Enquêter sur le Trafic ThreatSync+

S'applique À : ThreatSync+ NDR, ThreatSync+ SaaS

La page Trafic offre une puissante interface de recherche et de filtrage qui vous permet d'enquêter de manière plus approfondie sur l'activité de votre réseau. Vous pouvez ouvrir la page Trafic à partir de plusieurs autres emplacements dans l'UI de ThreatSync+. Lorsque vous accédez à la page Trafic à partir d'une autre page, celle-ci est automatiquement préremplie avec des filtres illustrant les détails de la Smart Alert, du comportement, de l'alerte de stratégie, de l'actif ou du nœud que vous avez précédemment consulté(e).

Screenshot of the Traffic page in ThreatSync+ NDR

La page Trafic comporte les éléments suivants :

  • Contrôles du Filtre d'Activité
  • Graphique d'activité
  • Registres d'activité détaillés
  • Volet Acteur Connu

Filtres d'Activité

Les filtres d'activité vous permettent de sélectionner le type d'activité à afficher. Vous pouvez ainsi filtrer les résultats en fonction des filtres de données et de trafic que vous sélectionnez.

Screenshot of the Activity Filters on the Traffic page

Vous pouvez utiliser des filtres d'activité spécifique pour filtrer les informations affichées sur la page.

Pour de plus amples informations concernant les filtres d'activité, consultez les sections suivantes :

Source des Données

Si vos collecteurs reçoivent des journaux de trafic ou des flux NetFlow de Fireboxes ou d'agents de Collecte ThreatSync+ NDR, les sources de données suivantes sont disponibles :

  • Nombre de flux NetFlow
  • Nombre de paquets NetFlow
  • Nombre d'octets NetFlow
  • Événements anormaux générés par ThreatSync+ NDR

Filtres de Données

Les filtres de données disponibles dépendent du type de source de données sélectionné. Ce tableau explique les filtres disponibles avec chaque source de données.

Filtre de Données Description Sources de Données NetFlow Source de Données des Événements
Numéro de Port Numéro de port de l'application. Il s'agit généralement du port de destination utilisé par le demandeur lorsqu'il communique avec le répondant. Oui, pour TCP et UDP Oui
Conversations Calculé par ThreatSync+ NDR en fonction du type de protocole, des indicateurs et de l'heure des journaux NetFlow, qui indiquent la nature de la conversation. Les valeurs indiquent si le protocole est ICMP, TCP ou UDP, et si les flux font partie d'une conversation bidirectionnelle ou s'ils ont été sans réponse. Oui Oui
Type d'Anomalie Type d'événement anormal généré par le moteur d'analyse ThreatSync+ NDR. Non Oui

Vous pouvez configurer chaque type de filtre de manière à :

  • Inclure tous les enregistrements d'activité d'une ou plusieurs valeurs sélectionnées.
  • Inclure tous les enregistrements d'activité à l'exception des valeurs sélectionnées.
  • Pour le filtre de données Type d'Anomalie, vous pouvez modifier l'Échelle de Gravité des Alertes lorsqu'un ou plusieurs de ces types d'anomalie sont sélectionnés :
    • Volume Important Provenant d'un Actif
    • Volume Important à Destination d'un Actif
    • Nombre Élevé de Paquets Provenant d'un Actif
    • Nombre Élevé de Paquets à Destination d'un Actif
    • Données Envoyées À un Grand Nombre d'Hôtes
    • Données Reçues Provenant d'un Grand Nombre d'Hôtes
    • Données Envoyées À un Grand Nombre de Villes
    • Données Reçues Provenant d'un Grand Nombre de Villes
    • Durée Inhabituelle de connexion Sortante
    • Durée Inhabituelle de connexion Entrante
    • Rapport Élevé d'Octets Sortants Sur Octets Entrants
    • Rapport Élevé d'Octets Entrants Sur Octets Sortants
    • Rapport Élevé de Paquets Sortants Sur Paquets Entrants
    • Rapport Élevé de Paquets Entrants Sur Paquets Sortants
    • Taux Élevé d'Octets Entrants
    • Taux Élevé d'Octets Sortants
    • Taux Élevé de Paquets Entrants
    • Taux Élevé de Paquets Sortants
    • Nombre Élevé de Flux Entrants
    • Nombre Élevé de Flux Sortants
    • Taux Inhabituel d'Octets Entrants Par Flux
    • Taux Inhabituel d'Octets Sortants Par Flux
    • Rapport Élevé d'Octets Entrants sur Paquets Entrants
    • Rapport Élevé d'Octets Sortants sur Paquets Sortants
    • Tunnel DNS à Haut Débit Suspecté
    • Tunnel DNS à Faible Débit Suspecté
    • Durée Totale Inhabituelle des Connexions Sortantes
    • Durée Totale Inhabituelle des Connexions Entrantes
    • Nombre Inhabituel d'Événements Anormaux

Pour de plus amples informations, accédez à Modifier l'Échelle de Gravité des Alertes de Stratégie.

Vous pouvez également utiliser des filtres temporels de manière à spécifier la période que vous souhaitez afficher pour l'activité.

Ensembles de Trafics

Vous pouvez employer des ensembles de trafics de manière à filtrer les adresses source et de destination des enregistrements d'activité. Les enregistrements NetFlow et les enregistrements d'événements comportent chacun un ensemble d'identifiants de source et d'identifiants de destination. Les champs des adresses IP source et de destination proviennent directement du trafic de données surveillé.

Les champs supplémentaires de l'enregistrement d'activité sont alimentés par des métadonnées collectées par ThreatSync+ dans votre environnement ou au moyen de services de nommage Internet approuvés. Les champs suivants sont renseignés pour chaque adresse IP de chaque flux de données :

  • Nom du Pays
  • Nom de la Localité
  • Nom de Domaine
  • Nom de l'Organisation
  • Nom de l'Actif
  • Zone de Réseau Interne ou Externe

Les ensembles de trafics représentent l'activité de requêtes et de réponses entre une source et une destination. Les sources et les destinations sont définies comme des adresses IP individuelles ou des groupes d'adresses IP correspondant à un nom de pays, un nom de localité, un nom de domaine, un nom d'organisation, un nom d'actif ou une zone de réseau.

Un ensemble de trafics comprend :

  • L'activité de requêtes de la source vers la destination.
  • L'activité de réponse de la destination vers la source.

Ajouter un Filtre d'Ensemble de Trafics

Les ensembles de trafics vous permettent de regrouper des trafics similaires en fonction de la source, de la destination et de la direction du trafic afin de faciliter l'examen des activités potentiellement inhabituelles.

Pour ajouter un filtre d'ensemble de trafics :

  1. Sur la page Trafic, cliquez sur Ajouter un Filtre d'Ensemble de Trafics.
    La boîte de dialogue Ajouter un Filtre d'Ensemble de Trafics sur lequel Enquêter s'ouvre.

Screenshot of the Add a Traffic Set Filter to Investigate dialog box

  1. Saisissez un titre pour le filtre d'ensemble de trafics.
  2. Dans la section Demandeurs, sélectionnez un Type de Demandeur. Sélectionnez un sous-type associé.
  3. Dans la section Répondants, sélectionnez un Type de Répondant. Sélectionnez un sous-type associé.
  4. (Facultatif) Pour ajouter un autre champ de même type et de même sous-type, cliquez sur L'icône Ajouter.
  5. Pour sélectionner le sens du trafic entre les demandeurs et les répondants, cliquez sur la flèche. Le sens du trafic par défaut est Toutes les activités entre les Demandeurs et les Répondants.
  6. Cliquez sur Enregistrer.

Afficher Tout le Trafic Entrant et Sortant d'une Adresse IP — Exemple de Configuration

Pour afficher l'ensemble du trafic en provenance et à destination d'une adresse IP, créez deux ensembles de trafics.

Pour le premier ensemble de trafics :

  1. Dans la section Demandeurs, pour le Type de Demandeur, sélectionnez IP.
  2. Dans la zone de texte Adresse IP, saisissez une adresse IP.
  3. Dans la section Répondants, dans la liste déroulante Type de Répondant, sélectionnez Réseau.
  4. Dans la liste déroulante Sélectionner le Type de Réseau, sélectionnez Interne et Externe.

Screenshot of a traffic set example

Pour le deuxième ensemble de trafics :

  1. Dans la section Demandeurs, dans la liste déroulante Type de Demandeur, sélectionnez Réseau.
  2. Dans la liste déroulante Sélectionner le Type de Réseau, sélectionnez Interne et Externe.
  3. Dans la section Répondants, dans la liste déroulante Type de Répondant, sélectionnez IP.
  4. Dans le champ Adresse IP, saisissez une adresse IP.

Screenshot of the second traffic filter example configuration

Graphique d'Activité

Le Graphique d'Activité est un graphique à lignes multiples comportant une série par ensemble de trafics défini, filtré en fonction des paramètres sélectionnés dans les filtres d'activité.

Pour masquer ou afficher chaque série, cliquez sur son nom dans la légende du graphique.

Screenshot of the Traffic Graph on the Traffic page

Enregistrements d'Activité

La section Enregistrements d'Activité indique les enregistrements de flux de conversation ou d'événements individuels sélectionnés. Vous pouvez trier le tableau par colonne, ou par ordre croissant ou décroissant.

Pour filtrer les enregistrements d'activité, saisissez du texte dans la zone de texte Filtrer le Trafic. Cette opération ne filtre pas le graphique.

Screenshot of the Activity Records section of the Traffic page in ThreatSync+ NDR

Pour afficher plus de détails concernant une activité spécifique, cliquez sur L'icône Loupe en face d'elle.

Volet Acteur Connu

Pour développer le volet Acteur Connu, dans la section supérieure droite de la page Trafic, cliquez sur L'icône Développer. Le volet Acteur Connu affiche les informations concernant les adresses IP, les périphériques et les ports appartenant à vos ensembles et vos filtres de trafic. Vous pouvez développer chaque élément du panneau pour afficher davantage d'informations et des liens vers d'autres détails concernant l'élément.

Screenshot of the Known Actor pane on the Traffic page

Si vous filtrez par port dans la section Filtres d'Activité, vous pouvez afficher les ports dans le volet Acteur Connu. Dans la section Ports, développez un élément pour afficher les détails du port.

Screenshot of the Ports section on the Known Actor pane

Cliquez sur Rechercher les détails du port pour accéder à un site externe de manière à en savoir plus concernant le port.

Rubriques Connexes

Surveiller ThreatSync+

À Propos de la Page Synthèse de ThreatSync+