Les interactions

Quel que soit le mode d’affichage (ligne / grille), les valeurs affichées dans la fenêtre de consultation  des traces proposent des interactions classées en deux catégories : ACTION et CONFIGURATION. Par un clic droit, un menu propose les actions suivantes :

Mode Recherche simple

  • Ajouter cette valeur comme critère de recherche : raccourci pour créer un critère recherchant la valeur dans le champ correspondant et dans l’ensemble de la vue Ce type de recherche est identique au glisser/déposer de la valeur.
  • Accéder à la règle de sécurité correspondante : raccourci pour ouvrir le module Filtrage et NAT et surligner la règle de sécurité correspondant à la ligne de trace sélectionnée.
  • Copier la ligne sélectionnée dans le presse-papier : raccourci pour copier les données de la ligne de logs sélectionnée dans le presse-papier. Cette action est identique à celle déclenchée par un clic sur le bouton Copier disponible sous la fenêtre d'affichage des détails de la ligne sélectionnée.

Mode Recherche avancée 

  • generic_equal_16x16 Ajouter un critère pour ce champ / valeur : raccourci pour créer un critère recherchant la valeur dans le champ correspondant et dans l’ensemble de la vue affichée. Pour éviter la répétition de la valeur recherchée, la colonne correspondante est alors automatiquement masquée en mode d’affichage par grille. Ce type de recherche est identique au glisser / déposer de la valeur.
  • generic_different_16x16 Ajouter un critère de différence à cette valeur : raccourci pour créer un critère recherchant toute valeur différente de celle sélectionnée dans le champ correspondant et dans l’ensemble de la vue affichée.
  • Accéder à la règle de sécurité correspondante : raccourci pour ouvrir le module Filtrage et NAT et surligner la règle de sécurité correspondant à la ligne de trace sélectionnée.

Adresses IP et objets machine

  • Rechercher cette valeur dans la vue "Tous les journaux" : raccourci pour ouvrir la vue "Tous les journaux" avec un filtre sur la valeur sélectionnée.
  • Vérifier cette machine : indique dans quelles règles de filtrage ou de NAT cette machine est utilisée.
  • Afficher les détails de la machine : ouvre une fenêtre présentant un certains nombre d'informations complémentaires sur la machine sélectionnée. Ces informations sont les suivantes :
  • Réputation de l'adresse IP publique,
  • Géolocalisation,
  • Réputation de la machine,
  • Classification de l'URL (à laquelle s'est connectée la machine),
  • Vulnérabilités,
  • Applications (navigateurs Internet, clients de messagerie ...),
  • Services,
  • Informations (Système d'exploitation détecté,...),
  • Délai de réponse au Ping et chemin réseau (Traceroute) pour joindre la machine.
  • Réinitialiser le score de réputation de cet objet : en cliquant sur ce menu, le score de réputation de l'objet sélectionné est remis à zéro.
  • Placer cet objet en liste noire : permet de positionner une machine, une plage d'adresses IP ou un réseau en liste noire (quarantaine). Les objets ainsi sélectionnés sont rejetés par le firewall pendant une durée choisie dans le sous-menu de cette action :
  • Pour 1 minute,
  • Pour 5 minutes,
  • Pour 30 minutes,
  • Pour 3 heures.
    Une fois ce délai de quarantaine écoulé, l'objet considéré est de nouveau autorisé à traverser le firewall en respect de la politique de sécurité active.
  • Afficher les IoC : un clic sur ce menu vous dirige sur le site Stormshield Security et affiche les détails de sécurité de l'objet sélectionné :
  • Adresse IP,
  • Pays d'origine,
  • FQDN
  • Catégorie de réputation ou service Web de rattachement s'ils sont définis sur le firewall.
  • action_add_object_16x16 Ajouter la machine à la base objet et / ou l’ajouter à un groupe : cette option permet de créer une machine et/ou de l’ajouter à un groupe depuis un fichier de traces. Ainsi, une machine identifiée comme vulnérable peut par exemple, être ajoutée à un groupe ayant un profil de protection renforcé (cf. Note Technique Sécurité collaborative).
    Cette option apparaît sur les champs contenant des adresses IP (source, destination) ou des noms d'objet (nom de la source, nom de la destination). Une fenêtre s’affiche, permettant :
  • d’enregistrer l’objet dans la base s’il s’agit d’une adresse IP,
  • de sélectionner l’objet approprié si l’adresse IP correspond à plusieurs objets,
  • de l'ajouter à un groupe existant. Ce groupe peut correspondre à une mise en quarantaine d’objets vulnérables préétablie.

En plus des interactions listées ci-dessus, le survol d'une adresse IP source ou du nom d'une machine source entraîne l'affichage d'une info-bulle reprenant les informations suivantes (si l'administrateur a acquis le droit "Logs : accès complet (données personnelles)") :

  • Nom de la machine si celle-ci est définie dans la base objets,
  • Adresse IP de la machine,
  • Système d'exploitation de la machine,
  • Nombre de vulnérabilités détectées pour la machine.

URL

  • Rechercher cette valeur dans la vue "Tous les journaux" : raccourci pour ouvrir la vue "Tous les journaux" avec un filtre sur la valeur sélectionnée.
  • Afficher les détails de la machine : ouvre une fenêtre présentant un certains nombre d'informations complémentaires sur la machine sélectionnée. Ces informations sont les suivantes :
  • Réputation de l'adresse IP publique,
  • Géolocalisation,
  • Réputation de la machine,
  • Classification de l'URL (à laquelle s'est connectée la machine),
  • Vulnérabilités,
  • Applications (navigateurs Internet, clients de messagerie ...),
  • Services,
  • Informations (Système d'exploitation détecté,...),
  • Délai de réponse au Ping et chemin réseau (Traceroute) pour joindre la machine.
  • Réinitialiser le score de réputation de cet objet : en cliquant sur ce menu, le score de réputation de l'objet sélectionné est remis à zéro.
  • Placer cet objet en liste noire : permet de positionner une machine, une plage d'adresses IP ou un réseau en liste noire (quarantaine). Les connexions issues ou à destination de l'objet ainsi sélectionné sont rejetées par le firewall pendant une durée choisie dans le sous-menu de cette action :
  • Pour 1 minute,
  • Pour 5 minutes,
  • Pour 30 minutes,
  • Pour 3 heures.
    Une fois ce délai de quarantaine écoulé, l'objet considéré est de nouveau autorisé à émettre des connexions ou en être destinataire en respect de la politique de sécurité active.
  • Afficher les IoC : un clic sur ce menu vous dirige sur le site Stormshield Security et affiche les détails de sécurité de l'objet sélectionné :
  • Adresse IP,
  • Pays d'origine,
  • FQDN
  • Catégorie de réputation ou service Web de rattachement s'ils sont définis sur le firewall.
  • action_add_object_16x16 Ajouter la machine à la base Objet et/ou l’ajouter à un groupe : cette option permet de créer une machine et/ou de l’ajouter à un groupe depuis un fichier de traces. Ainsi, une machine identifiée comme vulnérable peut par exemple, être ajoutée à un groupe ayant un profil de protection renforcé (cf. Note Technique Sécurité collaborative).
    Cette option apparaît sur les champs contenant des adresses IP (source, destination) ou des noms d'objet (nom de la source, nom de la destination). Une fenêtre s’affiche, permettant :
  • d’enregistrer l’objet dans la base s’il s’agit d’une adresse IP,
  • de sélectionner l’objet approprié si l’adresse IP correspond à plusieurs objets,
  • de l'ajouter à un groupe existant. Ce groupe peut correspondre à une mise en quarantaine d’objets vulnérables préétablie.
  • Description : action_add_object_16x16 Ajouter l’URL à un groupe : cette option permet d’ajouter l’URL à un groupe depuis un fichier de traces. Ainsi, une URL identifiée comme malicieuse ou indésirable peut, par exemple, être ajoutée à un groupe personnalisé faisant l’objet de filtrage d’URL.
    Cette option apparaît sur les champs contenant des URL (nom de la destination). Une fenêtre s’affiche, permettant :
  • d'ajouter l’URL à un groupe existant. Ce groupe peut, par exemple, correspondre à une catégorie d’URL interdites.

En plus des interactions listées ci-dessus, le survol d'une URL destination entraîne l'affichage d'une info-bulle reprenant les informations suivantes (si l'administrateur a acquis le droit "Logs : accès complet (données personnelles)") :

  • Nom du domaine,
  • Adresse IP correspondante.

Ports

  • Description : action_add_object_16x16 Ajouter le service à la base objet et/ou l’ajouter à un groupe : cette option permet de créer un service et/ou de l’ajouter à un groupe depuis un fichier de traces. Ainsi, un service identifié comme vulnérable ou indésirable peut par exemple, être ajouté à un groupe de services interdits dans les règles de filtrage.
    Cette option apparaît sur les champs contenant des numéros de ports ou des noms de services (port source, port destination, nom du port source, nom du port dest.). Une fenêtre s’affiche, permettant :
    • d’enregistrer l’objet dans la base s’il s’agit d’un numéro de port,
    • de l'ajouter à un groupe existant. Ce groupe peut correspondre à un groupe de services interdits.

En plus des interactions listées ci-dessus, le survol d'un nom de port entraîne l'affichage d'une info-bulle reprenant les informations suivantes (si l'administrateur a acquis le droit "Logs : accès complet (données personnelles)") :

  • Nom de l'objet port,
  • Numéro ou plage de ports correspondants,
  • Protocole,
  • Commentaire éventuel défini dans l'objet port.

Paquets réseau

  • Exporter le paquet : cette option permet d'exporter au format pcap le paquet capturé afin de l'analyser à l'aide d'outils comme Wireshark. Pour provoquer la capture d'un paquet, la case Capturer le paquet responsable de la remontée de l'alarme doit avoir été cochée dans la configuration de l'alarme concernée (module Protection applicative > Applications et protections > colonne Avancé > clic sur Configurer).

Vue Alarmes

  • Configurer l'alarme : raccourci pour ouvrir le module Application et Protections - Par profil d'inspection avec sélection automatique de l'alarme concernée.

Vue Événements système

  • Configurer l'événement système : raccourci pour ouvrir le module Événements système avec sélection automatique de l'événement concerné.