Utilisateurs

L'onglet "Temps réel"

L’écran se compose de 2 vues :

  • Une vue qui liste les utilisateurs authentifiés sur le firewall.
  • Une vue qui liste les Connexions, Vulnérabilités, Applications, Services et Informations en rapport avec l'utilisateur sélectionné.

Vue « Utilisateurs»

Cette vue permet de visualiser tous les utilisateurs authentifiés sur le firewall. Une ligne représente un utilisateur.

Les données de la vue « Utilisateurs » sont les suivantes :

Nom Nom de l'utilisateur.
Adresse IP Adresse IP de la machine sur laquelle est connecté l'utilisateur.
Annuaire Nom de l'annuaire LDAP utilisé pour authentifier l'utilisateur.
Groupe Liste des groupes auxquels appartient l'utilisateur.
Délai d'expiration Durée d'authentification restante pour la session de l'utilisateur
Méthode d'auth. Méthode ayant servi à l'authentification de l'utilisateur (Exemple : SSL)
Mot de passe à usage unique Une coche verte indique que l'utilisateur a utilisé un mot de passe TOTP.
Multi-utilisateur Indique si la machine sur laquelle est connecté l'utilisateur est une machine de type multi-utilisateur (exemple : un serveur TSE).
Administrateur Précise si l'utilisateur a des droits d'administration sur le firewall.
Parrain Lorsque l'utilisé s'est connecté par la méthode Parrainage, cette colonne indique le nom de la personne ayant validé la demande de connexion.
VPN SSL Portail Une coche verte dans cette case indique que l'utilisateur est autorisé à se connecter au portail VPN SSL pour accéder à des serveurs Web.
VPN SSL Portail (Applet Java) Une coche verte dans cette case indique que l'utilisateur est autorisé à se connecter au portail VPN SSL pour accéder à des serveurs applicatifs via un applet Java.
VPN SSL Une coche verte dans cette case indique que l'utilisateur est autorisé à établir un tunnel VPN SSL à l'aide de SN SSL VPN Client.
VPN IPsec Une coche verte dans cette case indique que l'utilisateur est autorisé à établir un ou des tunnels VPN IPsec.

Menu contextuel

Un clic droit sur le nom d'utilisateur donne accès aux menus contextuels suivants :

  • Rechercher cette valeur dans les traces,
  • Déconnecter cet utilisateur,
  • Afficher les détails de la machine.

La barre d'actions

Vous pouvez combiner plusieurs critères de recherche. Ces critères doivent être remplis conjointement pour être affichés, car les critères de recherche se cumulent.

Cette combinaison de critères de recherche peut alors être enregistrée en tant que « filtre ». Ceux-ci sont gardés en mémoire et peuvent être réinitialisés via le module Préférences de l’interface d’administration.

(menu déroulant Filtres) Sélectionnez un filtre pour lancer la recherche correspondante. La liste propose les filtres enregistrés au préalable et pour certaines Vues, des filtres prédéfinis. La sélection de l’entrée (Nouveau filtre) permet de réinitialiser le filtre en supprimant la sélection de critères.
Filtrer Cliquez sur ce bouton pour :
  • Sélectionner des critères de filtrage (Critère de recherche). Pour la vue "utilisateurs", ces critères sont les suivants :
  • Par plage d'adresses ou par adresse IP (grisé si un utilisateur a été sélectionnée dans la vue "utilisateurs").
  • Par annuaire (permet d'affiner le filtrage lorsque plusieurs annuaires LDAP sont définis sur le firewall).
  • Par méthode d'authentification.
  • Par utilisation de mot de passe à usage unique en choisissant Code TOTP utilisé ou Pas de code TOTP utilisé.
  • Enregistrer en tant que filtre personnalisé, les critères définis dans le panneau Filtrage décrit ci-après (Enregistrer le filtre courant). Vous pouvez enregistrer un nouveau filtre par le bouton "Enregistrer sous" sur la base d’un filtre existant ou d’un filtre prédéfini proposé dans certaines Vues. Une fois un filtre enregistré, il est automatiquement proposé dans la liste des filtres.
  • Supprimer le filtre courant.
Réinitialiser Ce bouton permet d'annuler l'action du filtre en cours d'utilisation. S'il s'agit d'un filtre personnalisé enregistré, cette action ne supprime pas le filtre .
Actualiser Ce bouton permet d'actualiser les données présentées à l'écran.
Exporter les résultats Ce bouton permet de télécharger un fichier au format CSV contenant les informations de la grille. Lorsqu'un filtre est appliqué, seuls les résultats correspondant à ce filtre sont exportés.
Configurer l'authentification Ce lien permet d'accéder directement à la configuration de l'authentification (module Configuration > Utilisateurs > Authentification).
Réinitialiser l'affichage des colonnes Ce bouton permet de réinitialiser la largeur des colonnes et de n'afficher que les colonnes proposées par défaut à la première ouverture de cette fenêtre de supervision.

Panneau « FILTRES »

Vous pouvez ajouter un critère en glissant la valeur depuis un champ des résultats dans le panneau.

Vue « Connexions »

Cette vue permet de visualiser toutes les connexions détectées par le firewall pour un utilisateur sélectionné. Une ligne représente une connexion. Les données disponibles pour la vue « Connexions » sont les suivantes :

Date Indication de la date et de l'heure de connexion de l'objet.
Connexion Identifiant de la connexion
Connexion parente Certains protocole peuvent générer des connexions "filles" (exemple : FTP) et, dans ce cas de figure, cette colonne référence l'identifiant de la connexion parente.
Protocole Protocole de communication utilisé pour la connexion.
Utilisateur Utilisateur connecté sur la machine (s’il existe).
Source Adresse IP de la machine à l'origine de la connexion.
Nom de la source Nom de l'objet (s'il existe) correspondant à la machine source.
Adresse MAC source Adresse MAC de l’objet à l’origine de la connexion.
Port source Indication du N° de port source utilisé pour la connexion.
Nom du port source Nom de l'objet correspondant au port source.
Destination Adresse IP de la machine vers laquelle la connexion a été établie.
Nom de destination Nom de l'objet (s'il existe) vers lequel une connexion a été établie.
Port de destination Indication du N° de port de destination utilisé pour la connexion.
Nom du port dest. Nom de l'objet correspondant au port destination.
Interf. source Nom de l'interface du firewall sur laquelle la connexion s'est établie.
Interf. dest. Nom de l'interface de destination utilisée par la connexion sur le firewall.
Débit moyen Valeur moyenne de bande passante utilisée par la connexion sélectionnée.
Envoyé Nombre d'octets envoyés au cours de la connexion.
Reçu Nombre d'octets reçus au cours de la connexion.
Durée Temps de la connexion.
Dernière utilisation Temps écoulé depuis le dernier échange de paquets pour cette connexion.
Routeur Identifiant attribué par le firewall au routeur utilisé par la connexion
Nom du routeur Nom du routeur enregistré dans la base objet utilisé par la connexion
Type de règle Indique s'il s'agit d'une règle locale, globale ou implicite.
Règle Le nom de l’identifiant de la règle autorisant la connexion
État Ce paramètre indique le statut de la connexion correspondant par exemple, à son initiation, son établissement ou sa fermeture.
Nom de file d'attente Nom de la file d'attente QoS utilisée par la connexion.
Nom de la règle Lorsqu'un nom a été donné à la règle de filtrage par laquelle transite la connexion, ce nom est affiché dans la colonne.
Profil IPS Affiche le N° du profil d'inspection appelé par la règle ayant filtré la connexion.
Géolocalisation Affiche le drapeau correspondant au pays de la destination.
Catégorie de réputation Indique la catégorie de réputation de la machine externe si celle-ci est classifiée.

EXEMPLE
SPAM, Phishing...
Argument Information complémentaire pour certains protocoles exemple : HTTP).
Opération Information complémentaire pour certains protocoles exemple : HTTP).

Menu contextuel

Un clic droit sur le nom de la machine source ou de la destination donne accès aux menus contextuels suivants :

  • Accéder à la règle de sécurité correspondante.

La barre d'actions

Vous pouvez combiner plusieurs critères de recherche. Ces critères doivent être remplis conjointement pour être affichés, car les critères de recherche se cumulent.

Cette combinaison de critères de recherche peut alors être enregistrée en tant que « filtre ». Ceux-ci sont gardés en mémoire et peuvent être réinitialisés via le module Préférences de l’interface d’administration.

(menu déroulant Filtres) Sélectionnez un filtre pour lancer la recherche correspondante. La liste propose les filtres enregistrés au préalable et pour certaines Vues, des filtres prédéfinis. La sélection de l’entrée (Nouveau filtre) permet de réinitialiser le filtre en supprimant la sélection de critères.
Filtrer Cliquez sur ce bouton pour :
  • Sélectionner des critères de filtrage (Critère de recherche). Pour la vue "connexions", ces critères sont les suivants :
  • Par plage d'adresses ou par adresse IP.
  • Par interface.
  • Par interface source.
  • Par interface destination.
  • Par port destination.
  • Par protocole.
  • Par utilisateur (grisé si une machine a été sélectionnée dans la vue "machines").
  • Pour une valeur de données échangées supérieure à la valeur précisée à l'aide du curseur.
  • Selon la dernière utilisation de la connexion (seuls les enregistrement dont la dernière utilisation est inférieure à la valeur précisée sont affichés).
  • Par nom de règle.
  • Par profil IPS.
  • Par origine ou destination géographique.
  • Si la case Voir toutes les connexions (connexions closes, réinitialisées, ...) est cochée, l'ensemble des connexions sera affiché dans la grille, quel que soit leur état.
  • Enregistrer en tant que filtre personnalisé, les critères définis dans le panneau Filtrage décrit ci-après (Enregistrer le filtre courant). Vous pouvez enregistrer un nouveau filtre par le bouton "Enregistrer sous" sur la base d’un filtre existant ou d’un filtre prédéfini proposé dans certaines Vues. Une fois un filtre enregistré, il est automatiquement proposé dans la liste des filtres.
  • Supprimer le filtre courant.
Réinitialiser Ce bouton permet d'annuler l'action du filtre en cours d'utilisation. S'il s'agit d'un filtre personnalisé enregistré, cette action ne supprime pas le filtre .
Actualiser Ce bouton permet d'actualiser les données présentées à l'écran.
Exporter les résultats Ce bouton permet de télécharger un fichier au format CSV contenant les informations de la grille. Lorsqu'un filtre est appliqué, seuls les résultats correspondant à ce filtre sont exportés.
Réinit. colonnes Ce bouton permet de ne réafficher que les colonnes proposées par défaut à l'ouverture de la fenêtre de supervision des machines.

Panneau « FILTRAGE SUR »

Vous pouvez ajouter un critère en glissant la valeur depuis un champ des résultats dans le panneau.

Vue « Vulnérabilités »

Cet onglet décrit les vulnérabilités détectées sur la machine de connexion de l'utilisateur sélectionné.

Les données de la vue « Vulnérabilités » sont les suivantes :

Identifiant Identifiant de la vulnérabilité.
Nom Indication du nom de la vulnérabilité.
Famille Nombre de machines affectées.
Sévérité Indication du niveau de sévérité de la/les machine(s) concernée(s) par la vulnérabilité. Il existe 4 niveaux de sévérité : "Faible", "Modéré", "Elevé", "Critique".
Exploit L’accès peut s’effectuer en local ou à distance (par le réseau). Il permet d'exploiter la vulnérabilité.
Solution Indique si oui ou non il y a une solution proposée.
Niveau Indique le niveau de l'alarme associée à la découverte de cette vulnérabilité.
Port Indique le port réseau sur lequel la machine est vulnérable (exemple : 80 pour un serveur Web vulnérable).
Service Indique le nom du programme vulnérable (exemple : lighthttpd_1.4.28)
Détecté Indique la date à laquelle la vulnérabilité a été détectée sur la machine
Détails Donne un complément d'information sur la vulnérabilité.

Menu contextuel

Un clic droit sur le nom de la vulnérabilité donne accès aux menus contextuels suivants :

  • Rechercher cette valeur dans les traces,
  • Ajouter la machine à la base Objet et/ou l'ajouter dans un groupe.

Vue « Applications»

Cet onglet décrit les applications détectées sur la machine de connexion de l'utilisateur sélectionné.

Les données de la vue « Applications » sont les suivantes :

Nom du produit Nom de l’application.
Famille Famille de l’application (exemple : Web client).
Détails Nom complet de l'application incluant son numéro de version.

Menu contextuel

Un clic droit sur le nom du produit donne accès aux menus contextuels suivants :

  • Rechercher cette valeur dans les traces,
  • Ajouter la machine à la base Objet et/ou l'ajouter dans un groupe.

Vue « Services»

Cet onglet décrit les services détectés sur la machine de connexion de l'utilisateur sélectionné.

Les données de la vue « Services » sont les suivantes :

Port Indique le port et le protocole utilisés par le service (exemple : 80/tcp).
Nom du service Indique le nom du service (exemple : lighthhtpd).
Service Indique le nom du service en incluant son numéro de version (exemple : lighthhtpd_1.4.28).
Détails Donne un complément d'information sur le service détecté.
Famille Famille du service (exemple : Web server).

Vue « Informations»

Cet onglet décrit les informations liées à la machine sur laquelle l'utilisateur sélectionné est connecté.

Les données de la vue « Informations » sont les suivantes :

Id Identifiant unique du logiciel ou du système d'exploitation détecté.
Nom Nom du logiciel ou du système d'exploitation détecté.
Famille Famille à laquelle est attaché le logiciel détecté (Exemple : Operating System).
Niveau Indique le niveau de l'alarme associée à la découverte de ce logiciel.
Détecté Date et heure de détection du logiciel ou du système d'exploitation.
Détails Nom et version du logiciel ou du système d'exploitation détecté (exemple : Microsoft_Windows_Seven_SP1).

Menu contextuel

Un clic droit sur le nom du produit donne accès aux menus contextuels suivants :

  • Rechercher cette valeur dans les traces,
  • Ajouter la machine à la base Objet et/ou l'ajouter dans un groupe.

L'onglet "Historique"

Cet onglet présente des graphiques historiques sur la répartition des authentifications selon leur type :

  • Total,
  • Portail captif,
  • Console,
  • IPsec,
  • SSL VPN,
  • TOTP,
  • Interface Web d'administration.

Les actions

Échelle de temps

Ce champ permet le choix de l’échelle de temps : dernière heure, vue par jour,
7 derniers jours et les 30 derniers jours.
  • La dernière heure est calculée depuis la minute précédant celle en cours.
  • La vue par jour couvre la journée entière, sauf pour le jour en cours où les données courent jusqu’à la minute précédente.
  • Les 7 et les 30 derniers jours concernent la période achevée la veille à minuit.

Le bouton permet de rafraîchir les données affichées.
Afficher le Dans le cas d’une vue par jour, ce champ propose un calendrier permettant de choisir la date.

Les Interactions

  • Un clic sur l’un des indicateurs référencés dans la légende permet de masquer / afficher les données correspondantes sur le graphique.
  • En survolant une courbe à l’aide de la souris, la valeur de l’indicateur et l’heure de mesure correspondante sont affichées dans une info bulle.
  • Un clic sur le bouton présent à droite de chaque graphique met en page les données du graphique pour un envoi en impression. Un commentaire peut être ajouté avant de confirmer l'impression (bouton Imprimer).