélectionner.
Pour sélectionner plusieurs nœuds contigus sur le graphique, maintenez la touche Ctrl ou Maj enfoncée puis cliquez sur une zone vide du graphique. Faites glisser la souris pour dessiner une boîte de sélection englobant tous les nœuds que vous souhaitez sélectionner.
Lorsque vous sélectionnez et faites un clic droit sur plusieurs nœuds du graphique, les options s'appliquant à tous les nœuds sélectionnés s'affichent dans le menu contextuel.

Icônes des Nœuds et d'État

La couleur d'un nœud indique si l'élément a été classifié comme malware (rouge), suspect ou non classifié (orange), ou goodware (vert). Ces icônes de nœuds servent à représenter les différentes entités d'une opération.

Icône	Description
	Processus S'il appartient à un connupackage logiciel, l'icône s'affiche.
	Thread distant
	Bibliothèque
	Protection
	Dossier
	Fichier non exécutable
	Fichier compressé
	Fichier exécutable
	Fichier script
	Valeur de la branche de registre Windows
	URL utilisée par une communication
	Adresse IP d'une communication

Les icônes d'état indiquent l'action exécutée sur le nœud.

Icône	Action
	Fichier supprimé
	Dossier désinfecté
	Fichier mis en quarantaine
	Processus supprimé

Afficher les Nœuds Enfants

Le graphique peut afficher au maximum jusqu'à 25 nœuds au même niveau. En présence de plus de 25 nœuds, le graphique n'indique aucun nœud. Une icône située en bas à gauche d'un nœud indique que le nœud possède des nœuds enfants masqués.

Pour afficher les nœuds enfants :

Faites un clic droit sur un nœud.
Un menu contextuel s'ouvre.
Sélectionnez l'une des options disponibles :
- Afficher le Parent — Affiche les nœuds parents du nœud sélectionné.
- Afficher Toute l'Activité (nombre) — Affiche tous les nœuds enfants du nœud, quel que soit leur type. Le nombre maximal de nœuds affichés est de 25. Le nombre total d'événements reliant le nœud parent au nœud enfant s'affiche.
- Afficher les Enfants — Ouvre une liste déroulante. Sélectionnez le type de nœuds enfants à afficher puis sélectionnez le nombre de nœuds de chaque type. Les types de nœuds sont les suivants :
  - Fichiers de données (fichiers contenant des informations non identifiées)
  - Fichiers script (fichiers contenant des séquences de commandes)
  - DNS (domaines qui ne sont pas parvenus à résoudre l'adresse IP)
  - Entrées du registre Windows
  - Fichiers compressés
  - Fichiers PE (fichiers exécutables)
  - Threads distants
  - IP (adresses IP de chaque point d'extrémité de la communication)
  - Bibliothèques
  - Processus
  - Protection (action exécutée par l'antivirus)

Déplacer et Supprimer des Nœuds

Déplacez et supprimez les nœuds de manière à restreindre le graphique aux informations que vous souhaitez afficher.

Pour déplacer un seul nœud, sélectionnez-le et faites-le glisser vers un nouvel emplacement.
Toutes les lignes reliant le nœud à ses voisins se déplacent et s'adaptent au nouvel emplacement du nœud.

Pour déplacer le graphique pour d'afficher d'autres nœuds :

Cliquez sur une zone vide du graphique.
Faites glisser le graphique dans la direction désirée.

Pour supprimer un seul nœud :

Faites un clic droit sur le nœud que vous souhaitez supprimer.
Le menu contextuel s'ouvre.
Sélectionnez Supprimer (x).
Une boîte de dialogue s'ouvre et indique le nombre total de nœuds qui seront supprimés du graphique. Ce nombre inclut le nœud sélectionné et ses nœuds enfants.
Cliquez sur OK.

Pour supprimer plusieurs nœuds :

Appuyez sur la touche Ctrl et maintenez-la enfoncée.
Cliquez sur les nœuds que vous souhaitez supprimer.
Faites un clic droit sur l'un des nœuds.
Le menu contextuel s'ouvre.
Sélectionnez Supprimer (x).
Une boîte de dialogue s'ouvre et indique le nombre total de nœuds qui seront supprimés du graphique. Ce nombre inclut les nœuds sélectionnés et leurs nœuds enfants.
Cliquez sur OK.

Flèches

La couleur des flèches indique si WatchGuard EPDR ou WatchGuard EDR a bloqué ou autorisé l'action.

Rouge — L'action a été classifiée comme menace et bloquée.
Noir — L'action a été autorisée.

L'épaisseur de la flèche représente le nombre de fois où le même type d'action a été exécuté entre deux nœuds. Plus le nombre d'actions est élevé, plus la flèche est épaisse.

Lorsque vous cliquez sur une flèche, le volet d'information affiche les dates auxquelles la première et la dernière action du groupe ont eu lieu. La direction de la flèche indique le sens de l'action.

Les chiffres figurant sur les flèches indiquent l'ordre selon lequel l'événement a été enregistré. Lorsque vous cliquez sur l'étiquette d'une flèche, le volet d'information affiche les événements survenus. Pour plus d'informations, consultez Événements des Indicateurs d'Attaque.

Chronologie

La chronologie se situe sous le graphique. Elle comprend un histogramme comprenant des barres vertes représentant les événements exécutés par une menace. Placez le curseur de la souris sur les barres pour afficher une infobulle indiquant le nombre d'événements ainsi que la date à laquelle ils ont été journalisés.

Commandes de la Chronologie

Vous pouvez flouter les nœuds et les relations survenues hors d'une période sélectionnée. Les commandes situées en bas de la chronologie vous permettent de positionner la vue au moment précis où la menace a effectué une action et de récupérer les informations détaillées susceptibles de contribuer à une analyse détaillée.

Pour sélectionner un intervalle spécifique sur la chronologie, faites glisser les sélecteurs d'intervalle gris vers la gauche ou la droite. Le graphique indique les événements et les nœuds correspondant à l'intervalle. Les autres événements et nœuds sont floutés.
Pour afficher le chemin complet de la chronologie, sélectionnez Premier Nœud puis cliquez sur Démarrer.
Pour définir la vitesse de déplacement, cliquez sur 1x puis sélectionnez une option de vitesse.

Ces commandes sont disponibles en dessous de la chronologie.

Lecture — Lance la chronologie à une vitesse constante de 1x. Les graphiques et les lignes représentant les actions qui s'affichent à l'écran au fur et à mesure de la chronologie.
1x — Définit la vitesse de la chronologie.
Arrêt — Stoppe la progression de la chronologie.
+ et - — Permettent d'effectuer un zoom avant et arrière sur la chronologie.
< et > — Sélectionnent le nœud précédent ou suivant.
Zoom initial – Rétablit le niveau de zoom initial si vous avez effectué un zoom avant ou arrière avec les boutons + et -.
Sélectionner tous les nœuds — Déplace les sélecteurs de temps de manière à englober l'ensemble de la chronologie.
Premier nœud — Définit l'intervalle temporel au début de la chronologie.

Voir Également

Détails d'un Indicateur d'Attaque

© 2023 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et/ou dans d'autres pays. Toutes les autres marques appartiennent à leurs propriétaires respectifs.