S'applique À : Fireboxes Gérés sur le Cloud, Fireboxes gérés localement
Le rapport Intrusions (IPS) présente une synthèse des intrusions sur votre réseau.
Ce rapport est disponible lorsqu'il existe pour la période spécifiée des messages de journal comprenant des données pour ce rapport. Pour vous assurer que votre Firebox envoie les messages de journal nécessaires à la génération de ce rapport, suivez la procédure pour Activer la Journalisation pour ce Rapport.
Comment Utiliser ce Rapport ?
Ce rapport vous permet d'en savoir plus sur les menaces bloquées par Intrusion Prevention Service. Voici différentes manières d'utiliser ce rapport :
- Sélectionnez le pivot Signatures pour afficher les principales attaques d'intrusion bloquées sur votre réseau. Vous pouvez utiliser l'Identifiant de signature IPS indiqué sur ce pivot et le rapport de Détails pour obtenir de plus amples informations concernant la menace sur le Portail de Sécurité WatchGuard.
- Sélectionnez le pivot Source pour afficher l'adresse IP ou le nom d'utilisateur associé à l'intrusion. Par exemple, cette information peut se révéler utile pour identifier l'ordinateur ou l'utilisateur ayant déclenché l'intrusion.
- Sélectionnez le pivot Niveau de Menace pour afficher les intrusions classées par niveau de menace.
- Sélectionnez le pivot Tendance d'Activité pour afficher le nombre d'intrusions détectées et évitées au fil du temps.
- Sélectionnez le pivot Protocole pour identifier les protocoles liés aux attaques d'intrusion.
Afficher le Rapport
- Connectez-vous à WatchGuard Cloud.
- Sélectionnez Surveiller > Périphériques.
- Sélectionnez un dossier ou un périphérique spécifique.
- Pour sélectionner la plage de dates du rapport, cliquez sur
.
- Dans le menu Rapports, sélectionnez Services > Intrusions (IPS).
Le rapport Intrusions (IPS) s'ouvre.
- Pour afficher les rapports concernant vos périphériques Firebox ou clusters FireCluster, sélectionnez Accueil > Périphériques.
La liste Périphériques s'ouvre.
Pour voir les rapports concernant vos groupes de périphériques Firebox, sélectionnez Accueil > Groupes.
La liste Groupes s'ouvre. - Sélectionnez le Nom d'un Firebox, cluster, ou groupe.
La page Outils > Tableau de Bord Exécutif s'ouvre. - Sélectionnez l'onglet Rapports.
- Sélectionnez Services > Intrusions (IPS).
Le rapport Intrusions (IPS) s'ouvre.
Pivots
Vous pouvez utiliser des pivots pour modifier l'affichage des données du rapport.
Pour basculer entre les vues, sélectionnez un pivot dans la liste déroulante située au-dessus du rapport.
Ce rapport inclut les pivots suivants :
Tendance d'Activité
Rapport de synthèse de la tendance des intrusions sur votre réseau au fil du temps.
Protocole
Synthèse des actions IPS, organisée par le protocole utilisé par le trafic.
Signatures
Synthèse des actions IPS, organisée par signature.
Source
Synthèse des actions IPS, organisée par l'adresse IP d'origine du trafic.
Niveau de Menace
Synthèse des actions IPS, organisée par niveau de menace.
Affichage du Détail du Rapport Intrusions (IPS)
Pour consulter un rapport détaillé de l'ensemble des intrusions détectées par IPS, cliquez sur Afficher les Détails en haut du rapport.
Le rapport Détail des Intrusions (IPS) comporte une ligne pour chaque menace détectée par IPS :
| Colonne | Description |
|---|---|
| Disposition | Action entreprise par le Firebox pour ce trafic, par exemple Autorisé ou Refusé |
| Heure | Date et heure de l'action |
| Niveau de Menace | Gravité de la menace : Critique, Élevée, Moyenne, Faible ou Information |
| Nom | Nom du fichier identifié comme étant une menace |
| Catégorie | Type de menace, par exemple Virus/Ver |
| Source | Adresse IP de la source du trafic |
| Destination | Adresse IP de la destination du trafic |
| Stratégie | Nom de la stratégie Firebox ayant examiné le trafic |
| Protocole | Protocole utilisé pour envoyer le trafic |
| Occurences | Nombre d'occurrences |
| Plus d'Informations |
Dans Dimension, cliquez sur Portail de Sécurité dans cette colonne pour afficher de plus amples informations concernant la menace sur le Portail de Sécurité WatchGuard. |
| Signature |
Identifiant de signature de la menace |
Activer la Journalisation pour ce Rapport
La journalisation des Fireboxes gérés sur le cloud est automatiquement activée. Pour les Fireboxes gérés localement, vous devez activer manuellement la journalisation dans Fireware Web UI ou Policy Manager. Pour plus d'informations, consultez Définir les Préférences de Journalisation et de Notification.
Pour collecter les données requises pour ce rapport pour les Fireboxes gérés localement, dans Fireware Web UI ou Policy Manager :
-
Dans les paramètres Intrusion Prevention du Firebox, cochez la case Journaliser pour les niveaux de menace correspondant aux actions Bloquer et Abandonner. Pour plus d'informations, consultez Configurer Intrusion Prevention.