Afficher la page Détails de l'évènement Passer la navigation

Afficher la page Détails de l'évènement

Vous pouvez afficher des métadonnées et des détails supplémentaires pour un évènement réseau qui a été consigné sur la page Évènements. Les métadonnées affichées dépendent de plusieurs facteurs, tels que le type de demande réseau effectuée et la manière dont vous avez configuré les règles ACL. Par exemple, les évènements DNS affichent des détails spécifiques au DNS et les évènements TLS affichent des détails spécifiques au TLS. De même, si la protection réseau est activée dans une règle ACL, des métadonnées supplémentaires s'affichent. Vous pouvez partager l'évènement réseau avec d'autres utilisateurs de la console pour auditer ou examiner les destinations auxquelles l'utilisateur a tenté d'accéder. Les utilisateurs de la console doivent disposer des autorisations appropriées pour afficher l'évènement partagé. Cliquez sur l'icône Partager pour copier le lien vers l'évènement.
Vous pouvez filtrer les évènements réseau consignés à l'aide des filtres de données suivants :
Filtre
Description
Présentation de l'évènement
ID d'évènement
Il s'agit d'un identifiant unique pour l'évènement réseau de votre locataire.
Adresse IP source
Il s'agit de l'adresse IP de la passerelle privée qui a été attribuée au tunnel du point de terminaison pendant l'évènement.
Port source
Il s'agit du numéro de port de la destination.
Nom de la requête DNS
Il s'agit du nom de ressource demandée (RR) du serveur DNS que l'agent
CylanceGATEWAY
a interrogé.
Type de requête DNS
Il s'agit du type de requête DNS (par exemple, un enregistrement A, AAAA ou SRV) qui a été envoyé au serveur DNS.
Destination
Il s'agit de la destination de l'évènement. L'adresse IP de destination est toujours incluse. L'évènement peut également afficher le nom du service réseau ou le nom d'hôte, le cas échéant.
Port de destination
Il s'agit du port de la destination à laquelle vous avez accédé.
Adresse IP source de la NAT privée
Il s'agit de l'adresse IP source de cet évènement lorsqu'il a quitté le
CylanceGATEWAY Connector
pour l'un de vos réseaux privés. Si l'adresse IP source n'est pas disponible ou si cette fonctionnalité n'a pas été activée, le filtre indique « Inconnu ».
Vous devez vous assurer que l'heure du système
CylanceGATEWAY Connector
est exacte. Si l'heure du système
CylanceGATEWAY Connector
manque de précision, les détails de la NAT signalés par le connecteur peuvent ne pas correspondre à l'évènement réseau dans le
BlackBerry Infrastructure
. Par défaut, le système
CylanceGATEWAY Connector
utilise le serveur de temps Ubuntu (serveur ntp.ubuntu.com) pour la synchronisation de l'heure ; vous pouvez également spécifier un serveur NTP personnalisé. Si vous utilisez le serveur de temps
Ubuntu
, assurez-vous qu'il est accessible depuis votre réseau privé. Pour en savoir plus, consultez la section Configurer le système CylanceGATEWAY Connector.
Le système
CylanceGATEWAY Connector
envoie les détails de la NAT mis à jour à l'écran Détails de l'évènement toutes les minutes.
Cette fonctionnalité est désactivée par défaut. Vous devez contacter le support technique de
BlackBerry
pour activer cette fonctionnalité.
Port source de la NAT privée
Il s'agit du port IP source de cet évènement lorsqu'il a quitté le système
CylanceGATEWAY Connector
pour l'un de vos réseaux privés. Si le numéro de port n'est pas disponible ou si cette fonctionnalité n'a pas été activée, le filtre indique « Inconnu ».
Cette fonctionnalité est désactivée par défaut. Vous devez contacter le support technique de
BlackBerry
pour activer cette fonctionnalité.
Adresse IP source
BlackBerry
Il s'agit de l'adresse IP de cet évènement lorsqu'il a quitté le
BlackBerry Infrastructure
. Cette adresse IP source
BlackBerry
n'est pas disponible pour les flux qui n'utilisent pas le tunnel
CylanceGATEWAY
(par exemple, mode sans échec).
Adresse IP source du tunnel
Il s'agit de l'adresse IP du point de terminaison telle qu'elle est détectée par l'
BlackBerry Infrastructure
lors de son accès au tunnel
CylanceGATEWAY
.
Protocole
Il s'agit du protocole (couche 4) utilisé par l'évènement réseau pour accéder à la destination. Le protocole peut être UDP ou TCP.
Protocole d'application
Il s'agit du protocole (couche 6 ou 7), tel que TLS, DNS ou HTTP, utilisé pour la communication.
Type d'accès
Il s'agit du type d'accès (par exemple, mode sans échec ou tunnel de passerelle) utilisé par l'évènement réseau pour accéder à la destination.
Routage réseau
Le trafic est ainsi fourni en tant que connexions publiques ou privées qui ont été utilisées pour acheminer le trafic. En ce qui concerne les connexions privées, vous pouvez filtrer par nom de groupe de connecteurs et par
CylanceGATEWAY Connector
.
Connecteur
Il s'agit du système
CylanceGATEWAY Connector
auquel l'évènement réseau est associé. Pour afficher plus d'informations sur le connecteur, cliquez sur le nom du connecteur.
Heure de début (UTC)
Il s'agit de l'heure à laquelle la communication de l'activité réseau a commencé. L'heure est affichée en UTC.
Heure de fin (UTC)
Il s'agit de l'heure à laquelle la communication de l'activité réseau s'est terminée. L'heure est affichée en UTC.
Transféré(e)(s)
Cela indique le nombre d'octets échangés entre la destination et l'agent
CylanceGATEWAY
. Il s'affiche sous la forme du nombre total d'octets chargés et téléchargés sur le serveur et l'agent
CylanceGATEWAY
.
Flux de paquets
Il s'agit du nombre de paquets envoyés entre la destination et l'agent
CylanceGATEWAY
.
Utilisateur
Il s'agit du nom d'utilisateur auquel l'évènement réseau est associé. Vous pouvez filtrer les évènements réseau en fonction du nom d'utilisateur et du nom d'affichage d'un utilisateur
Active Directory
. Lorsque vous exportez la page Évènements, seul le nom d'utilisateur est exporté. Vous pouvez cliquer sur le nom d'utilisateur pour afficher les évènements associés à l'utilisateur.
OS
Il s'agit du terminal utilisé pour lancer l'activité réseau (par exemple,
Android
,
iOS
,
macOS
ou
Windows
).
Modèle
Il s'agit du modèle du terminal (par exemple
iPhone
,
Samsung Galaxy
,
Google
Pixel
).
Terminal
Il s'agit du nom d'hôte de l'utilisateur
macOS
ou du terminal
Windows
(exemple.com).
Action
Cela permet d'identifier si l'évènement réseau est autorisé ou bloqué en fonction de vos paramètres de protection réseau et des règles ACL que vous avez spécifiées pour l'environnement. Des informations supplémentaires sur l'action sont incluses dans la section Action.
Action
Phase de connexion
Il s'agit de la phase d'évaluation au cours de laquelle les propriétés de tentative d'accès ont été comparées aux destinations et conditions de chaque règle ACL. Une ou plusieurs des phases (par exemple, lors de la recherche DNS, de la tentative de connexion et de l'établissement d'une liaison TLS) qui ont été évaluées par rapport aux règles ACL s'affichent.
Heure (UTC)
Il s'agit de l'heure à laquelle l'activité réseau a été évaluée à l'aide d'une règle ACL. L'heure est affichée en UTC.
Règle appliquée
Il s'agit du nom de la règle ACL qui a été appliquée au moment de l'évaluation au cours des différentes phases des règles ACL.
Action
Indique si l'action a été autorisée ou bloquée pour les phases évaluées.
Alertes
Type
Permet d'identifier l'anomalie déclenchée par l'activité réseau avec le niveau de protection réseau associé. Pour en savoir plus sur les anomalies prises en charge, consultez la section Affichage de l'activité réseau.
Heure (UTC)
Il s'agit de l'heure à laquelle l'activité réseau a déclenché l'alerte. L'heure est affichée en UTC.
Catégorie
C'est l'anomalie qui a déclenché l'alerte. Pour en savoir plus les anomalies, consultez la section Affichage de l'activité réseau.
Signature
Il s'agit de l'anomalie de signature déclenchée par l'évènement réseau.
Transféré(e)(s)
Téléchargé
Il s'agit du nombre total d'octets de données envoyés de la destination à l'agent
CylanceGATEWAY
. Des volumes de téléchargement anormaux peuvent être le signe de tentatives d'exfiltration ou de logiciels malveillants installés sur le terminal.
Chargé
Il s'agit du nombre total d'octets de données qui ont été envoyés de la destination du serveur à l'agent
CylanceGATEWAY
. Des volumes de chargement anormaux peuvent être le signe de tentatives d'exfiltration ou de logiciels malveillants installés sur le terminal.
TLS
Version de TLS
Il s'agit de la version du protocole TLS qui a été utilisée pour se connecter à la destination.
ALPN client
Il s'agit des informations d'entête ALPN qui ont été envoyées à l'agent
CylanceGATEWAY
depuis la destination.
ALPN du serveur
Il s'agit des informations d'entête qui ont été envoyées de la destination à l'agent
CylanceGATEWAY
.
SNI
Il s'agit du nom d'hôte de la destination à laquelle l'agent
CylanceGATEWAY
a tenté de se connecter.
Émetteur
Il s'agit du certificat présenté par la destination.
Objet
Il s'agit du nom de la règle qui a été appliquée au moment de l'évaluation au cours des différentes phases (par exemple, recherche DNS, établissement de la connexion et liaison TLS) en relation avec les règles ACL.
Non valide avant
Il s'agit de la date avant laquelle le certificat n'est pas valide.
Non valide après
Il s'agit de la date après laquelle le certificat n'est pas valide.
Évènements HTTP
Ce paramètre indique les flux HTTP d'origine non chiffrés en texte brut à des fins d'analyse et de recherche des menaces. Notez que les flux HTTP ne sont pas déchiffrés. Un résumé des détails de la demande et de la réponse comprend les détails de la demande et de la réponse suivants :
  • Méthode HTTP et URL de la demande (URI)
  • Agent utilisateur
  • entêtes de type contenu
  • Codes d'état HTTP
Les trois premiers évènements HTTP du nombre total d'évènements s'affichent. Un badge affiche le nombre total d'évènements qui ont été consignés pour l'évènement. Cliquez sur
Tous les évènements HTTP
pour afficher tous les évènements sur la page Aperçu des évènements. Cliquez sur chaque évènement pour afficher plus de détails, tels que des informations d'entête. Vous ne pouvez pas effectuer de recherche ou de filtrage dans les évènements HTTP pour le moment. Les détails HTTP présentent les limites suivantes :
  • Le nom de l'entête affiche jusqu'à 64 octets.
  • La valeur d'entête affiche jusqu'à 512 octets.
  • La taille totale de l'entête par direction (par exemple, nom et corps) affiche jusqu'à 4 096 octets.
  • Le corps de la demande et de la réponse affiche jusqu'à 512 octets.
  • La demande et la réponse utilisent le codage Base64 par défaut. Vous pouvez afficher le corps décodé.