Onglet Admin
Lorsque l'onglet Admin est actif, les boutons suivants sont disponibles.
Afficher la configuration de rapport
Afficher le gestionnaire de moteurs de corrélation
Afficher la configuration du menu
Afficher le gestionnaire d'utilisateurs
Fenêtre Gestionnaire de filtres
Afficher les règles de corrélation
Afficher la configuration du filtre global
Afficher le gestionnaire de filtres
Gestionnaire de vues du serveur
Lorsque la fenêtre Gestionnaire de filtres est active, les boutons suivants sont disponibles.
Créer un filtre
Supprimer le filtre sélectionné (actif lorsqu'un filtre est sélectionné)
Menu Configuration du menu
Lorsque la fenêtre Configuration du menu est active et que vous êtes en mode modification, les boutons suivants sont disponibles.
Créer un nouvel élément de menu
Supprimer l'élément de menu
Activer l'élément de menu Désactiver l'élément de menu
Onglets
Selon les autorisations dont vous disposez, le Centre de contrôle Sentinel affiche les onglets suivants. Vous devez disposer des autorisations appropriées pour pouvoir afficher chaque onglet.
Active Views™
Incidents
iTRAC™
Analyse
Advisor
Collecteurs
Admin
Pour plus d'informations sur les onglets, reportez-vous au chapitre correspondant à chaque onglet.
2-6
Guide de L'Utilisateur de Sentinel
Changement de l'apparence du Centre de contrôle Sentinel
Vous pouvez changer l'apparence du Centre de contrôle Sentinel. Vous pouvez effectuer notamment les opérations suivantes :
Changer la position des onglets
Afficher ou masquer la fenêtre de navigation
Arrimer ou faire flotter la fenêtre de navigation
Affichage des fenêtres en cascade
Affichage des fenêtres en mosaïque
Réduction et restauration de toutes les fenêtres
Fermeture simultanée de toutes les fenêtres
Définition de la position des onglets
Pour définir la position des onglets
1. Cliquez sur Options > Placement de la tabulation.
2. Sélectionnez Haut ou Bas.
Afficher ou masquer la fenêtre de navigation
Pour afficher ou masquer la fenêtre de navigation
1. Cliquez sur Options > Afficher le navigateur (activé ou désactivé).
Arrimer ou faire flotter la fenêtre de navigation
Pour arrimer ou faire flotter la fenêtre de navigation
1. Cliquez sur Options > Arrimer le navigateur (activé ou désactivé).
Affichage des fenêtres en cascade
Pour afficher les fenêtres en cascade
1. Cliquez sur Fenêtres > Tout organiser en cascade. Toutes les fenêtres ouvertes du panneau droit s'affichent en cascade.
Affichage des fenêtres en mosaïque
Pour afficher les fenêtres en mosaïque
1. Cliquez sur Fenêtres > Tout organiser en mosaïque.
2. Sélectionnez, au choix :
Ajuster en mosaïque
Mosaïque verticale
Mosaïque horizontale
Navigation au sein du Centre de contrôle Sentinel
2-7
Réduction et restauration de toutes les fenêtres
Pour réduire toutes les fenêtres
1. Cliquez sur Fenêtres > Tout réduire. Toutes les fenêtres ouvertes du panneau droit sont réduites.
Pour restaurer toutes les fenêtres dans leur taille d'origine
Pour restaurer toutes les fenêtres dans leur taille d'origine
1. Cliquez sur Fenêtres > Tout restaurer. Toutes les fenêtres ouvertes du panneau droit sont restaurées dans leur taille d'origine.
Pour restaurer une fenêtre spécifique
To restore an individual window
1. Cliquez sur la fenêtre réduite. La fenêtre est restaurée dans sa taille d'origine.
Fermeture simultanée de toutes les fenêtres
To close all windows
1. Cliquez sur Fenêtres > Tout fermer.
Enregistrement des préférences utilisateur
Vous devez disposer de l'autorisation Save Workspace (Enregistrement de l'espace de travail).
Les préférences pouvant être enregistrées sont les suivantes :
Les fenêtres permanentes, qui peuvent être recréées, car elles ne dépendent pas de données disponibles lors de leur création. Par exemple, les préférences d'affichage de récapitulatif et de vues actives peuvent être enregistrées. Cependant, les fenêtres temporaires (par exemple, les instantanés et les interrogations rapides) ne peuvent pas être enregistrées.
Toutes les fenêtres répertoriées dans le navigateur sont enregistrées, mais aucune des fenêtres secondaires que vous ouvrez en double-cliquant sur un élément qu'elles contiennent n'est enregistrée.
La position des fenêtres.
La taille des fenêtres, y compris de la fenêtre d'application.
La position des onglets.
La fenêtre de navigation arrimée ou flottante et affichée ou masquée.
Pour enregistrer vos préférences
1. Cliquez sur Fichier > Enregistrer les préférences ou sur Enregistrer les préférences.
2-8
Guide de L'Utilisateur de Sentinel
Changement du mot de passe du Centre de contrôle Sentinel
REMARQUE : pour satisfaire les exigences strictes en matière de configuration de la sécurité certification CC (Common Criteria ou Critères communs), Novell requiert un mot de passe fort doté des caractéristiques suivantes :
1. Choisissez des mots de passe comportant au moins 8 caractères qui incluent au moins un caractère en MAJUSCULE, un caractère en minuscule, un symbole spécial
(!@#$%^&*()_+) et un caractère numérique (0 à 9).
2. Votre mot de passe ne peut contenir ni votre adresse de messagerie ni une partie de votre nom.
3. Votre mot de passe ne pas être un mot (cela ne peut pas être un mot du dictionnaire ni un mot d'argot courant).
4. Votre mot de passe ne doit pas contenir de mot d'une langue, quelle qu'elle soit, car de nombreux programmes de reconnaissance de mots de passe sont capables de rechercher parmi des millions de combinaisons de mots possibles en quelques secondes.
5. Choisissez un mot de passe facile à mémoriser et complexe à la fois. Par exemple,
Mfa5!As (mon fils a 5 ans) OU J!hb1tE75 (j'habite à Paris).
Pour changer le mot de passe du Centre de contrôle Sentinel
1. Cliquez sur Options > Changer le mot de passe.
2. Entrez l'ancien mot de passe.
3. Entrez le nouveau mot de passe une première fois, puis une deuxième fois pour le vérifier.
REMARQUE : Novell recommande vivement d'utiliser des mots de passe comportant au moins 8 caractères, dont des caractères alphanumériques.
4. Cliquez sur OK.
Navigation au sein du Centre de contrôle Sentinel
2-9
2-10
Guide de L'Utilisateur de Sentinel
3
Onglet Active Views™
REMARQUE : les termes Agent et Collecteur sont interchangeables. Le terme
Collecteur sera utilisé dans la suite de cette documentation.
Vous devez disposer de l'autorisation appropriée pour utiliser l'onglet Active Views™.
Si tel n'est pas le cas, aucune autorisation liée aux opérations effectuées à l'aide de cet onglet ne sera disponible.
Dans l'onglet Active Views, vous pouvez surveiller, pratiquement en temps réel, les événements
à mesure qu'ils se produisent et exécuter des requêtes sur ces événements. Vous pouvez les surveiller dans un tableau ou les représenter sous forme de graphique 3D à barres, de graphique 2D empilé à barres, de graphique en courbes ou en rubans.
Onglet Vues actives
Les vues d'événements sont présentées sous forme de tables. La configuration d'une vue active est déterminée par le fichier das_rt.xml. Il existe deux types de vues actives. Une table en temps quasi réel des événements comporte une représentation graphique des événements et un instantané de chaque événement.
Onglet Active Views™
3-1
Table en temps quasi réel des événements
à Cette table peut contenir jusqu'à 750 événements par période de 30 secondes.
à Par défaut, le client gère les événements mis en cache pour une période de 24 heures.
Vous pouvez modifier cette configuration à l'aide des
à Par défaut, la table des événements affiche un maximum de 30 000 événements.
Vous pouvez modifier cette configuration à l'aide des
à Par défaut, la table des événements est rafraîchie toutes les 30 secondes (délai d'envoi). Ceci est représenté par une ligne grise dans la table des événements.
Lorsqu'il y a plus de 750 événements par période de 30 secondes, une ligne rouge de séparation apparaît pour indiquer qu'il y a plus d'événements qu'il n'est affiché.
à Après que l'utilisateur a enregistré ses préférences, la table continue à recueillir des données pendant 4 jours. Par exemple, si vous enregistrez vos préférences, puis que vous vous déconnectez et vous reconnectez le jour suivant, la vue active affichera les données comme si vous ne vous étiez jamais déconnecté.
à Si une vue active est créée et non enregistrée, elle continuera à recueillir des données pendant une heure. Si pendant cette période, une vue active identique est créée, cette vue active affichera les données pour l'heure qui vient de s'écouler.
Instantané : les instantanés sont des vues horodatées d'une table d'événements en temps réel.
Chaque vue active est unique, car elle comporte :
un filtre qui lui est propre ;
l'attribut axe z ;
le filtre de sécurité attribué à l'utilisateur.
L'onglet Vues actives vous permet d'effectuer les opérations suivantes :
Fermer un instantané ou une fenêtre du navigateur visuel
Utiliser des options du menu personnalisé avec des événements
Supprimer un instantané ou une fenêtre du navigateur visuel
Envoyer des messages électroniques sur les événements et les incidents
Afficher ou masquer les détails des événements
Prendre un instantané d'une fenêtre du navigateur visuel
Afficher des événements qui ont déclenché un événement corrélé
Afficher des données de l'actif
Utiliser HP OpenView Operations et Service Desk
3-2 Guide de L'Utilisateur de Sentinel
Vous avez la possibilité, en tant qu'utilisateur, de changer les valeurs (le nom des colonnes) pour afficher des noms logiques qui seront utilisés à tous les niveaux du système. Vous pouvez appliquer au flux d'événements des attributs appropriés à votre activité. Pour plus d'informations, reportez-vous au Chapitre 10 : Gestionnaire de données Sentinel du Guide
d'utilisation du composant Wizard et au Guide des références utilisateur de Sentinel.
Reconfiguration du nombre maximal des événements dans les vues actives et de la valeur du cache
Les propriétés des vues actives vous permettent de configurer le nombre maximal d'événements qui peuvent être affichés dans les vues actives et la durée de leur mise en cache. Par défaut, le nombre maximal d'événements dans une vue active est 30 000. La durée de mise en cache par défaut dans une vue active est 24 heures.
Pour reconfigurer le nombre maximal d'événements et la valeur de la mise en cache dans les vues actives
1. Cliquez sur l'onglet Active Views.
2. Cliquez sur Active Views > Propriétés.
3. Changez les valeurs.
Pour que les nouvelles valeurs prennent effet, vous devez redémarrer le Centre de contrôle Sentinel.
Pour afficher les événements en temps réel
Pour afficher les événements en temps réel
1. Cliquez sur l'onglet Active Views.
2. Cliquez sur Active Views > Créer une vue active ou cliquez sur Créer une vue active.
3. Dans la fenêtre Assistant de visualisation des événements, cliquez sur les flèches vers le bas pour sélectionner l'attribut axe z, le filtre et l'affichage des événements (Oui ou Non).
Onglet Active Views™
3-3
REMARQUE : dans la fenêtre de sélection de filtres, vous avez la possibilité de créer votre propre filtre ou de sélectionner l'un des filtres déjà créés. Sélectionnez le filtre Tout pour que tous les événements apparaissent dans cette fenêtre. Lorsque vous créez une vue active, si le filtre assigné à la vue active est changé ou supprimé après la création de la vue active, la vue active n'est pas modifiée.
Après avoir effectué les sélections appropriées, cliquez sur Suivant ou Terminer. Si vous cliquez sur Terminer, les valeurs par défaut suivantes seront choisies :
Affichage et taux de rafraîchissement de 30 secondes
Temps d'affichage de 15 minutes
Axe Y pour le nombre d'événements
Type de graphique : empilé 2D à barres
4. Si vous cliquez sur Suivant, cliquez sur les flèches pour sélectionner ce qui suit :
Affichage et taux de rafraîchissement : fréquence en secondes à laquelle les événements sont mis à jour
Temps d'affichage : durée d'affichage du graphique
Axe Y : nombre total d'événements ou nombre d'événements par seconde
Cliquez sur Suivant.
5. Sélectionnez le type du graphique. Cliquez sur Suivant.
Type de graphique : 3D à barres, empilé 2D à barres, en courbes ou en rubans
3-4 Guide de L'Utilisateur de Sentinel
6. En plus de sélectionner un filtre, vous pouvez également affiner votre table d'événements. Choisissez les conditions suivantes :
Aucun
est exactement
n'est pas
est < (est inférieur à)
est <= (est inférieur ou égal à)
est > (est supérieur à)
est >= (est supérieur ou égal à)
contient
ne contient pas
est vide
n'est pas vide
Une fois que vous avez créé vos critères, cliquez sur Ajouter à la liste. Cliquez sur
Terminer.
REMARQUE : après avoir créé la vue, vous pouvez modifier ou supprimer les critères d'affinement de la table des événements en cliquant avec le bouton droit dans la zone de graphique, puis en sélectionnant des propriétés. Pour plus d'informations,
reportez-vous à Pour redéfinir les paramètres, le type des graphiques ou la table des
.
Le graphique est semblable à celui-ci :
REMARQUE : propriétés de la vue active : la fonction Affiner la table des événements ne modifie en rien la représentation graphique.
Les cinq boutons à gauche du graphique effectuent les fonctions suivantes :
Verrouiller/déverrouiller le graphique : utilisé pour effectuer une analyse, un zoom avant, un zoom arrière, un zoom sur une sélection et enregistrer un graphique en tant que fichier HTML.
Augmenter l'intervalle d'affichage : augmente l'intervalle du temps d'affichage des événements entrants.
Réduire l'intervalle d'affichage : réduit l'intervalle du temps d'affichage des événements entrants.
Onglet Active Views™
3-5
Augmenter le temps d'affichage : augmente l'intervalle de temps sur l'axe x.
Réduire le temps d'affichage : réduit l'intervalle de temps sur l'axe x.
Lorsque vous cliquez sur le bouton Verrouiller, les boutons suivants sont disponibles :
Verrouiller/déverrouiller le graphique : utilisé pour effectuer une analyse,
un zoom avant, un zoom arrière, un zoom sur une sélection et enregistrer
un graphique en tant que fichier HTML.
Zoom avant : permet d'effectuer des zooms avant sans changer les paramètres de temps du graphique
Zoom arrière : permet d'effectuer des zooms arrière sans changer les paramètres de temps du graphique
Zoom sur la sélection : permet d'effectuer un zoom sur les intervalles de temps des événements sélectionnés.
Enregistre les détails du navigateur dans un fichier HTML avec les graphiques sous forme d'images et les événements sous forme de table.
Pour redéfinir les paramètres, le type des graphiques ou la table des événements d'une vue active
Lorsque vous affichez une vue active, vous pouvez redéfinir les paramètres et le type des graphiques et, si la vue ne contient que des événements qui vous intéressent, vous pouvez filtrer d'autres événements sans avoir besoin de créer une autre vue active et de filtrer les
événements.
Pour redéfinir les paramètres, le type des graphiques ou la table des événements d'une vue active
1. Dans une vue active comportant un graphique, cliquez avec le bouton droit et sélectionnez Propriétés.
3-6 Guide de L'Utilisateur de Sentinel
Sous l'onglet Paramètres, vous pouvez définir :
Afficher l'intervalle : la durée entre chaque intervalle
Taux de rafraîchissement : fréquence en secondes à laquelle les événements sont mis à jour
Temps d'affichage total : durée d'affichage du graphique
Axe Y : nombre total d'événements ou nombre d'événements par seconde
Sous l'onglet Types de graphiques, vous pouvez sélectionner un graphique à barres 3D, un graphique empilé à barres 2D, un graphique en courbes ou en rubans.
L'onglet Affiner la table des événements vous permet de filtrer le champ des événements dans la vue active.
Onglet Active Views™
3-7
Par exemple, vous pouvez filtrer les événements en indiquant une entrée spécifique dans
Champ, par exemple DeviceAttackName est exactement Back_Door_Probe (TCP 3128).
Il en résulte une table avec des événements contenant uniquement DeviceAttackName
équivalant à Back_Door_Probe (TCP 3128).
Lorsque vous affinez une table d'événements, les critères du filtre apparaissent en bas
à droite de la table.
Faire pivoter un graphique 3D à barres ou un graphique en rubans
Pour faire pivoter un graphique 3D à barres ou un graphique en rubans
1. Cliquez n'importe où dans le graphique et maintenez enfoncé le bouton droit de la souris.
2. Repositionnez le graphique comme vous le souhaitez en déplaçant la souris tout en maintenant son bouton droit enfoncé.
Afficher et masquer les détails des événements
Pour afficher les détails des événements
1. In an Event Real Time table of the Visual Navigator or Snapshot, double-click or right-click an event and click Show Details. Les détails d'un événement s'afficheront dans le panneau de gauche de la table en temps réel des événements.
3-8 Guide de L'Utilisateur de Sentinel
2. Si vous voulez que les détails s'affichent la prochaine fois que vous ouvrez le Centre de contrôle Sentinel, cliquez sur Fichier > Enregistrer les préférences ou cliquez sur
Enregistrer les préférences utilisateur.
Onglet Active Views™
3-9
Pour masquer les détails des événements
1. Dans une table en temps réel des événements du navigateur visuel ou de l'instantané, dont les détails sont affichés dans le panneau de gauche, cliquez avec le bouton droit sur un événement, puis cliquez sur Afficher les détails. La fenêtre des détails de l'événement se ferme.
2. Si vous ne voulez pas que les détails s'affichent la prochaine fois que vous ouvrez le Centre de contrôle Sentinel, cliquez sur Fichier > Enregistrer les préférences ou cliquez sur Enregistrer les préférences utilisateur.
Envoi de messages électroniques sur les événements et les incidents
La fonctionnalité d'envoi de courriers électroniques est activée dans le fichier execution properties lors de l'installation. Ce fichier, qui est modifiable après l'installation, est situé aux emplacements suivants:
Sous Windows :
%ESEC_HOME%\sentinel\config
Sous UNIX :
$ESEC_HOME/sentinel/config
Pour plus d'informations, reportez-vous à la section consacrée à la configuration de la messagerie Sentinel du Chapitre 11 : Utilitaires.
Pour envoyer un message concernant un événement par message électronique
1. Dans une table en temps réel des événements du navigateur visuel ou de l'instantané, sélectionnez un événement ou un groupe d'événements, cliquez avec le bouton droit sur celui-ci, puis sélectionnez Courrier électronique.
3-10 Guide de L'Utilisateur de Sentinel
2. Entrez les informations suivantes :
Adresse électronique
Objet du message électronique
Message électronique
3. Cliquez sur OK.
Pour envoyer un message concernant un incident par message électronique
1. Après avoir enregistré l'incident, cliquez sur l'onglet Incidents, puis sur Incidents >
Afficher le gestionnaire de vues d'incidents.
2. Double-cliquez sur All Incidents (Tous les incidents).
3. Double-cliquez sur un incident.
4. Double-cliquez sur Incident de message électronique .
5. Entrez :
Adresse électronique
Objet du message électronique
Message électronique
6. Cliquez sur OK. Le message électronique comportera une pièce jointe au format
HTML qui répertorie les détails de l'incident, les informations relatives aux
événements, aux actifs, aux vulnérabilités et à l'Advisor ainsi que l'historique de l'incident.
Onglet Active Views™
3-11
Création d'un incident
Vous devez disposer de l'autorisation Create Incident(s) (Création d'incidents) pour pouvoir utiliser cette fonction.
Cette fonction permet de regrouper des événements en un ensemble présentant un intérêt particulier (un groupe d'événements similaires ou un ensemble d'événements différents qui correspondent à un sujet particulier, par exemple une attaque).
REMARQUE : si les événements ne sont pas affichés dans un nouvel incident, cela est probablement dû à un décalage entre l'affichage des événements dans la fenêtre des événements en temps réel et leur insertion dans la base de données.
Si cela se produit, l'insertion des événements d'origine dans la base de données et l'affichage de l'incident peuvent prendre quelques minutes.
Pour créer un incident
1. Dans une table en temps réel des événements du navigateur visuel ou de l'instantané, sélectionnez un événement ou un groupe d'événements, cliquez avec le bouton droit sur celui-ci, puis sélectionnez Créer un incident.
La fenêtre Nouvel incident comporte les onglets suivants :
Événements : indique les événements qui constituent l'incident.
Actifs : affiche les actifs concernés par l'incident.
Vulnérabilité : affiche les vulnérabilités d'actifs associées à l'incident.
Advisor : affiche les informations sur les alertes et sur les attaques des actifs.
Workflow : cet onglet vous permet d'assigner un processus de travail (iTrac).
Historique : affiche l'historique de l'incident.
Pièces jointes : vous pouvez joindre à l'incident des documents ou des fichiers texte comportant des informations pertinentes.
Dans la boîte de dialogue Créer un incident, entrez ce qui suit :
Titre
État
Gravité
Priorité
Catégorie
Responsable : compte d'utilisateur assigné à l'incident.
Description
Résolution
2. Cliquez sur Enregistrer. L'incident est ajouté sous l'onglet Incidents du Centre de contrôle Sentinel.
3-12 Guide de L'Utilisateur de Sentinel
Affichage des événements qui ont déclenché un événement corrélé
Pour afficher les événements qui ont déclenché un événement corrélé, vous devez cliquer avec le bouton droit sur un événement corrélé. Dans la table des événements dans laquelle vous sélectionnez l'événement, consultez le panneau récapitulatif, situé à droite, dont la propriété SensorType a la valeur C (C : événement corrélé) ou W (W : liste de surveillance).
Pour afficher les événements qui ont déclenché un événement corrélé
1. Dans une table en temps réel des événements du navigateur visuel, de l'instantané ou d'une requête d'événement, cliquez avec le bouton droit sur un événement corrélé, puis sélectionnez Afficher les événements déclencheurs. Une fenêtre s'ouvre affichant les événements qui ont déclenché la règle de corrélation, ainsi que le nom de cette règle.
Enquêter sur un ou plusieurs événements
Cette fonction vous permet d'effectuer les actions suivantes :
Afficher sous forme de graphique les champs source (IP, port, événement, type de capteur, nom du collecteur, etc.) assignés aux champs cibles (IP, port, événement, type de capteur, nom du collecteur, etc.) des événements sélectionnés.
Réaliser une requête d'événement portant sur la dernière heure d'un événement :
REMARQUE : une requête ne peut pas porter sur un champ null (vide).
à Adresses IP cibles
à Adresses IP source
à Nom de l'événement
Voici une illustration de la correspondance entre les adresses IP source et les adresses
IP cibles.
Onglet Active Views™
3-13
Fonctionnalité Enquêter : Processus d'assignation des graphiques
Pour créer une assignation de graphique
1. Dans une table en temps réel des événements du navigateur visuel ou de l'instantané, cliquez avec le bouton droit sur un ou plusieurs événements > Enquêter > Afficher le graphique.
3-14 Guide de L'Utilisateur de Sentinel
Voici une représentation graphique du nom du capteur en nom d'événement de gravité 5 en disposition organique. Vous pouvez afficher un graphique dans quatre formats différents :
Circulaire
Hiérarchique
Organique
Orthogonal
Fonctionnalité Enquêter : Requête d'événement
Cette fonctionnalité vous permet d'effectuer une requête sur un événement qui s'est produit au cours de l'heure écoulée.
Pour effectuer une requête d'événement avec la fonctionnalité Enquêter
1. Dans une fenêtre de navigateur visuel ou de l'instantané, cliquez avec le bouton droit sur un événement > Enquêter <sélectionnez l'une des trois options suivantes>.
Option Fonction
Afficher plus d'événements vers cette cible Adresse IP cible
Afficher plus d'événements depuis cette source Adresse IP source
Quels sont les objets cible de cet événement ? Nom de l'événement
Analyse : Affichage des données Advisor
Advisor fait le lien entre les signatures d'attaques IDS en temps réel et sa base de connaissances de vulnérabilités. Les données de flux Advisor reçoivent des données relatives aux alertes et aux attaques. Le flux de données d'alerte contient des informations sur les vulnérabilités et les
Onglet Active Views™
3-15
virus alors que le flux de données d'attaque répertorie les exploitations associées aux vulnérabilités.
Les systèmes de détection d'intrusion pris en charge sont les suivants :
Cisco Secure IDS
Enterasys Dragon Host Sensor
Enterasys Dragon Network Sensor
ISS BlackICE PC Protection
ISS RealSecure Desktop
ISS RealSecure Network
ISS RealSecure Server Sensor
ISS RealSecure Guard
Snort/Sourcefire
Symantec ManHunt
Symantec Intruder Alert
McAfee IntruShield
Le collecteur IDS alimente le champ DeviceAttackName (rt1) d'un événement. Advisor utilise ces informations pour générer des informations relatives aux attaques et aux vulnérabilités.
Voici quelques exemples de vulnérabilités :
FINGER : Cfinger Search Probe
(sonde de recherche Cfinger)
SMTP : SmartServer3 MAIL FROM Buffer
Overflow (débordement de mémoire tampon de SmartServer3 MAIL FROM)
HTTP : Dragon Fire IDS Web Interface Remote
Execution (exécution à distance de l'interface
Web Dragon Fire IDS)
FTP :MKDIR-DOS
hp-printer-flood (inondation d'imprimante HP)
wh00t-backdoor (porte dérobée wh00t)
nt-telnet
FINGER / tentative d'exécution
tellurian-tftpdnt-filename-bo
FTP MKD Stack Overflow
(dépassement de pile FTP MKD)
Pour afficher les données Advisor
1. Dans une table en temps réel des événements du navigateur visuel ou de l'instantané, cliquez avec le bouton droit sur un événement ou une série d'événements > Analyse
> Données Advisor. Si le champ DeviceAttackName est correctement rempli, un rapport similaire à celui présenté ci-dessous s'affiche. L'exemple suivant concerne une attaque de vol de cookie nommée WEB-MISC amazon 1-click.
3-16 Guide de L'Utilisateur de Sentinel
Analyse : Affichage des données de l'actif
Cette fonctionnalité vous permet d'afficher les données relatives à un actif et d'enregistrer ces données dans un rapport d'actif au format HTML. Pour afficher ces données, vous devez exécuter le collecteur de gestion d'actifs. Vous pouvez afficher les données suivantes :
Matériel
Adresse MAC
Nom
Type
Fournisseur
Produit
Version
Réseau
Adresse IP
Logiciel
Nom
Type
Fournisseur
Contacts
Ordre
Nom
Rôle
Emplacement
Salle
Rack
Valeur
Sévérité
Sensibilité
Environnement
Emplacement
Nom d'hôte
Produit
Version
Adresse électronique
Numéro de téléphone
Adresse
Onglet Active Views™
3-17
Pour afficher des données d'actif
1. Dans une table en temps réel des événements du navigateur visuel ou de l'instantané, cliquez avec le bouton droit sur un ou plusieurs événements > Analyse > Données
de l'actif. Une fenêtre similaire à celle ci-dessous apparaît.
Analyse : Visualisation des vulnérabilités
Novell est doté de collecteurs capables de traiter les analyses de vulnérabilités réalisées avec
Nessus, ISS, Foundstone, eEye et Qualys. La fonctionnalité de visualisation des vulnérabilités fournit une représentation graphique des données d'événements en temps réel sur des systèmes vulnérables. Vous pouvez afficher les données de vulnérabilité d'un événement en cours ou d'un événement qui s'est produit à l'heure spécifiée.
Cette fonctionnalité récupère et affiche les données de vulnérabilité relatives à l'adresse IP cible des événements sélectionnés. Pour plus d'informations, reportez-vous à la documentation consacrée au collecteur, disponible au format PDF à l'emplacement suivant :
%ESEC_HOME%\wizard\elements\<nom collecteur>\doc. L'un des collecteurs d'analyses doit être chargé et actif pour obtenir des données de vulnérabilité.
REMARQUE : le collecteur de vulnérabilités est un collecteur d'informations et non un collecteur d'événements.
Vous pouvez visualiser les données de vulnérabilité dans les formats suivants :
HTML
Graphique
à Circulaire (organique)
à Hiérarchique
à Tous
à Événements mappés en nœuds
à Orthogonal
3-18 Guide de L'Utilisateur de Sentinel
La vue HTML a l'aspect d'un rapport :
IP
Hôte
Vulnérabilité
Port/Protocole
Voici un exemple d'analyse Nessus.
L'affichage graphique permet de visualiser la manière dont les vulnérabilités sont liées
à un événement émanant d'un port commun. Voici quatre exemples de vues disponibles.
Onglet Active Views™
3-19
Organique
3-20 Guide de L'Utilisateur de Sentinel
Hiérarchique
Circulaire
Orthogonal
Un affichage graphique se compose de quatre volets. Ces types sont les suivants :
Volet graphique
Arborescence
Volet de contrôle
Volet des détails/événements
Onglet Active Views™
3-21
Le volet d'affichage associe les vulnérabilités à la combinaison port/protocole d'une ressource
(adresse IP). Par exemple, si une ressource fait l'objet de cinq combinaisons port/protocole uniques vulnérables, cinq nœuds seront liés à cette ressource. Les ressources sont regroupées sous le nom du programme d'analyse qui les a analysées et a signalé les vulnérabilités. Si deux programmes d'analyse différents sont utilisés (ISS et Nessus), deux nœuds indépendants comporteront les vulnérabilités qui leur sont associées.
REMARQUE : l'assignation d'événements ne se produit qu'entre les événements sélectionnés et les données de vulnérabilité renvoyées.
Dans l'arborescence, les données obéissent à la même hiérarchie que celle des graphiques.
L'arborescence permet également aux utilisateurs d'afficher ou de masquer les nœuds
à n'importe quel niveau de la hiérarchie.
Le volet de contrôle donne accès à toutes les fonctionnalités de l'affichage. Cela inclut :
les quatre algorithmes différents à afficher,
la possibilité d'afficher tous les nœuds ou uniquement ceux auxquels des événements sont assignés,
la possibilité d'effectuer des zooms avant et arrière sur les zones sélectionnées du graphique.
Le volet des détails/événements comporte deux onglets. Lorsque l'onglet Détails est sélectionné, le fait de cliquer sur un nœud affiche les détails qui lui sont associés. Lorsque l'onglet
Événements est sélectionné, le fait de cliquer sur un événement associé à un nœud affiche le nœud sous forme de tableau dans une fenêtre Événement en temps réel ou Requête d'événement.
Pour obtenir une visualisation des vulnérabilités
1. Dans une table en temps réel des événements du navigateur visuel ou de l'instantané, cliquez avec le bouton droit sur un événement ou une série d'événements, puis cliquez sur :
Analyse
à Vulnérabilité actuelle : interroge la base de données en vue de rechercher les vulnérabilités actives à la date et à l'heure actuelles.
à Vulnérabilité d'heure d'événement : interroge la base de données en vue de rechercher les vulnérabilités actives à la date et à l'heure où l'événement sélectionné s'est produit.
3-22 Guide de L'Utilisateur de Sentinel
2. Au bas de la fenêtre des résultats de la requête, cliquez sur l'une des options suivantes :
Événement du graphique de vulnérabilité
Rapport des vulnérabilités
3. (Pour Événement du graphique de vulnérabilité) Au sein de l'affichage, vous pouvez effectuer les opérations suivantes :
Déplacer les nœuds et leurs étiquettes
Afficher le graphique avec l'un des quatre algorithmes de présentation proposés
Afficher tous les nœuds ou uniquement ceux auxquels des événements sont assignés
Filtrer l'arborescence lorsque les résultats comportent un nombre important de ressources vulnérables
Effectuer un zoom avant et arrière sur les zones sélectionnées
Intégration de tiers
Grâce à l'intégration de tiers, vous pouvez envoyer des événements d'un affichage, y compris des incidents et les objets associés, vers l'un des deux logiciels tiers suivants :
HP Service Desk
Remedy
Pour envoyer un ou plusieurs événements vers un logiciel tiers
1. Dans une table en temps réel des événements du navigateur visuel ou de l'instantané, selon le logiciel tiers installé, cliquez avec le bouton droit sur un événement, puis cliquez sur Envoyer l’événement et sélectionnez l'une des destinations suivantes :
HP Service Desk
Remedy
Onglet Active Views™
3-23
Utilisation des options du menu personnalisé avec des événements
Pour appliquer une option du menu personnalisé sur des événements
1. Dans une table en temps réel des événements du navigateur visuel ou de l'instantané, sélectionnez un événement ou un groupe d'événements, cliquez avec le bouton droit sur celui-ci, puis sélectionnez une option. Une boîte de dialogue s'ouvre. Elle contient les informations relatives à l'option de menu ou vous permet de sélectionner les informations requises pour effectuer une action. Les options par défaut du menu personnalisé sont les suivantes :
ping
nslookup
traceroute
Whois?
Vous pouvez également assigner une autorisation utilisateur pour afficher les vulnérabilités et exécuter des opérations HP. Vous pouvez ajouter des options à partir de la fenêtre
Configuration du menu disponible depuis l'onglet Admin.
Gestion des colonnes dans une fenêtre d'instantané ou de navigateur visuel
Pour sélectionner et organiser les colonnes d'une fenêtre d'instantané ou de navigateur visuel
1. Dans une fenêtre d'instantané ou de navigateur visuel, cliquez sur Vue active >
Événement en temps réel > Gérer les colonnes ou cliquez sur Gérer les colonnes de la table en temps réel des événements.
3-24 Guide de L'Utilisateur de Sentinel
2. Avec les boutons Ajouter et Supprimer, déplacez les titres de colonnes entre les listes
Colonnes disponibles et Afficher les colonnes dans cet ordre. Vous pouvez utiliser le bouton Insérer pour placer un élément de colonne disponible à un emplacement spécifique. Par exemple, dans l'illustration ci-dessous, cliquer sur Insertion place
AttackId au-dessus de DateTime.
Les flèches vers le haut et vers le bas permettent d'organiser l'ordre des colonnes telles que vous voulez qu'elles s'affichent dans la table en temps réel des événements. L'ordre de bas en haut des titres de colonnes de la boîte de dialogue Gérer les colonnes détermine l'ordre de gauche à droite des colonnes dans la table en temps réel des événements.
3. Dans la boîte de dialogue Gérer les colonnes, cliquez sur OK.
4. Si vous voulez que les colonnes s'affichent la prochaine fois que vous ouvrez le Centre de contrôle Sentinel, cliquez sur Fichier > Enregistrer les préférences ou cliquez sur Enregistrer les préférences utilisateur.
Prise d'un instantané d'une fenêtre de navigateur visuel
Vous devez disposer de l'autorisation Snapshot (Instantané) pour pouvoir utiliser cette fonctionnalité.
Cette fonctionnalité est utile pour analyser les événements présentant un intérêt car le navigateur visuel s'actualise automatiquement et les alertes peuvent ne plus apparaître
à moins de faire défiler l'écran. En outre, dans une fenêtre d'instantané, vous pouvez trier les colonnes.
Pour prendre un instantané d'une table en temps réel des événements
1. Dans une fenêtre de navigateur visuel, cliquez sur Vue active > Événement en temps réel > Instantané ou, dans la barre de menus, cliquez sur Prendre un instantané de la table en temps réel des événements.
Onglet Active Views™
3-25
Une fenêtre d'instantané s'ouvre et est ajoutée à la liste de dossiers Instantanés sous Event
Views (Vues d’événements) dans le navigateur. L'affichage graphique n'est pas inclus dans l'instantané.
Tri des colonnes d'un instantané
Pour trier les colonnes d'un instantané
1. Cliquez une fois sur un en-tête de colonne pour trier les valeurs dans l'ordre croissant et deux fois pour trier les valeurs dans l'ordre décroissant.
Fermeture d'un instantané ou d'une fenêtre de navigateur visuel
Pour fermer un instantané ou une table en temps réel des événements
1. Dans une fenêtre d'instantané ou de navigateur visuel, cliquez sur Fichier >
Enregistrer les préférences pour que la table soit disponible au prochain démarrage du Centre de contrôle Sentinel.
2. Fermez la table en cliquant sur le bouton Fermer (en haut à droite de la fenêtre sous
Windows ou en haut à gauche de la fenêtre sous UNIX).
Suppression d'un instantané ou d'une fenêtre de navigateur visuel
Pour supprimer un instantané ou une fenêtre de navigateur visuel
1. Dans une fenêtre d'instantané ou de navigateur visuel, fermez la fenêtre en cliquant sur le bouton Fermer (en haut à droite de la fenêtre sous Windows ou en haut
à gauche de la fenêtre sous UNIX).
2. Cliquez sur Fichier > Enregistrer les préférences ou sur Enregistrer les préférences utilisateur.
Après avoir fermé, puis rouvert le Centre de contrôle Sentinel, la vue ou l'instantané ne s'affichera plus.
Ajout d'événements à un incident
Vous devez disposer des autorisations Modify Incident(s) (Modification d'incidents) et Assign Incident(s) (Assignation d'incidents) pour pouvoir utiliser cette fonctionnalité.
Pour ajouter des événements à un incident
1. Dans une table en temps réel des événements du navigateur visuel ou de l'instantané, sélectionnez un événement ou un groupe d'événements, cliquez avec le bouton droit sur celui-ci pour l'afficher, puis sélectionnez Ajouter à l'incident.
2. Dans la boîte de dialogue Ajouter à l'incident, cliquez sur le bouton Parcourir.
3-26 Guide de L'Utilisateur de Sentinel
3. Cliquez sur Parcourir pour afficher la liste des incidents disponibles.
REMARQUE : vous pouvez définir des critères pour faciliter la recherche d'incidents spécifiques.
4. Cliquez sur Rechercher pour afficher une liste d'incidents.
Onglet Active Views™
3-27
5. Sélectionnez un incident et cliquez sur Ajouter.
6. Cliquez sur OK. L'événement ou les événements sélectionnés sont ajoutés à l'incident dans la fenêtre de navigation des incidents.
REMARQUE : si les événements ne sont pas affichés dans un nouvel incident, cela est probablement dû à un décalage entre l'affichage des événements dans la fenêtre des événements en temps réel et leur insertion dans la base de données. Si cela se produit, l'insertion des événements d'origine dans la base de données et l'affichage de l'incident peuvent prendre quelques minutes.
3-28 Guide de L'Utilisateur de Sentinel
4
Onglet Incidents
REMARQUE : les termes Agent et Collecteur sont interchangeables. Le terme
Collecteur sera utilisé dans la suite de cette documentation.
Vous devez disposer de l'autorisation appropriée pour pouvoir utiliser l'onglet Incidents. Si tel n'est pas le cas, aucune autre autorisation liée aux opérations effectuées à l'aide de cet onglet ne sera disponible.
Ce chapitre traite des incidents. Un incident est constitué d'un ou de plusieurs événements qui présentent un intérêt.
Les incidents peuvent être créés :
dans la fenêtre Temps réel, vous pouvez sélectionner des événements individuels pour créer un nouvel incident ou les ajouter à un incident existant ;
automatiquement à partir de règles de corrélation déclenchées.
Onglet Incidents : Description
Vous pouvez effectuer plusieurs actions sur les incidents :
Envoi d'un incident par courrier
Onglet Incidents
4-1
Relation entre événements et incidents
Un événement est une opération ou une occurrence détectée par un dispositif ou un programme de sécurité. Les événements sont considérés comme « sans état ».
Un incident est constitué d'un ou de plusieurs événements jugés importants (une attaque possible).
Les incidents sont associés à des « états » dans la mesure où ils doivent faire l'objet d'une réponse et être fermés.
Affichage d'un incident
Vous devez disposer de l'autorisation View Incident(s) (Affichage des incidents).
Pour afficher un incident
1. Cliquez sur l'onglet Incidents.
2. Cliquez sur Incidents > Afficher le gestionnaire de vues d'incidents ou sur Gestionnaire de vues d'incidents. .
3. Dans la fenêtre Gestionnaire de vues d'incidents, les vues suivantes sont disponibles :
Tous les incidents
Regrouper par État
Regrouper par Priorité
Double-cliquez sur le nom d'une vue.
4. Cliquez avec le bouton droit > Agrandir pour afficher les incidents.
Pour définir l'option de vue d'un incident
1. Cliquez sur l'onglet Incidents.
2. Cliquez sur Incidents > Afficher le gestionnaire de vues d'incidents ou sur Afficher le gestionnaire de vues d'incidents. .
3. Dans la fenêtre Gestionnaire de vues d'incidents, double-cliquez sur le nom d'une vue :
4-2
Guide de L'Utilisateur de Sentinel
4. Cliquez sur Options.
Dans cette fenêtre, vous pouvez également définir les options suivantes :
Champs...
Regrouper par...
Trier...
Filtre...
Tree Display (Affichage de l'arborescence)
Cliquez sur Appliquer puis sur Enregistrer.
5. Dans la fenêtre Gestionnaire de vues d'incidents, double-cliquez sur le nom d'une vue :
La vue par défaut de la fenêtre Tous les incidents est la suivante.
Voici à présent une vue triée par gravité, dont les quatre premières colonnes ont été définies avec l'option Champs (gestion de colonnes) sur Gravité, Date de création,
Priorité et Taux de sévérité.
Voici une vue regroupée par titre.
Onglet Incidents
4-3
Voici une arborescence triée par date de création.
Ajout d'une vue d'incident
Lorsque vous ajoutez une vue d'incident, plusieurs options sont disponibles :
Champs...
Regrouper par...
Trier...
Filtre...
Affichage sous forme d'arborescence
Pour ajouter une vue d'incident
1. Dans le gestionnaire de vues d'incidents, cliquez sur Ajouter une vue.
2. Remplissez le champ Nom d'option, sélectionnez les options voulues, puis cliquez sur Enregistrer.
4-4
Guide de L'Utilisateur de Sentinel
Link pubblico aggiornato
Il link pubblico alla tua chat è stato aggiornato.
