Supervision des utilisateurs

L'onglet "Temps réel"

L’écran se compose de 2 vues :

  • Une vue qui liste les utilisateurs authentifiés sur le firewall.
  • Une vue qui liste les Connexions, Vulnérabilités, Applications, Services et Informations en rapport avec l'utilisateur sélectionné.

Vue « Utilisateurs»

Cette vue permet de visualiser tous les utilisateurs authentifiés sur le firewall. Une ligne représente un utilisateur.

Les données de la vue « Utilisateurs » sont les suivantes :

Nom

Nom de l'utilisateur.

Adresse IP

Adresse IP de la machine sur laquelle est connecté l'utilisateur.

Annuaire

Nom de l'annuaire LDAP utilisé pour authentifier l'utilisateur.

Groupe

Liste des groupes auxquels appartient l'utilisateur.

Délai d'expiration

Durée d'authentification restante pour la session de l'utilisateur

Méthode d'auth. Méthode ayant servi à l'authentification de l'utilisateur (Exemple : SSL)
Multi-utilisateur Indique si la machine sur laquelle est connecté l'utilisateur est une machine de type multi-utilisateur (exemple : un serveur TSE).
Administrateur Précise si l'utilisateur a des droits d'administration sur le firewall.

Parrain

Lorsque l'utilisé s'est connecté par la méthode Parrainage, cette colonne indique le nom de la personne ayant validé la demande de connexion.

VPN SSL Portail Une coche verte dans cette case indique que l'utilisateur est autorisé à se connecter au portail VPN SSL pour accéder à des serveurs Web.
VPN SSL Portail - Applet Java Une coche verte dans cette case indique que l'utilisateur est autorisé à se connecter au portail VPN SSL pour accéder à des serveurs applicatifs via un applet Java.
VPN SSL Une coche verte dans cette case indique que l'utilisateur est autorisé à établir un tunnel VPN SSL à l'aide de SN SSL VPN Client.
VPN IPSec Une coche verte dans cette case indique que l'utilisateur est autorisé à établir un ou des tunnels VPN IPSec.

Menu contextuel

Un clic droit sur le nom d'utilisateur donne accès aux menus contextuels suivants :

  • Rechercher cette valeur dans les traces,
  • Déconnecter cet utilisateur,
  • Afficher les détails de la machine.

La barre d'actions

Vous pouvez combiner plusieurs critères de recherche. Ces critères doivent être remplis conjointement pour être affichés, car les critères de recherche se cumulent.

Cette combinaison de critères de recherche peut alors être enregistrée en tant que « filtre ». Ceux-ci sont gardés en mémoire et peuvent être réinitialisés via le module Préférences de l’interface d’administration.

(menu déroulant Filtres)

Sélectionnez un filtre pour lancer la recherche correspondante. La liste propose les filtres enregistrés au préalable et pour certaines Vues, des filtres prédéfinis. La sélection de l’entrée (Nouveau filtre) permet de réinitialiser le filtre en supprimant la sélection de critères.

Filtrer

Cliquez sur ce bouton pour :

  • Sélectionner des critères de filtrage (Critère de recherche). Pour la vue "utilisateurs", ces critères sont les suivants :
  • Par plage d'adresses ou par adresse IP (grisé si un utilisateur a été sélectionnée dans la vue "utilisateurs").
  • Par annuaire (permet d'affiner le filtrage lorsque plusieurs annuaires LDAP sont définis sur le firewall).
  • Par méthode d'authentification.
  • Enregistrer en tant que filtre personnalisé, les critères définis dans le panneau Filtrage décrit ci-après (Enregistrer le filtre courant). Vous pouvez enregistrer un nouveau filtre par le bouton "Enregistrer sous" sur la base d’un filtre existant ou d’un filtre prédéfini proposé dans certaines Vues. Une fois un filtre enregistré, il est automatiquement proposé dans la liste des filtres.
  • Supprimer le filtre courant.
Réinitialiser Ce bouton permet d'annuler l'action du filtre en cours d'utilisation. S'il s'agit d'un filtre personnalisé enregistré, cette action ne supprime pas le filtre .
Actualiser Ce bouton permet d'actualiser les données présentées à l'écran.
Exporter les résultats Ce bouton permet de télécharger un fichier au format CSV contenant les informations de la grille. Lorsqu'un filtreest appliqué, seuls les résultats correspondant à ce filtre sont exportés.
Réinit. colonnes Ce bouton permet de ne réafficher que les colonnes proposées par défaut à l'ouverture de la fenêtre de supervision des machines.

Panneau « FILTRES »

Vous pouvez ajouter un critère en glissant la valeur depuis un champ des résultats dans le panneau.

Vue « Connexions »

Cette vue permet de visualiser toutes les connexions détectées par le firewall pour un utilisateur sélectionné. Une ligne représente une connexion. Les données disponibles pour la vue « Connexions » sont les suivantes :

Date

Indication de la date et de l'heure de connexion de l'objet.

Connexion Identifiant de la connexion
Connexion parente Certains protocole peuvent générer des connexions "filles" (exemple : FTP) et, dans ce cas de figure, cette colonne référence l'identifiant de la connexion parente.

Protocole

Protocole de communication utilisé pour la connexion.

Utilisateur

Utilisateur connecté sur la machine (s’il existe).

Source

Adresse IP de la machine à l'origine de la connexion.

Nom de la source Nom de l'objet (s'il existe) correspondant à la machine source.

Adresse MAC source

Adresse MAC de l’objet à l’origine de la connexion.

Port source

Indication du n° de port source utilisé pour la connexion.

Nom du port source Nom de l'objet correspondant au port source.

Destination

Adresse IP de la machine vers laquelle la connexion a été établie.

Nom de destination Nom de l'objet (s'il existe) vers lequel une connexion a été établie.

Port de destination

Indication du n° de port de destination utilisé pour la connexion.

Nom du port dest. Nom de l'objet correspondant au port destination.

Interf. source

Nom de l'interface du firewall sur laquelle la connexion s'est établie.

Interf. dest.

Nom de l'interface de destination utilisée par la connexion sur le firewall.

Débit moyen Valeur moyenne de bande passante utilisée par la connexion sélectionnée.

Envoyé

Nombre d'octets envoyés au cours de la connexion.

Reçu

Nombre d'octets reçus au cours de la connexion.

Durée

Temps de la connexion.

Dernière utilisation Temps écoulé depuis le dernier échange de paquets pour cette connexion.

Routeur

Identifiant attribué par le firewall au routeur utilisé par la connexion

Nom du routeur

Nom du routeur enregistré dans la base objet utilisé par la connexion

Type de règle Indique s'il s'agit d'une règle locale, globale ou implicite.

Règle

Le nom de l’identifiant de la règle autorisant la connexion

État

Ce paramètre indique le statut de la connexion correspondant par exemple, à son initiation, son établissement ou sa fermeture.

Nom de file d'attente Nom de la file d'attente QoS utilisée par la connexion.
Nom de la règle Lorsqu'un nom a été donné à la règle de filtrage par laquelle transite la connexion, ce nom est affiché dans la colonne.
Profil IPS Affiche le n° du profil d'inspection appelé par la règle ayant filtré la connexion.
Géolocalisation Affiche le drapeau correspondant au pays de la destination.
Argument Information complémentaire pour certains protocoles exemple : HTTP).
Opération Information complémentaire pour certains protocoles exemple : HTTP).

Menu contextuel

Un clic droit sur le nom de la machine source ou de la destination donne accès aux menus contextuels suivants :

  • Accéder à la règle de sécurité correspondante.

La barre d'actions

Vous pouvez combiner plusieurs critères de recherche. Ces critères doivent être remplis conjointement pour être affichés, car les critères de recherche se cumulent.

Cette combinaison de critères de recherche peut alors être enregistrée en tant que « filtre ». Ceux-ci sont gardés en mémoire et peuvent être réinitialisés via le module Préférences de l’interface d’administration.

(menu déroulant Filtres)

Sélectionnez un filtre pour lancer la recherche correspondante. La liste propose les filtres enregistrés au préalable et pour certaines Vues, des filtres prédéfinis. La sélection de l’entrée (Nouveau filtre) permet de réinitialiser le filtre en supprimant la sélection de critères.

Filtrer

Cliquez sur ce bouton pour :

  • Sélectionner des critères de filtrage (Critère de recherche). Pour la vue "connexions", ces critères sont les suivants :
  • Par plage d'adresses ou par adresse IP.
  • Par interface.
  • Par interface source.
  • Par interface destination.
  • Par port destination.
  • Par protocole.
  • Par utilisateur (grisé si une machine a été sélectionnée dans la vue "machines").
  • Pour une valeur de données échangées supérieure à la valeur précisée à l'aide du curseur.
  • Selon la dernière utilisation de la connexion (seuls les enregistrement dont la dernière utilisation est inférieure à la valeur précisée sont affichés).
  • Par nom de règle.
  • Par profil IPS.
  • Par origine ou destination géographique.
  • Si la case Voir toutes les connexions (connexions closes, réinitialisées, ...) est cochée, l'ensemble des connexions sera affiché dans la grille, quel que soit leur état.
  • Enregistrer en tant que filtre personnalisé, les critères définis dans le panneau Filtrage décrit ci-après (Enregistrer le filtre courant). Vous pouvez enregistrer un nouveau filtre par le bouton "Enregistrer sous" sur la base d’un filtre existant ou d’un filtre prédéfini proposé dans certaines Vues. Une fois un filtre enregistré, il est automatiquement proposé dans la liste des filtres.
  • Supprimer le filtre courant.
Réinitialiser Ce bouton permet d'annuler l'action du filtre en cours d'utilisation. S'il s'agit d'un filtre personnalisé enregistré, cette action ne supprime pas le filtre .
Actualiser Ce bouton permet d'actualiser les données présentées à l'écran.
Exporter les résultats Ce bouton permet de télécharger un fichier au format CSV contenant les informations de la grille. Lorsqu'un filtreest appliqué, seuls les résultats correspondant à ce filtre sont exportés.
Réinit. colonnes Ce bouton permet de ne réafficher que les colonnes proposées par défaut à l'ouverture de la fenêtre de supervision des machines.

Panneau « FILTRAGE SUR »

Vous pouvez ajouter un critère en glissant la valeur depuis un champ des résultats dans le panneau.

Vue « Vulnérabilités »

Cet onglet décrit les vulnérabilités détectées sur la machine de connexion de l'utilisateur sélectionné.

Les données de la vue « Vulnérabilités » sont les suivantes :

Identifiant

Identifiant de la vulnérabilité.

Nom

Indication du nom de la vulnérabilité.

Famille

Nombre de machines affectées.

Sévérité

Indication du niveau de sévérité de la/les machine(s) concernée(s) par la vulnérabilité. Il existe 4 niveaux de sévérité : "Faible", "Modéré", "Elevé", "Critique".

Exploit

L’accès peut s’effectuer en local ou à distance (par le réseau). Il permet d'exploiter la vulnérabilité.

Solution

Indique si oui ou non il y a une solution proposée.

Niveau

Indique le niveau de l'alarme associée à la découverte de cette vulnérabilité.

Port

Indique le port réseau sur lequel la machine est vulnérable (exemple : 80 pour un serveur Web vulnérable).

Service

Indique le nom du programme vulnérable (exemple : lighthttpd_1.4.28)

Détecté

Indique la date à laquelle la vulnérabilité a été détectée sur la machine

Détails

Donne un complément d'information sur la vulnérabilité.

Menu contextuel

Un clic droit sur le nom de la vulnérabilité donne accès aux menus contextuels suivants :

  • Rechercher cette valeur dans les traces,
  • Ajouter la machine à la base Objet et/ou l'ajouter dans un groupe.

Vue « Applications»

Cet onglet décrit les applications détectées sur la machine de connexion de l'utilisateur sélectionné.

Les données de la vue « Applications » sont les suivantes :

Nom du produit

Nom de l’application.

Famille

Famille de l’application (exemple : Web client).

Détails

Nom complet de l'application incluant son numéro de version.

Menu contextuel

Un clic droit sur le nom du produit donne accès aux menus contextuels suivants :

  • Rechercher cette valeur dans les traces,
  • Ajouter la machine à la base Objet et/ou l'ajouter dans un groupe.

Vue « Services»

Cet onglet décrit les services détectés sur la machine de connexion de l'utilisateur sélectionné.

Les données de la vue « Services » sont les suivantes :

Port

Indique le port et le protocole utilisés par le service (exemple : 80/tcp).

Nom du service

Indique le nom du service (exemple : lighthhtpd).

Service Indique le nom du service en incluant son numéro de version (exemple : lighthhtpd_1.4.28).

Détails

Donne un complément d'information sur le service détecté.

Famille Famille du service (exemple : Web server).

Vue « Informations»

Cet onglet décrit les informations liées à la machine sur laquelle l'utilisateur sélectionné est connecté.

Les données de la vue « Informations » sont les suivantes :

Id

Identifiant unique du logiciel ou du système d'exploitation détecté.

Nom

Nom du logiciel ou du système d'exploitation détecté.

Famille

Famille à laquelle est attaché le logiciel détetcé (Exemple : Operating System).

Niveau

Indique le niveau de l'alarme associée à la découverte de ce logiciel.

Détecté

Date et heure de détection du logiciel ou du système d'exploitation.

Détails

Nom et version du logiciel ou du système d'exploitation détecté (exemple : Microsoft_Windows_Seven_SP1).

Menu contextuel

Un clic droit sur le nom du produit donne accès aux menus contextuels suivants :

  • Rechercher cette valeur dans les traces,
  • Ajouter la machine à la base Objet et/ou l'ajouter dans un groupe.