S'applique À : WatchGuard Advanced Reporting Tool et Data Control
WatchGuard Advanced EPDR, EPDR et EDR (WatchGuard Endpoint Security) envoient des données à Advanced Visualization Tool qui les organise en tableaux de données faciles à lire.
Votre rôle d'opérateur détermine ce que vous pouvez afficher et faire dans WatchGuard Cloud. Votre rôle doit disposer de la permission Accéder aux Informations d'Accès aux Fichiers pour afficher ou configurer cette fonctionnalité. Pour de plus amples informations, accédez à Gérer les Opérateurs et Rôles de WatchGuard Cloud.
Chaque ligne d'un tableau de données est un événement surveillé par WatchGuard Endpoint Security. Les données sont conservées pendant un an. Advanced Visualization Tool vous permet d'effectuer des recherches, de parcourir et d'analyser les informations de vos tableaux de données.
- Pour afficher la liste des tableaux de données disponibles, dans le volet de gauche, sélectionnez Data Search.
La colonne Subtype indique la liste des tableaux.
Lorsque vous ouvrez un tableau de données, un raccourci apparaît dans le volet gauche sous Data Search. Sélectionnez le raccourci pour ouvrir rapidement le tableau de données.
Les chercheurs regroupent et organisent les étiquettes appliquées aux données selon quatre niveaux — Technology, Brand, Type et Subtype.
Tableaux Spécifiques aux Données de WatchGuard Advanced Reporting Tool
Ces tableaux de données sont disponibles par défaut avec l'étiquette Subtype. Pour plus d'informations sur les champs de chaque tableau de données, accédez à Advanced Reporting Tool — Champs de Données.
alert
Ce tableau de données comprend des informations sur les incidents affichés dans la mosaïque Activity du tableau de bord WatchGuard Endpoint Security. Elle contient une ligne pour chaque menace détectée sur le réseau avec des informations telles que l'ordinateur impliqué, le type d'incident, l'horodatage et le résultat.
Vous pouvez utiliser plusieurs champs du tableau Alerts pour extraire des informations précieuses sur les attaques :
- Eventdate — Regroupez par ce champ pour consulter le nombre d'attaques quotidiennes et déterminer s'il y a une attaque en cours.
- dwellTimeSecs — Fournit la fenêtre de détection des menaces reçues. Il s'agit de la période entre le moment où la menace est apparue pour la première fois sur le réseau et sa classification.
- itemHash — Étant donné que le nom de la menace varie selon les fournisseurs de sécurité, vous pouvez utiliser le champ de hachage pour regrouper les menaces au lieu du nom de l'élément (itemName). Cela permet également de distinguer les logiciels malveillants portant le même nom.
install
Ce tableau de données journalise des informations sur l'installation de l'endpoint agent sur les ordinateurs.
monitoredopen
Ce tableau de données journalise les fichiers de données consultés par des applications qui ne sont généralement pas utilisées pour accéder à ce type de fichier de données.
monitoredregistry
Ce tableau de données journalise chaque tentative de modification du registre ainsi que le moment où le logiciel accède aux autorisations du registre, aux mots de passe, aux magasins de certificats et à des informations similaires.
notblocked
Ce tableau de données journalise les éléments que WatchGuard Endpoint Security n'a pas analysé en raison de situations exceptionnelles, telles que l'expiration du délai de service au démarrage ou des modifications de configuration.
ops
Ce tableau de données journalise toutes les opérations effectuées par les processus détectés sur le réseau.
processnetbytes
Ce tableau de données journalise l'utilisation des données des processus détectés sur le réseau. ART génère un journal pour chaque processus environ toutes les quatre heures avec la quantité de données transférées depuis l'envoi du dernier journal.
Utilisez ce tableau pour afficher quels programmes sur les ordinateurs du réseau utilisent le plus de données. Ce tableau ne fait pas de différence entre l'utilisation des données internes et des données externes. La quantité totale de données utilisée par un processus peut être un mélange de données demandées sur Internet et de données obtenues à partir de vos serveurs internes (tels que les serveurs de messagerie, les serveurs Web Intranet, les fichiers partagés entre les stations de travail).
registry
Ce tableau de données enregistre toutes les opérations effectuées sur les branches de registre utilisées par les programmes malveillants pour devenir persistantes et survivre aux redémarrages de l'ordinateur.
Ce tableau enregistre le moment où les processus accèdent au registre et affectent les branches lues au démarrage du système pendant le processus de démarrage du système d'exploitation. Les logiciels malveillants modifient ces branches pour s'assurer qu'ils s'exécutent à chaque démarrage.
De nombreuses branches de registre permettent à un programme de s'exécuter au démarrage, mais celles les plus couramment utilisées par les chevaux de Troie et d'autres types de menaces sont :
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
- HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
- HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
socket
Ce tableau de données journalise toutes les connexions réseau établies par les processus détectés sur le réseau.
toastblocked
Ce tableau de données contient un enregistrement pour chaque processus bloqué car WatchGuard Endpoint Security n'a pas encore renvoyé la classification appropriée.
URLdownload
Ce tableau de données contient des informations sur les téléchargements HTTP effectués par les processus vus sur le réseau (tels que les URL, les données de fichiers téléchargés, les ordinateurs qui ont téléchargé des données).
Ce tableau présente tous les téléchargements effectués par les utilisateurs sur le réseau, qu'il s'agisse de logiciels malveillants ou de logiciels légitimes Vous pouvez filtrer par informations de téléchargement et afficher un graphique présentant les domaines qui reçoivent le plus de demandes de téléchargement.
vulnerableappsfound
Ce tableau de données journalise chaque application vulnérable détectée sur les ordinateurs du réseau. Contrairement au tableau Ops, dont les champs ocsExec, ocsName et ocsVer affichent les applications vulnérables exécutées sur le réseau, ce tableau affiche toutes les applications vulnérables qui résident sur les ordinateurs. WatchGuard Endpoint Security envoie un journal quotidien pour chaque application détectée. Lorsque WatchGuard Endpoint Security détecte une application, l'endpoint agent arrête d'envoyer l'événement correspondant.
Utilisez ce tableau pour déterminer quels ordinateurs du réseau disposent des applications les plus vulnérables.
Tableaux Spécifiques aux Données de WatchGuard Data Control
Quand un processus accède à des fichiers contenant des Données Personnelles Identifiables (Personally Identifiable Information, PII), les informations sont envoyées au serveur WatchGuard Data Control, où elles sont organisées dans un tableau.
Chaque ligne du tableau est un événement surveillé par Data Control et fournit des informations telles que le moment où l'événement s'est produit, l'ordinateur sur lequel il a eu lieu, son adresse IP, etc. Pour plus d'informations sur les champs de chaque tableau de données, accédez à Visualisation de Data Control – Champs de Données.
Ces tableaux de données sont disponibles par défaut dans Advanced Visualization Tool avec l'étiquette Subtype (Sous-type) :
ops
Ce tableau de données stocke toutes les informations liées à la surveillance des fichiers avec PII.
usrrules
Ce tableau de données stocke toutes les informations collectées à partir des fichiers spécifiés dans les règles définies par l'administrateur.
usrrulesmail
Ce tableau de données stocke toutes les informations collectées à partir des e-mails contenant des fichiers surveillés comme spécifié dans les règles définies par l'administrateur.
Ce tableau de données stocke toutes les informations collectées à partir des e-mails contenant des fichiers classés comme PII, ainsi que les caractéristiques des fichiers avec données personnelles.
Créer une Requête de Recherche
Exemple de Texte de Requête SQL