S'applique À : WatchGuard Advanced EPDR
La fenêtre du graphique d'enquête utilise des couleurs, des volets d'information ainsi que d'autres ressources pour fournir des informations concernant les entités et leurs relations mutuelles. Endpoint Security utilise le modèle d'Arborescence du Processus pour présenter ces informations sous forme de graphiques. Ce modèle constitue une représentation graphique de l'arborescence d'exécution d'un processus spécifique, où les nœuds correspondent aux entités qui participent à une opération (processus, fichiers, cibles de communication ou d'opération), tandis que les flèches représentent les opérations.
Les différentes propriétés d'un graphique sont les suivantes :
- Couleurs et Icônes des Nœuds — Classifie un nœud en fonction des entités de menace participant à une opération et de l'action exécutée sur l'élément.
- Couleurs et Styles des Flèches — Indique si l'élément a été bloqué ou non, le nombre et le sens des actions exécutées entre les nœuds ainsi que les informations du processus.
Couleurs et Icônes des Nœuds
L'étiquette d'un nœud indique le nom de l'entité. Lorsque vous cliquez sur une entité, un volet d'information s'ouvre sur la droite avec les informations de l'entité. La couleur du nœud indique le type de menace.
| Couleur | Description |
|---|---|
|
|
Élément classifié comme logiciel malveillant. |
|
|
Elément classifié comme PPI, suspect ou non classifié. |
|
(Couleur d'origine) |
Élément classifié comme goodware. |
Les icônes des nœuds représentent les différentes entités ayant participé à une opération.
| Icône | Description | Icône | Description |
|---|---|---|---|
|
|
Processus. S'il appartient à un progiciel connu, l'icône processus s'affiche. |
|
Fichier compressé |
|
|
Thread distant |
|
Fichier exécutable |
|
|
Bibliothèque |
|
Fichier script |
|
|
Protection |
|
Valeur de la branche de registre Windows |
|
|
Dossier |
|
URL utilisée par une communication |
|
|
Fichier non exécutable |
|
Adresse IP d'une communication |
Les icônes d'état indiquent l'action exécutée sur un élément.
| Icône | Description | Icône | Description |
|---|---|---|---|
|
|
Fichier supprimé |
|
Fichier mis en quarantaine |
|
|
Dossier désinfecté |
|
Processus supprimé |
Couleurs et Styles des Flèches
L'étiquette d'une flèche indique le nom de l'action exécutée par le processus. Lorsque vous cliquez sur l'étiquette, un volet d'information décrit l'événement survenu.
La couleur des flèches indique si Endpoint Security a bloqué ou autorisé l'action.
- Rouge — L'action a été classifiée comme menace et bloquée par le logiciel de protection.
- Bloquer
- BlockTimeout
- BlockExploit
- BlockBL
- Désinfecter
- Supprimer
- Quarantaine
- KillProcess
- IPBlocked
- Noir — L'action a été autorisée.
Styles des Flèches
-
Épaisseur de la Flèche — Représente le nombre de fois où le même type d'action a été exécuté entre deux nœuds. Plus le nombre d'actions est élevé, plus la flèche est épaisse. Lorsque vous cliquez sur une flèche, le volet d'information affiche les dates auxquelles la première et la dernière action du groupe ont eu lieu.
-
Direction de la Flèche — Indique le sens de l'action.
Affichage Par Défaut
Par défaut, le graphique s'affiche horizontalement avec le nœud sélectionné au centre du graphique. Il est entouré d'un sous-ensemble de nœuds qui lui sont liés :
- Le graphique affiche trois niveaux de nœuds au-dessus du nœud principal.
- Le graphique affiche les nœuds situés au niveau immédiatement inférieur au nœud principal.
Le graphique peut afficher au maximum jusqu'à 25 nœuds au même niveau. En présence de plus de 25 nœuds, le graphique n'indique aucun nœud.
Afficher les Nœuds Enfants
L'icône M située en bas à gauche d'un nœud indique que le nœud possède des nœuds enfants masqués. Pour afficher les nœuds enfants, faites un clic droit sur le nœud. Dans le menu qui s'ouvre, sélectionnez l'une des options suivantes :
- Afficher le Parent — Affiche les nœuds parents du nœud sélectionné.
- Afficher Toute l'Activité (Nombre) — Affiche tous les nœuds enfants, quel que soit leur type. Le nombre maximum de nœuds pouvant être affichés est de 25. Le nombre total d'événements reliant le nœud parent au nœud enfant s'affiche également.
- Afficher les Enfants — Ouvre une liste déroulante. Sélectionnez le type de nœuds enfants que vous voulez afficher puis sélectionnez le nombre de nœuds de chaque type. Les types de nœuds sont les suivants :
- Fichiers de Données — Fichiers contenant des informations non identifiées.
- Fichiers Script — Fichiers contenant des séquences de commandes.
- Téléchargements — Fichiers de données téléchargés à partir d'Internet ou du réseau.
- DNS — Domaines qui ne sont pas parvenus à résoudre l'adresse IP.
- Entrées du Registre Windows — Entrées du registre de Windows.
- Fichiers Compressés — Fichiers de données compressés.
- Fichiers PE — Fichiers exécutables.
- Threads Distants — Threads distants.
- IP — Adresses IP de chaque point d'extrémité de la communication.
- Bibliothèques — Bibliothèques.
- Processus — Processus.
- Protection — Action exécutée par la protection antivirus.
Lorsque vous sélectionnez et faites un clic droit sur plusieurs nœuds du graphique, seules les options s'appliquant à tous les nœuds sélectionnés s'affichent dans le menu.