La zone dynamique : les widgets

Cet espace vous permet de visualiser certaines mises à jour de votre firewall comme les dernières alarmes remontées ou les dates d’expiration de vos licences.

13 fenêtres sont accessibles, disposant chacune d’une barre d’outils en haut à droite, y compris le module tableau de bord complet.

Les actions possibles via ces outils sont les suivantes :

« Plus »

Représenté par l’icône , cet outil permet pour le module tableau de bord, d’ajouter une colonne, et pour les widgets, d’agrandir la fenêtre.

« Moins »

Représenté par l’icône , cet outil permet pour le module tableau de bord, de supprimer une colonne, et pour les widgets, de réduire la fenêtre.

« Fermer »

Représenté par l’icône , cet outil permet de fermer votre widget.

«  Rafraîchir »

Représenté par l’icône , cet outil permet le rafraîchissement des données du tableau de bord ou du widget concerné.

«  Ouvrir »

Représenté par l’icône , cet outil ouvre le module associé au widget sur lequel vous vous trouvez, et provoque de ce fait, la fermeture du tableau de bord.

« Configuration du tableau de bord »

Représenté par l’icône , cet outil vous permet de sélectionner les Composants que vous souhaitez voir apparaître sur le tableau de bord, via un système de coche.

 

Vous pouvez également paramétrer la Fréquence de mise à jour des widgets :

« Manuel uniquement » (vous devrez systématiquement cliquer sur l’icône « Rafraîchir » () ) , « Toutes les minutes » ou « Toutes les 5 minutes ».

« Ajouter aux favoris »

Représenté par l’icône , cet outil permet d’ajouter le module Tableau de bord à votre rubrique « Mes favoris » au sein de l’arborescence de gauche (voir partie Le menu de configuration des modules).

Réseau

Cette fenêtre affiche le modèle de votre firewall multifonction Stormshield Network ainsi que le nombre d’interfaces disponibles sur celui-ci (32 maximum).

La ou les interfaces utilisées apparaissent en vert. Lorsque le mécanisme de bypass a été activé (firewalls industriels uniquement) et est déclenché, les deux premières interfaces sont représentées comme suit :

Une info bulle contenant les informations de chacune des interfaces est disponible.

Ces informations sont les suivantes :

Nom

Nom de l’interface utilisée (de type « in », « out » ou « dmz »), accompagné de son adresse IP et de son masque de sous-réseau.

Paquets réseaux

Le nombre de paquets Accepté, Bloqué, Fragmenté, TCP, UDP et ICMP.

Bloqué Le nombre de paquets bloqués issus de cette interface.
Trafic reçu

La totalité et le détail des paquets TCP, UDP et ICMP reçus.

Trafic émis

La totalité et le détail des paquets TCP, UDP et ICMP émis.

Débit entrant actuel

Le débit entrant actuel.

Débit sortant actuel Le débit sortant actuel.
Mode xx activé Cette valeur n'est disponible que pour les firewalls industriels et n'est affichée que lorsque le bypass a été activé et que le mode de fonctionnement « Sûreté » a été choisi. Les valeurs possibles sont « Mode Sûreté activé » (bypass non déclenché) ou « Mode Bypass activé » (bypass déclenché).

Alarmes

Cette fenêtre contient la liste des 50 dernières alarmes levées par le firewall.

Date

La date et l’heure des dernières alarmes remontées, classée de la plus à la moins récente.

Action

Lorsqu’une alarme est remontée le paquet qui a provoqué cette alarme subit

l’action associée. Les actions sont « Bloquer » ou « Passer ».

Priorité

3 niveaux de priorités sont possibles et configurables au sein du module Protection Applicative/ Applications et Protections.

Source

Adresse IP à l’origine du déclenchement de l’alarme.

Par souci de conformité avec le règlement européen RGPD (Règlement Général sur la Protection des Données), les adresses IP sont remplacées par le terme "Anonymized". Pour les afficher, il est nécessaire d'obtenir le droit "Accès complet aux logs (données personnelles)" en cliquant sur le lien Accès restreint aux logs puis en rafraichissant les données du widget.

Destination

Adresse visée par la source avant de déclencher l’alarme.

Message

Commentaire associé à l’alarme sélectionnée.

Exemples de messages possibles

« Message ICMP invalide (no TCP/UDPlinked entry) » (priorité type mineur).

« Usurpation d’adresse IP (type=1) » (priorité type majeur).

Lorsque la ligne correspondant à une alarme est sélectionnée, les boutons suivants sont disponibles:

Configurer

Ce bouton affiche l’alarme dans le module Applications et Protections. La colonne Avancée de la ligne sélectionnée propose le bouton Modifier. Cette action permet d’envoyer un e-mail au déclenchement de l’alarme, de mettre la machine responsable de l’alarme en quarantaine ou de capturer le paquet bloqué.

Aide en ligne

Sélectionnez l’alarme voulue, et cliquez sur ce lien qui vous mènera à une page d’aide concernant le message (voir ci-dessus).


Cette partie du tableau de bord contient un bouton permettant de « Vider l’écran », c'est-à-dire d’effacer les journaux d’informations.

Ressources

Cette fenêtre donne une vue graphique des ressources matérielles relatives à votre firewall.

Espace utilisé

Espace utilisé pour les logs du firewall, en pourcentage.

CPU

Pourcentage d’utilisation de votre processeur.

Température

Température de votre équipement. Celle-ci n’est pas disponible sur machine virtuelle.

Mémoire

Mémoire utilisée par votre équipement :

Machine : pourcentage de la mémoire allouée par les machines (octets).

Fragmenté : pourcentage de la mémoire allouée par les fragments (ou dossiers trop lourds découpés en plusieurs morceaux- en octets).

Connexion : pourcentage de la mémoire allouée pour les connexions diverses (octets).

ICMP : pourcentage de la mémoire allouée pour le protocole ICMP (octets).

Traces : pourcentage de la mémoire utilisée pour le DataTracking (suivi des données).

Dynamique : mémoire informatique dans laquelle un ordinateur place les données lors de leur traitement.

NOTE

Le graphe qui affichait précédemment la mémoire dynamique consommée affiche désormais la valeur la plus élevée entre la mémoire dynamique et la mémoire dédiée aux processus. Ceci explique donc une valeur plus élevée que dans les versions précédentes.

Licence

Le widget propose l'affichage des licence de la garantie et des options par date d’expiration.

Ces options sont : Mise à jour, Signatures de protection contextuelle, Management de vulnérabilités, Antivirus ClamAV, Antivirus avancé, Bases d'URL Stormshield Network, Bases d'URL Extended Web Control, Antispam : listes noires DNS (RBL), Antispam : moteur heuristique, Fin de validité de la licence

Matériel

Cette fenêtre présente les différentes données matérielles de votre équipement.

Clé USB

Présence ou non d’une clef USB sur le système (configuration sécurisée pour le module Système\Maintenance).

Carte SD Présence ou non d’une carte SD pour le stockage des traces permettant la génération des rapports et des courbes de supervision.
Modem 3G/4G Présence ou non d’un modem 3G/4G.
Mode de fonctionnement

Sur les firewalls industriels, indique le mode sélectionné pour le bypass matériel (plus de plus amples informations sur le fonctionnement du bypass, reportez-vous à la section Onglet « Configuration générale » du module Configuration). Les valeurs possibles sont les suivantes : « Sécurité », « Sûreté», « Bypass » (le mécanisme de bypass est déclenché) ou « Non détecté » (valeur par défaut pour les firewalls non industriels).

 

En survolant cette ligne avec la souris, le détail de l'état du bypass est affiché(SytemOff, JustOn, RunTime, RunTimeWatchdogTimer).

Disque interne

État du disque interne. Une alarme d’avertissement apparaîtra si le disque est défectueux. En survolant cette ligne avec la souris, la liste des tests effectués et leurs résultats sont affichés.

Disque amovible État du disque amovible lorsque le firewall en est équipé. Une alarme d’avertissement apparaîtra si le disque est défectueux. En survolant cette ligne avec la souris, la liste des tests effectués et leurs résultats sont affichés.
RAID

État du RAID (ensemble redondant de disques durs indépendant ou peu onéreux) et de ses disques, si l'option est disponible sur le matériel.

 

Une alarme d’avertissement apparaîtra si un disque est défectueux ou manquant.

Alimentation

État des modules d’alimentation lorsque le firewall en est équipé. Les valeurs possibles sont les suivantes : « Alimenté », « Non alimenté » ou « Non détecté » (module absent ou défectueux).

Propriétés

Cette fenêtre affiche les données essentielles de la configuration de votre firewall.

Avertissements

Cet encadré affiche les mises à jour disponibles et les avertissements remontés par l’interface d’administration concernant la configuration du firewall.

Mise à jour disponible

Cette entrée vous indique si une nouvelle version du firmware est disponible. Si c’est le cas, un lien sur le numéro de la version disponible permet de la télécharger. Pour l’installer, rendez-vous dans le module Maintenance, onglet Mise à jour du système.

Release Notes Lorsqu'une nouvelle version de firmware est disponible, ce lien permet de télécharger les Notes de Version applicables à la version de firmware proposée au téléchargement.

EVA

Cet encadré n'est affiché que sur les firewalls virtuels modèle Elastic Virtual Appliance (EVA)

Modèle Cette entrée précise s'il s'agit d'un firewall EVA avec une licence standard ou d'un firewall basé sur le modèle de licence Pay As You Go.
Modèle en cours d'utilisation Cette entrée précise le modèle de machine virtuelle appliquée (EVA1, EVA2, EVA3, EVA4 ou EVAU).
Limites appliquées Cette entrée précise la quantité de mémoire et le nombre de processeurs virtuels (vCPU) actuellement alloués à la machine virtuelle EVA.
Limites maximales Cette entrée précise la quantité de mémoire et le nombre de processeurs virtuels (vCPU) maximum pouvant être alloués à ce modèle de machine virtuelle EVA.

Pay As You Go

Cet encadré n'est affiché que sur les firewalls virtuels Elastic Virtual Appliance (EVA) fonctionnant selon le modèle de licence Pay As You Go (facturation selon l'utilisation).

Ce modèle de licence peut être utilisé :

  • De manière autonome si vous gérez votre firewall virtuel au sein de votre espace privé Mystormshield,
  • Par intermédiaire d'un partenaire agréé qui gère alors votre firewall virtuel dans son propre espace Mystormshield.
Enrôlement de la machine virtuelle

Cette entrée précise si le firewall virtuel s'est correctement connecté au service Cloud Pay As You Go afin de récupérer son identité, son certificat et sa licence (.

Date d'expiration Date de fin de validité de la licence Pay As You Go.
Code Web

Lorsque la machine est gérée en mode autonome, ce code Web vous permet de l'enregistrer dans votre espace privé Mystormshield.

Identifiant client Cette entrée peut afficher un identifiant optionnel choisi lors de l'import de l'image d'installation ou lors de la création de cette image par le partenaire afin d'identifier le propriétaire de l'EVA.

Propriétés

Numéro de série

Référence de votre Firewall Stormshield Network.

Date

Date et heure en temps réel.

Partition de sauvegarde

Présence ou non d’une partition de sauvegarde sur votre système (cf Menu Système\module Maintenance\onglet Configuration).

Durée de fonctionnement (uptime)

Temps depuis lequel le firewall tourne sans interruption.

Stormshield Network Activity Reports

État de la génération de rapports

Politique

Filtrage

Profil appliqué pour la politique de filtrage et NAT. Un bouton « Tout réduire / tout ouvrir » est proposé.

VPN

État du VPN sur votre réseau.

DNS dynamique

État du client DNS dynamique

Nouvelles applications

Ce composant affiche les nouvelles signatures permettant de lever des alarmes de type Applications, installées sur le boîtier via Active Update.

Services

Services

Liste des différents services disponibles sur l’équipement.

Durée de fonctionnement (uptime)

Temps depuis lequel le service est actif sans interruption.

Charge

État du service.

Active Update

Nom de l’objet

Nom du module listé.

Etat

Module à jour ou non.

Dernière mise à jour

Date et heure de la dernière mise à jour.

Interfaces

Nom de l’objet

Nom de l’interface in, out ou dmz.

Type

Il peut s’agir d’une interface physique (ethernet), VLAN, ou modem (dialup)

Adresse

Adresse IP et masque de sous-réseau de l’interface.

Débit entrant

Trafic entrant en Ko.

Débit sortant

Trafic sortant en Ko.


Les interfaces désactivées seront affichées sur le Tableau de Bord.

Haute disponibilité

État Indique si la Haute Disponibilité a été activée ou au contraire si elle n'est pas initialisée.
Configuration Indique si les deux firewalls membres du cluster présentent une configuration synchronisée.
Dernière synchronisation Date à laquelle la dernière synchronisation de configuration a été réalisée.
Dernier basculement Date à laquelle les deux membres du cluster ont changé d'état (actif/passif)
Numéro de série Présente les numéros de série des deux membres du cluster
État Indique l'état de chacun des membres du cluster (Actif ou Passif)
Licence Précise le type de licence Haute Disponibilité de chacun des membres du cluster (exemple: Master).
Qualité Indique la qualité du lien entre les membres du cluster.
Version Version de firmware de chacun des membres du cluster.

Des informations complémentaires peuvent être affichées comme Certificat d'authentification non défini lorsque les deux firewalls membres du cluster ne présentent pas un certificat identique.

Stormshield Management Center

Si vous disposez du serveur d’administration centralisée Stormshield Management Center, ce panneau vous permet d'afficher les caractéristiques de la connexion du firewall au serveur SMC.

IMPORTANT

Lorsque vous êtes connecté via l'interface Web d'administration à un firewall rattaché à un serveur SMC, la mention "Managed by SMC - EMERGENCY MODE" est affichée dans le panneau supérieur. Le compte utilisé ne dispose par défaut que des droits d'accès en lecture.

Il est fortement déconseillé de modifier directement la configuration d'un firewall administré par un serveur SMC, sauf en cas d'urgence (serveur SMC non joignable par exemple).

En effet, toute modification de configuration réalisée directement via l'interface Web d'administration sur un firewall rattaché à un serveur SMC est susceptible d'être écrasée par l'envoi d'une nouvelle configuration depuis le serveur SMC.

 

Etat du service Indique l'état de la connexion entre le firewall et le serveur SMC.
Adresse IP Adresse IP du serveur SMC
Connecté / Déconnecté depuis Précise l'heure / la date depuis laquelle le firewall s'est connecté ou a été déconnecté du serveur SMC.
Numéro du dernier déploiement Indique le numéro du dernier déploiement de configuration effectué par le serveur SMC sur lefirewall.
Dernière mise à jour de configuration Indique la date du dernier envoi de configuration depuis le serveur SMC au firewall.

Sandboxing

Si votre firewall dispose de l'option d'analyse sandboxing des fichiers, ce panneau vous permet d'afficher l'état de la connexion au service ainsi que les dernières statistiques d'analyse.

État du service

Indique l'état de la connexion entre le firewall et les serveurs d'analyse sandboxing Stormshield.

Les différentes valeurs possibles sont le suivantes :

  • Connecté : le firewall possède une licence Sandboxing et l'infrastructure d'analyse dans le cloud est joignable.
  • Injoignable : le firewall possède une licence Sandboxing mais l'infrastructure d'analyse dans le cloud n'est pas joignable.
  • Accès limité : le firewall possède une licence Sandboxing, l'infrastructure d'analyse dans le cloud est joignable, le quota de fichiers pouvant être envoyés par le firewall n'est pas dépassé mais une quantité assez élevée de fichiers soumis a été analysée avec une priorité basse.
  • Connecté, quota de fichiers soumis dépassé : le firewall possède une licence Sandboxing, l'infrastructure d'analyse dans le cloud est joignable mais le quota de fichiers pouvant être soumis par le firewall est dépassé depuis peu. Les fichiers au delà de ce quota seront analysés avec une priorité basse.
  • Connecté, quota de fichiers soumis inconnu : le firewall possède une licence Sandboxing, l'infrastructure d'analyse dans le cloud est joignable mais le quota de fichiers pouvant être soumis ne peut pas être déterminé.
  • Accès limité, quota de fichiers soumis dépassé : le firewall possède une licence Sandboxing, l'infrastructure d'analyse dans le cloud est joignable, le quota de fichiers pouvant être envoyés par le firewall est dépassé depuis peu et une quantité assez élevée de fichiers soumis a été analysée avec une priorité basse.
  • Accès limité, quota de fichiers soumis inconnu : le firewall possède une licence Sandboxing, l'infrastructure d'analyse dans le cloud est joignable, le quota de fichiers pouvant être envoyés ne peut pas être déterminé et une quantité assez élevée de fichiers soumis a été analysée avec une priorité basse.
Niveau de criticité du dernier fichier malveillant détecté Cet indicateur n'est affiché que lorsqu'un fichier analysé par le sandboxing a été reconnu comme malveillant. Il se présente alors sous la forme d'un score compris entre le seuil de détection d'un fichier malicieux (fixé par défaut à 80) et 100.
Nature du dernier fichier malveillant détecté Cet indicateur n'est affiché que lorsqu'un fichier analysé par le sandboxing a été reconnu comme malveillant. Il précise dans ce cas la nature du malware (exemple: "variant of Win32/SNS.Test").
Date de détection du dernier fichier malveillant Cet indicateur n'est affiché que lorsqu'un fichier analysé par le sandboxing a été reconnu comme malveillant. Il précise dans ce cas la date et l'heure de détection du malware (format: AAAA-MM-JJ HH:MM:SS).