Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

À propos de la page Tous les événements de sécurité

Pour accéder à cette page, cliquez sur Surveillance > événements de sécurité > tous les événements.

Utilisez cette page pour obtenir une vue d’ensemble de votre environnement réseau. Vous pouvez consulter les événements anormaux, les attaques, les virus ou les vers lorsque les données de journalisation sont corrélées et analysées.

Cette page fournit aux administrateurs un mécanisme de filtrage avancé et fournit une visibilité sur les événements réels collectés par le collecteur de journaux. À l’aide du curseur temporel, vous pouvez instantanément vous concentrer sur des zones d’activité inhabituelle en faisant glisser le curseur temporel vers la zone d’intérêt pour vous. Le curseur et le bouton Personnalisé sous Plage de temps restent en haut de chaque onglet. Les utilisateurs sélectionnent la plage de temps, puis ils peuvent décider comment consulter les données, à l’aide de la vue sommaire ou des onglets d’affichage détaillé.

Tâches que vous pouvez effectuer

Vous pouvez effectuer les tâches suivantes à partir de cette page :

  • Consultez un bref résumé de tous les événements de votre réseau. Voir la vue récapitulative.

  • Affichez les détails complets des événements dans un format tableaux comprenant des colonnes triables. Voir la vue détaillée.

Vue récapitulative

Vous pouvez consulter un bref résumé de tous les événements de votre réseau. Au centre de la page se trouvent des informations essentielles, notamment le nombre total d’événements, les virus détectés, le nombre total d’interfaces en panne, le nombre d’attaques, les pics de processeur et les redémarrages du système. Ces données sont actualisées automatiquement en fonction de la plage de temps sélectionnée. Au bas de la page se trouve une vue de la voie de nage des différents événements qui se produisent à un moment précis. Les événements incluent le pare-feu, le filtrage Web, VPN, filtrage de contenu, antispam, antivirus et IPS. Chaque événement est codé en couleur, avec des nuances plus foncées représentant un niveau d’activité plus élevé. Chaque onglet fournit des informations détaillées telles que le type et le nombre d’événements qui se produisent à ce moment précis.

Le tableau 1 décrit les widgets de la page Vue du résumé de tous les événements.

Tableau 1 : Widgets sur la page d’affichage du récapitulatif de tous les événements

Champ

Description

Nombre total d’événements

Consultez le nombre total d’événements qui comprennent le pare-feu, le filtrage Web, l’IPS, les VPN IPSec, le filtrage de contenu, l’antispam et les événements antivirus.

Virus Instances

Consultez le nombre total d’instances virtuelles exécutées dans le système.

Attaques

Consultez le nombre total d’attaques sur le pare-feu.

Interface vers le bas

Consultez le nombre total d’interfaces en panne.

Pics de processeur

Affichez le nombre total de fois qu’un pic d’utilisation du processeur s’est produit.

Redémarre

Consultez le nombre total de redémarrages du système.

Sessions

Consultez le nombre total de sessions établies via le pare-feu.

Vue détaillée

Cliquez sur Vue détaillée pour obtenir des informations détaillées sur les événements dans un format tabulaire comprenant des colonnes triables. Vous pouvez trier les événements à l’aide de l’option Grouper par. Par exemple, vous pouvez trier les événements en fonction de leur gravité. Le tableau comprend des informations telles que la règle à l’origine de l’événement, la gravité de l’événement, l’ID d’événement, les informations sur le trafic et la manière et le moment où l’événement a été détecté.

Advanced Search

Vous pouvez effectuer une recherche avancée de tous les événements à l’aide du champ de texte présent au-dessus de la colonne tabulaire. Il inclut les opérateurs logiques dans la chaîne de filtre. Saisissez la chaîne de recherche dans le champ de texte et, en fonction de votre entrée, une liste des éléments du menu contextuel du filtre s’affiche. . Vous pouvez sélectionner une valeur dans la liste, puis sélectionner un opérateur logique valide pour effectuer l’opération de recherche avancée Appuyez sur Entrée pour afficher le résultat de la recherche dans la colonne tabulaire ci-dessous.

Pour supprimer la chaîne de recherche dans le champ de texte, cliquez sur l’icône de suppression (icône X).

Des exemples de filtres de journal d’événements sont présentés dans la liste suivante :

  • Événements spécifiques en provenance ou à l’atterrissage aux États-Unis

    Pays source = États-Unis OU Pays de destination = États-Unis ET nom de l’événement = IDP_ATTACK_LOG_EVENT, IDP_ATTACK_LOG_EVENT_LS, IDP_APPDDOS_APP_ATTACK_EVENT_LS, IDP_APPDDOS_APP_STATE_EVENT, IDP_APPDDOS_APP_STATE_EVENT_LS, AV_VIRUS_DETECTED_MT, AV_VIRUS_DETECTED, ANTISPAM_SPAM_DETECTED_MT, ANTISPAM_SPAM_DETECTED_MT_LS, FWAUTH_FTP_USER_AUTH_FAIL, FWAUTH_FTP_USER_AUTH_FAIL_LS, FWAUTH_HTTP_USER_AUTH_FAIL, FWAUTH_HTTP_USER_AUTH_FAIL_LS, FWAUTH_TELNET_USER_AUTH_FAIL, FWAUTH_TELNET_USER_AUTH_FAIL_LS, FWAUTH_WEBAUTH_FAIL,FWAUTH_WEBAUTH_FAIL_LS

  • L’utilisateur souhaite filtrer toutes les sessions de flux RT provenant d’adresses IP de pays spécifiques et atterrissant sur des adresses IP dans des pays spécifiques

    Event Name = RT_FLOW_SESSION_CREATE,RT_FLOW_SESSION_CLOSE AND Source IP = 177.1.1.1,220.194.0.150,14.1.1.2,196.194.56.4 AND Destination IP = 255.255.255.255,10.207.99.75,10.207.99.72,223.165.27.13 AND Source Country = Brazil, United States, China, Russia, Algeria AND Destination Country = Germany, India, United States

  • Trafic entre les paires de zones pour les stratégies – IDP2

    Zone source = zone de confiance ET de destination = non confiance, nom de la stratégie interne ET de la stratégie = IDP2

  • Journaux de sécurité de contenu provenant de pays source, de pays de destination, d’adresses IP source avec ou sans adresses IP de destination spécifiques.

    Catégorie d’événement = antispam, antivirus, contentfilter, webfilter ET pays source = Australie ET pays de destination = Turquie, États-Unis, Australie ET IP source = 1.0.0.0,1.1.1.3 OU IP de destination = 74.125.224.47,5.56.17.61

  • Événements avec des sources IP spécifiques ou des événements atteignant HTP, FTP, HTTP et applications inconnues provenant de l’hôte DC-SRX1400-1 ou vSRX Virtual Firewall-75.

    Application = tftp, ftp, http, inconnu OU IP source = 192.168.34.10,192.168.1.26 AND Hostname = dc-srx1400-1,pare-feu virtuel vSRX-75

Le tableau 2 décrit les champs de la page Vue détaillée de tous les événements.

Tableau 2 : Champs de la page Vue détaillée de tous les événements

Champ

Description

Temps

Consultez l’heure de réception du journal.

Nom de l’événement

Consultez le nom de l’événement du journal.

Site

Consultez le nom du site du locataire.

Pays source

Voir le nom du pays source.

Source IP

Consultez l’adresse IP source à partir de l’endroit où l’événement s’est produit.

Pays de destination

Consultez le nom du pays de destination à partir de l’endroit où l’événement s’est produit.

Destination IP

Consultez l’adresse IP de destination de l’événement.

Source Port

Consultez le port source de l’événement.

Destination Port

Consultez le port de destination de l’événement.

Description

Consultez la description du journal.

Nom de l’attaque

Consultez le nom de l’attaque du journal : cheval de Troie, ver, virus, etc.

Gravité des menaces

Affichez le niveau de gravité de la menace.

Nom de la stratégie

Consultez le nom de la stratégie dans le journal.

Catégorie de sécurité du contenu ou nom du virus

Consultez la catégorie Content Security du journal.

URL

Consultez le nom de l’URL consultée qui a déclenché l’événement.

Catégorie d’événement

Consultez la catégorie d’événements du journal.

Nom d’utilisateur

Consultez le nom d’utilisateur du journal.

Action

Affichez l’action de l’événement : avertissement, autorisation et blocage.

Source du journal

Consultez l’adresse IP de la source du journal.

Application

Voir le nom de l’application à partir de laquelle les événements ou les journaux sont générés

Hostname

Consultez le nom d’hôte dans le journal.

Nom du service

Le nom du service d’application. Par exemple, FTP, HTTP, SSH, etc.

Application imbriquée

Consultez l’application imbriquée dans le journal.

Source Zone

Consultez la zone source du journal.

Destination Zone

Consultez la zone de destination du journal.

ID de protocole

Consultez l’ID de protocole dans le journal.

Rôles

Consultez le nom du rôle associé au journal.

Raison

Consultez la raison de la génération de journaux. Par exemple, une panne de connexion peut avoir une raison associée, telle que « échec de l’authentification ».

NAT Source Port

Voir le port source traduit.

NAT Destination Port

Consultez le port de destination traduit.

Nom de la règle source NAT

Voir le nom de la règle source NAT.

Nom de la règle de destination NAT

Consultez le nom de la règle de destination NAT.

NAT Source IP

Consultez l’adresse IP source traduite (ou natted). Il peut contenir des adresses IPv4 ou IPv6.

NAT Destination IP

Consultez l’adresse IP de destination traduite (également appelée natted).

ID de session du trafic

Consultez l’ID de session du trafic du journal.

Nom du chemin

Consultez le nom du chemin du journal.

Nom du système logique

Voir le nom du système logique.

Nom de la règle

Voir le nom de la règle.

Nom du profil

Consultez le nom du profil de tous les événements qui ont déclenché l’événement.

Documentation connexe