RAPPORTS
Le module Rapports propose des rapports statiques qui se basent sur les traces enregistrées sur le firewall. Ils sont répartis en plusieurs catégories : Web, Sécurité, Virus, Spam, Vulnérabilité, Réseau, Réseau industriel, Sandboxing et SD-WAN.
La plupart des rapports présentent des "Top 10" des valeurs les plus récurrentes (Top des sites Web les plus bloqués par exemple), le reste des valeurs étant regroupé dans une valeur "Autres". Les rapports SD-WAN se basent sur les métriques et les états opérationnels obtenus lors de la supervision des routeurs et de leurs passerelles.
NOTE
Les rapports de chaque catégorie s'affichent uniquement s'ils sont activés dans le module Configuration > Traces - Syslog - IPFIX > Configuration des rapports). Si aucun rapport n'est activé dans la configuration, le module Rapports est alors non visible.
Données personnelles
Par souci de conformité avec le règlement européen RGPD (Règlement Général sur la Protection des Données), les données sensibles (nom d'utilisateur, adresse IP source, nom de la source, adresse MAC source) ne sont pas affichées dans les logs et rapports et sont remplacées par la mention "Anonymized".
Pour visualiser ces données sensibles, l'administrateur doit alors activer le droit "Logs : accès complet (données personnelles)" en cliquant sur Logs : accès restreint dans le bandeau supérieur de l'interface Web d'administration, puis en saisissant un code d'autorisation obtenu auprès de son superviseur (voir la section Administrateurs > Gestion des tickets). Ce code possède une durée de validité limitée définie lors de sa création.
Pour relâcher ce droit, l'administrateur doit ensuite cliquer sur la mention Logs : accès complet (données personnelles) présente dans le bandeau supérieur de l'interface Web d'administration puis cliquer sur le bouton Libérer de la boite de dialogue affichée.
Après avoir obtenu ou relâché ce droit, il est nécessaire de rafraîchir les données affichées.
Notez que chaque action d'obtention ou de libération du droit "Logs : accès complet (données personnelles)" génère une entrée dans les logs.
Pour les modèles SN160(W), SN-XS-Series-170, SN210(W), SN-S-Series-220, SN310, SN-S-Series-320, SNi10 et SNi20, vous pouvez bénéficier de l’ensemble de la fonctionnalité en utilisant un support de stockage externe de type :
- Carte SD pour les modèles SN160(W), SN210(W), SN310 et SNi20,
- Carte microSD pour les modèles SN-XS-Series-170, SN-S-Series-220, SN-S-Series-320 et SNi10.
Les caractéristiques que doivent respecter ces supports sont précisées dans la partie LOGS - JOURNAUX D'AUDIT de ce guide.
Sécurité collaborative
Pour une sécurité plus collaborative, à partir des rapports de vulnérabilités remontés par Vulnerability Manager, il est maintenant possible d’augmenter le niveau de protection d’une machine identifiée comme vulnérable en un clic. Ainsi, en cas de détection de vulnérabilités critiques, une nouvelle interaction vous permet d’ajouter les machines concernées à un groupe préalablement établi et se voir attribuer un profil de protection renforcée ou des règles de filtrage spécifiques (zones de mise en quarantaine, accès limité, etc.).
Pour plus d’informations, reportez-vous à la Note Technique Sécurité collaborative.
Les actions possibles sur les rapports
Échelle de temps |
Modifie l’échelle de temps du rapport. Plusieurs choix sont possibles : dernière heure, vue par jour, 7 derniers jours et les 30 derniers jours. À noter que :
|
Rafraîchir les données | Actualise les données affichées. |
Afficher le |
Ce champ est accessible seulement si l'échelle de temps sélectionnée est Vue par jour. Choisissez alors dans le calendrier la date souhaitée. |
Imprimer le rapport | Ouvre la fenêtre d’aperçu pour l’impression du rapport. Un champ commentaire peut être ajouté au rapport mis en page pour l’impression. Le bouton Imprimer envoie le fichier au module d’impression du navigateur qui permet de choisir entre l’impression ou la génération d’un fichier PDF. |
Télécharger les données au format CSV | Permet de télécharger les données au format CSV. |
Vue par histogramme horizontal | Affiche les données sous forme d’histogramme horizontal. |
Vue par histogramme vertical | Affiche les données sous forme d’histogramme vertical. |
Vue par diagramme circulaire | Affiche les données sous forme de diagramme circulaire. |
Afficher / Masquer la légende | Affiche ou masque la légende du rapport. La légende se compose :
Selon les rapports, des informations ou des interactions supplémentaires peuvent être ajoutées à la légende (exemple : action d’une alarme). |
Un clic gauche sur une valeur présentée dans un rapport affiche un menu proposant plusieurs interactions. Celles-ci peuvent par exemple donner des informations supplémentaires sur la valeur, modifier un paramètre du profil de configuration ou encore lancer une recherche dans les traces du firewall. Certaines interactions sont accessibles seulement sur certaines valeurs de certains rapports.
Les rapports disponibles
L’activité analysée dans la catégorie Web concerne la totalité des sites interrogés, soit ceux appartenant aux réseaux internes de l’entreprise ou ceux hébergés sur internet. Ces rapports concernent les trafics effectués avec les protocoles HTTP et HTTPS.
Pour les rapports relatifs aux Sites, les interactions avec les éléments et la légende sont l’interrogation de la catégorie d’une URL ainsi que l’accès direct à l’URL. Le Top des recherches Web permet quant à lui, de relancer la recherche via le moteur Google.
Sites Web visités |
Top des sites Web les plus visités. Ces valeurs sont évaluées par le nombre de requêtes (hits) effectués au serveur HTTP, pour le téléchargement des fichiers nécessaires à l’affichage des pages web. |
Domaines Web visités |
Top des domaines Web les plus visités. Par un mécanisme d’agrégation du nombre de Sites Web interrogés, le rapport précédent est établi en fonction des Domaines Web, ce qui permet d’éviter leur fractionnement. |
Catégories Web consultées |
Top des catégories Web les plus consultées. Pour ce rapport, l’activation du module Filtrage URL est requise. Pour rappel, les sites interrogés comprennent ceux appartenant au réseau interne (catégorie Private IP Addresses). |
Sites Web par volume |
Top des sites Web par volume échangé. Ce rapport se base sur les volumes de données échangées, en émission comme en réception. |
Domaines Web par volume |
Top des domaines Web par volume échangé. Par un mécanisme d’agrégation du nombre de Sites Web interrogés, le rapport précédent est établi en fonction des Domaines Web, ce qui permet d’éviter leur fractionnement. |
Catégories Web par volume |
Top des catégories Web par volume échangé. Le trafic est analysé sur les règles avec un Filtrage URL appliqué (Inspection de sécurité). Il concerne les volumes de données échangées, en émission comme en réception. |
Utilisateurs par volume |
Top des utilisateurs par volume échangé. L’Authentification doit être configurée (voir la section Authentification de ce Guide). Il concerne les volumes de données échangées, en émission comme en réception. Ce rapport contient des données personnelles et nécessite donc l'obtention du droit Logs : accès complet (données personnelles) pour être visualisé. |
Sites Web bloqués |
Top des sites Web les plus bloqués. Ce rapport est relatif aux sites bloqués par le moteur ASQ ou par le Filtrage URL s’il est activé (Inspection de sécurité). |
Domaines Web bloqués |
Top des domaines Web les plus bloqués. Par un mécanisme d’agrégation du nombre de Sites Web interrogés, le rapport précédent est établi en fonction des Domaines Web, ce qui permet d’éviter leur fractionnement. |
Catégories Web bloquées |
Top des catégories Web les plus bloquées. L’inspection Filtrage URL est requise pour obtenir les catégories. Ce rapport est relatif aux sites bloqués par le moteur ASQ ou par le Filtrage URL s’il est activé (Inspection de sécurité). |
Recherches Web |
Top des recherches Web. Les valeurs concernent les requêtes effectuées sur les moteurs de recherche sur Google, Bing et Yahoo. Ce rapport contient des données personnelles et nécessite donc l'obtention du droit Logs : accès complet (données personnelles) pour être visualisé. |
Les rapports Alarmes se basent sur les alarmes du module Configuration > Protection applicative > Applications et protections et les événements système du module Configuration > Notifications > Evénements système).
Pour les rapports relatifs aux alarmes, vous pouvez modifier l’action, changer le niveau d’alerte et accéder à l’aide de l’alarme sélectionnée. Ces modifications sont effectuées sur le profil concerné par le flux ayant généré l’alarme.
Alarmes |
Top des alarmes les plus fréquentes. Ce rapport affiche les alarmes les plus fréquentes levées lors de l’analyse du trafic par le firewall. |
Alarmes par machine |
Top des machines à l'origine des alarmes. Les machines générant le plus d’alarmes sont identifiées par le nom DNS (fqdn) ou à défaut l’adresse IP. Ce rapport contient des données personnelles et nécessite donc l'obtention du droit Logs : accès complet (données personnelles) pour être visualisé. |
Sessions Administrateur |
Ce rapport recense les plus grands nombres de sessions à l’interface d’administration du Firewall - quel que soit les droits. Ce nombre de sessions est comptabilisé par rapport à l’identifiant du compte Administrateur et par rapport à l’adresse IP de la machine s’étant connectée. Ainsi une même adresse IP pourrait être citée plusieurs fois si différents comptes ont été utilisés pour se connecter au firewall depuis une même machine. |
Alarmes par pays |
Top des pays générant des alarmes. Ce rapport présente les pays générant le plus d’alarmes, qu'ils soient en source ou en destination du trafic réseau. |
Réputation des machines |
Top des machines présentant les scores de réputation les plus élevés. Ce rapport présente les machines du réseau interne présentant les scores de réputation les plus élevés, qu'elles soient en source ou en destination du trafic réseau. Ce rapport nécessite que la gestion de réputation des machines soit activée. Il contient des données personnelles et nécessite donc l'obtention du droit Logs : accès complet (données personnelles) pour être visualisé. |
Taux de détection par moteur d'analyse (Sandboxing, Antivirus, AntiSpam) |
Ce rapport présente la répartition des analyses réalisées sur les fichiers entre l'analyse sandboxing, l'antivirus et l'antispam. |
L’inspection Antivirus est requise pour ces analyses.
Virus Web |
Top des virus Web. Ce rapport liste les virus détectés sur le trafic web (protocoles HTTP et HTTPS si l'inspection SSL est activée). Une interaction sur le graphique permet de pointer sur une description du virus en ligne (securelist.com). |
Virus par e-mails |
Top des virus par e-mails. Ce rapport liste les virus détectés sur le trafic mail (protocoles POP3, SMTP et POP3S, SMTPS si l'inspection SSL est activée). Une interaction sur le graphique permet de pointer sur une description technique du virus en ligne (securelist.com). |
Émetteurs de virus par e-mail |
Top des émetteurs de virus par e-mail. Les virus par e-mail détectés sur le trafic mail des réseaux internes (protocoles SMTP et SMTPS si l'inspection SSL est activée) sont listés par émetteurs. Les expéditeurs sont identifiés selon leur identifiant d’utilisateur authentifiés. L’Authentification doit donc être configurée (voir la section Authentification de ce Guide). Ce rapport contient des données personnelles et nécessite donc l'obtention du droit Logs : accès complet (données personnelles) pour être visualisé. |
Le module Antispam doit être activé. Ces données sont comptabilisées par destinataire de spam reçus, en analysant le trafic SMTP, POP3 et SMTPS, POP3S si l’analyse SSL est activée.
Utilisateurs spammés |
Top des utilisateurs les plus spammés. Ce rapport comptabilise les spams quel que soit le seuil de confiance (niveau 1-Bas, 2-Moyen et 3-Haut) L’utilisateur est identifié par l’identifiant de son adresse électronique (sans le caractère @ et le nom du domaine). Il contient des données personnelles et nécessite donc l'obtention du droit Logs : accès complet (données personnelles) pour être visualisé. |
Taux de spam |
Taux de spam dans les e-mails reçus. Ce rapport est un ratio. Sur la totalité d’e-mails reçus et analysés par le module Antispam, trois pourcentages sont remontés. La proportion de spams quel que soit le seuil de confiance (niveau 1-Bas, 2-Moyen et 3-Haut), celle des e-mails scannés mais avec échec de l’analyse et enfin, la part des mails n’étant pas considérés comme spams. |
Vous pouvez lister des vulnérabilités par machine. Le module Management des vulnérabilités doit être activé.
Par défaut, ces rapports concernent les vulnérabilités détectées sur les réseaux internes, car par défaut, l’objet network_internals est défini dans la liste des éléments réseaux sous surveillance. L’analyse porte donc sur les machines appartenant aux réseaux internes, identifiées par le nom DNS (fqdn) ou à défaut l’adresse IP. À noter qu'une vulnérabilité remontée à un instant donné peut avoir été résolue au moment de la consultation du rapport.
Pour plus d'informations sur les profils et les familles de vulnérabilités, reportez-vous sur la section Management des vulnérabilités.
Machines vulnérables |
Top des machines les plus vulnérables. Ce rapport remonte la liste des machines les plus vulnérables du réseau par rapport au nombre de vulnérabilités détectées sans tenir compte de leur gravité. Ce rapport contient des données personnelles et nécessite donc l'obtention du droit Logs : accès complet (données personnelles) pour être visualisé. |
Vulnérabilités Client |
Top des vulnérabilités Client. Ce rapport remonte toutes les vulnérabilités détectées avec une cible Client, qui ont un degré de sévérité « 3 » (Elevé) ou « 4 » (Critique). Celles-ci incluent les vulnérabilités qui ont à la fois des cibles Client et Serveur. |
Vulnérabilités Serveur |
Top des vulnérabilités Serveur. Ce rapport remonte toutes les vulnérabilités détectées avec une cible Serveur, qui ont un degré de sévérité « 2 » (Moyen), « 3 » (Elevé) ou « 4 » (Critique). Celles-ci incluent les vulnérabilités qui qui ont à la fois des cibles Client et Serveur. |
Applications vulnérables |
Top des applications les plus vulnérables. Ce rapport affiche le top de 10 des vulnérabilités les plus détectées sur le réseau, par produit quelle que soit la gravité. |
L’activité analysée dans la catégorie Réseau concerne la totalité des flux transitant par le firewall, soit la totalité des protocoles. Les volumes sont calculés sur les données échangées en émission et en réception.
Machines par volume |
Top des machines par volume échangé. Ce volume de données concerne toutes les machines, qu’elles appartiennent aux réseaux internes ou externes. Ce rapport contient des données personnelles et nécessite donc l'obtention du droit Logs : accès complet (données personnelles) pour être visualisé. |
Protocoles par volume |
Top des protocoles par volume échangé. Ce rapport présente les protocoles les plus utilisés sur la totalité des volumes échangés par toutes les machines, qu’elles appartiennent aux réseaux internes ou externes. |
Utilisateurs par volume |
Top des utilisateurs par volume échangé. Le volume de données concerne les utilisateurs authentifiés. L’Authentification doit être configurée (voir la section Authentification de ce Guide). Ce rapport contient des données personnelles et nécessite donc l'obtention du droit Logs : accès complet (données personnelles) pour être visualisé. |
Protocoles par connexion |
Top des protocoles les plus utilisés par connexion. Les protocoles concernent uniquement les protocoles de la couche Application du modèle OSI. Ce rapport présente les protocoles les plus utilisés sur la totalité des connexions pendant la période donnée. |
Pays sources |
Top des pays identifiés comme source du trafic réseau. Ce rapport présente les pays les plus fréquemment identifiés comme étant à la source du trafic réseau traversant le firewall. |
Pays destinations |
Top des pays identifiés comme destination du trafic réseau. Ce rapport présente les pays les plus fréquemment identifiés comme étant destinataires du trafic réseau traversant le firewall. |
Applications clientes détectées |
Top des applications clientes détectées. Ce rapport présente les applications les plus détectées côté client par le moteur de prévention d'intrusion pendant la période donnée. |
Applications serveur détectées |
Top des applications serveur détectées. Ce rapport présente les applications les plus détectées côté serveur par le moteur de prévention d'intrusion pendant la période donnée. |
Applications clientes par volume échangé |
Top des applications clientes par volume échangé. Ce rapport présente les applications clientes les plus utilisés sur la totalité des volumes échangés par toutes les machines pendant la période donnée. |
Applications serveur par volume échangé |
Top des applications serveur par volume échangé. Ce rapport présente les applications serveur les plus utilisés sur la totalité des volumes échangés par toutes les machines pendant la période donnée. |
L’activité analysée dans la catégorie Réseau industriel concerne la totalité des flux de type protocoles industriels transitant par le firewall. Les volumes sont calculés sur les données échangées en émission et en réception.
Serveurs MODBUS par volume |
Top des serveurs Modbus par volume échangé. Ce rapport présente les serveurs les plus utilisés sur la totalité des volumes échangés pour le protocole industriel MODBUS. |
Serveurs UMAS par volume |
Top des serveurs UMAS par volume échangé. Ce rapport présente les serveurs les plus utilisés sur la totalité des volumes échangés pour le protocole industriel UMAS. |
Serveurs S7 par volume |
Top des serveurs S7 par volume échangé. Ce rapport présente les serveurs les plus utilisés sur la totalité des volumes échangés pour le protocole industriel S7. |
Serveurs OPC UA par volume |
Top des serveurs OPC UA par volume échangé. Ce rapport présente les serveurs les plus utilisés sur la totalité des volumes échangés pour le protocole industriel OPC UA. |
Serveurs EtherNet/IP par volume |
Top des serveurs Ethernet/IP par volume échangé. Ce rapport présente les serveurs les plus utilisés sur la totalité des volumes échangés pour le protocole industriel Ethernet/IP. |
Serveurs IEC 60870-5-104 par volume |
Top des serveurs IEC 60870-5-104 par volume échangé. Ce rapport présente les serveurs les plus utilisés sur la totalité des volumes échangés pour le protocole industriel IEC 60870-5-104. |
L'option Sandboxing doit être activée. Les données sont comptabilisées en analysant le trafic HTTP, SMTP, POP3, FTP et HTTPS, SMTPS, POP3S si l’analyse SSL est activée.
Fichiers malveillants détectés |
Top des fichiers malveillants détectés suite à l'analyse sandboxing. Ce rapport présente les fichiers malveillants les plus souvent détectés par l'analyse sandboxing. |
Fichiers malveillants bloqués |
Top des fichiers malveillants détectés et bloqués par une requête sandboxing. Ce rapport présente les fichiers malveillants les plus souvent bloqués par l'analyse sandboxing. |
Types de fichiers les plus fréquemment analysés |
Top des types de fichiers les plus fréquemment analysés. Ce rapport présente les types de fichiers les plus souvent envoyés pour une analyse sandboxing. |
Machines ayant soumis le plus de fichiers à l'analyse Sandboxing |
Top des machines ayant soumis des fichiers à l'analyse Sandboxing. Ce rapport présente les machines du réseau ayant provoqué le plus d'analyses sandboxing. Il contient des données personnelles et nécessite donc l'obtention du droit Logs : accès complet (données personnelles) pour être visualisé. |
Protocoles ayant le plus recours à l'analyse Sandboxing |
Top des protocoles ayant recours à l'analyse Sandboxing. Ce rapport présente les protocoles réseau (HTTP, SSL, SMTP, FTP) ayant provoqué le plus d'analyses sandboxing. |
Utilisateurs ayant soumis le plus de fichiers à l'analyse Sandboxing |
Top des utilisateurs ayant soumis des fichiers à l'analyse Sandboxing. Ce rapport présente les utilisateurs ayant provoqué le plus d'analyses sandboxing. Il contient des données personnelles et nécessite donc l'obtention du droit Logs : accès complet (données personnelles) pour être visualisé. |
L’activité analysée dans la catégorie SD-WAN concerne les métriques et les états opérationnels obtenus lors de la supervision des routeurs et de leurs passerelles, qu'ils soient utilisés ou non dans la configuration du firewall (objets routeurs, passerelle par défaut, routeurs configurés dans des règles de filtrage, routes de retour).
Latence |
Routeurs et passerelles présentant la latence la plus élevée. Ce rapport présente les passerelles des objets routeurs présentant la latence (en ms) la plus élevée. Les routeurs et les passerelles inaccessibles n'apparaissent pas dans ce rapport. |
Gigue |
Routeurs et passerelles présentant la gigue la plus élevée. Ce rapport présente les passerelles des objets routeurs présentant la gigue (en ms) la plus élevée. Les routeurs et les passerelles inaccessibles n'apparaissent pas dans ce rapport. |
Perte de paquets |
Routeurs et passerelles présentant le taux de perte de paquets le plus élevé. Ce rapport présente les passerelles des objets routeurs présentant le taux de perte de paquets le plus élevé. |
Indisponibilité |
Routeurs et passerelles présentant le taux d'indisponibilité le plus élevé. Ce rapport présente les passerelles des objets routeurs présentant le taux d'indisponibilité le plus élevé. |
État opérationnel |
Routeurs et passerelles présentant le taux d'état opérationnel le plus élevé. Ce rapport présente les passerelles des objets routeurs présentant le taux d'état opérationnel le plus élevé. |
État injoignable |
Routeurs et passerelles présentant le taux d'état injoignable le plus élevé. Ce rapport présente les passerelles des objets routeurs présentant le taux d'état injoignable le plus élevé. |
État dégradé |
Routeurs et passerelles présentant le taux d'état dégradé le plus élevé. Ce rapport présente les passerelles des objets routeurs présentant le taux d'état dégradé le plus élevé. |