7.5. Utilisation des tableaux de bord NDR

7.5.1. Introduction

Lorsqu'une attaque est avérée sur un système d'information, les équipes d'analystes doivent pouvoir comprendre rapidement qu'elle est l'origine de cette dernière, sa cible et son impact global.
Les tableaux de bord NDR du GCenter vont faciliter ces investigations en mettant à disposition de nombreuses informations essentielles.
Ils vont permettre :
  • d'analyser les alertes pour chaque type de moteur

  • de visualiser les informations et les alertes propres aux équipements du réseau

  • de visualiser les informations et les alertes propres aux utilisateurs du réseau

  • de visualiser les relations entre les différents équipements et utilisateurs

Voir la Présentation de l'interface graphique WEB UI

Pour

aller à la

Récupération des informations liées à une alerte

Procédure de récupération des informations liées à une alerte

Traitement d'un équipement

Procédure de traitement d'un équipement

Traitement d'un utilisateur

Procédure de traitement d'un utilisateur

Gestion des règles d'association

Procédure de gestion des règles d'association

Relation entre équipements et utilisateurs

Procédure d'analyse des relations entre équipements et utilisateurs


7.5.2. Prérequis

  • Utilisateur : membre du groupe Operator


7.5.3. Opérations préliminaires


7.5.4. Procédure de récupération des informations liées à une alerte

  • Dans la barre de navigation, cliquer sur le bouton `Home`.
    Dans la Zone de messages de l'écran `Home`, sont affichés les alertes classées par niveau de risque.
../_images/HOME_REP4.PNG
  • Cliquer sur une alerte nécessitant une investigation.
    L'écran `Alerts` de la web UI est affiché.
    ../_images/ALERTS-00.PNG
  • Si le bouton `Aggregated` est coché, cliquer à nouveau sur l'alerte dans la page qui s'affiche.
  • Une fois les alertes non agrégées, cliquer sur l'alerte nécessitant une investigation.
    Une popup s'affiche avec les détails de l'alerte.
    ../_images/ALERTE-INFO.PNG

    Cette fenêtre affiche des informations importantes :

    • les détails de l'alerte

    • le nom des équipements concernés (ou impactés) par cette alerte

    • les adresses IP concernées (ou impactées) par cette alerte

    Note

    Cette fenêtre est détaillée dans le paragraphe Fenêtre d'informations sur une alerte.

  • Cliquer sur le nom d'un des équipements en question dans la popup afin d'afficher la fiche de l'équipement.
    Sont affichés :
    • son score de risque

    • son adresse IP

    • son adresse mac

    • les métadonnées générées

    • les alertes générées

  • A partir de l'IP de l'équipement, faire une recherche sur cette dernière dans la page `Users` (exemple : IP:192.168.0.1)

  • Cliquer sur l'utilisateur afin d'afficher la fiche utilisateur.
    Sont affichés :
    • son score de risque

    • son adresse IP

    • son ou ses équipements présents sur le réseau

    • les métadonnées générées

    • les alertes générées

    • ses relations avec les autres équipements ou utilisateurs du réseau

  • Continuer les investigations, comme ci-dessus, si d'autres équipements sont présents dans l'alerte traitée.


7.5.5. Procédure de traitement d'un équipement

  • Dans la barre de navigation, cliquer sur le bouton `Assets`.

../_images/ASSETS-03.PNG
L'interface de gestion des équipements actifs présente une liste des différents équipements présents sur le réseau classés par score de risque.
L'équipement ayant le score de risque le plus élevé est celui ayant levé le plus d'alertes de criticité élevée.
Il peut donc être nécessaire de réaliser une analyse approfondie sur l'équipement en question.
  • Cliquer sur l'équipement souhaité.

  • Analyser les différentes alertes (1) relevées pour cet équipement.

  • Si cela est nécessaire, ajouter un tag (8) qui permettra de donner un statut à l'équipement.

  • Si cela est nécessaire, ajouter une note (9) qui permettra d'indiquer les différentes analyses effectuées.


7.5.6. Procédure de traitement d'un utilisateur

  • Dans la barre de navigation, cliquer sur le bouton `Users`.

../_images/USERS-02.PNG
L'interface de gestion des utilisateurs présente une liste des différents utilisateurs présents sur le réseau classés par score de risque.
L'utilisateur ayant le score de risque le plus élevé est celui ayant levé le plus d'alertes de criticité élevée.
Il peut donc être nécessaire de réaliser une analyse approfondie sur l'utilisateur en question.
  • Cliquer sur l'utilisateur souhaité.

  • Analyser les différentes alertes relevées pour cet utilisateur.

  • Si cela est nécessaire, ajouter un tag qui permet de donner un statut à l'utilisateur.

  • Si cela est nécessaire, ajouter une note qui permet d'indiquer les différentes analyses effectuées.


7.5.7. Procédure de gestion des règles d'association


7.5.8. Procédure d'analyse des relations entre équipements et utilisateurs

  • Dans la barre de navigation, cliquer sur le bouton `Relations`.

../_images/RELATIONS.PNG
  • Choisir la période souhaitée à l'aide de la ligne de temps en bas de page.

  • Repérer un utilisateur ou un équipement clignotant en rouge (score de risque > 75%).

  • Cliquer sur ce dernier, ses interactions avec les autres utilisateurs et équipements s'animent et une popup s'affiche.

  • Passer la souris sur les liens animés (interactions) pour voir de quoi il s'agit.

  • Dans la popup, on retrouve les éléments permettant une investigation approfondie :

    • les informations principales concernant l'élément

    • les alertes levées par l'élément