Introduction
Note à l'attention des partenaires : Cette page peut se comporter différemment selon la vue sur laquelle le sélecteur d'organisation est réglé.
La page Mon réseau fait partie de la section Rapports et analyses et comprend les sections suivantes :
- État et intervalle de temps : indique la connexion réseau et contient un outil d'intervalle de temps pour la page.
- Résumé : un graphique du trafic surveillé sur une période donnée. Ce graphique suit le trafic sortant et entrant, ainsi que les adresses IP locales et distantes.
- Événements de sécurité : un graphique en forme d'araignée organisant les événements de sécurité par type et par fréquence.
- Rapports antérieurs : Téléchargez les rapports hebdomadaires ou mensuels précédents.
État et plage de temps
Cette section située en haut de la page présente un indicateur d'état du réseau et l'outil d'intervalle de temps qui permet d'afficher les données pour une période de 24 heures, de 7 jours ou d'un mois.
Résumé
Ce graphique regroupe le trafic total entrant et sortant pour votre réseau et vos IP (locales et distantes). Les détails de chaque mesure sont présentés dans la chronologie. Vous pouvez inclure les données du mois dernier dans la partie supérieure droite et modifier les paramètres du graphique comme suit :
- Trafic entrant et trafic sortant
- Trafic d'adresses IP locales
- Trafic d'adresses IP distantes
Événements liés à la sécurité
Les événements de sécurité qui ont lieu (dans la fourchette sélectionnée) sont affichés dans un graphique en forme d'araignée. Plus un point de données est éloigné du centre, plus le nombre d'événements survenus dans la plage de temps sélectionnée est élevé. Dans l'exemple ci-dessous, ce sont les événements liés aux balises, aux signatures et aux points d'extrémité qui se sont produits le plus souvent dans la plage sélectionnée.
Afficher/masquer les détails pour en savoir plus sur chaque élément du tableau.
Types d'événements de sécurité
Les sections suivantes fournissent des définitions de chaque événement de sécurité disponible dans le graphique.
Liste noire
Ces événements sont basés sur des listes dynamiques d'indicateurs, généralement des noms de domaine et des adresses IP, qui sont produites et partagées par des chercheurs et des professionnels de la sécurité. Les faux positifs dans la surveillance des listes noires sont extrêmement fréquents, c'est pourquoi ces événements constituent rarement à eux seuls une indication suffisante d'un problème. Ces événements sont plutôt combinés à d'autres analyses et utilisés pour les compléter.
Balises
Les balises sont des communications périodiques entre votre réseau et des systèmes sur l'internet. Les balises sont généralement utilisées par les logiciels pour gérer les mises à jour et maintenir les connexions. Malheureusement, les logiciels malveillants et d'autres types d'attaques indésirables utilisent souvent les balises comme méthode de commande et de contrôle, et d'exfiltration de données.
Scans
Les scanners sont des outils automatisés qui cherchent à identifier les systèmes sur Internet et à recueillir des informations à leur sujet. La plupart des activités de balayage sont bénignes, mais elles sont aussi souvent le précurseur d'une attaque. Covalence exploite des techniques avancées de profilage analytique pour identifier et alerter sur les scans suspects qui pourraient indiquer une menace potentielle, ainsi que sur ceux des chercheurs Internet et des entreprises de sécurité.
Point final
Ces événements sont dérivés de l'agent du point de terminaison et comprennent des événements qui déclenchent directement un ARO, ainsi que des événements tels que des processus suspects et d'autres événements système qui peuvent nécessiter une enquête. Il n'est donc pas rare que le nombre d'événements soit supérieur au nombre d'ARO dérivés des terminaux que vous avez reçus, ce qui signifie simplement que l'équipe a jugé certains événements bénins.
Signature
Ces événements sont principalement des signatures basées sur le réseau, qui sont une forme de COI et le mécanisme de détection supplémentaire de Covalence. Les signatures peuvent être très fiables et déclencher immédiatement un ARO, mais elles peuvent également produire des événements faussement positifs - qui sont vérifiés par notre équipe et ne donneront pas lieu à un ARO. Ainsi, vous pouvez voir des événements de signature qui n'ont pas d'ARO associé.
Analyste
Les événements liés à l'analyse sont les plus vastes, et ils englobent les événements produits par notre ensemble évolutif d'analyses. Certains événements d'analyse peuvent ne pas générer d'ARO, ils sont donc souvent regroupés dans un ARO de groupe ou de synthèse lié à des questions simples telles que les correctifs, la configuration des services, etc. Cette catégorie comprend également les nouvelles analyses en cours de développement, les événements supplémentaires utilisés pour valider/confirmer d'autres analyses et de nombreux autres types d'événements qui ne produisent pas immédiatement d'ARO. Il est donc courant de voir plus d'événements de sécurité d'analystes que d'AROs associés.
Rapports antérieurs
Les rapports récents sont répertoriés dans cette section et vous pouvez également effectuer des recherches par mots-clés. Cliquez sur l'icône de téléchargement pour télécharger le rapport souhaité.
Cet article a-t-il été utile ?
C'est super !
Merci pour votre commentaire
Désolé ! Nous n'avons pas pu vous être utile
Merci pour votre commentaire
Commentaires envoyés
Nous apprécions vos efforts et nous allons corriger l'article