Afficher la page Détails de l‘évènement
Vous pouvez afficher des métadonnées et des détails supplémentaires pour un évènement réseau qui a été consigné sur la page Évènements. Les métadonnées affichées dépendent de plusieurs facteurs, tels que le type de demande réseau effectuée et la manière dont vous avez configuré les règles ACL. Par exemple, les évènements DNS affichent des détails spécifiques au DNS et les évènements TLS affichent des détails spécifiques au TLS. De même, si la protection réseau est activée dans une règle ACL, des métadonnées supplémentaires s‘affichent. Vous pouvez partager l‘évènement réseau avec d‘autres utilisateurs de la console pour auditer ou examiner les destinations auxquelles l‘utilisateur a tenté d‘accéder. Les utilisateurs de la console doivent disposer des autorisations appropriées pour afficher l‘évènement partagé. Cliquez sur pour copier le lien vers l‘évènement.
Vous pouvez filtrer les évènements réseau consignés à l‘aide des filtres de données suivants :
Filtre | Description |
---|---|
Présentation de l‘évènement | |
ID d‘évènement | Il s‘agit d‘un identifiant unique pour l‘évènement réseau de votre locataire. |
Adresse IP source | Il s‘agit de l‘adresse IP de la passerelle privée qui a été attribuée au tunnel du point de terminaison pendant l‘évènement. |
Port source | Il s‘agit du numéro de port de la destination. |
Nom de la requête DNS | Il s‘agit du nom de ressource demandée (RR) du serveur DNS que l‘agent CylanceGATEWAY a interrogé. |
Type de requête DNS | Il s‘agit du type de requête DNS (par exemple, un enregistrement A, AAAA ou SRV) qui a été envoyé au serveur DNS. |
Destination | Il s‘agit de la destination de l‘évènement. L‘adresse IP de destination est toujours incluse. L‘évènement peut également afficher le nom du service réseau ou le nom d‘hôte, le cas échéant. |
Port de destination | Il s‘agit du port de la destination à laquelle vous avez accédé. |
Adresse IP source de la NAT privée | Il s‘agit de l‘adresse IP source de cet évènement lorsqu‘il a quitté le CylanceGATEWAY Connector pour l‘un de vos réseaux privés. Si l‘adresse IP source n‘est pas disponible ou si cette fonctionnalité n‘a pas été activée, le filtre indique « Inconnu ».Vous devez vous assurer que l‘heure du système CylanceGATEWAY Connector est exacte. Si l‘heure du système CylanceGATEWAY Connector manque de précision, les détails de la NAT signalés par le connecteur peuvent ne pas correspondre à l‘évènement réseau dans le BlackBerry Infrastructure . Par défaut, le système CylanceGATEWAY Connector utilise le serveur de temps Ubuntu (serveur ntp.ubuntu.com) pour la synchronisation de l‘heure ; vous pouvez également spécifier un serveur NTP personnalisé. Si vous utilisez le serveur de temps Ubuntu , assurez-vous qu‘il est accessible depuis votre réseau privé. Pour en savoir plus, consultez la section Configurer le système CylanceGATEWAY Connector.Le système CylanceGATEWAY Connector envoie les détails de la NAT mis à jour à l‘écran Détails de l‘évènement toutes les minutes.Cette fonctionnalité est activée par défaut. Si les détails de la source de la NAT privée ne s‘affichent pas dans la page Détails de l‘évènement de la console Cylance , vérifiez que vous avez installé la dernière version CylanceGATEWAY Connector et redémarré le connecteur. |
Port source de la NAT privée | Il s‘agit du port IP source de cet évènement lorsqu‘il a quitté le système CylanceGATEWAY Connector pour l‘un de vos réseaux privés. Si le numéro de port n‘est pas disponible ou si cette fonctionnalité n‘a pas été activée, le filtre indique « Inconnu ».Cette fonctionnalité est activée par défaut. Si les détails de la source de la NAT privée ne s‘affichent pas dans la page Détails de l‘évènement de la console Cylance , vérifiez que vous avez installé la dernière version CylanceGATEWAY Connector et redémarré le connecteur. |
Adresse IP source BlackBerry | Il s‘agit de l‘adresse IP de cet évènement lorsqu‘il a quitté le BlackBerry Infrastructure . Cette adresse IP source BlackBerry n‘est pas disponible pour les flux qui n‘utilisent pas le tunnel CylanceGATEWAY (par exemple, mode sans échec). |
Adresse IP source du tunnel | Il s‘agit de l‘adresse IP du point de terminaison telle qu‘elle est détectée par l' BlackBerry Infrastructure lors de son accès au tunnel CylanceGATEWAY . |
Protocole | Il s‘agit du protocole (couche 4) utilisé par l‘évènement réseau pour accéder à la destination. Le protocole peut être UDP ou TCP. |
Protocole d‘application | Il s‘agit du protocole (couche 6 ou 7), tel que TLS, DNS ou HTTP, utilisé pour la communication. |
Type d‘accès | Il s‘agit du type d‘accès (par exemple, mode sans échec ou tunnel de passerelle) utilisé par l‘évènement réseau pour accéder à la destination. |
Routage réseau | Le trafic est ainsi fourni en tant que connexions publiques ou privées qui ont été utilisées pour acheminer le trafic. En ce qui concerne les connexions privées, vous pouvez filtrer par nom de groupe de connecteurs et par CylanceGATEWAY Connector . |
Connecteur | Il s‘agit du système CylanceGATEWAY Connector auquel l‘évènement réseau est associé. Pour afficher plus d‘informations sur le connecteur, cliquez sur le nom du connecteur. |
Catégorie | Il s‘agit de la catégorie appliquée à l‘évènement. Par exemple, si CylanceGATEWAY a déterminé que la destination contient des menaces potentiellement malveillantes, la catégorie affichée peut être Risque dynamique. Pour plus d‘informations sur la catégorie Risque dynamique, reportez-vous à la section Configuration de la protection réseau dans le contenu relatif à la configuration. La destination peut également être classée en fonction de son contenu, par exemple « Informatique et technologies de l‘information ». Pour plus d‘informations sur les catégories de contenu de destination, reportez-vous à la section Catégories de contenu de destination dans le contenu relatif à la configuration. |
Sous-catégorie | Il s‘agit de la description de la sous-catégorie de trafic réseau liée à la catégorie associée à la destination. Pour plus d‘informations sur les sous-catégories qui peuvent s‘afficher lorsque la catégorie est Risque dynamique, reportez-vous à la section Configuration de la protection réseau dans le contenu relatif à la configuration. Pour plus d‘informations sur les sous-catégories qui peuvent s‘afficher lorsque la catégorie est une catégorie de contenu de destination, reportez-vous à la section Catégories de contenu de destination dans le contenu relatif à la configuration. |
Heure de début (UTC) | Il s‘agit de l‘heure à laquelle la communication de l‘activité réseau a commencé. L‘heure est affichée en UTC. |
Heure de fin (UTC) | Il s‘agit de l‘heure à laquelle la communication de l‘activité réseau s‘est terminée. L‘heure est affichée en UTC. |
PID | Il s‘agit de l‘ID numérique du processus qui a déclenché la demande DNS. Le PID est signalé par le terminal Windows ou macOS lorsque l‘agent est activé avec le mode sans échec. |
Chemin d‘accès | Indique le chemin d‘accès à l‘exécutable à partir duquel le processus a été exécuté. Il s‘agit généralement du chemin d‘accès au fichier svchost.exe. Le chemin est tronqué à 1 024 caractères. Le chemin est signalé par le terminal Windows ou macOS lorsqu‘il est activé avec le mode sans échec. |
Transféré(e)(s) | Cela indique le nombre d‘octets échangés entre la destination et l‘agent CylanceGATEWAY . Il s‘affiche sous la forme du nombre total d‘octets chargés et téléchargés sur le serveur et l‘agent CylanceGATEWAY . |
Flux de paquets | Il s‘agit du nombre de paquets envoyés entre la destination et l‘agent CylanceGATEWAY . |
Utilisateur | Il s‘agit du nom d‘utilisateur auquel l‘évènement réseau est associé. Vous pouvez filtrer les évènements réseau en fonction du nom d‘utilisateur et du nom d‘affichage d‘un utilisateur Active
Directory . Lorsque vous exportez la page Évènements, seul le nom d‘utilisateur est exporté. Vous pouvez cliquer sur le nom d‘utilisateur pour afficher les évènements associés à l‘utilisateur. |
OS | Il s‘agit du terminal utilisé pour lancer l‘activité réseau (par exemple, Android , iOS , macOS ou Windows ). |
Modèle | Il s‘agit du modèle du terminal (par exemple iPhone , Samsung Galaxy , Google Pixel ). |
Terminal | Il s‘agit du nom d‘hôte de l‘utilisateur macOS ou du terminal Windows (exemple.com). |
Action | Cela permet d‘identifier si l‘évènement réseau est autorisé ou bloqué en fonction de vos paramètres de protection réseau et des règles ACL que vous avez spécifiées pour l‘environnement. Des informations supplémentaires sur l‘action sont incluses dans la section Action. |
Action | |
Phase de connexion | Il s‘agit de la phase d‘évaluation au cours de laquelle les propriétés de tentative d‘accès ont été comparées aux destinations et conditions de chaque règle ACL. Une ou plusieurs des phases (par exemple, lors de la recherche DNS, de la tentative de connexion et de l‘établissement d‘une liaison TLS) qui ont été évaluées par rapport aux règles ACL s‘affichent. |
Heure (UTC) | Il s‘agit de l‘heure à laquelle l‘activité réseau a été évaluée à l‘aide d‘une règle ACL. L‘heure est affichée en UTC. |
Règle appliquée | Il s‘agit du nom de la règle ACL qui a été appliquée au moment de l‘évaluation au cours des différentes phases des règles ACL. |
Action | Indique si l‘action a été autorisée ou bloquée pour les phases évaluées. |
Alertes | |
Type | Permet d‘identifier l‘anomalie déclenchée par l‘activité réseau avec le niveau de protection réseau associé. Pour en savoir plus sur les anomalies prises en charge, consultez la section Affichage de l‘activité réseau. |
Heure (UTC) | Il s‘agit de l‘heure à laquelle l‘activité réseau a déclenché l‘alerte. L‘heure est affichée en UTC. |
Catégorie | C‘est l‘anomalie qui a déclenché l‘alerte. Pour en savoir plus les anomalies, consultez la section Affichage de l‘activité réseau. |
Signature | Il s‘agit de l‘anomalie de signature déclenchée par l‘évènement réseau. |
Transféré(e)(s) | |
Téléchargé | Il s‘agit du nombre total d‘octets de données envoyés de la destination à l‘agent CylanceGATEWAY . |
Chargé | Il s‘agit du nombre total d‘octets de données qui ont été envoyés de la destination du serveur à l‘agent CylanceGATEWAY . |
TLS | |
Version de TLS | Il s‘agit de la version du protocole TLS qui a été utilisée pour se connecter à la destination. |
ALPN client | Il s‘agit des informations d‘entête ALPN qui ont été envoyées à l‘agent CylanceGATEWAY depuis la destination. |
ALPN du serveur | Il s‘agit des informations d‘entête qui ont été envoyées de la destination à l‘agent CylanceGATEWAY . |
SNI | Il s‘agit du nom d‘hôte de la destination à laquelle l‘agent CylanceGATEWAY a tenté de se connecter. |
Émetteur | Il s‘agit du certificat présenté par la destination. |
Objet | Il s‘agit du nom de la règle qui a été appliquée au moment de l‘évaluation au cours des différentes phases (par exemple, recherche DNS, établissement de la connexion et liaison TLS) en relation avec les règles ACL. |
Non valide avant | Il s‘agit de la date avant laquelle le certificat n‘est pas valide. |
Non valide après | Il s‘agit de la date après laquelle le certificat n‘est pas valide. |
Évènements HTTP | Ce paramètre indique les flux HTTP d‘origine non chiffrés en texte brut à des fins d‘analyse et de recherche des menaces. Notez que les flux HTTP ne sont pas déchiffrés. Un résumé des détails de la demande et de la réponse comprend les détails de la demande et de la réponse suivants :
Les trois premiers évènements HTTP du nombre total d‘évènements s‘affichent. Un badge affiche le nombre total d‘évènements qui ont été consignés pour l‘évènement. Cliquez sur Tous les évènements HTTP pour afficher tous les évènements sur la page Aperçu des évènements. Cliquez sur chaque évènement pour afficher plus de détails, tels que des informations d‘entête. Vous ne pouvez pas effectuer de recherche ou de filtrage dans les évènements HTTP pour le moment. Les détails HTTP présentent les limites suivantes :
|
DNS | Indique la requête DNS et tous les détails de réponse associés à l‘évènement. Un résumé des détails de la demande et de la réponse comprend les détails de la demande et de la réponse suivants :
Un badge affiche le nombre total de réponses pour la requête DNS. |