Rapports sur les appliances Secure sur la nouvelle interface Web

Cette rubrique contient les sections suivantes :

Interprétation des pages de rapports Web sur la nouvelle interface Web

Le tableau suivant répertorie les rapports dans le menu déroulant Reports (Rapports). Cette option est disponible dans la dernière version prise en charge d’AsyncOS pour les Secure Web Appliance dans la liste déroulante Reports (Rapports) de l’interface Web. Pour en savoir plus, consultez Utilisation des pages de rapport interactives sur la nouvelle interface Web. Si vos Secure Web Appliance exécutent des versions antérieures d’AsyncOS, tous ces rapports ne sont pas disponibles.

Tableau 1. Options de la liste déroulante Web Reports (Rapports Web)

Option de liste déroulante Reports (Rapports)

Action

General Reports (Rapports généraux)

Page Overview (Survol)

La page de survol fournit un résumé de l’activité de vos Secure Web Appliance. Elle contient des graphiques et des tableaux récapitulatifs pour les transactions entrantes et sortantes. Pour obtenir plus d'informations, reportez-vous à la section Page Overview (Survol).

Page Application Visibility (Visibilité des applications)

La page Application Visibility (Visibilité des applications) vous permet d’appliquer et d’afficher les contrôles qui ont été appliqués à un type d’application particulier dans l’appliance de gestion de la sécurité et Secure Web Appliance. Pour obtenir plus d'informations, reportez-vous à la section Page Application Visibility (Visibilité des applications).

Page Layer 4 Traffic Monitor (Supervision du trafic de la couche 4)

Vous permet d’afficher les informations sur les ports et les sites malveillants que la supervision du trafic de la couche 4 a détectés au cours de la plage de temps spécifiée. Pour obtenir plus d'informations, reportez-vous à la section Page Layer 4 Traffic Monitor (Supervision du trafic de la couche 4).

Page SOCKS Proxy (Serveur mandataire SOCKS)

Vous permet d’afficher les données des transactions de mandataire SOCKS, notamment les destinations et les utilisateurs. Pour obtenir plus d'informations, reportez-vous à la section Page SOCKS Proxy (Serveur mandataire SOCKS).

Page URL Categories (Catégories d’URL)

La page URL Categories (Catégories d’URL) vous permet d’afficher les principales catégories d’URL consultées, notamment :

  • Principales URL qui ont déclenché un blocage ou un avertissement par transaction.

  • Toutes les catégories d’URL au cours d’une plage de temps spécifiée pour les transactions terminées, ayant fait l’objet d’un avertissement et bloquées. Il s’agit d’un tableau interactif contenant des en-têtes de colonne interactifs que vous pouvez utiliser pour trier les données selon vos besoins.

Pour obtenir plus d'informations, reportez-vous à la section Page URL Categories (Catégories d’URL).

Page Users (Utilisateurs)

La page Users (Utilisateurs) fournit plusieurs liens de suivi Web qui vous permettent d’afficher les renseignements de suivi Web pour chaque utilisateur.

Dans la page Users (Utilisateurs), vous pouvez voir combien de temps un ou plusieurs utilisateurs de votre système ont passé sur Internet, sur un site ou une URL particulier, et la quantité de bande passante utilisée par ces utilisateurs.

Dans la page Users (Utilisateurs), vous pouvez cliquer sur un utilisateur individuel dans le tableau interactif Users (Utilisateurs) pour afficher plus de détails sur cet utilisateur en particulier dans la page User Details (Détails sur l’utilisateur).

La page User Details (Détails sur l’utilisateur) vous permet de voir des renseignements précis sur un utilisateur que vous avez identifié dans le tableau Users (Utilisateurs) de la page Users (Utilisateurs). Dans cette page, vous pouvez enquêter sur l’activité de chaque utilisateur sur votre système. Cette page est particulièrement utile si vous effectuez des enquêtes au niveau de l’utilisateur et que vous avez besoin de savoir, par exemple, quels sites vos utilisateurs visitent, à quelles menaces liées à des programmes malveillants ils sont confrontés, à quelles catégories d’URL ils accèdent et combien de temps un utilisateur spécifique passe sur ces sites.

Pour obtenir plus d'informations, reportez-vous à la section Page Users (Utilisateurs).

Pour en savoir plus sur un utilisateur spécifique de votre système, consultez Page User Details (Détails des utilisateurs) (Web Reporting [Création de rapports Web]).

Page Web Sites (Sites Web)

La page Web Sites (Sites Web) vous permet d’afficher une agrégation globale de l’activité qui se produit sur vos appliances gérées. Cette page vous permet de surveiller les sites Web à risque élevé consultés pendant une plage de temps précise. Pour obtenir plus d'informations, reportez-vous à la section Page Web Sites (Sites Web).

HTTPS Reports (Rapports HTTPS)

La page HTTPS Reports (Rapports HTTPS) est une agrégation globale du résumé du trafic HTTP/HTTPS (transactions ou utilisation de la bande passante) sur les appliances gérées. Pour plus d’information, consultez Page HTTPS Reports (Rapports HTTPS)

Threat Reports (Rapport sur les menaces)

Page Anti-Malware (Protection contre les programmes malveillants)

La page Anti-Malware (Protection contre les programmes malveillants) vous permet d’afficher les informations sur les ports et les sites malveillants que les moteurs d’analyse de protection contre les programmes malveillants ont détectés au cours de la plage de temps spécifiée. La partie supérieure du rapport affiche le nombre de connexions pour chacun des principaux ports et sites Web malveillants. La partie inférieure du rapport affiche les ports et les sites malveillants détectés. Pour obtenir plus d'informations, reportez-vous à la section Page Anti-Malware (Protection contre les programmes malveillants).

Page Cisco Secure Endpoint

Cisco Secure Endpoint vous protège contre les menaces « jour zéro » et les menaces basées sur les fichiers en obtenant la réputation des fichiers connus, en analysant le comportement de certains fichiers qui ne sont pas encore connus du service de réputation, en évaluant continuellement les menaces émergentes à mesure que de nouvelles informations sont disponibles, et en vous informant sur les fichiers qui sont considérées comme des menaces après leur entrée dans votre réseau. Pour en savoir plus, consultez Page Cisco Secure Endpoint.

Page Client Malware Risk (Risques de programmes malveillants des clients)

La page Client Malware Risk (Risques de programmes malveillants des clients) est une page de rapports liés à la sécurité qui peut être utilisée pour identifier les ordinateurs clients qui peuvent se connecter de manière inhabituelle à des sites malveillants.

Pour obtenir plus d'informations, reportez-vous à la section Page relative aux risques des programmes malveillants du client.

Page Web Reputation Filters (Filtres de réputation Web)

Vous permet d’afficher les rapports sur le filtrage de réputation Web pour les transactions effectuées pendant une plage de temps spécifiée. Pour obtenir plus d'informations, reportez-vous à la section Page Web Reputation Filters (Filtres de réputation Web).

À propos du temps passé

La colonne Time Spent (Temps passé) de divers tableaux représente le temps qu’un utilisateur a passé sur une page Web. Aux fins d’enquête sur un utilisateur, le temps passé par l’utilisateur sur chaque catégorie d’URL. Lors du suivi d’une URL, le temps passé par chaque utilisateur sur cette URL spécifique.

Une fois qu’un événement de transaction est balisé comme « vu », c’est-à-dire qu’un utilisateur accède à une URL particulière, une valeur de « Temps passé » commencera à être calculée et ajoutée en tant que champ du tableau de rapport Web.

Pour calculer le temps nécessaire, AsyncOS affecte à chaque utilisateur actif 60 secondes d’activité pendant une minute. À la fin de la minute, le temps passé par chaque utilisateur est réparti uniformément entre les différents domaines visités par l’utilisateur. Par exemple, si un utilisateur se connecte à quatre domaines différents en une minute d’activité, on considère que l’utilisateur a passé 15 secondes sur chaque domaine.

Aux fins de la valeur du temps passé, examinons les remarques suivantes :

  • Un utilisateur actif est défini comme un nom d’utilisateur ou une adresse IP qui envoie le trafic HTTP par l’intermédiaire de l’appliance et a accédé à un site Web qu’AsyncOS considère comme une « consultation de page ».
  • AsyncOS définit une page consultée comme une requête HTTP initiée par l’utilisateur, par opposition à une requête initiée par l’application client. AsyncOS utilise un algorithme heuristique pour deviner au mieux d’identifier les pages des utilisateurs.

Les unités sont affichées au format Heures:Minutes.

Page Overview (Survol)

La page du rapport Survol fournit un résumé de l’activité de vos Secure Web Appliance. Elle contient des graphiques et des tableaux récapitulatifs pour les transactions entrantes et sortantes.

Pour afficher la page du rapport d’aperçu, choisissez Monitoring > Overview (Supervision > Survol) d’ensemble dans la liste déroulante Reports (Rapports). Pour en savoir plus, consultez Utilisation des pages de rapport interactives sur la nouvelle interface Web.

De manière générale, la page du rapport Overview (Survol) présente des statistiques sur l’utilisation de l’URL et des utilisateurs, l’activité du proxy Web et divers résumés des transactions. Les résumés des transactions vous donnent plus de détails sur les tendances, par exemple, les transactions suspectes et, en face de ce graphique, combien de ces transactions suspectes sont bloquées et la manière dont elles sont bloquées.

L’utilisation est réservée à la moitié inférieure de la page du rapport d’aperçu. À savoir, les principales catégories d’URL affichées, les principaux types et catégories d’applications bloquées et les principaux utilisateurs qui génèrent ces blocages ou avertissements.

Tableau 2. Détails sur la page de survol

Section

Description

Time Range (Plage de temps) (liste déroulante)

Choisissez la plage de temps de votre rapport. Pour obtenir plus d'informations, reportez-vous à la section Choix d’une plage de temps pour les rapports.

Total Web Proxy Activity (Activité totale du proxy Web)

Vous pouvez afficher l’activité du proxy Web signalée par les Secure Web Appliance actuellement gérés par l’appliance de gestion de la sécurité.

Cette section affiche le nombre réel de transactions et la date approximative à laquelle l’activité s’est produite au format graphique.

Vous pouvez également afficher le pourcentage d’activités de proxy Web qui sont suspectes ou d’activités de proxy saines, notamment le nombre total de transactions.

Suspect Transactions (Transactions suspectes)

Vous pouvez afficher les transactions Web que l’administrateur a marquées comme suspectes au format graphique.

Cette section affiche le nombre réel de transactions et la date approximative à laquelle l’activité a eu lieu au format graphique.

Vous pouvez également afficher le pourcentage de transactions bloquées ou avec avertissement qui sont suspectes. En outre, vous pouvez voir le type de transactions qui ont été détectées et bloquées et le nombre réel de fois que ces transactions ont été bloquées.

L4 Traffic Monitor Summary (Résumé de la supervision du trafic de la couche 4)

Vous pouvez afficher tout trafic de la couche 4 signalé par les Secure Web Appliance qui sont actuellement gérés par l’appliance de gestion de la sécurité au format graphique.

Top URL Categories: Total Transactions (Principales catégories d’URL : Total des transactions)

Vous pouvez afficher les principales catégories d’URL qui sont bloquées, y compris le type de catégorie d’URL et le nombre réel de fois que le type spécifique de catégorie a été bloqué, au format graphique.

L’ensemble de catégories d’URL prédéfinies est mis à jour occasionnellement. Pour plus d’informations sur l’incidence de ces mises à jour sur les résultats des rapports, consultez Mises à jour et rapports des ensembles de catégories d’URL.

Top Application Types: Total Transactions (Principaux types d’application : Total des transactions)

Vous pouvez afficher au format graphique les principaux types d’applications bloquées, notamment le nom du type d’application réel et le nombre de fois que l’application a été bloquée.

Top Malware Categories: Monitored or Blocked (Principales catégories de programmes malveillants : surveillés ou bloqués)

Vous pouvez afficher toutes les catégories de programmes malveillants qui ont été détectées au format graphique.

Top Users: Blocked or Warned Transactions (Principaux utilisateurs : Transactions bloqués ou avec avertissement)

Vous pouvez afficher les utilisateurs réels qui génèrent les transactions bloquées ou avec avertissement au format graphique. Les utilisateurs peuvent être affichés par adresse IP ou par nom d’utilisateur.

Top Threat Categories: Blocked by WBRS (Principales catégories de menaces : blocage par WBRS)

Vous pouvez afficher toutes les catégories de menaces qui ont été bloquées au format graphique

Page Application Visibility (Visibilité des applications)


Remarque
Pour des informations détaillées sur Application Visibility, consultez la rubrique « Comprendre Application Visibility and Control » dans le Guide de l’utilisateur d’AsyncOS pour Cisco Secure Web Appliance.

La page du rapport Application Visibility (Visibilité des applications) vous permet d’appliquer des contrôles à des types d’applications particuliers dans l’appliance de gestion de la sécurité et Secure Web Appliance.

Pour afficher la page de rapport sur la visibilité des applications, choisissez Monitoring > Application Visibility (Supervision > Visibilité des applications) dans la liste déroulante Reports (Rapports). Pour en savoir plus, consultez Utilisation des pages de rapport interactives sur la nouvelle interface Web.

Le contrôle des applications vous donne un contrôle plus granulaire sur le trafic Web que le simple filtrage d’URL, par exemple, ainsi qu’un meilleur contrôle sur les types d’application suivants :

  • Les applications de contournement, comme les anonymiseurs et les tunnels chiffrés.

  • Des applications de collaboration, comme Cisco Webex, Facebook et la messagerie instantanée.

  • Les applications exigeantes en ressources, comme la diffusion de données multimédias en continu.

Comprendre la différence entre les applications et les types d’application

Il est essentiel de comprendre la différence entre une application et un type d’application afin de pouvoir contrôler les applications utilisées pour vos rapports.

  • Application Types (Types d’application). Catégorie qui contient une ou plusieurs applications. Par exemple, les moteurs de recherche sont un type d’application qui peut contenir des moteurs de recherche tels que Google Search et Craigslist. La messagerie instantanée est une autre catégorie de type d’application qui peut contenir Yahoo Instant Messenger ou Cisco WebEx. Facebook est également un type d’application.

  • Applications. Applications particulières qui appartiennent à un type d’application. Par exemple, YouTube est une application de type application multimédia.

  • Application behaviors (Comportements des applications). Actions ou comportements particuliers que les utilisateurs peuvent accomplir dans une application. Par exemple, les utilisateurs peuvent transférer des fichiers tout en utilisant une application telle que Yahoo Messenger. Toutes les applications n’incluent pas des comportements d’application que vous pouvez configurer.


Remarque
Pour des informations détaillées sur la façon d’utiliser le moteur Application Visibility and Control (AVC) pour contrôler l’activité de Facebook, consultez la rubrique « Comprendre la visibilité et le contrôle des applications » dans le guide de l’utilisateur d’AsyncOS pour Cisco Secure Web Appliance.

La page Application Visibility (Visibilité des applications) vous permet d’afficher les informations suivantes :

Tableau 3. Détails indiqués sur la page Application Visibility (Visibilité des applications)

Section

Description

Time Range (Plage de temps) (liste déroulante)

Choisissez la plage de temps de votre rapport. Pour obtenir plus d'informations, reportez-vous à la section Choix d’une plage de temps pour les rapports.

Top Application Types by Total Transactions (Principaux types d’application par nombre total de transactions)

Vous pouvez afficher les principaux types d’applications visités sur le site au format graphique.

Pour personnaliser l’affichage du graphique, cliquez sur dans le graphique. Pour en savoir plus, consultez (Rapports Web uniquement) Choix des données à représenter au format graphique.

Par exemple, les outils de messagerie instantanée tels que les types d’applications Yahoo Instant Messenger, Facebook et Presentation.

Top Applications by Blocked Transactions (Principales applications par transactions bloquées)

Vous pouvez afficher les principaux types d’application qui ont déclenché un blocage par transaction au format graphique.

Pour personnaliser l’affichage du graphique, cliquez sur dans le graphique. Pour en savoir plus, consultez (Rapports Web uniquement) Choix des données à représenter au format graphique.

Par exemple, un utilisateur a essayé de démarrer un certain type d’application, par exemple Google Talk ou Yahoo Instant Messenger, et en raison d’une politique spécifique en place, une action de blocage a été déclenchée. Cette application est ensuite répertoriée dans ce graphique en tant que transaction bloquée ou avertissement.

Application Types Matched (Types d’application correspondants)

Le tableau interactif Application Types Matched (Types d’applications correspondants) vous permet d’afficher des détails granulaires sur les types d’application répertoriés dans le tableau Top Applications Type by Total Transactions (Principaux types d’applications par total des transactions).

Dans la colonne Applications, vous pouvez cliquer sur une application pour en afficher les détails.

Applications Matched (Applications correspondantes)

Le tableau interactif Applications Matched (Applications correspondantes) affiche toutes les applications pendant une plage de temps spécifiée.

En outre, vous pouvez trouver une application précise dans la section Application Matched (Application correspondante). Dans le champ de texte au bas de cette section, saisissez le nom de l’application spécifique et cliquez sur Find Application (Rechercher une application).

Page Layer 4 Traffic Monitor (Supervision du trafic de la couche 4)

La page du rapport Layer 4 Traffic Monitor (Supervision du trafic de la couche 4) affiche des informations sur les ports et les sites malveillants que la supervision du trafic de la couche 4 sur vos Secure Web Appliance a détectés au cours de la plage de temps spécifiée. Cette page affiche également les adresses IP des clients qui rencontrent fréquemment des sites malveillants.

Pour afficher la page de rapport sur les sites Web, sélectionnez Monitoring > Web Sites (Supervision >Sites Web) dans la liste déroulante Reports (Rapports). Pour en savoir plus, consultez Utilisation des pages de rapport interactives sur la nouvelle interface Web.

La supervision du trafic de la couche 4 écoute le trafic réseau qui arrive par tous les ports de chaque Secure Web Appliance et fait correspondre les noms de domaine et les adresses IP avec les entrées de ses propres tables de base de données pour déterminer s’il faut autoriser le trafic entrant et sortant.

Vous pouvez utiliser les données de ce rapport pour déterminer s’il faut bloquer un port ou un site ou pour analyser pourquoi une adresse IP client particulière se connecte anormalement fréquemment à un site malveillant (par exemple, cela peut être parce que l’ordinateur associé à cette adresse IP est infecté par un programme malveillant qui tente de se connecter à un serveur de commande et de contrôle central).

Tableau 4. Page de détails sur la page Layer 4 Traffic Monitor (Supervision du trafic de la couche 4)

Section

Description

Time Range (Plage de temps) (liste déroulante)

Choisissez la plage de temps de votre rapport. Pour obtenir plus d'informations, reportez-vous à la section Choix d’une plage de temps pour les rapports.

Top Client IPs: Malware Connections Detected (Principales adresses IP de clients : connexions de programmes malveillants détectées)

Vous pouvez afficher les principales adresses IP des ordinateurs de votre organisation qui se connectent le plus souvent à des sites malveillants, au format graphique.

Pour personnaliser l’affichage du graphique, cliquez sur dans le graphique. Pour en savoir plus, consultez Choix des données à représenter au format graphique.

Ce tableau est identique au tableau « Layer 4 Traffic Monitor: Malware Connections Detected » (Supervision du trafic de la couche 4 : connexions malveillantes détectées) dans Page relative aux risques des programmes malveillants du client.

Top Malware Sites: Malware Connections Detected (Principaux sites malveillants : connexions de programmes malveillants détectées)

Vous pouvez afficher les principaux domaines de programmes malveillants détectés par la supervision du trafic de la couche 4, au format graphique.

Pour personnaliser l’affichage du graphique, cliquez sur dans le graphique. Pour en savoir plus, consultez Choix des données à représenter au format graphique.

Client Source IPs (Adresses IP source client)

Vous pouvez utiliser ce tableau interactif pour afficher les adresses IP des ordinateurs de votre organisation qui se connectent fréquemment à des sites malveillants.

Pour inclure uniquement les données d’un port en particulier, entrez un numéro de port dans la case au bas du tableau et cliquez sur Filter by Client IP(Filtrer par adresse IP de client). Vous pouvez utiliser cette fonctionnalité pour déterminer les ports utilisés par les programmes malveillants qui « renvoient à la source » des sites malveillants.

Pour afficher des détails tels que le port et le domaine de destination de chaque connexion, cliquez sur une entrée dans le tableau. Par exemple, si l’adresse IP d’un client en particulier a un nombre élevé de connexions de programmes malveillants bloquées, cliquez sur le nombre dans cette colonne pour afficher la liste de chaque connexion bloquée. La liste s’affiche en tant que résultats de recherche dans l’onglet Layer 4 Traffic Monitor (Supervision du trafic de la couche 4) de la page de recherche de suivi Web. Pour plus d’informations sur cette liste, consultez Recherche de transactions traitées par la supervision du trafic de la couche 4.

Ce tableau est identique au tableau « Layer 4 Traffic Monitor: Malware Connections Detected » (Supervision du trafic de la couche 4 : connexions malveillantes détectées) dans Page relative aux risques des programmes malveillants du client.

Malware Ports (Ports de programmes malveillants)

Vous pouvez utiliser ce tableau interactif pour afficher les ports sur lesquels la supervision du trafic de la couche 4 a le plus souvent détecté des programmes malveillants.

Pour afficher les détails, cliquez sur une entrée dans le tableau. Par exemple, cliquez sur le nombre total de connexions malveillantes détectées pour afficher les détails concernant chaque connexion sur ce port. La liste s’affiche en tant que résultats de recherche dans l’onglet Layer 4 Traffic Monitor (Supervision du trafic de la couche 4) de la page de recherche de suivi Web. Pour plus d’informations sur cette liste, consultez Recherche de transactions traitées par la supervision du trafic de la couche 4.

Malware Sites Detected (Sites malveillants détectés)

Vous pouvez utiliser ce tableau interactif pour afficher les domaines dans lesquels la supervision du trafic de la couche 4 détecte le plus souvent des programmes malveillants.

Pour inclure uniquement les données d’un port en particulier, entrez un numéro de port dans le champ au bas du tableau et cliquez sur Filter by Port (Filtrer par port). Vous pouvez utiliser cette fonctionnalité pour déterminer s’il faut bloquer un site ou un port.

Pour afficher les détails, cliquez sur une entrée dans le tableau. Par exemple, cliquez sur le nombre de connexions malveillantes bloquées pour afficher la liste de chaque connexion bloquée pour un site en particulier. La liste s’affiche en tant que résultats de recherche dans l’onglet Layer 4 Traffic Monitor (Supervision du trafic de la couche 4) de la page de recherche de suivi Web. Pour plus d’informations sur cette liste, consultez Recherche de transactions traitées par la supervision du trafic de la couche 4.

Thèmes connexes

Résolution des problèmes liés aux rapports de supervision du trafic de la couche 4

Page SOCKS Proxy (Serveur mandataire SOCKS)

La page du rapport SOCKS Proxy (Serveur mandataire SOCKS) vous permet d’afficher les transactions traitées par le biais du mandataire SOCKS, y compris les informations sur les destinations et les utilisateurs, au format graphique et tabulaire.

Pour afficher la page de rapport sur le proxy SOCKS, sélectionnez Monitoring > SOCKS Proxy (Supervision > SOCKS Proxy) dans la liste déroulante Reports (Rapports). Pour en savoir plus, consultez Utilisation des pages de rapport interactives sur la nouvelle interface Web.


Remarque
La destination indiquée dans le rapport est l’adresse que le client SOCKS (généralement un navigateur) envoie au serveur proxy SOCKS.

Pour modifier les paramètres de politique SOCKS, consultez le Guide de l’utilisateur pour AsyncOS pour Cisco Secure Web Appliance.

Tableau 5. Détails sur la page SOCKS Proxy (Serveur mandataire SOCKS)

Section

Description

Time Range (Plage de temps) (liste déroulante)

Choisissez la plage de temps de votre rapport. Pour obtenir plus d'informations, reportez-vous à la section Choix d’une plage de temps pour les rapports.

Top Destinations for SOCKS: Total Transactions (Principales destinations pour SOCKS : Total des transactions)

Vous pouvez afficher les principales destinations détectées par le proxy SOCKS au format graphique.

Pour personnaliser l’affichage du graphique, cliquez sur dans le graphique. Pour en savoir plus, consultez (Rapports Web uniquement) Choix des données à représenter au format graphique.

Top Users for SOCKS: Malware Transactions (Principaux utilisateurs pour SOCKS : Transactions malveillantes)

Vous pouvez afficher les principaux utilisateurs détectés par le proxy SOCKS au format graphique.

Pour personnaliser l’affichage du graphique, cliquez sur dans le graphique. Pour en savoir plus, consultez (Rapports Web uniquement) Choix des données à représenter au format graphique.

Destinations

Vous pouvez utiliser ce tableau interactif pour afficher la liste des domaines de destination ou des adresses IP traités par le biais du proxy SOCKS.

Pour inclure uniquement les données relatives à une destination particulière, entrez un nom de domaine ou une adresse IP dans la zone au bas du tableau, puis cliquez sur Find Domain or IP (Rechercher un domaine ou une adresse IP).

Users (Utilisateurs)

Vous pouvez utiliser ce tableau interactif pour afficher la liste des utilisateurs ou des adresses IP traitées par le biais du proxy SOCKS.

Pour inclure uniquement les données d’un utilisateur en particulier, entrez un nom d’utilisateur ou une adresse IP dans la zone au bas du tableau et cliquez sur Find User ID/Client IP Address (Rechercher l’ID utilisateur /l’adresse IP du client).

Thèmes connexes

Recherche de transactions traitées par le serveur proxy SOCKS

Page URL Categories (Catégories d’URL)

La page de rapport URL Categories (Catégories d’URL) permet d’afficher les catégories d’URL des sites que les utilisateurs sur votre système visitent.

Pour afficher la page de rapport sur les catégories d’URL, choisissez Monitoring > URL Categories (Supervision > Catégories d’URL) dans la liste déroulante Reports (Rapports). Pour en savoir plus, consultez Utilisation des pages de rapport interactives sur la nouvelle interface Web.

Vous pouvez afficher les informations suivantes dans la page URL Categories (Catégories d’URL) :

Tableau 6. Détails sur la page des catégories d’URL

Section

Description

Time Range (Plage de temps) (liste déroulante)

Choisissez la plage de temps de votre rapport. Pour obtenir plus d'informations, reportez-vous à la section Choix d’une plage de temps pour les rapports.

Top URL Categories: Total Transactions (Principales catégories d’URL : Total des transactions)

Vous pouvez afficher les principales catégories d’URL visitées sur le site au format graphique.

Pour personnaliser l’affichage du graphique, cliquez sur dans le graphique. Pour en savoir plus, consultez (Rapports Web uniquement) Choix des données à représenter au format graphique.

Top URL Categories: Blocked and Warned Transactions (Principales catégories d’URL : Transactions bloquées et avec avertissement)

Vous pouvez afficher les principales URL qui ont déclenché un blocage ou un avertissement par transaction au format graphique. Par exemple, un utilisateur a accédé à une URL particulière et, en raison d’une politique spécifique en place, cela a déclenché une action de blocage ou un avertissement. Cette URL est ensuite répertoriée dans ce graphique en tant que transaction bloquée ou avertissement.

Pour personnaliser l’affichage du graphique, cliquez sur dans le graphique. Pour en savoir plus, consultez (Rapports Web uniquement) Choix des données à représenter au format graphique.

Top Youtube Categories : Total Transactions (Principales catégories Youtube : Total des transactions)

Vous pouvez afficher les principales catégories YouTube visitées sur le site au format graphique.

Pour personnaliser l’affichage du graphique, cliquez sur dans le graphique. Pour en savoir plus, consultez (Rapports Web uniquement) Choix des données à représenter au format graphique.

Top Youtube Categories : Blocked and Warned Transactions (Principales catégories YouTube : transactions bloquées et avec avertissement)

Vous pouvez afficher les principales URL YouTube qui ont déclenché un blocage ou un avertissement par transaction au format graphique. Par exemple, un utilisateur a accédé à une URL YouTube particulière et, en raison d’une politique spécifique en place, cela a déclenché une action de blocage ou un avertissement. Cette URL YouTube est ensuite répertoriée dans ce graphique en tant que transaction bloquée ou avertissement.

Pour personnaliser l’affichage du graphique, cliquez sur dans le graphique. Pour en savoir plus, consultez (Rapports Web uniquement) Choix des données à représenter au format graphique.

URL Categories Matched (Catégories d’URL correspondantes)

Le tableau interactif correspondant aux catégories d’URL affiche la disposition des transactions par catégorie d’URL pendant la plage de temps spécifiée, ainsi que la bande passante utilisée et le temps passé dans chaque catégorie.

S’il y a un grand nombre d’URL non classées, consultez Réduction des URL non classées.

Réduction des URL non classées

Si le pourcentage d’URL non classées est supérieur à 15 à 20 %, envisagez les options suivantes :

  • Pour des URL localisées précises, vous pouvez créer des catégories d’URL personnalisées et les appliquer à des utilisateurs ou à des groupes de politiques spécifiques. Ces transactions seront ensuite incluses dans les statistiques « URL Filtering Bypassed » (Filtrage d’URL contourné). Pour ce faire, consultez les informations sur les catégories d’URL personnalisées dans le Guide de l’utilisateur d’AsyncOS pour Cisco Secure Web Appliance.

  • Pour connaître les sites qui devraient être inclus dans les catégories existantes ou autres, consultez Signalisation des URL mal classées et non classées.

Mises à jour et rapports des ensembles de catégories d’URL

L’ensemble de catégories d’URL prédéfinies peut être mis à jour régulièrement et automatiquement sur votre Secure Web Appliance.

Lorsque ces mises à jour se produisent, les noms des anciennes catégories continueront d’apparaître dans les rapports jusqu’à ce que les données associées aux anciennes catégories soient trop anciennes pour être incluses dans les rapports. Les données de rapport générées après la mise à jour d’un ensemble de catégories d’URL utiliseront les nouvelles catégories. Vous pouvez donc voir les anciennes catégories et les nouvelles dans le même rapport.

Utilisation de la page URL Categories (Catégories d’URL) en association avec les pages Other Reporting (Autres rapports)

La page URL Categories (Catégories d’URL) peut être utilisée conjointement avec Page Application Visibility (Visibilité des applications), Page User Details (Détails des utilisateurs) (Web Reporting [Création de rapports Web]) et Page Users (Utilisateurs) pour enquêter sur un utilisateur en particulier et les types d’applications ou de sites Web auxquels un utilisateur tente d’accéder.

Par exemple, à partir de Page URL Categories (Catégories d’URL), vous pouvez générer un rapport général pour les ressources humaines qui détaille toutes les catégories d’URL visitées par le site. À partir de la même page, vous pouvez obtenir des détails supplémentaires dans le tableau interactif URL Categories (Catégories d’URL) sur la catégorie d’URL « Streaming Media » (Diffusion multimédia en flux continu). En cliquant sur le lien de la catégorie Streaming Media (Diffusion multimédia en flux continu), vous pouvez afficher la page du rapport spécifique aux catégories d’URL. Cette page affiche non seulement les principaux utilisateurs qui visitent les sites de diffusion multimédia en flux continu (dans la section Top Users by Category for Total Transactions (Principaux utilisateurs par catégorie pour le total des transactions)), mais elle affiche également les domaines visités (dans le tableau interactif Domains Matched (Domaines correspondants)), comme YouTube.com ou QuickPlay.com.

À ce stade, vous obtenez de plus en plus d’informations précises concernant un utilisateur en particulier. Imaginons maintenant que cet utilisateur se distingue par son utilisation et que vous souhaitez savoir exactement à quelles informations il accède. De là, vous pouvez cliquer sur l’utilisateur dans le tableau interactif Users (Utilisateurs). Cette action vous amène au Page Users (Utilisateurs), où vous pouvez afficher les tendances de la consommation pour cet utilisateur et découvrir exactement ce qu’il fait sur le Web.

Si vous souhaitez aller plus loin, vous pouvez maintenant accéder aux détails du suivi Web en cliquant sur le lien Transactions Completed (Transactions terminées) dans le tableau interactif. Cela affiche la section Recherche de transactions traitées par les services du proxy Web sur la page de suivi Web où vous pouvez voir les détails réels concernant les dates auxquelles l’utilisateur a accédé aux sites, l’URL complète, le temps passé sur cette URL, etc.

Signalisation des URL mal classées et non classées

Vous pouvez signaler les URL mal classées et non classées à l’adresse suivante :

https://talosintelligence.com/tickets.

Les soumissions sont évaluées en vue d’être incluses dans les mises à jour ultérieures des règles.

Pour vérifier l’état des URL envoyées, cliquez sur l’onglet Status on Submitted URLs (État des URL envoyées) sur cette page.

Page HTTPS Reports (Rapports HTTPS)

La page HTTPS Reports (Rapports HTTPS) est une agrégation globale du résumé du trafic HTTP/HTTPS (transactions ou utilisation de la bande passante) sur les appliances gérées.

Vous pouvez également afficher le résumé des chiffrements pris en charge en fonction des connexions côté client ou côté serveur, pour le trafic Web HTTP/HTTPS individuel qui traverse l’appliance gérée.

Pour afficher la page HTTPS Reports (Rapports HTTPS ), sélectionnez Monitoring > HTTPS Reports (Supervision > Rapports HTTPS) dans la liste déroulante Reports (Rapports). Pour en savoir plus, consultez Utilisation des pages de rapport interactives sur la nouvelle interface Web.

Tableau 7. Détails sur la page HTTPS Reports (Rapports HTTPS)

Section

Description

Time Range (Plage de temps) (liste déroulante)

Choisissez la plage de temps de votre rapport. Pour obtenir plus d'informations, reportez-vous à la section Modification de la plage de temps.

Web Traffic Summary (Résumé du trafic Web)

Vous pouvez afficher le résumé du trafic Web sur l’appliance de l’une des manières suivantes :

  • Transactions : sélectionnez cette option dans la liste déroulante pour afficher le résumé du trafic Web en fonction du nombre de transactions Web HTTP ou HTTPS, au format graphique, et le pourcentage de transactions Web HTTP ou HTTPS au format tabulaire.

  • Bandwidth Usage (Utilisation de la bande passante) : sélectionnez cette option dans la liste déroulante pour afficher le résumé du trafic Web en fonction de la quantité de bande passante utilisée par le trafic Web HTTP ou HTTPS, au format graphique, et le pourcentage d’utilisation de la bande passante HTTP ou HTTPS au format tabulaire.

Trend: Web Traffic (Tendance : trafic Web)

Vous pouvez afficher le graphique de tendance du trafic Web sur l’appliance en fonction de la plage de temps requise de l’une des manières suivantes :

  • Web Traffic Trend (Tendance du trafic Web) : sélectionnez cette option dans la liste déroulante pour afficher la tendance cumulative du trafic Web HTTP et HTTPS en fonction des transactions ou de l’utilisation de la bande passante.

  • HTTPS Trend (Tendance HTTPS) : sélectionnez cette option dans la liste déroulante pour afficher la tendance du trafic Web HTTPS en fonction des transactions ou de l’utilisation de la bande passante.

  • HTTP Trend (Tendance HTTP) sélectionnez cette option dans la liste déroulante pour afficher la tendance du trafic Web HTTP en fonction des transactions ou de l’utilisation de la bande passante.

Ciphers (Chiffrements)

Vous pouvez afficher le résumé des chiffrements de l’une des manières suivantes :

  • By Client Side Connections (Par connexions côté client) : sélectionnez cette option dans la liste déroulante pour afficher le résumé des chiffrements utilisés côté client du trafic Web HTTP ou HTTPS au format graphique.

  • By Server Side Connections (Par connexions côté serveur) : sélectionnez cette option dans la liste déroulante pour afficher le résumé des chiffrements utilisés côté serveur du trafic Web HTTP ou HTTPS au format graphique.

Page Users (Utilisateurs)

La page de rapport  Users (Utilisateurs) fournit plusieurs liens qui vous permettent d’afficher les renseignements sur les rapports Web pour des utilisateurs individuels.

Pour afficher la page de rapport sur les utilisateurs, sélectionnez Monitoring > Users (Supervision > Utilisateurs) dans la liste déroulante Reports (Rapports). Pour en savoir plus, consultez Utilisation des pages de rapport interactives sur la nouvelle interface Web.

Dans la page Users (Utilisateurs), vous pouvez voir combien de temps un utilisateur ou les utilisateurs de votre système ont passé sur Internet, sur une URL ou un site particulier, et la quantité de bande passante utilisée par cet utilisateur.


Remarque
Le nombre maximal d’utilisateurs sur Secure Web Appliance que l’appliance de gestion de la sécurité peut prendre en charge est de 500.

Dans la page Users (Utilisateurs), vous pouvez afficher les informations suivantes concernant les utilisateurs de votre système :

Tableau 8. Détails sur la page Users (Utilisateurs)

Section

Description

Time Range (Plage de temps) (liste déroulante)

Choisissez la plage de temps de votre rapport. Pour obtenir plus d'informations, reportez-vous à la section Choix d’une plage de temps pour les rapports.

Top Users: Transactions Blocked (Principaux utilisateurs : Transactions bloquées)

Vous pouvez afficher les principaux utilisateurs, par adresse IP ou par nom d’utilisateur, et le nombre de transactions qui ont été bloquées, spécifiquement pour cet utilisateur, au format graphique. Le nom d’utilisateur ou l’adresse IP peut être anonymisé aux fins du rapport. Pour en savoir plus sur la façon d’anonymiser les noms d’utilisateurs dans cette page ou dans les rapports planifiés, consultez le Guide de l’utilisateur d’AsyncOS pour les appliances Cisco Content Security Management. Par défaut, tous les noms d’utilisateur s’affichent.

Pour personnaliser l’affichage du graphique, cliquez sur dans le graphique. Pour en savoir plus, consultez (Rapports Web uniquement) Choix des données à représenter au format graphique.

Top Users: Bandwidth Used (Principaux utilisateurs : Bande passante utilisée)

Vous pouvez afficher les principaux utilisateurs, par adresse IP ou par nom d’utilisateur, qui utilisent le plus de bande passante sur le système, au format graphique.

Pour personnaliser l’affichage du graphique, cliquez sur dans le graphique. Pour en savoir plus, consultez (Rapports Web uniquement) Choix des données à représenter au format graphique.

Users (Utilisateurs)

Vous pouvez utiliser ce tableau interactif pour rechercher un ID utilisateur ou une adresse IP de client spécifique. Dans le champ de texte au bas du tableau User (Utilisateur), saisissez l’ID utilisateur ou l’adresse IP du client, puis cliquez sur Find User ID/Client IP Address (Rechercher un ID utilisateur ou une adresse IP du client). Il n’est pas nécessaire que l’adresse IP soit une correspondance exacte pour renvoyer des résultats.

Vous pouvez cliquer sur un utilisateur en particulier pour obtenir des informations plus précises. Pour plus d’information, consultez Page User Details (Détails des utilisateurs) (Web Reporting [Création de rapports Web])

Remarque

Pour afficher les ID utilisateur plutôt que les adresses IP des clients, vous devez configurer votre appliance de gestion de la sécurité de façon à obtenir les renseignements sur l’utilisateur à partir d’un serveur LDAP.

Page User Details (Détails des utilisateurs) (Web Reporting [Création de rapports Web])

La page User Details (Détails sur l’utilisateur) vous permet d’afficher des informations spécifiques sur un utilisateur que vous avez identifié dans le tableau interactif de la page du rapport sur les utilisateurs.

La page User Details (Détails sur l’utilisateur) vous permet d’enquêter sur l’activité de chaque utilisateur sur votre système. Cette page est particulièrement utile si vous effectuez des enquêtes au niveau de l’utilisateur et que vous avez besoin de savoir, par exemple, quels sites vos utilisateurs visitent, à quelles menaces liées à des programmes malveillants ils sont confrontés, à quelles catégories d’URL ils accèdent et combien de temps un utilisateur spécifique passe sur ces sites.

Pour afficher la page User Details (Détails sur l’utilisateur) concernant un utilisateur en particulier, cliquez sur un utilisateur spécifique dans le tableau interactif Users (Utilisateurs) dans la page du rapport  Users (Utilisateurs).

La page User Details (Détails sur l’utilisateur) vous permet d’afficher les renseignements suivants concernant un utilisateur individuel de votre système :

Tableau 9. Détails sur la page User Details (Détails sur l’utilisateur)

Section

Description

Time Range (Plage de temps) (liste déroulante)

Choisissez la plage de temps de votre rapport. Pour obtenir plus d'informations, reportez-vous à la section Choix d’une plage de temps pour les rapports.

URL Categories: Total Transactions (Catégories d’URL : transactions totales)

Vous pouvez afficher les catégories d’URL spécifiques utilisées par un utilisateur particulier au format graphique.

Pour personnaliser l’affichage du graphique, cliquez sur dans le graphique.

L’ensemble de catégories d’URL prédéfinies est mis à jour occasionnellement. Pour plus d’informations sur l’incidence de ces mises à jour sur les résultats des rapports, consultez Mises à jour et rapports des ensembles de catégories d’URL.

Trend: Total Transactions (Tendance : Transactions totales)

Vous pouvez utiliser ce graphique de tendance pour afficher toutes les transactions Web d’un utilisateur en particulier.

Pour personnaliser l’affichage du graphique, cliquez sur dans le graphique.

Par exemple, ce graphique indique s’il y a un pic important du trafic Web à certaines heures de la journée et quand ces pics se produisent. À l’aide de la liste déroulante Time Range (Plage d’heures), vous pouvez développer ce graphique pour afficher une période de temps plus ou moins granulaire pendant laquelle cet utilisateur a consulté le Web.

URL Categories Matched (Catégories d’URL correspondantes)

Le tableau interactif correspondant aux catégories d’URL affiche les catégories correspondantes pour les transactions terminées et bloquées.

Vous pouvez rechercher une catégorie d’URL spécifique dans le champ de texte au bas du tableau et cliquer sur Find URL Category (Rechercher une catégorie d’URL). Il n’est pas nécessaire que la catégorie soit exacte.

L’ensemble de catégories d’URL prédéfinies est mis à jour occasionnellement. Pour plus d’informations sur l’incidence de ces mises à jour sur les résultats des rapports, consultez Mises à jour et rapports des ensembles de catégories d’URL.

Domains Matched (Domaines correspondants)

Le tableau interactif Domains Matched (Domaines correspondants) affiche les domaines ou les adresses IP auxquels l’utilisateur a accédé. Vous pouvez également afficher le temps passé sur ces catégories et diverses autres informations que vous avez définies dans la vue en colonne.

Vous pouvez rechercher un domaine ou une adresse IP spécifique dans le champ de texte au bas du tableau et cliquer sur Find Domain or IP (Rechercher un domaine ou une adresse IP). Il n’est pas nécessaire que le domaine ou l’adresse IP soit exact.

Applications Matched (Applications correspondantes)

Le tableau interactif Applications Matched (Applications correspondantes) affiche les applications qu’un utilisateur spécifique utilise. Par exemple, si un utilisateur accède à un site qui nécessite l’utilisation de beaucoup de vidéos Flash, vous verrez le type d’application dans la colonne Application.

Vous pouvez rechercher un nom d’application spécifique dans le champ de texte au bas du tableau et cliquer sur Find Application (Rechercher une application). Le nom de l’application n’a pas besoin d’être exact.

Cisco Secure Endpoint Threats Detected (Menaces détectées Cisco Secure Endpoint)

Le tableau interactif Cisco Secure Endpoint Threats Detected (Menaces détectées Cisco Secure Endpoint) affiche les fichiers de programmes malveillants détectés par le moteur Cisco Secure Endpoint.

Vous pouvez rechercher des données sur une valeur SHA spécifique du fichier de programme malveillant, dans le champ de texte au bas du tableau et cliquer sur Find malware Threat File SHA 256 (Rechercher les informations SHA 256 du fichier de programme malveillant). Le nom de l’application n’a pas besoin d’être exact.

Malware Threats Detected (Programmes malveillants détectés)

Le tableau interactif Malware Threats Detected (Programmes malveillants détectés) présente les principaux programmes malveillants déclenchés par un utilisateur spécifique.

Vous pouvez rechercher des données sur un nom de programme malveillant spécifique dans le champ de texte au bas du tableau, puis cliquer sur Find Malware Threat (Rechercher un programme malveillant). Il n’est pas nécessaire que le nom du programme malveillant soit exact.

Policies Matched (Politiques correspondantes)

Le tableau interactif Policies Matched (Politiques correspondantes) affiche les groupes de politiques qui ont été appliqués à cet utilisateur lors de l’accès au Web.

Vous pouvez rechercher un nom de politique spécifique dans le champ de texte au bas du tableau, puis cliquer sur Find Policy (Rechercher une politique). Le nom de la politique ne doit pas forcément être exact.


Remarque

À partir du tableau des détails sur les risques liés aux programmes malveillants pour les clients : les rapports sur les clients affichent parfois un utilisateur avec un astérisque (*) à la fin du nom d’utilisateur. Par exemple, le rapport client peut afficher une entrée pour « jdupont » et « jdupont* ». Les noms d’utilisateur suivis d’un astérisque (*) sont ceux fournis par l’utilisateur, mais pas confirmés par le serveur d’authentification. Cela se produit lorsque le serveur d’authentification n’était pas disponible à ce moment-là et que l’appliance est configurée pour autoriser le trafic lorsque le service d’authentification n’est pas disponible.

Page Web Sites (Sites Web)

La page de rapport sur les sites Web est une agrégation globale de l’activité qui se produit sur les appliances gérées. Vous pouvez utiliser cette page de rapport pour surveiller les sites Web à haut risque consultés au cours d’une plage de temps spécifique.

Pour afficher la page de rapport sur les sites Web, sélectionnez Monitoring > Web Sites (Supervision >Sites Web) dans la liste déroulante Reports (Rapports). Pour en savoir plus, consultez Utilisation des pages de rapport interactives sur la nouvelle interface Web.

À partir de la page Web Sites (Sites Web), vous pouvez afficher les informations suivantes :

Tableau 10. Détails sur la page Web Sites (Sites Web)

Section

Description

Time Range (Plage de temps) (liste déroulante)

Choisissez la plage de temps de votre rapport. Pour obtenir plus d'informations, reportez-vous à la section Choix d’une plage de temps pour les rapports.

Top Domains: Total Transactions (Principaux domaines : total des transactions)

Vous pouvez afficher les principaux domaines visités sur le site Web au format graphique.

Pour personnaliser l’affichage du graphique, cliquez sur dans le graphique. Pour en savoir plus, consultez (Rapports Web uniquement) Choix des données à représenter au format graphique.

Top Domains: Transactions Blocked (Principaux domaines : transactions bloquées)

Vous pouvez afficher les principaux domaines qui ont déclenché une action de blocage par transaction au format graphique.

Pour personnaliser l’affichage du graphique, cliquez sur dans le graphique. Pour en savoir plus, consultez (Rapports Web uniquement) Choix des données à représenter au format graphique.

Par exemple, un utilisateur a accédé à un domaine particulier et, en raison d’une politique spécifique que j’ai en place, cela a déclenché une action de blocage. Ce domaine est répertorié dans ce graphique comme une transaction bloquée, et le site de domaine qui a déclenché l’action de blocage est répertorié.

Domains Matched (Domaines correspondants)

Vous pouvez utiliser ce tableau interactif pour rechercher les domaines qui sont visités sur le site Web. Vous pouvez cliquer sur un domaine spécifique pour accéder à des informations plus détaillées. L’onglet Proxy Services (Service de proxy) de la page de suivi Web s’affiche et vous pouvez voir les informations de suivi et savoir pourquoi certains domaines ont été bloqués.

Lorsque vous cliquez sur un domaine spécifique, vous pouvez voir les principaux utilisateurs de ce domaine, les principales transactions sur ce domaine, les catégories d’URL correspondantes et les menaces liées à des programmes malveillants qui ont été détectées.

Page Cisco Secure Endpoint

Cisco Secure Endpoint offre une protection contre les menaces « jour zéro » et basées sur les fichiers en :

  • obtenant la réputation des fichiers connus ;

  • analysant le comportement de certains fichiers qui ne sont pas encore connus du service de réputation ;

  • évaluant les menaces émergentes au fur et à mesure que de nouvelles informations sont disponibles et en vous informant au sujet des fichiers qui sont considérés comme des menaces après leur entrée dans votre réseau.

Pour plus d’informations sur le filtrage de réputation de fichiers et l’analyse de fichiers, consultez le guide de l’utilisateur ou l’aide en ligne d’AsyncOS pour Secure Web Appliance.

La page de rapport Cisco Secure Endpoint affiche les vues de rapport suivantes :

Pour afficher la page de rapport Cisco Secure Endpoint, choisissez Monitoring (Supervision) > Cisco Secure Endpoint dans la liste déroulante Reports (Rapports). Pour en savoir plus, consultez Utilisation des pages de rapport interactives sur la nouvelle interface Web.

Cisco Secure Endpoint - Page Summary (Résumé) Cisco Secure Endpoint

La section Summary (Résumé) Cisco Secure Endpoint de la page de rapport Cisco Secure Endpoint affiche les menaces basées sur les fichiers qui ont été identifiées par le service File Reputation.

Pour voir les utilisateurs qui ont essayé d’accéder à chaque SHA et les noms de fichiers associés à ce SHA-256, cliquez sur un SHA-256 dans le tableau.

Vous pouvez cliquer sur le lien dans le tableau interactif des fichiers de programmes malveillants pour afficher toutes les instances du fichier dans le suivi Web qui ont été rencontrées dans la plage de temps maximale disponible, quelle que soit la plage sélectionnée pour le rapport.

Si un fichier extrait d’un fichier compressé ou archivé est malveillant, seule la valeur SHA du fichier compressé ou archivé est incluse dans le rapport Cisco Secure Endpoint.

Vous pouvez utiliser la section de résumé Cisco Secure Endpoint de la page Cisco Secure Endpoint pour afficher :

  • Le résumé des fichiers identifiés par le service de réputation des fichiers du moteur Cisco Secure Endpoint, au format graphique.

  • Les principaux fichiers de programmes malveillants au format graphique.

  • Les principaux fichiers de menaces en fonction des types de fichiers au format graphique.

  • Un graphique de tendance pour tous les fichiers de menaces par programmes malveillants selon la plage de temps sélectionnée.

  • Le tableau interactif des fichiers de programmes malveillants qui répertorie les principaux fichiers de menaces par les programmes malveillants.

  • Le tableau interactif des fichiers avec changement de verdict rétrospectif qui répertorie les fichiers traités par cette appliance pour lesquels le verdict a changé depuis le traitement de la transaction. Pour plus d’informations sur cette situation, consultez la documentation de votre Secure Web Appliance.

    Dans le cas de plusieurs modifications de verdicts pour un seul protocole SHA-256, ce rapport affiche uniquement le dernier verdict, et non l’historique des verdicts.

    Si plusieurs Secure Web Appliance ont des mises à jour de verdict différentes pour le même fichier, le résultat avec le dernier horodatage s’affiche.

    Vous pouvez cliquer sur un lien SHA-256 pour afficher les résultats du suivi Web pour toutes les transactions qui ont inclus ce SHA-256 dans la plage de temps maximale disponible, quelle que soit la plage sélectionnée pour le rapport.

Cisco Secure Endpoint - Page File Analysis (Analyse des fichiers)

La section d’analyse de fichier de la page du rapport Cisco Secure Endpoint affiche l’heure et le verdict (ou verdict provisoire) pour chaque fichier envoyé pour analyse. L’appliance vérifie les résultats de l’analyse toutes les 30 minutes.

Pour les déploiements avec une appliance Cisco Cisco Secure Endpoint Malware Analytics sur site : les fichiers qui figurent dans la liste des fichiers autorisés sur l’appliance Cisco Cisco Secure Endpoint Malware Analytics s’affichent comme « sains ». Pour en savoir plus sur l’inscription des utilisateurs autorisés, consultez l’aide en ligne de Cisco Secure Endpoint Malware Analytics.

Accédez aux résultats détaillés de l’analyse, notamment les caractéristiques et le niveau de menace de chaque fichier.

Vous pouvez également afficher des détails supplémentaires sur une SHA directement sur le serveur qui a effectué l’analyse en recherchant la SHA ou en cliquant sur le lien Cisco Cisco Secure Endpoint Malware Analytics au bas de la page des détails de l’analyse de fichier.

Si un fichier extrait d’un fichier compressé ou archivé est envoyé pour analyse, seule la valeur SHA du fichier extrait est incluse dans le rapport d’analyse des fichiers.

Vous pouvez utiliser la section d’analyse de fichier de la page de rapport Cisco Secure Endpoint pour afficher :

  • Le nombre de fichiers chargés pour l’analyse de fichiers par le service d’analyse de fichier du moteur Cisco Secure Endpoint.

  • Une liste des fichiers pour lesquels des demandes d’analyse de fichier ont été terminées.

  • Une liste des fichiers pour lesquels des demandes d’analyse de fichier sont en attente.

Page Anti-Malware (Protection contre les programmes malveillants)

La page de rapport Anti-Malware (Protection contre les programmes malveillants) est une page de rapport relative à la sécurité qui reflète les résultats de l’analyse effectuée par les moteurs d’analyse activés (Webroot, Sophos, McAfee et/ou analyse adaptative).

Pour afficher la page de rapport sur la protection contre les programmes malveillants, choisissez Monitoring > Anti-Malware (Supervision > Protection contre les programmes malveillants) dans la liste déroulante Reports (Rapports). Pour en savoir plus, consultez Utilisation des pages de rapport interactives sur la nouvelle interface Web.

Vous pouvez utiliser cette page pour identifier et surveiller les menaces de programmes malveillants sur le Web.


Remarque

Pour afficher les données relatives aux programmes malveillants détectés par la supervision du trafic de la couche 4, consultez Page Layer 4 Traffic Monitor (Supervision du trafic de la couche 4)

Dans la page Anti-Malware (Protection contre les programmes malveillants), vous pouvez afficher les informations suivantes :

Tableau 11. Détails sur la page Anti-Malware (Protection contre les programmes malveillants)

Section

Description

Time Range (Plage de temps) (liste déroulante)

Choisissez la plage de temps de votre rapport. Pour obtenir plus d'informations, reportez-vous à la section Choix d’une plage de temps pour les rapports.

Principales catégorie de programmes malveillants

Vous pouvez afficher les principales catégories de programmes malveillants détectés par un type de catégorie donné, au format graphique. Consultez Descriptions des catégories de programmes malveillants pour plus d’informations sur les catégories de programmes malveillants valides.

Pour personnaliser l’affichage du graphique, cliquez sur dans le graphique. Pour en savoir plus, consultez (Rapports Web uniquement) Choix des données à représenter au format graphique.

Principaux programmes malveillants

Vous pouvez afficher les principaux programmes malveillants au format graphique.

Pour personnaliser l’affichage du graphique, cliquez sur dans le graphique. Pour en savoir plus, consultez (Rapports Web uniquement) Choix des données à représenter au format graphique.

Malware Categories (Catégorie de programmes malveillants)

Le tableau interactif Malware Categories (Catégories de programmes malveillants) affiche des informations détaillées sur des catégories de programmes malveillants particulières qui sont affichées dans le tableau Top Malware Categories (Principales catégories de programmes malveillants).

Cliquez sur l’un des liens dans le tableau interactif Malware Categories (Catégories de programmes malveillants) pour afficher des détails plus précis sur les catégories de programmes malveillants et l’endroit où elles se trouvent sur le réseau.

Exception : un lien Outbreak Heuristics (Heuristique des épidémies) dans le tableau vous permet d’afficher un graphique indiquant quand les transactions de cette catégorie se sont produites.

Consultez Descriptions des catégories de programmes malveillants pour plus d’informations sur les catégories de programmes malveillants valides.

Malware Threats (Programmes malveillants)

Le tableau interactif Malware Threats (Programmes malveillants) affiche des informations détaillées sur les programmes malveillants affichés dans la section Top Malware Threats (Principaux programmes malveillants).

Les menaces libellées « Outbreak » (Épidémie) accompagnées d’un numéro sont des menaces identifiées par la fonctionnalité d’analyse adaptative indépendamment des autres moteurs d’analyse.

Page Malware Category Report (Rapports sur les catégories de programmes malveillants)

Procedure

Step 1

Choisissez Reporting > Anti-Malware (Rapports > Protection contre les programmes malveillants).

Step 2

Dans le tableau interactif Malware Categories (Catégories de programmes malveillants), cliquez sur une catégorie dans la colonne Malware Category (Catégorie de programmes malveillants).

Page Rapport Malware Threat (Menaces des programmes malveillants)

La page Malware Threat Report (Rapport sur les menaces des programmes malveillants) montre les clients exposés à une menace particulière, affiche une liste des clients potentiellement infectés et des liens vers la page des détails concernant le client. Le graphique de tendance en haut du rapport affiche les transactions surveillées et bloquées en raison d’une menace pendant la plage de temps spécifiée. Le tableau en bas affiche le nombre réel de transactions surveillées et bloquées pour une menace au cours de la plage de temps spécifiée.

Pour afficher ce rapport, cliquez sur une catégorie dans la colonne Malware Category (Catégorie de programmes malveillants) de la page du rapport Anti-Malware (Antiprogrammes malveillants).

Pour en apprendre davantage, cliquez sur le lien Support Portal Malware Details (Détails des programmes malveillants du portail d’assistance) sous le tableau.

Descriptions des catégories de programmes malveillants

Secure Web Appliance peut bloquer les types de programmes malveillants suivants :

Type de maliciel

Description

Logiciels publicitaires

Les logiciels publicitaires englobent tous les exécutables logiciels et les modules d’extension qui dirigent les utilisateurs vers les produits à vendre. Certaines applications de logiciels publicitaires ont des processus distincts qui s’exécutent simultanément et se surveillent mutuellement, garantissant ainsi que les modifications sont permanentes. Certaines variantes se permettent de s’exécuter à chaque démarrage de l’ordinateur. Ces programmes peuvent également modifier les paramètres de sécurité, en empêchant les utilisateurs de modifier les options de recherche de leur navigateur, leur bureau et d’autres paramètres système.

Objet de l’assistant du navigateur

Un objet assistant de navigateur est un module d’extension de navigateur qui peut remplir diverses fonctions liées à la diffusion de publicités ou au détournement de paramètres d’utilisateur.

Supervision de système commercial

Un moniteur système commercial est un logiciel ayant les caractéristiques d’un moniteur système qui peut être obtenu avec une licence légitime par des moyens légaux.

Composeur automatique

Un composeur est un programme qui utilise votre modem ou un autre type d’accès Internet pour vous connecter à une ligne téléphonique ou à un site qui vous fait accumuler des frais d’interurbain pour lesquels vous n’avez pas donné votre consentement complet, significatif et éclairé.

Logiciel espion générique

Un logiciel espion est un type de programme malveillant installé sur les ordinateurs qui recueille de petits éléments d’information sur les utilisateurs à l’insu des utilisateurs.

Détournement d’identité

Un pirate modifie les paramètres système ou toute modification indésirable apportée au système d’un utilisateur peut le diriger vers un site Web ou exécuter un programme sans le consentement complet, significatif et éclairé de l’utilisateur.

Autres programmes malveillants

Cette catégorie est utilisée pour détecter tous les autres programmes malveillants et comportements suspects qui n’entrent pas exactement dans l’une des autres catégories définies.

Heuristique des épidémies

Cette catégorie représente les programmes malveillants détectés par l’analyse adaptative indépendamment des autres moteurs de protection contre les programmes malveillants.

URL d’hameçonnage

Une URL d’hameçonnage s’affiche dans la barre d’adresse du navigateur. Dans certains cas, elle implique l’utilisation de noms de domaine et ressemble à celle de domaines légitimes. L’hameçonnage est une forme de vol d’identité en ligne qui recourt à la fois à l’ingénierie sociale et à des subterfuges techniques pour dérober des données d’identité personnelles et des identifiants de comptes financiers.

API (applications potentiellement indésirables)

Application potentiellement indésirable. Un PUA est une application qui n’est pas malveillante, mais qui peut être considérée comme indésirable.

Moniteur système

Un moniteur système englobe tout logiciel qui effectue l’une des actions suivantes :

Enregistre ouvertement ou secrètement les processus du système et/ou les actions de l’utilisateur;

Rend ces enregistrements disponibles pour la récupération et l’examen ultérieurement.

Outil de téléchargement de chevaux de Troie

Un logiciel de téléchargement de chevaux de Troie désigne un cheval de Troie qui, après son installation, communique avec un hôte ou un site distant et installe des paquets ou des sociétés affiliées à partir de l’hôte distant. Ces installations se produisent généralement à l’insu de l’utilisateur. De plus, les données utiles d’un tel logiciel de téléchargement peuvent varier d’une installation à l’autre, car il obtient les instructions de téléchargement de l’hôte ou du site distant.

Cheval de Troie

Un cheval de Troie est un programme destructeur qui se fait passer pour une application inoffensive. Contrairement aux virus, les chevaux de Troie ne se reproduisent pas.

Cheval de Troie pour hameçonnage

Un cheval de Troie pour hameçonnage peut rester sur un ordinateur infecté en attendant la visite d’une page Web spécifique ou peut analyser l’ordinateur infecté à la recherche de noms d’utilisateur et de mots de passe pour des sites bancaires, des sites d’enchères ou des sites de paiement en ligne.

Virus

Un virus est un programme ou un élément de code qui est chargé sur votre ordinateur à votre insu et qui s’exécute contre votre volonté.

Vers

Un ver est un programme ou un algorithme qui se reproduit sur un réseau informatique et qui effectue généralement des actions malveillantes.

Page relative aux risques des programmes malveillants du client

La page Reporting > Client Malware Risk (Rapports > Risques liés aux programmes malveillants pour les clients) est une page de rapport sur la sécurité qui peut être utilisée pour surveiller les activités à risque des programmes malveillants pour les clients. La page Client Malware Risk (Risques liés aux programmes malveillants pour les clients) répertorie également les adresses IP des clients impliqués dans les connexions fréquentes de programmes malveillants, comme identifiées par la supervision du trafic de la couche 4 (L4TM).

Tableau 12. Détails sur la page sur les risques liés aux programmes malveillants pour les clients

Section

Description

Time Range (Plage de temps) (liste déroulante)

Choisissez la plage de temps de votre rapport. Pour obtenir plus d'informations, reportez-vous à la section Choix d’une plage de temps pour les rapports.

Web Proxy: Top Clients Monitored or Blocked (Proxy Web : principaux clients surveillés ou bloqués)

Ce tableau affiche les dix principaux utilisateurs qui ont rencontré un risque lié à des programmes malveillants.

L4 Traffic Monitor: Malware Connections Detected (Supervision du trafic de la couche 4 : connexions à des programmes malveillants détectées)

Ce tableau affiche les adresses IP des ordinateurs de votre entreprise qui se connectent le plus souvent aux sites de programmes malveillants.

Web Proxy: Client Malware Risk (Proxy Web : risque lié aux programmes malveillants pour les clients)

Le tableau interactif Proxy Web : risque lié aux programmes malveillants pour les clients affiche des informations détaillées sur des clients particuliers qui sont affichées dans la section Web Proxy: Top Clients by Malware Risk (Proxy Web : risque lié aux programmes malveillants pour les clients).

L4 Traffic Monitor: Clients by Malware Risk (Supervision du trafic de la couche 4 : clients par risque lié aux programmes malveillants)

Le tableau interactif L4 Traffic Monitor: Clients by Malware Risk (Supervision du trafic de la couche 4 : Clients par risque lié aux programmes malveillants) affiche les adresses IP des ordinateurs de votre organisation qui se connectent fréquemment aux sites malveillants.

Page Web Reputation Filters (Filtres de réputation Web)

Vous pouvez utiliser la page de rapport Web Reputation Filters (Filtres de réputation Web) pour afficher les résultats des filtres de réputation Web définis pour les transactions effectuées pendant une plage de temps spécifiée.

Pour afficher la page de rapport Web Reputation Filters (Filtres de réputation Web), choisissez Monitoring > Web Reputation Filters (Supervision > Filtres de réputation Web) dans la liste déroulante Reports (Rapports). Pour en savoir plus, consultez Utilisation des pages de rapport interactives sur la nouvelle interface Web.

Que sont les filtres de réputation Web?

Les filtres de réputation Web analysent le comportement d’un serveur Web et attribuent un score de réputation à une URL pour déterminer la probabilité qu’elle contienne des programmes malveillants basés sur l’URL. Ils contribuent à assurer une protection contre les programmes malveillants basés sur les URL qui menacent la confidentialité et les informations sensibles de l’entreprise. Secure Web Appliance utilise les scores de réputation d’URL pour identifier les activités suspectes et arrêter les attaques de programmes malveillants avant qu’elles ne se produisent. Vous pouvez utiliser les filtres de réputation Web avec les politiques d’accès et de déchiffrement.

Les filtres de réputation Web utilisent des données statistiques pour évaluer la fiabilité des domaines Internet et la réputation des URL. Des données telles que la durée d’enregistrement d’un domaine spécifique, l’endroit où un site Web est hébergé ou si un serveur Web utilise une adresse IP dynamique sont utilisées pour juger de la fiabilité d’une URL donnée.

Le calcul de la réputation Web associe une URL à des paramètres réseau pour déterminer la probabilité que des programmes malveillants soient présents. La probabilité agrégée de la présence de programmes malveillants est ensuite mappée sur un indice de réputation Web compris entre -10 et +10, +10 étant la valeur la moins susceptible de contenir des programmes malveillants.

Voici des exemples de paramètres :

  • Données de catégorisation d’URL

  • Présence d’un code téléchargeable

  • Présence de contrats de licence d’utilisateur final (CLUF) longs et brouillés

  • Volume global et variations de volume

  • Renseignements sur le propriétaire du réseau

  • Historique d’une URL

  • Âge d’une URL

  • Présence sur toutes les listes de blocage

  • Présence sur toutes les listes d’autorisation

  • Fautes de frappe d’URL de domaines populaires

  • Informations sur le bureau d’enregistrement de domaine

  • Informations sur l’adresse IP

Pour en savoir plus sur le filtrage de réputation Web, consultez la section « Filtrage des catégories d’URL personnalisées » dans le Guide de l’utilisateur pour AsyncOS pour Secure Web Appliance.

Dans la page Filtres de réputation Web, vous pouvez afficher les informations suivantes :

Tableau 13. Détails sur la page des filtres de réputation Web

Section

Description

Time Range (Plage de temps) (liste déroulante)

Choisissez la plage de temps de votre rapport. Pour obtenir plus d'informations, reportez-vous à la section Choix d’une plage de temps pour les rapports.

Web Reputation Actions (Trend) [Actions de réputation Web (tendance)]

Vous pouvez afficher le nombre total d’actions de réputation de sites Web par rapport à l’heure spécifiée au format graphique. À partir de là, vous pouvez voir les tendances potentielles au fil du temps pour les actions de réputation Web.

Web Reputation Actions (Volume) [Actions de réputation Web (volume)]

Vous pouvez afficher le volume d’actions de réputation Web en pourcentages par transaction.

Types de menaces de réputation Web bloqués par WBRS

Vous pouvez consulter les types de menaces détectées dans les transactions qui ont été bloquées par le filtrage de réputation Web au format graphique.

Remarque

 

WBRS ne peut pas toujours identifier le type de menace.

Threat Types Detected in Other Transactions (Types de menaces détectés dans d’autres transactions)

Vous pouvez consulter le type de menaces trouvées dans les transactions qui n’ont pas été bloquées par le filtrage de réputation Web sous forme graphique.

Pour personnaliser l’affichage du graphique, cliquez sur dans le graphique. Pour en savoir plus, consultez (Rapports Web uniquement) Choix des données à représenter au format graphique.

Voici les raisons pour lesquelles ces menaces n’ont pas été bloquées :

  • Toutes les menaces n’ont pas un score qui atteint le seuil de blocage. Cependant, d’autres fonctionnalités de l’appliance peuvent détecter ces menaces.

  • Les politiques peuvent être configurées pour permettre la transmission de menaces.

Remarque

 

WBRS ne peut pas toujours identifier le type de menace.

Web Reputation Actions (Breakdown by Score) [Actions de réputation Web (répartition par score de réputation)]

Si l’analyse adaptative n’est pas activée, ce tableau interactif affiche les scores de réputation Web décomposés pour chaque action.

Threat Categories Matched (Catégories de menaces correspondantes)

Vous pouvez afficher les catégories de menaces correspondantes au format graphique.

Ajustement des paramètres de réputation Web

En fonction des résultats de votre rapport, vous pouvez ajuster les paramètres configurés de réputation Web, par exemple ajuster les scores de seuil ou activer ou désactiver l’analyse adaptative. Pour des informations spécifiques sur la configuration des paramètres de réputation Web, consultez le Guide de l’utilisateur d’AsyncOS pour Cisco Secure Web Appliance.

(Rapports Web uniquement) Choix des données à représenter au format graphique

Les graphiques par défaut de chaque page de rapport Web affichent les données couramment référencées, mais vous pouvez choisir d’afficher des données différentes à la place. Si une page contient plusieurs graphiques, vous pouvez modifier chaque graphique.

En général, les options du graphique sont les mêmes que les colonnes du tableau du rapport. Cependant, certaines colonnes ne peuvent pas être représentées au format graphique.

Les graphiques reflètent toutes les données disponibles dans une colonne de tableau, quel que soit le nombre d’éléments (lignes) que vous choisissez d’afficher dans le tableau associé.

Procédure

Étape 1

Cliquez sur dans un tableau en particulier.

Étape 2

Choisissez les données requises à afficher. L’aperçu du tableau s’affiche en fonction des options sélectionnées.

Étape 3

Cliquez sur Apply (Appliquer).

Suivi Web sur la nouvelle interface Web

Vous pouvez utiliser la page Web Tracking Search (Recherche de suivi Web) pour rechercher et afficher des détails sur des transactions individuelles ou des schémas de transactions qui peuvent présenter des préoccupations. Selon les services utilisés par votre déploiement, recherchez dans les onglets pertinents :

Pour en savoir plus sur la distinction entre le proxy Web et la supervision du trafic de la couche 4, consultez la section «  Comprendre comment fonctionne Secure Web Appliance » du Guide de l’utilisateur d’AsyncOS pour Cisco Secure Web Appliance.

Recherche de transactions traitées par les services du proxy Web

Vous pouvez utiliser l’onglet Proxy Services (Services proxy) sur la page Web Tracking Search (Recherche de suivi Web) pour rechercher les données de suivi Web agrégées à partir de composants de sécurité individuels et de composants d’application de conditions d’utilisation acceptable. Ces données n’incluent pas les données de supervision du trafic de la couche 4 ni les transactions traitées par le proxy SOCKS.

Vous pourriez souhaiter l’utiliser pour aider les rôles suivants :

  • Responsable des ressources humaines ou juridique. Exécute un rapport d’enquête pour un employé pendant une période donnée.

    Par exemple, vous pouvez utiliser l’onglet Proxy Services (Services proxy) pour récupérer des informations sur une URL spécifique à laquelle un utilisateur accède, l’heure à laquelle l’utilisateur a consulté cette URL, si cette URL est autorisée, etc.

  • Administrateur de la sécurité réseau. Vérifie si le réseau de l’entreprise est exposé à des programmes malveillants provenant des téléphones intelligents des employés.

Vous pouvez afficher les résultats de la recherche pour les transactions enregistrées (notamment les transactions bloquées, surveillées, ayant fait l’objet d’un avertissement et terminées) au cours d’une période donnée. Vous pouvez également filtrer les résultats de données en utilisant plusieurs critères, tels que la catégorie d’URL, le programme malveillant et l’application.


Remarque
Le proxy Web fournit uniquement des rapports sur les transactions qui comprennent une balise de décision ACL autre que « OTHER-NONE ».

Pour obtenir un exemple d’utilisation de l’onglet Proxy Services (Services proxy) avec d’autres pages de rapports Web, consultez le .

Procédure

Étape 1

Sur l’appliance de gestion de la sécurité, choisissez Web dans la liste déroulante.

Étape 2

Utilisation de la page URL Categories (Catégories d’URL) en association avec les pages Other Reporting (Autres rapports) Choisissez Tracking > Proxy Services (Suivi > Services proxy).

Étape 3

Pour voir toutes les options de recherche et de filtrage, cliquez sur Advanced (Avancé).

Étape 4

Saisissez les critères de recherche :

Tableau 14. Critères de recherche de suivi Web sur l’onglet Proxy Services (Services proxy)

Option

Description

Default Search Criteria (Critères de recherche par défaut)

Time Range (Plage de temps)

Choisissez la plage de temps sur laquelle porte le rapport. Pour en savoir plus sur les plages de temps disponibles sur l’appliance de gestion de la sécurité, consultez Choix d’une plage de temps pour les rapports.

User/Client IPv4 or IPv6 (Utilisateur/Client IPv4 ou IPv6)

Vous pouvez également saisir un nom d’utilisateur d’authentification tel qu’il apparaît dans les rapports ou l’adresse IP du client que vous souhaitez suivre. Vous pouvez également saisir une plage d’adresses IP au format CIDR, par exemple 172.16.0.0/16.

Si vous laissez ce champ vide, la recherche renvoie des résultats pour tous les utilisateurs.

Website (Site Web)

Saisissez éventuellement un site Web que vous souhaitez suivre. Lorsque vous laissez ce champ vide, la recherche renvoie des résultats pour tous les sites Web.

Transaction Type (Type de transaction)

Choisissez le type de transactions que vous souhaitez suivre, soit All Transactions (Toutes les transactions), Completed (Terminé), Blocked (Bloqué), Monitored (Surpervisé) ou Warned (Ayant fait l’objet d’un avertissement).

Advanced Search Criteria (Critères de recherche avancée)

URL Category (Catégorie URL)

Pour filtrer par catégorie d’URL, sélectionnez Filter by URL Category (Filtrer par catégorie d’URL) et saisissez la première lettre d’une catégorie d’URL personnalisée ou prédéfinie en fonction de laquelle effectuer le filtrage. Choisissez la catégorie dans la liste qui apparaît.

Toutes les transactions récentes qui correspondent au nom de la catégorie sont incluses, quel que soit le nom du moteur indiqué dans la liste déroulante.

Malware Threat (Programmes malveillants)

Pour filtrer les données par programme malveillant spécifique, sélectionnez Filter by Malware Threat (Filtrer par programme malveillant) et entrez le nom du programme malveillant selon lequel effectuer le filtrage.

Pour filtrer les données par catégorie de programmes malveillants, sélectionnez Filter by Malware Category (Filtrer par catégorie de programmes malveillants) et choisissez une catégorie de programmes malveillants en fonction de laquelle effectuer le filtrage. Pour une description, consultez Descriptions des catégories de programmes malveillants.

Application

Pour filtrer par application, sélectionnez Application et choisissez une application en fonction de laquelle effectuer le filtrage.

Pour filtrer les données par type d’application, sélectionnez Application Type (Type d’application) et choisissez un type d’application selon lequel effectuer le filtrage.

WBRS

Dans la section WBRS, vous pouvez filtrer les données par score de réputation Web et par menace particulière pour la réputation Web.

  • Pour filtrer les données par score de réputation Web, sélectionnez Score range (Plage de score de réputation), puis les valeurs supérieure et inférieure selon lesquelles effectuer le filtrage. Vous pouvez également filtrer les sites Web qui n’ont aucun score de réputation en sélectionnant No Score (Aucun score de réputation).

  • Pour filtrer les données par menace pour la réputation Web, sélectionnez Filter by Reputation Threat (Filtrer par menace pour la réputation) et saisissez une menace pour la réputation Web en fonction de laquelle effectuer le filtrage.

Pour en savoir plus sur les scores WBRS, consultez le Guide de l’utilisateur IronPort AsyncOS pour le Web.

Threat Category (Catégorie de menace)

Pour filtrer les données par catégorie de menace spécifique, développez la section Threat Catégorie (Catégorie de menace) et sélectionnez les catégories de menaces souhaitées.

Pour sélectionner toutes les catégories de menaces disponibles, cliquez sur Select All (Sélectionner tout).

Youtube Category (Catégorie YouTube)

Pour filtrer les données par catégorie YouTube spécifique, développez la section Youtube Category (Catégorie YouTube) et sélectionnez les catégories YouTube que vous souhaitez afficher.

Pour sélectionner toutes les catégories YouTube disponibles, cliquez sur Select All (Sélectionner tout). Vous pouvez également filtrer les données par catégories actives et inactives.

Policy (Politique)

Pour filtrer les données par groupe de politiques, sélectionnez Policy (Politique) et entrez un nom de groupe de politiques selon lequel effectuer le filtrage.

Assurez-vous d’avoir déclaré la politique à l’aide de Secure Web Appliance.

AnyConnect Secure Mobility

Pour filtrer les données par accès distant ou local, sélectionnez User Location (Emplacement de l’utilisateur) et choisissez un type d’accès. Pour inclure tous les types d’accès, sélectionnez Disable Filter (Désactiver le filtre).

(Dans les versions précédentes, cette option était appelée « Sécurité des utilisateurs mobiles ».)

Cisco Secure Endpoint

Pour filtrer les menaces basées sur les fichiers identifiées par le service de réputation des fichiers, entrez un nom de fichier dans le champ Filename (Nom de fichier).

Pour filtrer les fichiers à l’aide du hachage SHA-256, entrez une valeur pour SHA-256 dans le champ File SHA-256 (Informations SHA-256 du fichier).

Pour filtrer les fichiers en fonction du verdict du fichier, sélectionnez Cisco Secure Endpoint File Verdict (Verdict du fichier) et choisissez un type de verdict. Les types de verdicts de fichier disponibles sont Clean (Sain), Malicious (Malveillant), Unknown (Inconnu), UnScannable (Impossible à analyser) et Low risk (Faible risque).

Le type de verdict Malicious Malveillant) comprend trois sous-catégories :

  • Malware(Programmes malveillants) : fichiers bloqués pour des raisons autres qu’une détection personnalisée ou un seuil personnalisé.

  • Custom Detection (Détection personnalisée) : pourcentage d’informations SHA du fichier sur la liste de blocage reçue de la console Cisco Secure Endpoint.

  • Custom Threshold (Seuil personnalisé) : fichiers bloqués en raison des paramètres de seuil lors de la configuration de Cisco Secure Endpoint .

User Request (Demande utilisateur)

Pour filtrer les données selon les transactions qui ont été réellement initiées par l’utilisateur, sélectionnez Filter by Web User-Requested Transactions (Filtrer par transactions demandées par l’utilisateur Web).

Remarque : lorsque vous activez ce filtre, les résultats de la recherche incluent les transactions de type « meilleure estimation ».

Descriptions des catégories de programmes malveillants

Secure Web Appliance peut bloquer les types de programmes malveillants suivants :

Type de maliciel

Description

Logiciels publicitaires

Les logiciels publicitaires englobent tous les exécutables logiciels et les modules d’extension qui dirigent les utilisateurs vers les produits à vendre. Certaines applications de logiciels publicitaires ont des processus distincts qui s’exécutent simultanément et se surveillent mutuellement, garantissant ainsi que les modifications sont permanentes. Certaines variantes se permettent de s’exécuter à chaque démarrage de l’ordinateur. Ces programmes peuvent également modifier les paramètres de sécurité, en empêchant les utilisateurs de modifier les options de recherche de leur navigateur, leur bureau et d’autres paramètres système.

Objet de l’assistant du navigateur

Un objet assistant de navigateur est un module d’extension de navigateur qui peut remplir diverses fonctions liées à la diffusion de publicités ou au détournement de paramètres d’utilisateur.

Supervision de système commercial

Un moniteur système commercial est un logiciel ayant les caractéristiques d’un moniteur système qui peut être obtenu avec une licence légitime par des moyens légaux.

Composeur automatique

Un composeur est un programme qui utilise votre modem ou un autre type d’accès Internet pour vous connecter à une ligne téléphonique ou à un site qui vous fait accumuler des frais d’interurbain pour lesquels vous n’avez pas donné votre consentement complet, significatif et éclairé.

Logiciel espion générique

Un logiciel espion est un type de programme malveillant installé sur les ordinateurs qui recueille de petits éléments d’information sur les utilisateurs à l’insu des utilisateurs.

Détournement d’identité

Un pirate modifie les paramètres système ou toute modification indésirable apportée au système d’un utilisateur peut le diriger vers un site Web ou exécuter un programme sans le consentement complet, significatif et éclairé de l’utilisateur.

Autres programmes malveillants

Cette catégorie est utilisée pour détecter tous les autres programmes malveillants et comportements suspects qui n’entrent pas exactement dans l’une des autres catégories définies.

Heuristique des épidémies

Cette catégorie représente les programmes malveillants détectés par l’analyse adaptative indépendamment des autres moteurs de protection contre les programmes malveillants.

URL d’hameçonnage

Une URL d’hameçonnage s’affiche dans la barre d’adresse du navigateur. Dans certains cas, elle implique l’utilisation de noms de domaine et ressemble à celle de domaines légitimes. L’hameçonnage est une forme de vol d’identité en ligne qui recourt à la fois à l’ingénierie sociale et à des subterfuges techniques pour dérober des données d’identité personnelles et des identifiants de comptes financiers.

API (applications potentiellement indésirables)

Application potentiellement indésirable. Un PUA est une application qui n’est pas malveillante, mais qui peut être considérée comme indésirable.

Moniteur système

Un moniteur système englobe tout logiciel qui effectue l’une des actions suivantes :

Enregistre ouvertement ou secrètement les processus du système et/ou les actions de l’utilisateur;

Rend ces enregistrements disponibles pour la récupération et l’examen ultérieurement.

Outil de téléchargement de chevaux de Troie

Un logiciel de téléchargement de chevaux de Troie désigne un cheval de Troie qui, après son installation, communique avec un hôte ou un site distant et installe des paquets ou des sociétés affiliées à partir de l’hôte distant. Ces installations se produisent généralement à l’insu de l’utilisateur. De plus, les données utiles d’un tel logiciel de téléchargement peuvent varier d’une installation à l’autre, car il obtient les instructions de téléchargement de l’hôte ou du site distant.

Cheval de Troie

Un cheval de Troie est un programme destructeur qui se fait passer pour une application inoffensive. Contrairement aux virus, les chevaux de Troie ne se reproduisent pas.

Cheval de Troie pour hameçonnage

Un cheval de Troie pour hameçonnage peut rester sur un ordinateur infecté en attendant la visite d’une page Web spécifique ou peut analyser l’ordinateur infecté à la recherche de noms d’utilisateur et de mots de passe pour des sites bancaires, des sites d’enchères ou des sites de paiement en ligne.

Virus

Un virus est un programme ou un élément de code qui est chargé sur votre ordinateur à votre insu et qui s’exécute contre votre volonté.

Vers

Un ver est un programme ou un algorithme qui se reproduit sur un réseau informatique et qui effectue généralement des actions malveillantes.

Recherche de transactions traitées par la supervision du trafic de la couche 4

L’onglet Layer 4 Traffic Monitor (Supervision du trafic de la couche 4) de la page de recherche de suivi Web fournit des détails sur les connexions aux ports et aux sites de programmes malveillants. Vous pouvez rechercher des connexions vers des sites de programmes malveillants à l’aide des types d’informations suivants :

  • Plage de temps

  • Adresse IP de l’ordinateur qui a lancé la transaction (IPv4 ou IPv6)

  • Domaine ou adresse IP du site Web de destination (IPv4 ou IPv6)

  • Port

  • Adresse IP associée à un ordinateur au sein de votre organisation

  • Type de connexion

Pour afficher le nom d’hôte sur le site douteux ou sur le Secure Web Appliance qui a traité la transaction, cliquez sur le lien Display Details (Afficher les détails) dans l’en-tête de colonne Destination IP Address (Adresses IP de destination).

Pour en savoir plus sur l’utilisation de ces informations, consultez Page Layer 4 Traffic Monitor (Supervision du trafic de la couche 4).

Recherche de transactions traitées par le serveur proxy SOCKS

Vous pouvez rechercher des transactions qui répondent à divers critères, notamment des transactions bloquées ou terminées; l’adresse IP de l’ordinateur client qui a lancé la transaction; et le domaine de destination, l’adresse IP ou le port de destination. Vous pouvez également filtrer les résultats par catégorie d’URL personnalisée, correspondance de politiques et emplacement de l’utilisateur (local ou distant). Les adresses IPv4 et IPv6 ne sont pas prises en charge.

Procédure

Étape 1

Choisissez Tracking > SOCKS Proxy (Suivi > Proxy SOCKS).

Étape 2

Pour voir toutes les options de recherche et de filtrage, cliquez sur Advanced (Avancé).

Étape 3

Saisissez les critères de recherche.

Étape 4

Cliquez sur Search (Recherche).

Prochaine étape

Thèmes connexes

Page SOCKS Proxy (Serveur mandataire SOCKS)

Utilisation des résultats de recherche de suivi Web

Affichage de plus de résultats de recherche de suivi Web

Procedure

Step 1

Assurez-vous d’examiner toutes les pages de résultats renvoyés.

Step 2

Pour afficher plus de résultats par page que le nombre actuellement affiché, sélectionnez une option dans le menu Items Displayed (Éléments affichés).

Step 3

Si plus de transactions correspondent à vos critères que le nombre maximal de transactions offert dans le menu Items Displayed (Éléments affichés), vous pouvez consulter l’ensemble des résultats en cliquant sur le lien de Printable Download (Télécharger document imprimable) pour obtenir un fichier CSV qui comprend toutes les transactions correspondantes.

Ce fichier CSV comprend l’ensemble complet des données brutes, à l’exclusion des détails des transactions connexes.

Interprétation des résultats de recherche de suivi Web

Par défaut, les résultats sont triés par horodatage, le plus récent en premier.

Les résultats de la recherche comprennent :

  • L’heure à laquelle l’URL a été consultée.

  • Le nombre de transactions connexes générées par la transaction initiée par l’utilisateur, telles que les images chargées, les scripts javascript exécutés et les sites secondaires consultés. Le nombre de transactions connexes s’affiche sur chaque ligne, sous le lien Display All Details (Afficher tous les détails) dans l’en-tête de colonne.

  • La disposition (le résultat de la transaction. Le cas échéant, indique la raison pour laquelle la transaction a été bloquée, surveillée ou un avertissement.)

Affichage des détails de la transaction pour les résultats de recherche de suivi Web

Pour afficher

Faire ceci

L’URL complète d’une URL tronquée dans la liste

Notez quel hôte Secure Web Appliance a traité la transaction, puis consultez le journal des accès de cette appliance.

Détails d’une transaction individuelle

Cliquez sur une URL dans la colonne Website (Site Web).

Détails de toutes les transactions

Cliquez sur le lien Display All Details... (Afficher tous les détails) dans l’en-tête de la colonne Website (Site Web).

Une liste contenant jusqu’à 500 transactions connexes

Le nombre de transactions associées apparaît entre parenthèses sous le lien « Afficher les détails » dans l’en-tête de colonne de la liste des résultats de recherche.

Cliquer sur le lien Associated Transactions (Transactions associées) dans la vue Details (Détails) pour une transaction.

À propos du suivi Web et des mises à niveau

Les nouvelles fonctionnalités de suivi Web peuvent ne pas s’appliquer aux transactions effectuées avant la mise à niveau, car les données requises peuvent ne pas avoir été conservées pour ces transactions. Pour connaître les limites possibles liées aux données de suivi Web et aux mises à niveau, consultez les notes de mise à jour correspondant à votre version.

Planification et archivage de rapports Web sur la nouvelle interface Web

Cette section aborde les points suivants :

Planification des rapports Web sur la nouvelle interface Web

Cette section aborde les points suivants :

Vous pouvez planifier l’exécution de rapports sur une base quotidienne, hebdomadaire ou mensuelle. Les rapports planifiés peuvent être configurés pour inclure les données de la journée précédente, des sept jours précédents, du mois précédent, du jour civil précédent (jusqu’à 250), du mois civil précédent (jusqu’à 12). Vous pouvez également inclure des données pour un nombre de jours personnalisé (de 2 jours à 100 jours) ou un nombre de mois personnalisé (de 2 mois à 12 mois).

Quel que soit le moment où vous exécutez un rapport, les données de l’intervalle de temps précédent (heure, jour, semaine ou mois) sont renvoyées. Par exemple, si vous planifiez l’exécution d’un rapport quotidien à 1 h, le rapport contiendra les données de la veille, de minuit à minuit (de minuit à 23:59).

Vous pouvez définir autant de destinataires que vous le souhaitez pour les rapports, y compris aucun destinataire. Si vous ne spécifiez pas de destinataire pour le courriel, le système archivera tout de même les rapports. Si vous devez envoyer les rapports à un grand nombre d’adresses, vous pouvez créer une liste d’envoi plutôt que d’énumérer les destinataires individuellement.

Ajout de rapports Web planifiés sur la nouvelle interface Web

Procédure

Étape 1

Choisissez Monitoring > Schedule & Archive (Supervision > Planification et archivage).

Étape 2

Dans l’onglet Scheduled/Archived (Planifié/Archivé), cliquez sur le bouton +.

Étape 3

Sélectionnez votre type de rapport dans le menu déroulant Report Type (Type de rapport).

Étape 4

Dans le champ Report Name (Titre du rapport), saisissez le titre de votre rapport.

Pour éviter de créer plusieurs rapports du même nom, nous vous recommandons d’utiliser un titre descriptif.

Étape 5

Choisissez la plage de temps du rapport dans le menu déroulant Time Range to Include (Plage de temps à inclure).

Étape 6

Choisissez le format du rapport généré.

Le format par défaut est PDF.

Étape 7

Dans la section Delivery Options (Options de remise), choisissez l’une des options suivantes :

En sélectionnant cette option, le rapport sera répertorié dans la page Archived Reports (Rapports archivés).

Remarque

 
Il n’est pas possible d’archiver les rapports de synopsis par domaine.

  • Pour archiver le rapport, sélectionnez Only Archive (Archiver uniquement).

  • Pour archiver et envoyer le rapport par courriel, cliquez sur Archive and Email to Recipients (Archiver et envoyer par courriel aux destinataires).

  • Pour envoyer le rapport par courriel, cliquez sur Only Email to Recipients (Envoyer par courriel seulement aux destinataires).

Dans le champ Email IDs (ID d’e-mail), saisissez les adresses de messagerie des destinataires.

Étape 8

Dans la zone Schedule (Planification), sélectionnez le bouton d’option à côté du jour, de la semaine ou du mois pour votre rapport planifié.

Étape 9

Sélectionnez la langue dans laquelle le rapport doit être généré dans la liste déroulante Report Language (Langue du rapport).

Étape 10

Cliquez sur Submit (Soumettre).

Modification des rapports Web planifiés sur la nouvelle interface Web

Pour modifier des rapports sur la nouvelle interface Web de votre appliance, choisissez la page Monitoring > Scheduled & Archive (Supervision > Rapports planifiés et archive). Cliquez sur le lien correspondant au titre du rapport que vous souhaitez modifier. Modifiez les paramètres, puis cliquez sur Edit (Modifier) pour envoyer vos modifications sur la page.

Suppression des rapports Web planifiés sur la nouvelle interface Web

Pour supprimer des rapports sur la nouvelle interface Web de votre appliance, choisissez la page Monitoring > Scheduled / Archived (Supervision > Planifié/Archivé). Cochez les cases correspondant aux rapports que vous souhaitez supprimer et cliquez sur l’icône de la corbeille.

Pour supprimer tous les rapports planifiés, cochez la case à côté du titre du rapport. Notez que les versions archivées des rapports supprimés ne sont pas supprimées.

Archivage de rapports Web sur la nouvelle interface Web

[Nouvelle interface Web] Génération de rapports Web à la demande

Vous pouvez également générer à la demande la plupart des rapports que vous pouvez planifier.

Pour générer un rapport sur demande, procédez comme suit :

Procédure

Étape 1

Dans Secure Web Appliance, choisissez Monitoring > Schedule & Archive (Supervision > Planification et archivage).

Étape 2

Dans l’onglet View Archived (Afficher l’archive), cliquez sur le bouton  +.

Étape 3

Dans la section Report Type (Type de rapport), choisissez un type de rapport dans la liste déroulante.

Les options de la page peuvent changer.

Étape 4

Dans la section Report Name (Titre du rapport), saisissez le titre du rapport.

AsyncOS ne vérifie pas le caractère unique des noms de rapport. Pour éviter toute erreur, ne créez pas plusieurs rapports portant le même nom.

Étape 5

Dans la liste déroulante Time Range to Include (Plage de temps à inclure), sélectionnez une plage de temps pour les données du rapport.

Étape 6

Dans la section Attachment Details (Détails des pièces jointes), choisissez le format du rapport.

PDF. Créez un document PDF mis en forme pour la remise, l’archivage ou les deux. Vous pouvez consulter immédiatement le rapport au format PDF en cliquant sur Preview PDF Report (Survol du rapport PDF).

Étape 7

Dans la section  Delivery Options (Options de remise), choisissez l’une des options suivantes :

En sélectionnant cette option, le rapport sera répertorié dans la page Archived Reports (Rapports archivés).

Remarque

 
Il n’est pas possible d’archiver les rapports de synopsis par domaine.

  • Pour archiver le rapport, sélectionnez Only to Archive (Archiver uniquement).

  • Pour archiver et envoyer le rapport par courriel, cliquez sur Archive and Email to Recipients (Archiver et envoyer par courriel aux destinataires).

  • Pour envoyer le rapport par courriel, cliquez sur Only Email to Recipients (Envoyer par courriel seulement aux destinataires).

Dans le champ Email IDs (ID d’e-mail), saisissez les adresses de messagerie des destinataires.

Étape 8

Sélectionnez la langue dans laquelle le rapport doit être généré dans la liste déroulante Report Language (Langue du rapport).

Étape 9

Cliquez sur Deliver This Report (Remettre ce rapport) pour générer le rapport.

Affichage et gestion des rapports Web archivés sur la nouvelle interface Web

Utilisez les renseignements de cette section pour utiliser les rapports générés en tant que rapports planifiés.

Procédure

Étape 1

Connectez-vous à la nouvelle interface Web de votre appliance.

Étape 2

Sélectionnez Monitoring > Schedule& Archive (Supervision > Planifier et archiver).

Étape 3

Sélectionnez l’onglet View Archived (Afficher l’archive).

Étape 4

Pour afficher un rapport, cliquez sur le nom du rapport dans la colonne Report Title (Titre du rapport). La liste déroulante Report Type (Type de rapport) filtre les types de rapports répertoriés sous l’onglet Archived Reports (Rapports archivés).

Étape 5

Vous pouvez rechercher un rapport en particulier dans la zone de recherche.

Page System Status (État du système) sur la nouvelle interface Web

Dans l’écran Secure Web Appliance, choisissez Monitoring > System Status (Supervision > État du système) pour surveiller l’état du système. Cette page affiche l’état et la configuration actuels de Secure Web Appliance. L’heure du navigateur est affichée sur la page d’état du système dans le coin supérieur droit.

La page System Status (État du système) affiche les onglets suivants :

L’onglet Status (État) s’affiche par défaut.

État

La page d’état affiche les informations suivantes :

Cette section...

Description

État Secure Web Appliance

  • Disponibilité du système

  • Utilisation des ressources système : utilisation du processeur, de la RAM et pourcentage d’espace disque utilisé pour les rapports et la journalisation.

L’utilisation de la RAM pour un système qui fonctionne efficacement peut être supérieure à 90 %, car la RAM qui n’est pas autrement utilisée par le système est utilisée par le cache d’objets Web. Si votre système ne connaît pas de problèmes de performances graves et que cette valeur n’est pas bloquée à 100 %, le système fonctionne normalement.

Remarque

 
La mémoire tampon du proxy est un composant qui utilise cette RAM.

Alerts (Alertes)

Affiche le nom des alertes, ainsi que la date et l’heure auxquelles l’alerte s’est produite. Lorsque vous cliquez sur More (Plus) dans le coin supérieur droit ou sur le nom d’une alerte, la fenêtre contextuelle All Alerts (Toutes les alertes) s’affiche. La ligne d’alerte sélectionnée est mise en surbrillance dans la fenêtre contextuelle All Alerts (Toutes les alertes).

La fenêtre contextuelle All Alerts (Toutes les alertes) s’affiche :

  • Date et heure de l’alerte

  • Niveau d’alerte : Info, Avertissement ou Critique

  • Classe d’alerte

  • Problème – Description courte de l’alerte

  • Destinataire : adresse de messagerie à laquelle les détails de l’alerte sont envoyés

Disk Usage (Utilisation du disque)

Affiche la valeur d’utilisation du disque et l’état de stockage RAID.

L’état du stockage RAID dépend de la configuration de l’appliance. Pour les appliances virtuelles, l’état de stockage RAID affiche « Unknown » (Inconnu) et pour les appliances physiques, il affiche « Optimal ».

Proxy Status (État du proxy)

Affiche l’utilisation du processeur du proxy et l’utilisation des E/S du disque proxy.

Affiche également les connexions proxy en attente avec le numéro de port et le nombre de connexions.

High Availability (Haute disponibilité)

Affiche le nom, la priorité et l’état du groupe de basculement.

Affiche également le nombre de groupes de basculement à haute disponibilité activés. S’il n’y a aucun groupe de basculement, l’état du service affiche « Not Configured ».

Proxy Traffic Characteristics (Caractéristiques du trafic du proxy)

Affiche les caractéristiques de trafic de proxy suivantes :

  • Demandes par seconde

  • Bande passante

  • Temps de réponse

  • Ratio de résultats du cache

  • Connexions actuelles : nombre de connexions pour une heure et une date particulières, et affiche des détails comme les suivants :

    • Connexions client inactives

    • Connexions du serveur inactif

    • Nombre total de connexions client

    • Nombre total de connexions serveur

Affiche les valeurs moyenne et maximale de ces données. Les valeurs moyennes sont affichées pour la dernière minute, la dernière heure et depuis le redémarrage du proxy. Les valeurs maximales sont affichées pour la dernière heure et depuis le redémarrage du proxy.

Remarque

 

Cliquez sur l’icône de lien à côté de RPS et de bande passante, qui vous redirige à l’onglet Capacité. De même, cliquez sur l’icône de lien à côté du temps de réponse, qui vous redirige à l’onglet Services.

Capacité

La page Capacity (Capacité) affiche les informations suivantes :

Cette section...

Description

Time Range (Plage de temps)

Affiche les options de plage de temps suivantes :

  • Hour (Heure)

  • Day (Jour)

  • Week (Semaine)

  • 30 Days (30 jours)

  • 90 Days (90 jours)

  • Yesterday (Hier) (00:00 à 23:59)

  • Previous Calendar Month (Mois calendaire précédent)

  • Custom Range (Plage personnalisée) : premières données disponibles

    Cliquez sur Apply (Appliquer) pour afficher les premières données disponibles, puis cliquez sur Cancel (Annuler) pour annuler l’opération.

Remarque

 
L’option Time Range (Plage de temps) s’applique à toutes les fonctionnalités de l’onglet Capacity (Capacité).

Utilisation du processeur système et de la mémoire

L’utilisation du processeur système et de la mémoire système vous permet d’effectuer les tâches suivantes :

  • Mettez à jour ou définissez la valeur de seuil (par exemple, 0 à 100 %).

  • Modifiez la valeur du seuil.

  • Affichez l’utilisation du processeur et de la mémoire. Les codes de couleur sont les suivants :

    • Rouge : indique la valeur du seuil.

    • Vert : indique la valeur moyenne. Si vous modifiez la valeur de seuil, la valeur moyenne est également mise à jour en conséquence.

      La valeur moyenne est la valeur de la somme divisée par la longueur des enregistrements.

    • Bleu : indique l’utilisation de la mémoire système en pourcentage.

Les données d’utilisation de la mémoire et du processeur du système sont affichées en pourcentage en fonction de la plage de temps sélectionnée. Les données et le graphique changent de manière dynamique en fonction des données actuelles.

Bande passante et RPS

Affiche les détails suivants sur la bande passante et le système d’alimentation redondante sous forme graphique :

  • Général : Affiché en bleu marine

  • HTTPS déchiffré : s’affiche en bleu marine

Cliquez sur les blocs de légende pour activer ou désactiver les informations globales et HTTPS déchiffrées.

CPU Usage by Function (Utilisation du processeur par fonction)

Les codes de couleur pour les diverses options d’utilisation du processeur sont les suivants :

  • Vert clair : proxy Web

  • Vert Foncé : Journalisation

  • Mauve : rapports

  • Jaune : WBRS

  • Bleu foncé : Cisco Secure Endpoint

  • Bleu clair : Webroot

  • Bleu eau : Sophos

  • Gris : McAfee

Cliquez sur les blocs de légende pour activer ou désactiver les options.

Client or Server Connection (Connexion du client ou du serveur)

Affiche les connexions moyenne et maximale et vous permet d’effectuer les tâches suivantes :

  • Activer ou désactiver la connexion moyenne et maximale

  • Afficher les détails et les graphiques de la connexion moyenne et maximale

Services

La page Services affiche les services et leur état. Le ruban des services affiche l’état des services Cisco Secure Endpoint , WCCP, ISE et CTR. La couleur à côté du nom du service indique son état :

  • Rouge : le service n’est pas prêt.

  • Gris : le service est prêt, mais désactivé.

  • Vert : le service est prêt, activé et en cours d’exécution.

Cette section...

Description

Date

Les données de service pour la journée en cours sont affichées par défaut. Vous pouvez afficher les données des sept jours précédents. Choisissez une date dans le calendrier pour afficher les données du jour en particulier.

Service Status (État du service)

Le tableau Service Status (État du service) affiche les événements et les alertes relatifs aux services. Le tableau affiche un intervalle de 24 heures, qui est divisé en plages d’une heure. Chaque bloc représente les alertes dans un intervalle de temps d’une heure.

La couleur verte d’un bloc indique qu’il n’y a aucune alerte critique au cours de l’heure correspondante. S’il y a au moins une alerte critique par heure, le bloc correspondant s’affiche en rouge. Les blocs correspondant aux futures plages de temps sont affichés en blanc.

L’icône sur le côté gauche près du nom du service affiche la couleur du dernier bloc (ou de l’heure en cours).

Vous pouvez cliquer sur le bloc rouge pour voir les heures auxquelles les 5 dernières alertes se sont produites. Elle affiche également le nombre total d’alertes sous la forme 5 sur « n » événements, « n » étant le nombre total d’alertes survenues au cours de cette période. Cliquez sur More (Plus) pour afficher la fenêtre contextuelle All Alerts (Toutes les alertes).

La fenêtre contextuelle All Alerts (Toutes les alertes) s’affiche :

  • Date et heure de l’alerte

  • Niveau d’alerte : Info, Avertissement ou Critique

  • Classe d’alerte

  • Problème – Description courte de l’alerte

  • Destinataire : adresse de messagerie à laquelle les détails de l’alerte sont envoyés

Service Response Time (Temps de réponse du service)

Le tableau Service Response Time (Temps de réponse du service) présente le modèle de temps de réponse de chaque service en cours d’exécution dans le système. Les heures suivantes sont affichées :

  • Durée du service McAfee

  • Durée du service WBRS

  • Temps de réponse DNS

  • Heure du service Webroot

  • Durée du service Cisco Secure Endpoint

  • Durée du service Sophos

  • Temps de réponse du serveur

Le tableau affiche un intervalle de 24 heures divisé en plages de 1 heure. Chaque bloc représente le modèle de réponse du service dans une heure. Le temps de réponse de chaque service est fractionné dans les plages horaires suivantes :

  • 0,001 s à 0,06 s

  • 0,06 s à 0,6 s

  • 0,6 s à 1 s

  • 1 s à 6 s

  • 6 s et plus

Par défaut, le tableau affiche les valeurs de réponse de 1 s à 6 s pour tous les services. Vous pouvez développer et afficher la scission détaillée.

Le système calcule le temps de réponse pour toutes les transactions. Il affiche ensuite le pourcentage du volume de transactions qui a eu lieu dans chaque plage de temps. La couleur du bloc dépend du pourcentage du volume de transaction.

Pour les temps de réponse inférieurs à 1 seconde, la légende du volume de transactions est :

  • Bleu Foncé : 41 % à 100 %

  • Bleu eau : 11 % à 40 %

  • Bleu clair : 1 % à 10 %

  • Blanc : 0 %

Pour un temps de réponse de 1 seconde et plus, la légende du volume de transaction est :

  • Rouge : 41 % à 100 %

  • Rouge clair : 26 % à 40 %

  • Bleu clair : 1 % à 25 %

  • Blanc : 0 %

Lorsque les données pour le temps de réponse ne sont pas disponibles en secondes, l’option de couleur de légende est blanche et ne peut pas être modifiée. Cliquez sur l’option de plage de temps pour récupérer les données sur le temps de réponse du service.

Les données comprennent les graphiques à barres et le nombre d’occurrences. Cependant, vous ne pouvez pas récupérer :

  • Graphique à barres

  • Données de légende pour les dates précédentes

Cliquez sur une plage de temps pour ouvrir une fenêtre contextuelle qui affiche la tendance de la réponse dans un graphique à barres pour cette heure particulière.

  • Axe horizontal : plage horaire divisée en intervalles de 5 minutes

  • Axes vertical : nombre de transactions dans la plage de temps

Passez la curseur sur un bloc de la fenêtre contextuelle pour voir le nombre de transactions dans cet intervalle de temps.