Passer la navigation

Affichage de l‘activité réseau

CylanceGATEWAY
consigne toutes les activités réseau pour les terminaux sur lesquels le mode de travail et le mode sans échec sont activés. Le journal des activités réseau enregistre l‘utilisateur, le modèle du terminal et son système d‘exploitation, le nom d‘hôte, la destination, la date et l‘heure, ainsi que d‘autres détails sur chaque événement de tentative de connexion. Si la confidentialité du trafic est activée dans une règle ACL, les tentatives d‘accès au réseau auxquelles la règle s‘applique ne sont pas consignées sur l‘écran Évènements réseau ou envoyées à la solution SIEM ou au serveur syslog, si elle est configurée.
Si une connexion est identifiée comme une menace, la colonne
Détections
spécifie le type de menace détectée.
  • Les détections
    Tunnellisation DNS
    sont des menaces basées sur l‘analyse du trafic DNS entre le client et le serveur DNS de l‘utilisateur malveillant (par exemple, lorsqu‘un hôte est infecté, le logiciel malveillant peut lancer un canal de commande et de contrôle (C2) avec son créateur pour tenter d‘exfiltrer des données).
  • Les détections
    Réputation
    sont des menaces provenant d‘adresses figurant sur la liste
    BlackBerry
    des destinations Internet dangereuses et sont détectées par l‘option de réputation de destination. Une valeur de risque est attribuée à chaque destination. Vous pouvez configurer le niveau de risque des réputations de destination à bloquer.
  • Les détections
    Détection de signatures
    font référence aux menaces détectées par les détections de signature. La détection basée sur la signature est une méthodologie utilisée pour détecter les logiciels malveillants connus qui sont stockés dans une base de données. Lorsqu‘une nouvelle signature de logiciel malveillant est identifiée, les experts en cybersécurité ajoutent la signature à une base de données.
  • Les détections de type
    Du jour zéro
    font référence aux nouvelles destinations malveillantes identifiées (par exemple, algorithme de génération de domaine (DGA) et hameçonnage), c‘est-à-dire qui n‘ont pas été précédemment découvertes. Une fois identifiées, une valeur de risque est attribuée à ces destinations. Elles sont ensuite bloquées ou envoient une alerte en fonction du niveau de risque que vous avez défini pour la protection de votre réseau. Pour plus d‘informations, consultez la section Configurer les paramètres de protection réseau dans le contenu relatif à la configuration de
    Cylance Endpoint Security
    .
Pour afficher le journal des activités réseau dans la console de gestion, dans la barre de menus, cliquez sur
CylanceGATEWAY > Évènements
.
Pour afficher les détails d‘un évènement réseau, cliquez sur la ligne du journal d‘activité. Pour en savoir plus sur les détails des évènements, consultez Afficher la page Détails de l‘évènement.
Pour filtrer n‘importe quelle colonne, cliquez sur Icône de filtrage de colonne en haut de la colonne.
Pour effectuer une recherche de formulaire libre, cliquez sur Icône Rechercher et saisissez la requête de recherche. Lorsque vous saisissez les caractères dans le champ de recherche, vous pouvez sélectionner l‘une des options de correspondance affichées.
Pour modifier les colonnes à afficher, cliquez sur Icône de modification de colonne à droite des en-têtes de colonne.
Pour modifier l‘ordre des colonnes d‘évènements, faites glisser la colonne à l‘endroit où vous souhaitez qu‘elle apparaisse.
Pour exporter les informations relatives à l‘activité du réseau dans un fichier .csv, cliquez sur Icône Exporter. Sélectionnez cette option pour exporter tout ou uniquement l‘activité réseau filtrée et cliquez sur
Exporter
.
Pour savoir comment
CylanceGATEWAY
peut classer une destination réseau à laquelle un utilisateur tente d‘accéder, reportez-vous à la section Évaluer le niveau de risque d‘une destination réseau.