5.6.1. Ecran `Home`
de la web UI
`HOME`
ou `GATEWATCHER`
de la barre de navigation, l'écran `Home`
est affiché.Repère |
Description |
---|---|
1 |
|
2 |
|
3 |
5.6.1.1. Sélecteur de tableau de bord de l'écran `Home`
L'écran affiche un ensemble de :
un bouton pour sélectionner le GCap dont les informations ont affichées
trois boutons pour définir le thème des éléments affichés
Repère |
Nom |
Description |
Voir la description |
---|---|---|---|
1 |
Affichage des GCaps sélectionnés |
Sélection des GCap |
|
2 |
|
Sélection de l'affichage par défaut |
ci-dessous |
3 |
|
Sélection de l'écran des risques principaux |
|
4 |
|
Sélection de l'écran des relations principales |
5.6.1.2. Zone d'affichage de l'écran `Home`
`HOME`
ou `GATEWATCHER`
, la zone d'affichage se présente comme suit :- la zone indiquant le nombre de risques potentiels par niveau et par date (item 1 à 6)Ces éléments formant cette zone sont listés ci-après :
les compteurs des risques classés en Critical risk :
Définition d'un risque critique : une activité très suspecte a été détectée. Une activité dangereuse a été détectée. Il y a une forte probabilité que votre organisation est confrontée à une menace grave et les contre-meseares devraient être prises immédiatement.Par exemple, un utilisateur a téléchargé un logiciel malveillant ou un élément actif du réseau a contacté un domaine de commande et de contrôle connu. Définition de la couleur utilisée pour ce type d'alarmes dans la Web UI : rouge Niveau de risques de cette catégorie : 75 à 100 %
Repère
Moteur
Etat
1
`Critical risk`
`24h`
Compteur donnant le nombre de risques critiques apparus les 24 dernières heuresSi appui sur ce compteur, alors le système affiche la liste détaillée de chacun de ces risques (écran Alerts)2
`Critical risk`
`7 days`
Compteur donnant le nombre de risques critiques apparus les 7 derniers joursSi appui sur ce compteur, alors le système affiche la liste détaillée de chacun de ces risques (écran Alerts)
les compteurs des risques classés en High risk :
Définition d'un risque haut : une activité très suspecte a été détectée. Ce type d’événement devrait faire l’objet d’une enquête rapide car il pourrait être le signe d’une compromission importante.Il est possible que cet événement soit un faux positif ou lié à une mauvaise figuration dans le réseau. Définition de la couleur utilisée pour ce type d'alarmes dans la Web UI : orange Niveau de risques de cette catégorie : 50 à 74 %
Repère
Moteur
Etat
3
`High risk`
`24h`
Compteur donnant le nombre de risques hauts apparus les 24 dernières heuresSi appui sur ce compteur, alors le système affiche la liste détaillée de chacun de ces risques (écran Alerts)4
`High risk`
`7 days`
Compteur donnant le nombre de risques hauts apparus les 7 derniers joursSi appui sur ce compteur, alors le système affiche la liste détaillée de chacun de ces risques (écran Alerts)
les compteurs des risques classés en Medium risk :
- Définition d'un risque moyen : une activité qui pourrait être liée à une menace a été détectée.Le risque a été établi à des valeurs faibles, car la menace potentielle ne semble pas critique ou parce que la probabilité de faux est élevée.
- Définition de la couleur utilisée pour ce type d'alarmes dans la Web UI : jaune
- Niveau de risques de cette catégorie : 25 à 49 %
Repère
Moteur
Etat
5
`Medium risk`
`24h`
Compteur donnant le nombre de risques moyens apparus les 24 dernières heuresSi appui sur ce compteur, alors le système affiche la liste détaillée de chacun de ces risques (écran Alerts).6
`Medium risk`
`7 days`
Compteur donnant le nombre de risques moyens apparus les 7 derniers joursSi appui sur ce compteur, alors le système affiche la liste détaillée de chacun de ces risques (écran Alerts).les risques classés en low risk n'ont pas de compteur affiché :
Définition d'un risque bas : une activité inhabituelle a été détectée. Cela pourrait signifier que vous avez des politiques ou des usages réseau inhabituels.Ces types d’événements devraient être évoqués en dernier car ils ne sont pas le signe direct de compromissions importantes. Définition de la couleur utilisée pour ce type d'alarmes dans la Web UI : bleu Niveau de risques de cette catégorie : 0 à 24 %
- la zone indiquant l'état des moteurs (8).Si appui sur cette zone, alors le système affiche la page
`Health Checks`
(voir l'Ecran `Health checks` de la web UI). - la zone indiquant la datation de la détection (9) : ce calendrier indique quand ont été détectes les menaces potentielles.
- la zone d'associations MITRE (10).Si appui, alors le système affiche la page
`Alerts`
avec le filtrage MITRE (voir l'Ecran `Alerts` de la web UI).
5.6.1.3. Zone de messages de l'écran `Home`
Repère
Nom
Description
1
`RISK`
Si appui sur l’icône i alors le système affiche la définition des risques et la couleur correspondante2
`ALERT TYPE`
Type d'alerte (malware, shellcode, IDS, powershell, etc)3
`LAST SEEN`
Date et heure de la dernière apparitionSi appui sur la menace alors la fenêtre Alerts affiche les menaces ayant la même infection4
`NAME`
Nom de l'alerteSi appui sur ce champ alors la fenêtre Alerts affiche les menaces ayant la même infection que l'infection sélectionnée5
`COUNT`
Nombre d’occurrences de l'alarme6
`MITRE`
Type de menace sous forme d'icône : voir paragraphe Icônes MITRE7
`ACTIONS`
Affiche le sous menu`ACTIONS`
Pour une menace de type Malware, l'action possible est`Files transactions`
. Cette commande ouvre une fenêtre Kibana dans l'onglet`Malcore`
.Pour une menace de type Shellcode, l'action possible est`Go Hunting`
. Cette commande ouvre une fenêtre Kibana dans l'onglet`Codebreaker`
.
`Alerts`
affiche les menaces ayant la même infection que l'infection sélectionnée`SEE MORE`
permet d'afficher des informations dans la page `Alerts`
(voir l'Ecran `Alerts` de la web UI).5.6.1.3.1. Icônes MITRE
Dans la colonne MITRE, les différentes icônes suivantes peuvent être affichées :