Rapports d’activités

Les rapports sont présentés sous forme d’Histogrammes ou de Camembert et proposent quatre échelles de temps: dernière heure, jour, semaine ou mois. Ces plages sont calculées par rapport aux paramètres de date et d'heure du Firewall.

Les actions

Echelle de temps

Ce champ permet le choix de l’échelle de temps : dernière heure, vue par jour,
7 derniers jours et les 30 derniers jours.

  • La dernière heure est calculée depuis la minute précédant celle en cours.
  • La vue par jour couvre la journée entière, sauf pour le jour en cours où les données courent jusqu’à la minute précédente.
  • Les 7 et les 30 derniers jours concernent la période achevée la veille à minuit.

Le bouton permet de rafraîchir les données affichées.

Afficher le

Dans le cas d’une vue par jour, ce champ propose un calendrier permettant de choisir la date.

Le bouton permet d’accéder à la fenêtre d’aperçu pour l’impression du rapport. Un champ commentaire peut être ajouté au rapport mis en page pour l’impression. Le bouton Imprimer envoie le fichier au module d’impression du navigateur qui permet de choisir entre l’impression ou la génération d’un fichier PDF.


Le bouton permet de télécharger les données au format CSV. Les valeurs sont séparées par des virgules et enregistrées dans un fichier texte. Cela permet la réouverture du fichier dans un logiciel tableur comme Microsoft Excel.

Affichage des données sous forme d’histogramme horizontal

Affichage des données sous forme d’histogramme vertical

Affichage des données sous forme de diagramme circulaire

La période analysée est ensuite affichée.

La légende

Un tableau composé de 6 colonnes reprend la description des données affichées. Les informations sont les suivantes :

  • Une numérotation précise le classement selon la valeur,
  • Une lettre et une couleur permettent de référencer la valeur lorsque les textes sont trop longs pour être affichés (graphique en barres verticales et en camembert),
  • Le nom complet de la donnée est affiché,
  • La colonne affiche le pourcentage que la donnée représente pour ce top,
  • La colonne affiche la valeur de quantité,
  • Cette colonne permet un bouton d’état qui affiche ou masque les données. La catégorie « Autres » - représentant les données autres que celles du Top10 - est masquée par défaut. L’état Masqué/Affiché est conservé dans les préférences de l'application.

Selon les rapports, des colonnes supplémentaires peuvent être ajoutées au tableau de légende proposant certaines informations ou interactions en rapport avec les valeurs affichées (exemple : action d’une alarme).

Interactions

Un clic gauche sur une valeur présentée dans un rapport affiche un menu déroulant proposant  certaines interactions. Celles-ci peuvent par exemple, donner des informations supplémentaires sur la valeur, modifier un paramètre du profil de configuration ou encore, lancer une recherche dans la partie des Traces.

Tous les éléments d’un diagramme propose l’actions de Rechercher cette valeur dans les traces : cette recherche est effectuée dans la partie Traces, sur la totalité des traces, en conservant la période consultée et avec comme critère de recherche la valeur de l’élément sélectionné dans le rapport. Cette action est proposée pour l’ensemble des valeurs à l’exception de certaines recherches spécifiques, citées ci-après.

S’il s'agit d'une adresse IP, les actions possibles seront :

  • Ajouter la machine à la base objet: via une fenêtre de dialogue, la machine peut être ajoutée à la base Objet et ajoutée à un groupe préalablement établi. Cela dans le but d’appliquer à l’objet, une politique de filtrage particulière (zone de mise en quarantaine*)

* Consultez la Technical Note « Sécurité collaborative » pour construire une politique avec zone de remédiation.

Un nom de domaine propose les actions supplémentaires suivantes :

  • Accéder à l'URL : cette action affiche l’URL dans un nouvel onglet.
  • Afficher la Catégorie d'URLs : cette action affiche dans une fenêtre, la catégorie à laquelle  le domaine appartient.
  • Ajouter l'URL à un groupe : cette action affiche une fenêtre permettant d’ajouter directement l’URL à un groupe d’URL existant.

 

Voici ci-dessous les interactions particulières selon les rapports :

WEB : Rapport Top des Recherches Web

Effectuer cette recherche via Google : cette action lance dans un nouvel onglet, la recherche des mots-clé dans le moteur de recherche Google.

SECURITE : Rapport Top des alarmes les plus fréquentes

  • Définir l’action de (Autoriser/ Interdire) : cette modification est effectuée sur le profil concerné par le flux ayant généré l’alarme.
  • Définir le niveau à (Majeur/ Mineur / Autoriser) : cette modification est effectuée sur le profil concerné par le flu x ayant généré l’alarme.
  • Afficher l’aide : ce lien renvoie vers la page d’aide de l’alarme levée ou de la vulnérabilité détectée.
  • Rechercher cette valeur dans les traces : cette recherche est effectuée dans la partie Traces, sur la totalité des traces et en conservant la période consultée.

VULNÉRABILITÉS

Rapport Top des machines les plus vulnérables

  • Cliquez pour afficher les vulnérabilités subsistantes pour cette machine : les vulnérabilités subsistantes pour cette machine à cet instant précis sont affichées. En effet, une vulnérabilité remontée à un instant donné peut avoir été résolue au moment de la consultation des rapports. Vous pouvez également vérifier l’état actuel des vulnérabilités via Realtime Monitor.
  • Rechercher cette machine dans le journal des Vulnérabilités : cette recherche est effectuée dans la partie Traces, dans la vue Vulnérabilités et en conservant la période consultée.

Rapport Top des vulnérabilités Client et Top des vulnérabilités Serveur

  • Afficher les machines présentant cette vulnérabilité : les machines concernées à cet instant précis et leur version de l’application ou du service vulnérable sont affichées. En effet, une vulnérabilité remontée à un instant donné peut avoir été résolue au moment de la consultation des rapports. Vous pouvez également vérifier l’état actuel des vulnérabilités via Realtime Monitor.
  • Afficher l’aide : ce lien renvoie vers la page d’aide de l’alarme levée ou de la vulnérabilité détectée.
  • Rechercher cette valeur dans les traces : cette recherche est effectuée dans la partie Traces, dans la vue Vulnérabilités et en conservant la période consultée.

Les rapports

WEB

L’activité analysée dans la catégorie WEB concerne la totalité des sites interrogés, soit ceux appartenant aux réseaux internes de l’entreprise ou ceux hébergés sur internet. Ces rapports concernent les trafics effectués avec les protocoles HTTP et HTTPS.

Pour les rapports relatifs aux Sites, les interactions avec les éléments et la légende sont l’interrogation de la catégorie d’une URL ainsi que l’accès direct à l’URL. Le Top des recherches Web permet quant à lui, de relancer la recherche via le moteur Google.

Top des sites Web les plus visités

Ces valeurs sont évaluées par le nombre de requêtes (hits) effectués au serveur HTTP, pour le téléchargement des fichiers nécessaires à l’affichage des pages web.

Top des domaines Web les plus visités

Par un mécanisme d’agrégation du nombre de Sites Web interrogés, le rapport précédent est établi en fonction des Domaines Web, ce qui permet d’éviter leur fractionnement.

Top des catégories Web les plus consultées

Pour ce rapport, l’activation du module Filtrage URL est requise. Pour rappel, les sites interrogés comprennent ceux appartenant au réseau interne (catégorie Private IP Addresses).

Top des sites Web par volume échangé

Ce rapport se base sur les volumes de données échangées, en émission comme en réception.

Top des domaines Web par volume échangé

Par un mécanisme d’agrégation du nombre de Sites Web interrogés, le rapport précédent est établi en fonction des Domaines Web, ce qui permet d’éviter leur fractionnement.

Top des catégories Web par volume échangé

Le trafic est analysé sur les règles avec un Filtrage URL appliqué (Inspection de sécurité). Il concerne les volumes de données échangées, en émission comme en réception.

Top des utilisateurs par volume échangé

L’Authentification doit être configurée (voir la section Authentification de ce Guide). Il concerne les volumes de données échangées, en émission comme en réception.

Ce rapport contient des données personnelles et nécessite donc l'obtention du droit Accès complet aux logs (données personnelles) pour être visualisé.

Top des sites Web les plus bloqués

Ce rapport est relatif aux sites bloqués par le moteur ASQ ou par le Filtrage URL s’il est activé (Inspection de sécurité).

Top des domaines Web les plus bloqués

Par un mécanisme d’agrégation du nombre de Sites Web interrogés, le rapport précédent est établi en fonction des Domaines Web, ce qui permet d’éviter leur fractionnement.

Top des catégories Web les plus bloquées

L’inspection Filtrage URL est requise pour obtenir les catégories. Ce rapport est relatif aux sites bloqués par le moteur ASQ ou par le Filtrage URL s’il est activé (Inspection de sécurité).

Top des recherches Web

Les valeurs concernent les requêtes effectuées sur les moteurs de recherche sur Google, Bing et Yahoo.

Ce rapport contient des données personnelles et nécessite donc l'obtention du droit Accès complet aux logs (données personnelles) pour être visualisé.

SECURITE

Les rapports Alarmes se basent sur les alarmes Applications et protections (menu Protection applicative) et les Evénements système (menu Notifications).

Pour les rapports relatifs aux alarmes, vous pouvez modifier l’action, changer le niveau d’alerte et accéder à l’aide de l’alarme sélectionnée. Ces modifications sont effectuées sur le profil concerné par le flux ayant généré l’alarme.

Top des alarmes les plus fréquentes

Ce rapport affiche les alarmes les plus fréquentes levées lors de l’analyse du trafic par le Firewall. 

Top des machines à l'origine des alarmes

Les machines générant le plus d’alarmes sont identifiées par le nom DNS (fqdn) ou à défaut l’adresse IP.

Ce rapport contient des données personnelles et nécessite donc l'obtention du droit Accès complet aux logs (données personnelles) pour être visualisé.

Top des sessions Administrateurs

Ce rapport recense les plus grands nombres de sessions à l’interface d’administration du Firewall - quel que soit les droits. Ce nombre de sessions est comptabilisé par rapport à l’identifiant du compte Administrateur et par rapport à l’adresse IP de la machine s’étant connectée. Ainsi une même adresse IP pourrait être citée plusieurs fois si différents comptes ont été utilisés pour se connecter au firewall depuis une même machine.

Top des pays générant des alarmes

Ce rapport présente les pays générant le plus d’alarmes, qu'ils soient en source ou en destination du trafic réseau.

Top des machines présentant les scores de réputation les plus élevés

Ce rapport présente les machines du réseau interne présentant les scores de réputation les plus élevés, qu'elles soient en source ou en destination du trafic réseau. Ce rapport nécessite que la gestion de réputation des machines soit activée.

Il contient des données personnelles et nécessite donc l'obtention du droit Accès complet aux logs (données personnelles) pour être visualisé.

Taux de détection par moteur d'analyse (Sandboxing, Antivirus, AntiSpam)

Ce rapport présente la répartition des analyses réalisées sur les fichiers entre l'analyse sandboxing, l'antivirus et l'antispam.

VIRUS

L’inspection Antivirus est requise pour ces analyses.

Top des virus Web

Ce rapport liste les virus détectés sur le trafic web (protocoles HTTP et  HTTPS si l'inspection SSL est activée). Une interaction sur le graphique permet de pointer sur une description du virus en ligne (http://www.securelist.com).

Top des virus par e-mails

Ce rapport liste les virus détectés sur le trafic mail (protocoles POP3, SMTP et POP3S, SMTPS si l'inspection SSL est activée). Une interaction sur le graphique permet de pointer sur une description technique du virus en ligne (http://www.securelist.com).

Top des émetteurs de virus par e-mail

Les virus par e-mail détectés sur le trafic mail des réseaux internes (protocoles SMTP et  SMTPS si l'inspection SSL est activée) sont listés par émetteurs. Les expéditeurs sont identifiés selon leur identifiant d’utilisateur authentifiés. L’Authentification doit donc être configurée (voir la section Authentification de ce Guide).

Ce rapport contient des données personnelles et nécessite donc l'obtention du droit Accès complet aux logs (données personnelles) pour être visualisé.

VULNÉRABILITÉ

Vous pouvez lister des vulnérabilités par machine. Le module Management des vulnérabilités doit être activé.

Par défaut, ces rapports concernent les vulnérabilités détectées sur les réseaux internes, car par défaut, l’objet network_internals est défini dans la liste des éléments réseaux sous surveillance (voir le Module Management des vulnérabilités de l’interface d’administration). L’analyse porte donc sur les machines appartenant aux réseaux internes, identifiées par le nom DNS (fqdn) ou à défaut l’adresse IP.

Pour plus de détails sur les profils et les familles de vulnérabilités, consultez la section Management des vulnérabilités de ce guide.

Top des machines les plus vulnérables

Ce rapport remonte la liste des machines les plus vulnérables du réseau par rapport au nombre de vulnérabilités détectées sans tenir compte de leur gravité.

Il contient des données personnelles et nécessite donc l'obtention du droit Accès complet aux logs (données personnelles) pour être visualisé.

Top des vulnérabilités Client

Ce rapport remonte toutes les vulnérabilités détectées avec une cible Client, qui ont un degré de sévérité  « 3 » (Elevé) ou « 4 » (Critique). Celles-ci incluent les vulnérabilités qui ont à la fois des cibles Client et Serveur.

Top des vulnérabilités Serveur

Ce rapport remonte toutes les vulnérabilités détectées avec une cible Serveur, qui ont un degré de sévérité « 2 » (Moyen), « 3 » (Elevé) ou « 4 » (Critique). Celles-ci incluent les vulnérabilités qui qui ont à la fois des cibles Client et Serveur.

Top des applications les plus vulnérables

Ce rapport affiche le top de 10 des vulnérabilités les plus détectées sur le réseau, par produit quelle que soit la gravité.

RESEAU

L’activité analysée dans la catégorie RESEAU concerne la totalité des flux transitant par le Firewall, soit la totalité des protocoles. Les volumes sont calculés sur les données échangées en émission et en réception.

Top des machines par volume échangé

Ce volume de données concerne toutes les machines, qu’elles appartiennent aux réseaux internes ou externes.

Ce rapport contient des données personnelles et nécessite donc l'obtention du droit Accès complet aux logs (données personnelles) pour être visualisé.

Top des protocoles par volume échangé

Ce rapport présente les protocoles les plus utilisés sur la totalité des volumes échangés par toutes les machines, qu’elles appartiennent aux réseaux internes ou externes.

Top des utilisateurs par volume échangé

Le volume de données concerne les utilisateurs authentifiés. L’Authentification doit être configurée (voir la section Authentification de ce Guide).

Ce rapport contient des données personnelles et nécessite donc l'obtention du droit Accès complet aux logs (données personnelles) pour être visualisé.

Top des applications clientes par volume échangé

Ce rapport présente les applications clientes les plus utilisés sur la totalité des volumes échangés par toutes les machines pendant la période donnée.

Top des applications serveur par volume échangé

Ce rapport présente les applications serveur les plus utilisés sur la totalité des volumes échangés par toutes les machines pendant la période donnée.

Top des protocoles les plus utilisés par connexion

Les protocoles concernent uniquement les protocoles de la couche Application du modèle OSI. Ce rapport présente les protocoles les plus utilisés sur la totalité des connexions pendant la période donnée.

Top des applications clientes détectées

Ce rapport présente les applications les plus détectées côté client par le moteur de prévention d'intrusion pendant la période donnée.

Top des applications serveur détectées

Ce rapport présente les applications les plus détectées côté serveur par le moteur de prévention d'intrusion pendant la période donnée.

Top des pays identifiés comme source du trafic réseau

Ce rapport présente les pays les plus fréquemment identifiés comme étant à la source du trafic réseau traversant le firewall.

Top des pays identifiés comme destination du trafic réseau

Ce rapport présente les pays les plus fréquemment identifiés comme étant destinataires du trafic réseau traversant le firewall.

SPAM

Le module Antispam doit être activé. Ces données sont comptabilisées par destinataire de spam reçus, en analysant le trafic SMTP, POP3 et SMTPS, POP3S si l’analyse SSL est activée.

Top des utilisateurs les plus spammés 

Ce rapport comptabilise les spams quel que soit le seuil de confiance (niveau 1-Bas, 2-Moyen et 3-Haut) L’utilisateur est identifié par l’identifiant de son adresse électronique (sans le caractère @ et le nom du domaine).

Il contient des données personnelles et nécessite donc l'obtention du droit Accès complet aux logs (données personnelles) pour être visualisé.

Taux de spam dans les e-mails reçus

Ce rapport est un ratio. Sur la totalité d’e-mails reçus et analysés par le module Antispam, trois pourcentages sont remontés. La proportion de spams quel que soit le seuil de confiance (niveau 1-Bas, 2-Moyen et 3-Haut), celle des e-mails scannés mais avec échec de l’analyse et enfin, la part des mails n’étant pas considérés comme spams.

Réseau industriel

L’activité analysée dans la catégorie RESEAU INDUSTRIEL concerne la totalité des flux de type protocoles industriels transitant par le Firewall. Les volumes sont calculés sur les données échangées en émission et en réception.

Top des serveurs Modbus par volume échangé

Ce rapport présente les serveurs les plus utilisés sur la totalité des volumes échangés pour le protocole industriel MODBUS.

Top des serveurs UMAS par volume échangé

Ce rapport présente les serveurs les plus utilisés sur la totalité des volumes échangés pour le protocole industriel UMAS.

Top des serveurs S7 par volume échangé

Ce rapport présente les serveurs les plus utilisés sur la totalité des volumes échangés pour le protocole industriel S7.

Top des serveurs OPC UA par volume échangé

Ce rapport présente les serveurs les plus utilisés sur la totalité des volumes échangés pour le protocole industriel OPC UA.

Top des serveurs Ethernet/IP par volume échangé

Ce rapport présente les serveurs les plus utilisés sur la totalité des volumes échangés pour le protocole industriel Ethernet/IP.

Analyse sandboxing

L'option Sandboxing doit être activée. Les données sont comptabilisées en analysant le trafic HTTP, SMTP, POP3, FTP et HTTPS, SMTPS, POP3S si l’analyse SSL est activée.

Top des fichiers malveillants détectés suite à l'analyse sandboxing

Ce rapport présente les fichiers malveillants les plus souvent détectés par l'analyse sandboxing.

Top des fichiers malveillants détectés et bloqués par une requête sandboxing

Ce rapport présente les fichiers malveillants les plus souvent bloqués par l'analyse sandboxing.

Top des types de fichiers les plus fréquemment analysés

Ce rapport présente les types de fichiers les plus souvent envoyés pour une analyse sandboxing.

Top des machines ayant soumis des fichiers à l'analyse Sandboxing

Ce rapport présente les machines du réseau ayant provoqué le plus d'analyses sandboxing. Il contient des données personnelles et nécessite donc l'obtention du droit Accès complet aux logs (données personnelles) pour être visualisé.

Top des protocoles ayant recours à l'analyse Sandboxing

Ce rapport présente les protocoles réseau (HTTP, SSL, SMTP, FTP) ayant provoqué le plus d'analyses sandboxing.

Top des utilisateurs ayant soumis des fichiers à l'analyse Sandboxing.

Ce rapport présente les utilisateurs ayant provoqué le plus d'analyses sandboxing. Il contient des données personnelles et nécessite donc l'obtention du droit Accès complet aux logs (données personnelles) pour être visualisé.