Créer une Enquête d'Ordinateur

S'applique À : WatchGuard Advanced EPDR

Vous pouvez créer une enquête d'ordinateur pour un ordinateur un jour donné puis examiner les détails des événements surveillés et collectés qui sont survenus.

Votre rôle d'opérateur détermine ce que vous pouvez afficher et faire dans WatchGuard Cloud. Votre rôle doit disposer de la permission Ajouter, Découvrir et Supprimer des Ordinateurs pour afficher ou configurer cette fonctionnalité. Pour de plus amples informations, accédez à Gérer les Opérateurs et Rôles de WatchGuard Cloud.

Pour créer une enquête d'ordinateur, dans l'UI de gestion d'Endpoint Security :

  1. Pour ouvrir les détails de l'ordinateur, sélectionnez Ordinateurs puis sélectionnez un ordinateur.
    L'enquête d'ordinateur de l'ordinateur sélectionné s'ouvre.
  2. Pour créer une enquête d'ordinateur pour un autre ordinateur, sur la page Enquête, cliquez sur .

    3. Screenshot of Computer Investigation menu option

  3. Sélectionnez Enquête d'Ordinateur.
    La page Enquêter sur l'Ordinateur s'ouvre.

    4. Screenshot of Investigate Computer page

  4. Cochez la case à cocher MUID ou Nom de l'Ordinateur puis saisissez l'identifiant unique ou le nom de l'ordinateur Windows dans la zone de texte.
  5. Dans les zones de texte De, sélectionnez la date et l'heure de début de l'enquête.
  6. Dans les zones de texte À, sélectionnez la date et l'heure de fin de l'enquête.

    7. La plage de dates ne peut être supérieure à deux jours. Vous pouvez choisir une date jusqu'à sept jours auparavant.

  7. Dans la liste déroulante Fuseau Horaire, sélectionnez le fuseau horaire.
  8. Cliquez sur OK.
    Une enquête d'ordinateur est créée.

Dans une enquête d'ordinateur, vous pouvez :

Les détails des événements ayant fait l'objet de l'enquête figurent dans une liste.

La première colonne (#) de la liste présente une icône représentant le type d'événement enregistré.

Icône Événement
Processus créé
Fichier exécutable modifié
Programme exécutable supprimé
Répertoire créé
Fichier compressé ouvert
Entrée de registre pointant vers un fichier exécutable modifié
Exploitation détectée
Fichier téléchargé
Processus inconnu bloqué en l'absence de session interactive sur l'ordinateur
Opération du registre
Exécution d'un fichier script
Quantité de données transmises sur le réseau
Échec de résolution DNS
L'Agent WatchGuard a affiché un message contextuel sur l'ordinateur de l'utilisateur
Fin d'une session interactive sur l'ordinateur
Événement administratif interne
Opération effectuée par un fichier exécutable qui n'a pas enregistré sa création
Processus distant créé
Fichier exécutable créé
Bibliothèque chargée
Fichier exécutable modifié
Fichier compressé créé
Création d'une entrée de registre pointant vers un fichier exécutable
Thread de processus distant créé
Événement non classifié
Opération réseau
Document ouvert
Fichier script créé
Menace détectée
Événement WMI (Windows Management Instrumentation) enregistré par SYSMON, qui a modifié les paramètres du système d'exploitation de l'ordinateur
Opération de contrôle du périphérique
Début d'une session interactive sur l'ordinateur
Action exécutée par WatchGuard Endpoint Security installé sur l'ordinateur
Ordinateur redémarré
WatchGuard Endpoint Security a détecté un fichier exécutable dont la création n'a pas été enregistrée en raison d'un problème temporaire ou car le fichier existait avant l'installation du logiciel de sécurité

Pour de plus amples informations concernant les informations incluses dans les événements, consultez Champs des Événements Reçus par Cytomic Orion (lien externe).

Vous pouvez créer des groupes d'éléments en fonction des valeurs d'une colonne sélectionnée.

Pour créer des groupes :

  • Faites glisser une colonne dans la barre Faire Glisser Ici pour Définir des Groupes de Lignes.

Pour afficher la télémétrie détaillée collectée pour un événement spécifique ainsi que les informations MITRE, vous pouvez :

  • Sélectionnez un événement.
  • Faites un clic droit sur un événement puis sélectionnez l'une des options suivantes :
    1. Afficher les Ordinateurs avec le Fichier Parent
    2. Afficher les Ordinateurs avec le Fichier Enfant
    3. Afficher les Informations Statiques du Fichier Parent
    4. Afficher les Informations Statiques du Fichier Enfant
    5. Graphiques
      Pour plus d'informations sur les graphiques, accédez à Fenêtre Graphique d'Enquête.

Screenshot of the Event Details in the Investigation Tab

Vous pouvez afficher les détails MITRE uniquement pour les ordinateurs dont le mode Verbeux est activé. Pour de plus amples informations concernant le mode Verbeux, accédez à Configurer le Mode Verbeux.

Modifier les Colonnes de la Liste Détails de l'Evénement

Vous pouvez modifier les colonnes et leur ordre dans la liste.

Pour afficher ou masquer des colonnes de la liste :

  1. Sur la page Enquête, cliquez sur Colonnes.
    La liste de colonnes à afficher ou à masquer s'ouvre.

    2. Scrennshot of the Columns screen to change the items in the list

  2. Pour inclure un détail d'événement dans la liste, cochez la case à cocher de la colonne que vous souhaitez afficher dans la liste.
    La colonne s'affiche dans la liste.
  3. Pour supprimer un détail d'événement, décochez la case à cocher de la colonne.
    La colonne est supprimée de la liste.
  4. Pour modifier l'ordre des colonnes, faites glisser le paramètre d'événement vers le haut ou le bas de la liste.

Sur la page Enquête, vous pouvez afficher des étiquettes colorées pour les catégories d'événements ainsi que le nombre total d'événements enregistrés sur l'ordinateur ayant fait l'objet de l'enquête à la date et à l'heure spécifiées.

Screenshot of the Information Bar on the Investigation Tab

Pour ouvrir un volet flottant qui affiche les événements de l'étiquette sélectionnée, cliquez sur une étiquette.

Vous pouvez consulter les étiquettes d'événement suivantes :

  • Détections — Événements de détection des menaces générés par le logiciel de sécurité installé sur la station de travail ou le serveur.
  • UserNotifications — Événements susceptibles de nuire à la sécurité de l'ordinateur et nécessitant une action de la part de l'utilisateur.
  • RemediationOps — Événements qui nécessitent une action de la part du logiciel de sécurité de l'ordinateur.
  • Indicateurs — Indicateurs générés.

Dans la section Filtres, vous pouvez filtrer vos résultats et rechercher un événement spécifique.

Screenshot of the Filter tab on the Investigation Tab

Vous pouvez spécifier les paramètres suivants pour filtrer et rechercher des événements :

  • Ordinateur — Affiche le nom ou le MUID de l'ordinateur ayant fait l'objet de l'enquête.
  • MD5 — Affiche le MD5 du fichier analysé lors de l'enquête.
  • Date — Indique la période de l'enquête. Lorsque vous cliquez sur les zones de texte, un calendrier s'affiche afin de vous permettre de modifier l'intervalle de dates. La période maximale est de 48 heures.
  • Fuseau Horaire — Définit un fuseau horaire pour la recherche. Les résultats s'affichent dans le volet central avec le fuseau horaire que vous avez défini.

    • La plage de dates ne peut être supérieure à deux jours. Vous pouvez également sélectionner une date jusqu'à sept jours auparavant.

  • Résultats — Filtre la liste des événements en fonction du contenu saisi dans la zone de texte. Les recherches sont effectuées sur toutes les colonnes des entrées de la liste. Vous pouvez saisir uniquement une chaîne partielle peut être saisie.
  • Tactique — Pour filtrer par tactique, saisissez une partie du nom de la tactique ou cliquez sur . La liste des tactiques associées aux événements de la liste s'affiche.
  • Technique/Sous-technique — Pour filtrer par technique ou sous-technique, saisissez une partie du nom de la technique ou de la sous-technique ou cliquez sur . La liste des techniques ou sous-techniques associées aux événements de la liste s'affiche.
  • Ajouter un indicateur — Pour filtrer par indicateur, saisissez une partie du nom de l'indicateur ou cliquez sur . La liste des indicateurs associés aux événements de la liste s'affiche.
  • Options — Active ou désactive la chronologie des événements et l'arborescence du processus.
    Pour de plus amples informations concernant la chronologie des événements, accédez à Consulter les Graphiques d'Événements.
    Pour de plus amples informations concernant l'arborescence du processus, accédez à Arborescence du Processus.

Sur la page Enquête, vous pouvez afficher graphiquement le nombre d'événements survenus pour chaque unité de temps.

Screenshot of the event graph

Sur les graphiques, vous pouvez :

  • Pointer le curseur sur le graphique de manière à afficher le nombre d'événements survenus à un moment donné.
  • Faire glisser la barre vers la gauche ou la droite pour modifier l'intervalle de l'activité représentée dans le graphique.
  • Cliquer n'importe où dans le graphique et faire glisser le curseur pour définir une nouvelle fenêtre et afficher l'activité. Le graphique est mis à jour avec un nouveau niveau de zoom et une nouvelle période pour les données disponibles.

Pour consulter les graphiques :

  • Dans la section Filtres, cochez la case à cocher Chronologie.

Screenshot of the timeline setting in Filters section

L'Arborescence du processus présente la hiérarchie de tous les processus exécutés sur l'ordinateur.

Screenshot of the process tree

Pour afficher l'arborescence du processus :

  • Dans la section Filtres, cochez la case à cocher Arborescence du Processus.

Screenshot of the process tree setting in Filters section

Dans l'Arborescence du processus, vous pouvez :

  • Développer un processus pour afficher les sous-processus.
  • Sélectionner un processus pour rechercher un événement associé à un processus.
  • Réduire ou développer les branches de l'arborescence.
  • Filtrer l'arborescence du processus.

Rubriques Connexes

À Propos de l'Outil Requête SQL Avancée

Configurer le Mode Verbeux