Rubriques Connexes
Surveiller l'Activité de la Détection de Botnets
Pour identifier les clients sur votre réseau qui sont infectés par des programmes malveillants de botnet et qui essaient de communiquer avec un serveur de commande et de contrôle de botnet, vous pouvez surveiller l'activité de la Détection de Botnets de votre réseau.
Statistiques de Détection de Botnets
Dans la Fireware Web UI, vous pouvez visualiser les statistiques de Détection de Botnets qui comprennent le nombre total d'adresses IP d'origine et de destination qui ont été analysées et les adresses qui ont été bloquées. Vous pouvez aussi voir les informations de version de votre liste de sites de Détection de Botnets.
Sélectionnez Tableau de bord > Services à abonnement.
Cliquez sur l'onglet Services d'abonnement.
Messages de Journal de Détection de Botnets
Vous pouvez configurer votre Firebox pour générer un message de journal si votre Firebox détecte des clients infectés sur votre réseau qui sont en communication avec un serveur de commande et de contrôle de botnet. Les messages de journal de la Détection de Botnets indiquent les adresses IP d'origine et de destination du trafic. Par exemple :
Jan 1 10:25:40 2016 WatchGuard-Firebox local0.warn firewall: msg_id="3000-0148" Deny 4-Optional-3 0-External 84 icmp 20 63 10.0.5.97 42.62.40.103 8 0 id=4124 seq=3 botnet="destination" msg="blocked sites" (Internal Policy)
Jan 1 10:31:45 2016 WatchGuard-Firebox local0.warn firewall: msg_id="3000-0148" Deny 4-Optional-3 0-External 28 icmp 20 63 85.17.31.111 100.0.0.1 8 0 id=14608 seq=512 botnet="source" msg="blocked sites " (Internal Policy)
Notifications de Détection de Botnets
Le service à abonnement de Détection de Botnets utilise une liste d'adresses IP de sites de botnets connus de Reputation Enabled Defense (RED) et ajoute ces adresses à la Liste des Sites Bloqués sur le Firebox. Pour visualiser l'activité de la Détection de Botnets sur votre réseau, vous pouvez configurer les paramètres de journalisation pour la Liste des Sites Bloqués.
Dans Policy Manager, vous pouvez configurer votre Firebox pour qu'il crée un message de journal ou envoie un message de notification si un ordinateur tente d'utiliser un site bloqué.
Dans la boîte de dialogue Configuration des Sites Bloqués :
- Cliquez sur Journalisation.
La boîte de dialogue Journalisation et notification s'ouvre. - Configurez les paramètres de notification tel que décrit dans Définir les préférences de journalisation et de notification.
Détection de Botnets dans Dimension
Si vous avez configuré votre Firebox pour générer des messages de journal concernant l'activité de Détection de Botnets et avez configuré votre Firebox pour qu'il envoie des messages de journal à Dimension, vous pouvez voir l'activité de la Détection de Botnets sur votre Firebox dans ces outils et rapports Dimension :
- Outils > Tableaux de Bord > Tableau de Bord de Sécurité
- Principaux sites botnet bloqués
- Principaux Clients Bloqués
- Outils > Tableaux de Bord > Carte des Menaces — Sites de Botnet Bloqués
- Rapports > Services > Détection de Botnets — Tendances d'activité de la Détection de Botnets
- Rapports > Détails — Détection de Botnets
Pour plus d'informations, voir Tableau de Bord de Sécurité, Carte des Menaces, À propos des Rapports de Dimension.