Étudier les détections de performances

Lorsqu'une détection intéressante apparaît, vous devez déterminer si le comportement détecté indique un problème peu prioritaire ou un problème potentiel. Vous pouvez démarrer votre enquête directement à partir de la carte de détection, qui fournit des liens vers les données du système ExtraHop.

Il existe un certain nombre de outils qui peuvent vous aider à filtrer votre vue pour voir les détections que vous souhaitez prioriser dans le cadre d'une enquête. Pour commencer, observez les tendances suivantes :
  • Des détections se sont-elles produites à des moments inhabituels ou inattendus, tels que l'activité des utilisateurs le week-end ou en dehors des heures de bureau ?
  • Des détections apparaissent-elles dans de grands groupes sur la chronologie ?
  • Des détections apparaissent-elles pour des points de terminaison de grande valeur ?
  • Les appareils utilisés lors de la détection participent-ils également à d'autres détections ?

Commencez votre investigation

Consultez le titre et le résumé de la détection pour découvrir la cause de la détection.

Affinez votre investigation

Les fiches détaillées de détection présentent des données associées à la détection. La disponibilité des données dépend des appareils et des métriques associés à la détection. Après avoir cliqué sur un lien, vous pouvez revenir à la carte de détection en cliquant sur le nom de la détection dans le chemin de navigation. Chaque option d'investigation est décrite dans les sections ci-dessous.

Examiner les données d'enquête

La plupart des données dont vous avez besoin pour comprendre, valider et étudier une détection sont affichées sur la page détaillée de la détection : tableaux contenant les données métriques pertinentes, transactions d'enregistrement et liens vers des paquets bruts.

Cliquez sur le nom d'un hôte pour accéder à la page de présentation du périphérique, ou cliquez avec le bouton droit de la souris pour créer un graphique avec cet équipement comme source et les mesures pertinentes.



Nom de l'appareil

Cliquez sur le nom d'un équipement pour accéder à la page de présentation de l'équipement, qui contient le rôle, les utilisateurs et les tags associés à cet équipement. Dans le volet de gauche, cliquez sur le nom d'un protocole pour afficher toutes les mesures de protocole associées à l'équipement. La page de protocole vous donne une image complète de ce que faisait cet équipement au moment de la détection.

Par exemple, si un échec de transaction de base de données est détecté, vous pouvez en savoir plus sur d'autres activités associées au serveur hébergeant l'instance de base de données.



Disponibilité
Les liens vers les noms d'appareils ne sont disponibles que pour les appareils qui ont été automatiquement découverts par le système ExtraHop. Les appareils distants situés en dehors de votre réseau sont représentés par leur adresse IP.

Carte des activités

Cliquez sur l'icône de la carte d'activité à côté du nom d'un équipement pour voir les connexions des équipements par protocole au moment de la détection. Par exemple, si des erreurs d'authentification LDAP sont détectées, vous pouvez créer une carte dactivités pour savoir quels appareils étaient connectés à un serveur LDAP lors de la détection.

Disponibilité
Une carte dactivités est disponible lorsqu'un seul client ou serveur est associé à une activité inhabituelle liée au protocole L7, telle qu'un nombre élevé d'erreurs HTTP ou des délais d'expiration des requêtes DNS.

Exploration métrique détaillée

Cliquez sur un lien métrique détaillé pour accéder à une valeur métrique vers le bas. Une page détaillée des mesures apparaît, qui répertorie les valeurs métriques par clé, telles que l'adresse IP du client, l'adresse IP du serveur, la méthode ou l'erreur. Par exemple, si vous recevez une détection d'authentification concernant un serveur LDAP, effectuez une analyse détaillée pour savoir quelles adresses IP des clients ont soumis les informations dÂ'identification non valides qui ont contribué au nombre total d'erreurs LDAP.



Disponibilité
L'option d'exploration vers le bas est disponible pour les détections associées à topnset métriques détaillées.

Sparkline

Cliquez sur le sparkline pour créer un graphique qui inclut la source, l'intervalle de temps et les détails détaillés de la détection, que vous pouvez ensuite ajouter à un tableau de bord pour une surveillance supplémentaire. Par exemple, si vous recevez une détection concernant des problèmes de serveur Web, vous pouvez créer un graphique avec les 500 codes d'état envoyés par le serveur Web, puis ajouter ce graphique à un tableau de bord concernant les performances du site Web.



Disponibilité
L'option sparkline est disponible pour les détections associées à des métriques.

Détections associées

Cliquez sur une détection associée pour obtenir des informations sur les problèmes de réseau, d'application et d'infrastructure rencontrés lors de plusieurs détections impliquant des participants communs. Par exemple, un équipement identifié comme étant un délinquant est probablement à l'origine d'un problème, tel qu'un serveur de bases de données envoyant un nombre excessif d' erreurs de réponse. Un équipement identifié comme victime est généralement affecté négativement par le problème, par exemple lorsque les clients rencontrent des transactions de base de données lentes ou échouées. Vous pouvez consulter les détails de détection associés pour déterminer si les événements de détection sont similaires, voir quels autres appareils sont concernés et consulter les données métriques.

Disponibilité
La chronologie des détections associée est disponible si certaines détections concernent la même victime ou le même délinquant que la détection actuelle. Les détections associées peuvent s'être produites avant ou après la détection en cours.
Last modified 2023-11-07