5.6.1. Ecran `Home` de la web UI

Après appui sur l'un des boutons `HOME` ou `GATEWATCHER` de la barre de navigation, l'écran `Home` est affiché.
Il comprend les éléments suivants :
../../_images/HOME-2.PNG

Repère

Description

1

Sélecteur de tableau de bord de l'écran `Home`

2

Zone d'affichage de l'écran `Home`

3

Zone de messages de l'écran `Home`

5.6.1.1. Sélecteur de tableau de bord de l'écran `Home`

L'écran affiche un ensemble de :

  • un bouton pour sélectionner le GCap dont les informations ont affichées

  • trois boutons pour définir le thème des éléments affichés

../../_images/HOME-BUTTON1.PNG

Repère

Nom

Description

Voir la description

1

Affichage des GCaps sélectionnés

Sélection des GCap

2

`HOME`

Sélection de l'affichage par défaut

ci-dessous

3

`TOP RISK`

Sélection de l'écran des risques principaux

Ecran `Top risk` de la web UI

4

`TOP RELATIONS`

Sélection de l'écran des relations principales

Ecran `Top relations` de la web UI

5.6.1.2. Zone d'affichage de l'écran `Home`

Après appui sur l'un des boutons `HOME` ou `GATEWATCHER`, la zone d'affichage se présente comme suit :
../../_images/HOMECENTRAL.PNG
L'affichage présente les informations de détection provenant du (ou des) GCap(s) sélectionné(s) (7).
L'écran présente un résumé de l'état de la détection :
  • la zone indiquant le nombre de risques potentiels par niveau et par date (item 1 à 6)
    Ces éléments formant cette zone sont listés ci-après :

  • les compteurs des risques classés en Critical risk :

  • Définition d'un risque critique : une activité très suspecte a été détectée. Une activité dangereuse a été détectée. Il y a une forte probabilité que votre organisation est confrontée à une menace grave et les contre-meseares devraient être prises immédiatement.
    Par exemple, un utilisateur a téléchargé un logiciel malveillant ou un élément actif du réseau a contacté un domaine de commande et de contrôle connu.
  • Définition de la couleur utilisée pour ce type d'alarmes dans la Web UI : rouge
  • Niveau de risques de cette catégorie : 75 à 100 %

Repère

Moteur

Etat

1
`Critical risk`
`24h`
Compteur donnant le nombre de risques critiques apparus les 24 dernières heures
Si appui sur ce compteur, alors le système affiche la liste détaillée de chacun de ces risques (écran Alerts)

2
`Critical risk`
`7 days`
Compteur donnant le nombre de risques critiques apparus les 7 derniers jours
Si appui sur ce compteur, alors le système affiche la liste détaillée de chacun de ces risques (écran Alerts)

  • les compteurs des risques classés en High risk :

  • Définition d'un risque haut : une activité très suspecte a été détectée. Ce type d’événement devrait faire l’objet d’une enquête rapide car il pourrait être le signe d’une compromission importante.
    Il est possible que cet événement soit un faux positif ou lié à une mauvaise figuration dans le réseau.
  • Définition de la couleur utilisée pour ce type d'alarmes dans la Web UI : orange
  • Niveau de risques de cette catégorie : 50 à 74 %

    Repère

    Moteur

    Etat

    3
    `High risk`
    `24h`
    Compteur donnant le nombre de risques hauts apparus les 24 dernières heures
    Si appui sur ce compteur, alors le système affiche la liste détaillée de chacun de ces risques (écran Alerts)

    4
    `High risk`
    `7 days`
    Compteur donnant le nombre de risques hauts apparus les 7 derniers jours
    Si appui sur ce compteur, alors le système affiche la liste détaillée de chacun de ces risques (écran Alerts)

  • les compteurs des risques classés en Medium risk :

    • Définition d'un risque moyen : une activité qui pourrait être liée à une menace a été détectée.
      Le risque a été établi à des valeurs faibles, car la menace potentielle ne semble pas critique ou parce que la probabilité de faux est élevée.
    • Définition de la couleur utilisée pour ce type d'alarmes dans la Web UI : jaune
    • Niveau de risques de cette catégorie : 25 à 49 %

    Repère

    Moteur

    Etat

    5
    `Medium risk`
    `24h`
    Compteur donnant le nombre de risques moyens apparus les 24 dernières heures
    Si appui sur ce compteur, alors le système affiche la liste détaillée de chacun de ces risques (écran Alerts).

    6
    `Medium risk`
    `7 days`
    Compteur donnant le nombre de risques moyens apparus les 7 derniers jours
    Si appui sur ce compteur, alors le système affiche la liste détaillée de chacun de ces risques (écran Alerts).

  • les risques classés en low risk n'ont pas de compteur affiché :

  • Définition d'un risque bas : une activité inhabituelle a été détectée. Cela pourrait signifier que vous avez des politiques ou des usages réseau inhabituels.
    Ces types d’événements devraient être évoqués en dernier car ils ne sont pas le signe direct de compromissions importantes.
  • Définition de la couleur utilisée pour ce type d'alarmes dans la Web UI : bleu
  • Niveau de risques de cette catégorie : 0 à 24 %
  • la zone indiquant l'état des moteurs (8).
    Si appui sur cette zone, alors le système affiche la page `Health Checks` (voir l'Ecran `Health checks` de la web UI).
  • la zone indiquant la datation de la détection (9) : ce calendrier indique quand ont été détectes les menaces potentielles.
  • la zone d'associations MITRE (10).
    Si appui, alors le système affiche la page `Alerts` avec le filtrage MITRE (voir l'Ecran `Alerts` de la web UI).

5.6.1.3. Zone de messages de l'écran `Home`

../../_images/HOME_REP4.PNG
La liste des messages affiche les 10 menaces agrégées ayant le plus haut niveau de risques.
Cette zone donne les informations suivantes :

Repère

Nom

Description

1
`RISK`
Si appui sur l’icône i alors le système affiche la définition des risques et la couleur correspondante

2
`ALERT TYPE`
Type d'alerte (malware, shellcode, IDS, powershell, etc)

3
`LAST SEEN`
Date et heure de la dernière apparition
Si appui sur la menace alors la fenêtre Alerts affiche les menaces ayant la même infection

4
`NAME`
Nom de l'alerte
Si appui sur ce champ alors la fenêtre Alerts affiche les menaces ayant la même infection que l'infection sélectionnée

5
`COUNT`
Nombre d’occurrences de l'alarme

6
`MITRE`
Type de menace sous forme d'icône : voir paragraphe Icônes MITRE

7
`ACTIONS`
Affiche le sous menu `ACTIONS`
Pour une menace de type Malware, l'action possible est `Files transactions`. Cette commande ouvre une fenêtre Kibana dans l'onglet `Malcore`.
Pour une menace de type Shellcode, l'action possible est `Go Hunting`. Cette commande ouvre une fenêtre Kibana dans l'onglet `Codebreaker`.
L'appui sur une menace ouvre la fenêtre `Alerts` affiche les menaces ayant la même infection que l'infection sélectionnée
Le bouton (8) `SEE MORE` permet d'afficher des informations dans la page `Alerts` (voir l'Ecran `Alerts` de la web UI).

5.6.1.3.1. Icônes MITRE

Dans la colonne MITRE, les différentes icônes suivantes peuvent être affichées :

Icône

Nom

Description du type de menace

voir plus d'informations
../../_images/execution.png

Execution

L’adversaire essaie d’exécuter un code malveillant.

https://attack.mitre.org/versions/v10/tactics/TA0002/
../../_images/persistence.png

Persistence

L’adversaire essaie de maintenir sa prise.

https://attack.mitre.org/versions/v10/tactics/TA0003/
../../_images/privilege.png

Privilege Escalation

L’adversaire essaie d’obtenir des autorisations de niveau supérieur

https://attack.mitre.org/versions/v10/tactics/TA0004/
../../_images/defense.png

Defense Evasion

L’adversaire essaie d’éviter d’être détecté.

https://attack.mitre.org/versions/v10/tactics/TA0005/
../../_images/lateral.png

Lateral Movement

L’adversaire essaie de se déplacer dans votre environnement.

https://attack.mitre.org/versions/v10/techniques/T1210/