L'onglet Présentation de la page Détails de la campagne affiche un résumé de la campagne et un Blueprint graphique interactif.

Les informations suivantes décrivent les trois sections de cet onglet.

Menaces et hôtes de la campagne

La section Menaces et hôtes affiche les widgets Menaces et Hôtes.

Le widget Menaces affiche les menaces actuelles détectées par l'application NSX Network Detection and Response dans la campagne sélectionnée. La gravité de la menace est indiquée par le code couleur : rouge pour élevée, jaune pour moyenne et bleu pour faible. Pointez vers le nom des menaces répertoriées et une fenêtre contextuelle affiche les adresses IP des hôtes affectés. Cliquez sur Afficher les détails des menaces et l'onglet Chronologie affiche des informations détaillées sur la campagne.

Le widget Hôtes affiche les hôtes affectés par la campagne sélectionnée. La gravité de la menace est indiquée par le code couleur : rouge pour élevée, jaune pour moyenne et bleu pour faible.

Pointez sur l’adresse IP d’un hôte affecté et une fenêtre contextuelle affiche les noms des menaces qui affectent l’hôte. Cliquez sur Afficher les détails des hôtes et l'onglet Hôtes affiche des informations détaillées sur les hôtes.

Étapes d’attaque de campagne

Le widget Étapes d’attaque affiche les étapes d'attaque, mettant en évidence les étapes d'attaque de la campagne actuelle. Pointez sur une activité mise en surbrillance et une fenêtre contextuelle affiche plus d'informations sur l'étape d'attaque. Reportez-vous à la section Propriétés de la campagne pour plus de détails sur les étapes d'attaque.

Blueprint de campagne

Le widget Blueprint de campagne fournit une représentation graphique interactive de la campagne. Il affiche les hôtes impliqués dans la campagne (internes et externes à votre réseau), les menaces qui les ont affectés et des informations supplémentaires qui terminent la description de la campagne.

Voici un exemple d'un graphique Blueprint.
Graphique d'exemple d'intrusion décrit par le contenu immédiat

Ce graphique Blueprint affiche les activités suivantes.

  • Un fichier binaire malveillant est téléchargé sur le nœud hôte avec l'étiquette 172.30.4.99. Cette activité est cohérente avec celle d'un utilisateur sur cet hôte qui ouvre un e-mail (par exemple, consulter une URL ou ouvrir une pièce jointe contenue dans cet e-mail).

  • Le nœud hôte portant l'étiquette 172.30.4.99 est connecté au nœud de nom d'hôte avec l'étiquette kharkiv.biz.ua. Le rapport d'analyse 3958ec33 indique qu'un téléchargement a été effectué à partir de l'URL http://kharkiv.biz.ua/hPpD/. Le rapport d'analyse indique également que ce qui est téléchargé est un fichier PE executable application, 32-bit, Intel i386.

  • Le nœud hôte portant l'étiquette 172.30.4.99 est connecté à un Emotet command and control. Le serveur est l'entrée bloquée 75.112.62.42.

  • Le nœud hôte portant l'étiquette 172.30.4.99 est connecté au nœud hôte avec l'étiquette 172.30.6.2 avec un chargement de données suspect et aux nœuds hôtes avec des étiquettes 172.30.5.200 et 172.30.5.200 avec une planification de tâches à distance suspecte, toutes les activités associées au mouvement latéral.

  • Le nœud hôte portant l'étiquette 172.30.6.2 est connecté au nœud hôte avec l'étiquette 172.30.5.200 avec un chiffrement Kerberos suspect, une activité cohérente avec les données exfiltration.

Clé de nœud

Les types de nœuds suivants peuvent s’afficher dans le graphique Blueprint.

Icône

Type de nœud

Description


Icône analyse

Rapport d’analyse

Ce type de nœud représente les résultats de la détonation d'un exemple (fichier ou URL) dans le sandbox NSX Network Detection and Response.

  • Les nœuds du rapport d'analyse sont étiquetés avec une version raccourcie de l'UUID de tâche d'analyse correspondant.

  • La plage de score de l'exécution d'analyse est exprimée à l'aide du badge codé par couleur en haut à droite du nœud.

Icône Fichier téléchargé

Fichier téléchargé

Ce type de nœud représente un fichier qui a été téléchargé sur le réseau.

  • Les nœuds de fichiers téléchargés sont étiquetés avec une version raccourcie du hachage SHA1 du fichier correspondant.

Icône Hôte

Hôte

Ce type de nœud représente un périphérique réseau.

  • Les nœuds hôtes sont étiquetés avec l’adresse IP de l’hôte correspondant.

  • Le nœud hôte indique si un hôte est interne ou externe. Les hôtes internes affichent une icône accueil en regard de leur adresse IP. Le fait de déterminer si un hôte est interne est basé sur la configuration des plages d'adresses IP privées.

  • L'impact maximal des incidents affectant l'hôte correspondant est exprimé à l'aide du badge codé par couleur en haut à droite du nœud.

Icône infos

Infos

Ce type de nœud représente la détection d'une activité au niveau des informations. Ce nœud apparaît uniquement dans le graphique Blueprint Analyse réseau.

  • Un événement d'information est créé en présence d'activités ou de comportements qui ne sont pas nécessairement malveillants, mais fournissent des informations supplémentaires utiles.

  • L'impact maximal des événements détectés pour la menace correspondante est exprimé à l'aide du badge codé par couleur en haut à droite du nœud.

Icône menace

Menace

Ce type de nœud représente une détection.

  • Les nœuds de menace sont étiquetés avec le nom de la menace associé à l’événement détecté.

  • L'impact maximal des événements détectés pour la menace correspondante est exprimé à l'aide du badge codé par couleur en haut à droite du nœud.

À propos des dispositifs Edge

Les lignes qui connectent les nœuds sont appelées dispositifs Edge.

Un nœud hôte est connecté à des nœuds de rapport de menace ou d'analyse avec une ligne pointillée pour indiquer que l'hôte correspondant au nœud hôte a été exposé à la menace représentée par le nœud de rapport de menace ou d'analyse.

Les autres connexions sont représentées par une ligne continue pour indiquer que certaines activités (par exemple, une connexion réseau, une recherche DNS ou une demande Web) placent les entités correspondant à deux nœuds en relation.

Interaction Blueprint

Le graphique Blueprint est interactif : prise en charge de la sélection d'éléments, déplacement des nœuds et zoom avant et arrière.

Le nœud et les dispositifs Edge peuvent être sélectionnés en cliquant dessus  : des informations supplémentaires sur l'élément sélectionné sont disponibles dans la barre latérale.

Passer votre souris sur un nœud colore les dispositifs Edge connectés, mettant en évidence l'interaction de ce nœud.

Les nœuds individuels peuvent être glissés vers de nouvelles positions sur le graphique. Le graphique peut être panoramiqué, ce qui modifie efficacement le point de vue.

Vous pouvez effectuer un zoom avant et arrière sur le graphique en faisant défiler la molette de la souris. Des détails supplémentaires sont affichés à des niveaux de zoom supérieurs. En particulier, le badge utilisé avec plusieurs types de nœuds pour transmettre les informations d'impact est enrichi du score d'impact réel.

Barre latérale Campagne

La barre latérale Campagne est utilisée pour afficher des informations relatives à un ou plusieurs éléments du graphique Blueprint. Par défaut, elle est réduite.

  • Cliquez sur l'icône icône Détails pour afficher des informations sur le nœud ou le dispositif Edge.

  • Cliquez sur l'icône icône Lien externe pour afficher des outils tiers.

Pour réduire la barre latérale, cliquez sur l'icône icône Flèche droite.

Informations sur le nœud ou le dispositif Edge

L'onglet Informations sur le nœud/dispositif Edge fournit des informations supplémentaires sur un nœud ou un dispositif Edge sélectionné dans le graphique Blueprint. Pour sélectionner un nœud, cliquez sur son icône dans le graphique.

Type de nœud

Informations

Rapport d’analyse

Informations supplémentaires sur un rapport d’analyse.

Détails du rapport :

  • Rapports d'analyse : affiche l'UUID et le score de la tâche. Cliquez sur l'icône icône Chaîne pour afficher le rapport d'analyse dans un nouvel onglet du navigateur.

  • MD5 : valeur de hachage du fichier.

  • SHA1 : valeur de hachage du fichier.

  • Taille : taille du fichier en octets.

  • Catégorie : catégorie à laquelle appartient le fichier analysé.

  • Type : informations plus détaillées sur le fichier.

Détails de l'exemple analysé :

  • Nombre de téléchargements : nombre de téléchargements du fichier analysé.

  • Hôtes : adresse IP des hôtes qui ont téléchargé le fichier analysé.

  • URL : URL complète du fichier téléchargé.

Fichier téléchargé

Informations supplémentaires sur un fichier téléchargé

Détails du fichier :

  • MD5 : valeur de hachage du fichier.

  • SHA1 : valeur de hachage du fichier.

  • Taille : taille du fichier en octets.

  • Catégorie : catégorie à laquelle appartient le fichier analysé.

  • Type : informations plus détaillées sur le fichier.

Détails des vues :

  • Nombre de téléchargements : nombre de téléchargements du fichier analysé.

  • Téléchargement des hôtes : adresse IP des hôtes qui ont téléchargé le fichier analysé.

  • URL : URL complète du fichier téléchargé.

  • Rapports : affiche l'état du rapport, l'UUID de la tâche et le score. Cliquez sur l'icône icône Chaîne pour afficher le rapport d'analyse dans un nouvel onglet du navigateur.

Hôte

Informations supplémentaires sur un hôte.

Détails au niveau de l'hôte :

  • Adresse IP : carte géographique ou icône de réseau local.

  • Noms d'hôte : nom de domaine de l'hôte.

  • Services : tous les services détectés sur l'hôte.

Incidents impliquant l’hôte :

  • Nombre d'incidents : nombre de tous les incidents.

  • Impact maximal : indique l'impact maximal de tous les incidents.

  • Menaces : liste des événements détectés.

Une remarque indique si l'hôte est interne ou externe au réseau surveillé.

Demande HTTP

Informations supplémentaires sur une demande HTTP.

Détails de l’URL :

  • URL de téléchargement : URL observées dans la demande HTTP.

  • Adresses IP de téléchargement : adresse(s) IP résolue(s) pour la demande HTTP. Cliquez sur l'icône icône Analyse réseau pour afficher l'adresse IP de la demande dans Analyse réseau.

Détails de la demande

  • Nombre de demandes : nombre de fois que la demande HTTP a été observée.

  • Hôtes : adresse IP des hôtes émettant la demande HTTP.

  • Référents : valeurs d'en-tête « référent » observées dans la demande HTTP.

  • Agents utilisateur : valeurs d'agent utilisateur observées dans la demande HTTP.

Menace

Informations supplémentaires sur une menace

Détails de la menace :

  • Classe de menace : nom de la classe de menace détectée. Par exemple, commande et contrôle.

  • Menace : nom de la menace détectée. Par exemple, Loki Bot.

  • Gravité : score de menace calculé.

  • Informations : description de la menace détectée

Lorsque vous cliquez sur un dispositif Edge, les informations suivantes s’affichent à propos de la connexion :

  • Nœud source : source de la connexion. Il peut s'agir d'un nom de nœud, d'une adresse IP, d'un nom de domaine, etc.

  • Nœud cible : destination de la connexion. Il peut s'agir d'un nom de nœud, d'une adresse IP, d'un nom de domaine, etc.

Sous le nœud Source et le nœud Cible se trouve la source ou la cible réelle de la connexion. Cliquez sur l'icône icône Développer pour développer la source ou la cible.

Outils tiers

L'onglet Outils tiers établit des liens vers des outils externes qui peuvent fournir des informations supplémentaires sur une entité sélectionnée dans le graphique. Actuellement, les outils pris en charge sont DomainTools et VirusTotal.

Les recherches suivantes sont prises en charge :

  • La sélection d’un nœud hôte vous permet de rechercher l’adresse IP correspondante sur DomainTools et VirusTotal.

  • La sélection d’un nœud de nom d’hôte vous permet de rechercher le nom de domaine correspondant sur DomainTools et VirusTotal.

  • La sélection d’un nœud de fichier téléchargé vous permet de rechercher le hachage correspondant sur VirusTotal.

  • La sélection d’un nœud de demande HTTP vous permet de rechercher le nom d’hôte de la demande sur DomainTools et VirusTotal.