AAA
AAA (Authentication, Authorization, and Accounting) est un
cadre de sécurité qui inclut des protocoles d'accès réseau au niveau des applications tels que RADIUS,
Diameter, TACACS et TACACS+.
ActiveMQ
ActiveMQ est un courtier de messages open-source d'Apache.
Cartes d'activités
Une carte dactivity est une représentation visuelle dynamique de l'activité du
protocole L4-L7 entre les appareils de votre réseau. Vous pouvez consulter des informations en temps réel sur les appareils et les
services qui communiquent entre eux sur votre réseau.
Analyse avancée
Les enregistrements, les paquets, les cartes d'activité, les détections et les graphiques contenant les métriques du protocole L2-L7
sont disponibles pour les appareils recevant ce niveau d'analyse. Donnez la priorité à un groupe ou ajoutez un équipement
à la liste de surveillance pour spécifier quels appareils doivent faire l'objet d'une Analyse avancée.
Assistant de recherche IA
AI Search Assistant est un outil qui vous permet d'effectuer des recherches à l'aide de questions et de
requêtes rédigées dans un langage naturel et courant qui permettent de créer rapidement des requêtes complexes au lieu de créer manuellement une requête de recherche standard avec les mêmes critères.
AJP
Le protocole AJP (Apache JServ Protocol) est utilisé pour la communication entre un serveur
Web Apache et un serveur dapplications.
Alerte
Une alerte est une configuration personnalisée de paramètres, tels qu'un intervalle de temps, une valeur métrique
et des calculs métriques effectués sur les sources de données attribuées. Une alerte est générée lorsque les conditions
configurées sont remplies. Les notifications peuvent être envoyées par des canaux tels que le courrier électronique ou le
SNMP.
AMF
L'AMF (Action Message Format) est un format de codage des données transportées
entre les clients et les serveurs Adobe Flash.
AppFlow
Le protocole AppFlow a été développé par Citrix. Ce protocole est une extension de la norme
IPFIX pour la surveillance du trafic réseau. Vous pouvez collecter le trafic AppFlow avec le module
ExtraHop NetFlow.
Demande
Dans le système ExtraHop, les applications sont des conteneurs définis par l'utilisateur que vous pouvez
associer à plusieurs appareils et protocoles pour une vue unifiée des métriques intégrées. Ces
conteneurs peuvent représenter des applications distribuées sur votre environnement réseau. Vous pouvez
créer une application de base ou une application avancée via l'API Trigger. L'application
All Activity par défaut est disponible pour tous les utilisateurs d'ExtraHop.
Les outils de surveillance des performances des applications (APM) permettent aux
équipes de développement et d'application d'observer les performances des applications. Les données sont collectées par le biais d'agents logiciels
qui s'exécutent sur les serveurs d'applications, les bases de données et les autres composants de l'application. Les agents peuvent
être configurés pour collecter des données de transaction d'entrée et de sortie basées sur l'hôte, des entrées de
suivi au niveau du code et des mesures d'utilisation des ressources telles que le processeur, la mémoire et le disque.
Carte des zones
Ce type de graphique ExtraHop affiche les valeurs métriques sous forme de ligne reliant les points de données
au fil du temps, la zone située entre la ligne et l'axe étant colorée.
Actif
Les actifs sont les appareils et les groupes d'équipements de votre environnement, ainsi que les réseaux,
applications et utilisateurs associés.
Chaîne d'attaque
(ExtraHop RevealX uniquement) La plupart des attaques réseau ont tendance à suivre des schémas ou des phases familiers.
Ces phases peuvent être regroupées dans une chaîne dattacks afin de caractériser la
progression d'une attaque. ExtraHop RevealX détecte les comportements réseau inhabituels associés aux différentes phases de
la chaîne dattack, notamment le commandement et le contrôle (C&C), la reconnaissance, les exploits, les mouvements latéraux et les actions sur objectif
.
Simulateur d'attaque
Un simulateur d'attaques, également connu sous le nom de simulation de brèches et d'attaques (BAS), est un
outil qui permet aux analystes de créer une campagne de menaces qui imite des techniques d'attaque afin d'
évaluer la couverture des outils de sécurité. Le système ExtraHop peut attribuer automatiquement le
rôle de simulateur d'attaque aux appareils qui exécutent ces outils.
Journal d'audit
Le journal dac.audit du système ExtraHop fournit des données sur le fonctionnement
du système, ventilées par composant. Par exemple, lorsque vous vous connectez au système ExtraHop, l'événement de
réussite ou d'échec est enregistré sous forme d'entrée dans le journal dac.audit.
Graphique à barres
Ce type de graphique ExtraHop affiche la valeur totale des données métriques sous forme de
barres horizontales.
Graphique Boxplot
Le diagramme à boîtes montre la variabilité d'une distribution de données métriques. Chaque
diagramme à cases comprend trois ou cinq points de données. Avec cinq points de données, le diagramme à cases contient une case, des lignes de moustache
supérieures et inférieures et une coche. Avec trois points de données, la ligne contient des lignes de moustache
supérieures et inférieures, ainsi qu'une coche.
Filtre à paquets Berkeley (BPF)
Le filtre de paquets Berkeley (BPF) est un programme de filtrage des paquets réseau. La
syntaxe BPF permet aux utilisateurs d'écrire des filtres qui explorent rapidement des paquets spécifiques pour afficher les informations
essentielles.
Groupe intégré
Les groupes intégrés contiennent des appareils qui sont automatiquement regroupés en fonction de leur trafic de protocole
réseau, tels que les clients CIFS, ou du rôle attribué à l'équipement,
tel que les contrôleurs de domaine. Un équipement présentant plusieurs types de trafic peut apparaître dans plusieurs groupes
intégrés. Vous pouvez sélectionner des groupes intégrés comme source métrique pour les graphiques, les alertes, les
déclencheurs et les cartes d'activité.
Bundle
Les ensembles sont des documents au format JSON qui contiennent des informations sur la
configuration système sélectionnée, telles que des déclencheurs, des tableaux de bord, des applications ou alertes. Vous pouvez créer un bundle, puis transférer ces configurations vers
un autre système ExtraHop, ou enregistrer le bundle en tant que sauvegarde de vos
personnalisations.
Tableau en chandeliers
Ce type de graphique ExtraHop affiche les calculs de données pour une distribution des
valeurs métriques dans le temps. À chaque intervalle de temps, une ligne affiche trois ou cinq points de données. Si la
ligne comporte cinq points de données, elle contient un corps, un crochet central, une ligne d'ombre supérieure et une ligne d'ombre
inférieure. Si la ligne comporte trois points de données, elle contient un
crochet central.
CIFS
Le CIFS (Common Internet File System), également connu sous le nom de SMB (Server Message
Block), est un protocole au niveau de l'application qui permet aux clients d'accéder aux fichiers d'un système de stockage rattaché au réseau (
NAS), généralement dans un environnement
Windows.
Cliente
Un client est une application ou un système qui accède à un service mis à disposition par un
serveur.
Cluster
Un groupe du même type de magasins de disques ExtraHop réunis.
Diagramme à colonnes
Ce type de graphique ExtraHop affiche les valeurs métriques sous forme de barres verticales sur une
période spécifiée.
Console
Une console ExtraHop (ou ECA) est un centre de commande pour une gestion centralisée. La
console fournit une vue unifiée des données collectées à partir de capteurs, de magasins de disques et de
magasins de paquets distribués dans les centres de données, les succursales et le cloud public.
Anciennement appelé appareil de commande.
CORS
Le partage de ressources entre origines (CORS) vous permet d'accéder à l'API REST ExtraHop
au-delà des limites du domaine et à partir de pages Web spécifiées sans que la demande
passe par un serveur proxy. Vous pouvez configurer une ou plusieurs origines autorisées ou autoriser l'
accès à l'API REST ExtraHop depuis n'importe quelle origine. Seuls les utilisateurs administratifs peuvent consulter et modifier les paramètres
CORS.
Type métrique de comptage
Dans le système ExtraHop, ce type de métrique de niveau supérieur représente le nombre d'événements
survenus au cours d'une période donnée. Vous pouvez visualiser les mesures de dénombrement sous forme de taux ou de
dénombrement total.
Tableau de bord
Un tableau de bord est une page HTML personnalisable qui affiche différentes vues de votre réseau
via des widgets tels que des graphiques. Outre les tableaux de bord personnalisés, le système ExtraHop
fournit les tableaux de bord intégrés suivants : tableau de bord des activités, tableau de bord réseau et tableau de bord de sécurité (
RevealX uniquement).
Base de données
Les bases de données relationnelles stockent, extraient et gèrent des
informations structurées via un langage de système de gestion de base de données (DBMS).
Type métrique du jeu de données
Dans le système ExtraHop, ce type de métrique de niveau supérieur représente une distribution de données
qui peut être calculée en percentiles.
Déduplication
Le système ExtraHop supprime les doublons de trames et de paquets L2 et L3 lorsque les métriques sont
collectées et agrégées à partir de l'activité de votre réseau par défaut. La déduplication L2
supprime les trames Ethernet identiques (où l'en-tête Ethernet et l'intégralité du paquet IP doivent correspondre) ; la déduplication
L3 supprime les paquets TCP ou UDP avec des champs d'ID IP identiques sur le même flux
(où seul le paquet IP doit correspondre).
Métrique de détail
Les métriques détaillées vous fournissent une valeur métrique pour une clé spécifique, telle qu'une
adresse IP client, une adresse IP de serveur, un URI, un nom d'hôte, un référent, un certificat ou une méthode. Lorsque vous passez d'
une métrique de niveau supérieur dans le système ExtraHop à une métrique détaillée, vous pouvez avoir un
aperçu de l'impact d'un équipement, d'une méthode ou d'une ressource spécifique sur le réseau.
Détections
Les détections sont des écarts inattendus par rapport aux modèles normaux de
comportement de l'équipement ou de l'application. Le service ExtraHop Machine Learning identifie les détections à partir des données
système ExtraHop stockées à l'aide d'un algorithme propriétaire qui combine la décomposition des séries chronologiques, l'apprentissage
non supervisé, l'heuristique et l'expertise unique du domaine ExtraHop.
Appareil
Les appareils sont des points de terminaison de votre environnement qui ont été automatiquement découverts et
classés par le système ExtraHop.
Découverte des appareils
La découverte d'appareils est le processus par lequel ExtraHop crée et gère une liste de périphériques
actifs associés au trafic réseau surveillé. Le système ExtraHop peut découvrir
et suivre les appareils par leur adresse MAC (L2 Discovery) ou par leur adresse IP (L3
Discovery). Lorsque L2 Discovery est activé, le système ExtraHop crée une entrée d'équipement pour
chaque adresse MAC locale découverte sur le fil. Les adresses IP sont mappées à l'
adresse MAC, mais les métriques sont stockées avec l'adresse MAC de l'équipement même si l'adresse IP change.
Lorsque L3 Discovery est activé, le système ExtraHop crée et lie deux entrées pour chaque équipement
local découvert : une entrée parent L2 avec une adresse MAC et une entrée enfant L3 avec les
adresses IP et l'adresse MAC.
Groupe d'appareils
Les groupes d'appareils, également appelés groupes personnalisés, peuvent être statiques ou dynamiques. Vous devez identifier et attribuer
manuellement des appareils individuels à un groupe statique. Vous pouvez également
configurer des règles pour attribuer automatiquement les appareils à un groupe dynamique.
DHCP
Le DHCP (Dynamic Host Configuration Protocol) est un protocole permettant de distribuer dynamiquement les paramètres de configuration
réseau.
DICOM
La norme DICOM (Digital Imaging and Communications in Medicine) permet de stocker
des images biomédicales et de les transmettre sur un réseau.
mode de découverte
Les enregistrements, les paquets, les détections et les informations relatives à l'activité du protocole sont disponibles
pour les appareils en mode de découverte. Ajustez les priorités d'analyse pour faire passer un équipement ou un point de terminaison
du mode de découverte au mode Analyse standard ou avancée.
Type de métrique de comptage distinct
Dans le système ExtraHop, ce type de métrique de niveau supérieur représente le nombre d'
événements uniques survenus pendant un intervalle de temps sélectionné. La métrique de comptage distincte fournit une
estimation du nombre d'éléments uniques placés dans un ensemble pendant l'intervalle de
temps sélectionné. Les estimations sont calculées à l'aide de l'algorithme HyperLogLog.
DNS
Le DNS (Domain Name System) est le système de dénomination des hôtes et des ressources du réseau
connectés à Internet. Les serveurs DNS mappent les adresses IP aux noms d'hôtes.
Lignes de base dynamiques
Les lignes de base dynamiques sont des lignes de tendance sur tableaux de bord qui vous
aident à faire la distinction entre une activité normale et une activité anormale. Le système ExtraHop calcule des lignes de base
dynamiques sur la base de données historiques. Pour générer des points de données sur une ligne de base dynamique,
le système ExtraHop calcule la valeur médiane pour une période spécifiée.
Point final
Les points de terminaison sont des noms d'hôtes internes ou externes et des adresses IP observés par le système
ExtraHop. Les points de terminaison internes sont situés sur votre réseau local ou distant, et les
points de terminaison externes sont situés en dehors de votre réseau local ou distant.
ERSPAN
L'ERSPAN à distance encapsulé (ERSPAN) vous permet d'envoyer le trafic source d'un commutateur vers une destination située sur
un autre commutateur, tout en franchissant une limite de couche 3.
Événement
Un événement représente une activité détectée depuis votre réseau ou depuis votre système ExtraHop.
Les déclencheurs peuvent être écrits pour collecter les données associées à un événement afin de créer des
métriques personnalisées.
Analyse de fichiers
L'analyse des fichiers vous permet de créer des filtres de fichiers personnalisés qui déterminent quels fichiers sont
hachés sur le système à l'aide de l'algorithme de hachage SHA-256. Les hachages de fichiers qui correspondent à une
collection de menaces génèrent une détection, et les données de hachage de fichiers peuvent être interrogées dans des enregistrements.
Empreinte
Une empreinte digitale est un identifiant alphanumérique unique attribué à tous les capteurs,
enregistreurs et magasins de paquets.
FIX
FIX (Financial Information eXchange) est un protocole qui fournit des
informations sur l'échange en temps réel de transactions financières.
Débit
Un flux est un ensemble de paquets faisant partie d'une transaction unique entre deux
points de terminaison. De la même manière que le système ExtraHop peut identifier les flux à partir de données filaires, les flux provenant de données de
machines sur des réseaux distants peuvent être envoyés au système ExtraHop pour analyse.
Interface de flux
Une interface de flux est un regroupement local de trafic ou d'appareils sur un réseau de flux. Au lieu
de consulter les informations de flux pour l'ensemble du réseau, vous pouvez consulter les informations de flux pour
une interface spécifique du réseau.
réseau Flow
Un réseau de flux envoie des informations sur les flux observés sur l'équipement. Tout comme
le système ExtraHop peut identifier les flux à partir de données filaires, le système ExtraHop peut recevoir des
informations de flux provenant de périphériques réseau distants, également appelés exportateurs de flux.
sonde de débit
(ExtraHop RevealX 360 uniquement) Un capteur de flux ExtraHop (EFC) collecte des données à partir de journaux de
flux, plutôt qu'à partir de paquets. Sensors permet d'analyser et de visualiser l'ensemble de
votre réseau, de vos applications, de vos clients, de votre infrastructure et de vos données commerciales. Les capteurs peuvent être
connectés à une console ExtraHop pour une gestion centralisée et une vue unifiée des données collectées
et stockées. Ils peuvent également être connectés à des magasins de disques et à des magasins de paquets pour un
stockage supplémentaire et une analyse plus approfondie.
Stand Flow
Un Flow Stall est une métrique TCP du système ExtraHop qui mesure la congestion du réseau.
Un blocage de flux est compté lorsque trois délais de retransmission (RTO) consécutifs sont
observés sur un seul flux de données entre appareils. Un RTO représente un délai de 1 à 5 secondes lorsqu'un
équipement attend de renvoyer des données qui auraient pu être perdues en raison d'une connexion encombrée.
FTP
Le protocole FTP (File Transfer Protocol) est un protocole réseau standard permettant de
transférer des fichiers entre un client et un serveur.
Goodput
Goodput fait référence à la quantité de données utiles transférées sur la couche d'
application L4 par unité de temps. Dans ce contexte, utile signifie que les retransmissions sont
éliminées sous forme de paquets dupliqués, ainsi que toute surcharge liée au protocole ou toute autre
donnée non liée à l'application trouvée sur le fil. Le Goodput est toujours inférieur au débit et correspond approximativement
à la taille des octets de charge utile pour tout protocole exécuté sur TCP (tel qu'un fichier CIFS ou une requête
HTTP) pendant le temps de transfert.
Graphique Heatmap
Ce type de graphique ExtraHop affiche une distribution des données métriques dans le temps, la couleur
représentant une concentration de données.
Valeur élevée
La valeur élevée est une désignation désignant les appareils de votre réseau que vous ou le
système ExtraHop pourriez considérer comme importants pour vos applications, vos flux de travail ou votre
infrastructure professionnels. Un équipement est considéré comme ayant une valeur élevée si le système ExtraHop observe que
l'équipement fournit une authentification ou fournit des services essentiels, ou si un utilisateur
spécifie manuellement un équipement avec une valeur élevée.
Diagramme d'histogramme
Ce type de graphique ExtraHop affiche une distribution des données métriques sous forme de barres verticales ou de
bacs.
HL7
Le HL7 (Health Level-7) est une norme pour l'échange d'
informations de santé électroniques entre applications logicielles.
HTTP
Le protocole HTTP (Hypertext Transfer Protocol) est un protocole au niveau de l'application
qui permet de récupérer des pages Web.
IBM MQ
IBM MQ est un protocole de mise en file d'attente de messages destiné aux produits IBM Enterprise et aux intergiciels de messagerie.
ICA
L'ICA (Independent Computing Architecture) est un protocole système Citrix qui
transmet des données entre les clients et les serveurs.
ICMP
L'ICMP (Internet Control Message Protocol) est un protocole par lequel les périphériques réseau envoient des messages d'erreur
et de requête.
Système de détection d'intrusion (IDS)
Les systèmes de détection d'intrusion (IDS) s'appuient sur un ensemble de règles contenant des signatures d'activités réseau
dangereuses ou malveillantes. L'association d'une sonde IDS ExtraHop à une sonde de paquet
ExtraHop permet au système ExtraHop d'identifier les activités malveillantes ou dangereuses sur la base des signatures IDS
traditionnelles.
Enquête
Une investigation est un regroupement de détections géré par l'utilisateur qui permet aux utilisateurs de visualiser
plusieurs détections sur une seule chronologie et une seule carte. Les enquêtes peuvent aider à déterminer si un comportement
suspect constitue une menace valable et si une menace s'inscrit dans le cadre d'une
campagne d'attaque plus vaste.
iDRAC
Le contrôleur d'accès à distance Dell intégré (iDRAC) fournit un accès à distance au système
ExtraHop. Après avoir activé et configuré iDRAC, vous pouvez redémarrer le système, consulter les messages de la
console et consulter les journaux de démarrage et de surveillance du matériel.
iSCSI
L'iSCSI (Internet Small Computer Systems Interface) est un
protocole de niveau TCP qui permet d'envoyer des commandes SCSI via un réseau local (LAN) ou
un réseau étendu (WAN).
Kerberos
Kerberos est un protocole de sécurité qui applique le chiffrement par clé secrète à l'authentification des clients et des
serveurs.
L2
La couche de liaison de données dans le modèle OSI. Dans le système ExtraHop, les métriques L2
fournissent des informations sur la connexion entre deux appareils.
L3
La couche réseau du modèle OSI. Dans le système ExtraHop, les métriques L3 fournissent des informations d'
adresse IP pour les nœuds qui communiquent sur le réseau surveillé.
L4 (TCP)
La couche de transport dans le modèle OSI. Dans le système ExtraHop, les métriques TCP
(protocole de contrôle de transmission) L4 fournissent des informations sur le transfert fiable
de paquets entre une source et une destination.
L7
La couche d'application dans le modèle OSI. Dans le système ExtraHop, les métriques L7
fournissent des informations sur l'interactivité avec les applications logicielles.
LDAP
Le protocole LDAP (Lightweight Directory Access Protocol) est un
protocole indépendant du fournisseur qui gère et facilite l'accès à un annuaire distribué.
Alertes déclenchées par le niveau
Une alerte déclenchée par niveau est générée à des intervalles spécifiés tant que la
valeur métrique reste supérieure au seuil configuré.
Graphique linéaire
Ce type de graphique ExtraHop affiche les valeurs métriques sous forme de ligne, qui relie une série de points de
données au fil du temps.
Graphique à lignes et à colonnes
Ce type de graphique ExtraHop affiche les valeurs métriques sous forme de ligne, qui relie les points de données
au fil du temps, avec la possibilité d'afficher une autre métrique sous forme de graphique à colonnes
en dessous.
Tableau de liste
Ce graphique ExtraHop affiche les valeurs métriques dans une liste répartie sur plusieurs colonnes avec des sparklines
facultatifs.
LLDP
Le protocole LLDP (Link Layer Discovery Protocol) est un protocole par lequel les périphériques réseau
communiquent leur identité et leurs capacités.
LLMNR
LLMNR (Link-Local Multicast Name Resolution) est un protocole inclus dans les systèmes Microsoft Windows.
Ce protocole est basé sur le format DNS
(Domain Name System) et permet la résolution de noms pour les hôtes sur le même lien local en cas d'échec de la
résolution de noms DNS.
Type métrique maximal
Dans le système ExtraHop, ce type de métrique de niveau supérieur est un point de données unique qui
représente la valeur maximale pour une période spécifiée.
Memcache
Memcache est un protocole qui permet d'accéder à des systèmes de mise en cache d'objets de mémoire
distribuée à hautes performances via une connexion TCP.
Métrique
Dans le système ExtraHop, une métrique est une mesure du comportement observé sur le réseau.
Les métriques sont générées à partir du trafic réseau, puis chaque métrique est associée à une
source. Le système ExtraHop fournit des métriques intégrées, ou par défaut, basées sur le
trafic réseau observé à partir de Wire Data. Vous pouvez également créer des métriques personnalisées dans le système ExtraHop en écrivant
un déclencheur pour collecter des métriques en fonction d'un événement spécifique.
Catalogue métrique
Le catalogue de métriques est un outil permettant de visualiser des informations sur les métriques intégrées et personnalisées
dans le système ExtraHop. Vous pouvez également supprimer et modifier des métriques personnalisées via le
catalogue de métriques.
explorateur de métriques
L'explorateur de métriques est un outil de configuration des graphiques de tableau de bord. Dans l'
explorateur de mesures, vous pouvez ajouter plusieurs sources et mesures à un graphique et prévisualiser immédiatement l'
affichage des données métriques.
Modbus
Modbus est un protocole de communication série utilisé dans l'automatisation industrielle
.
MongoDB
MongoDB est une base de données de documents open-source qui
fournit des performances, une disponibilité et une évolutivité.
Modules
Les modules offrent un ensemble de fonctionnalités du produit grâce à une combinaison de solutions, de
composants et de services basés sur le cloud. Des modules sont disponibles pour la détection et la
réponse réseau (NDR) et la surveillance des performances réseau (NPM), avec des modules supplémentaires pour les systèmes de détection
d'intrusion (IDS) et l'analyse des paquets. Les administrateurs peuvent accorder aux utilisateurs un accès
basé sur les rôles au module NDR, au module NPM ou aux deux.
MSMQ
MSMQ (Microsoft Message Queuing) est un protocole qui
permet aux applications de s'envoyer des messages et des objets.
NaN
Acronyme pour « pas un chiffre ». Dans l'API Trigger, une propriété avec un
type de données numérique s'affiche NaN si la valeur de la propriété n'est pas définie ou ne peut pas être
représentée sous forme de nombre.
NAS
Le NAS (Network Attached Storage) est un référentiel de stockage au niveau des fichiers.
Les clients peuvent accéder au référentiel via les protocoles SMB (Server Message Block) ou NFS (Network
File System).
NBNS
NBNS ou NBT-NS (NetBIOS Name Service) est un système de dénomination pour les hôtes et les ressources du réseau.
NetFlow
Les technologies de flux telles que Netflow, IPFIX, sFlow et AppFlow collectent des
données de trafic provenant de réseaux de flux extérieurs à votre source de données filaires et envoient les données à la sonde pour analyse.
Réseau
Dans le système ExtraHop, un réseau est le point d'entrée dans la capture du réseau, et
des métriques sont collectées pour les attributs de capture du réseau, les alertes réseau et les
détails du trafic réseau. Ces mesures fournissent un résumé de toutes les activités du réseau récupérées lors de la
capture.
Octets du réseau
Un octet du réseau est une métrique qui affiche le débit du processus de capture ExtraHop
.
Indicateurs de santé du réseau
(ExtraHop RevealX uniquement) Les indicateurs de santé du réseau sont un ensemble de mesures qui vous indiquent les tendances
générales relatives à l'état du réseau et à la sécurité. Les indicateurs de santé du réseau peuvent
signaler des faiblesses ou des problèmes de performance du réseau ou des activités potentiellement suspectes. Ces
statistiques se trouvent au bas de la page de présentation du réseau.
NFS
Le NFS (Network File System) est un protocole de système de fichiers distribué qui permet aux
clients d'accéder aux fichiers d'un référentiel NAS (Network Attached Storage),
généralement dans un environnement UNIX.
Nœud
Un espace de stockage des enregistrements ExtraHop individuel au sein d'un cluster.
NTP
Le protocole NTP (Network Time Protocol) est un protocole basé sur UDP qui synchronise les horloges
entre les appareils d'un réseau.
Flux de données ouvert
Le service Open Data Stream (ODS) vous permet d'envoyer des données filaires à un système
tiers distant, tel que MongoDB ou Kafka. Vous devez écrire un déclencheur pour identifier
et collecter les données que vous souhaitez exporter et configurer les paramètres via les paramètres d'administration d'
ExtraHop.
sonde de paquets
Une sonde danalysis de paquets collecte passivement une copie des données filaires non structurées (toutes les transactions sur votre réseau)
et transforme ces données en données filaires structurées. Les capteurs
permettent d'analyser et de visualiser toutes les données de votre réseau, de vos applications, de vos clients, de votre
infrastructure et de votre entreprise. Les capteurs peuvent être connectés à une console ExtraHop pour une gestion
centralisée et une vue unifiée des données collectées et stockées. Ils peuvent également être
connectés à des magasins de disques et à des magasins de paquets pour un stockage supplémentaire et une analyse plus approfondie.
Paquets
La fonction Paquets vous permet de rechercher et de télécharger des paquets pour
des transactions sélectionnées via une sonde ou une console. Vous pouvez également télécharger les clés de session SSL
associées aux paquets et extraire des fichiers (ce que l'on appelle le « file carving ») à partir de paquets. Cette fonctionnalité
nécessite un stockage des paquets pris en charge.
Boutique de paquets
Un magasin de paquets ExtraHop collecte les paquets réseau bruts envoyés par une sonde de paquets connectée pour
une récupération et un stockage à long terme. Les Packetstores vous permettent de récupérer rapidement tous les
paquets correspondant à un ensemble de critères de recherche dans un intervalle de temps donné.
Participant
Les participants sont des terminaux qui participent en tant que délinquant ou victime à une
détection.
Secret de transmission parfait (PFS)
Le Perfect Forward Secrecy (PFS) est une méthode de chiffrement qui permet des échanges de clés entièrement privées à court terme
entre les clients et les serveurs. Vous pouvez octroyer une licence au système ExtraHop pour déchiffrer les sessions PFS SSL/TLS à partir des serveurs Windows sur lesquels le logiciel agent ExtraHop PFS est installé.
Sans PFS, ces sessions ne pourraient pas être déchiffrées et les données issues de
ces échanges seraient masquées.
PCAP
Le PCAP (capture de paquets) consiste en une interface de programmation d'applications (API) permettant de capturer le trafic
réseau et de le stocker dans une base de données.
PCoIP
Le PCoIP (PC-over-IP) est un protocole qui transfère les pixels d'image compressés et
chiffrés d'un serveur central vers un équipement PCoIP.
Diagramme circulaire
Ce graphique ExtraHop affiche les données métriques sous forme de portion ou de pourcentage d'un
ensemble.
POP3
Le POP3 (Post Office Protocol) est un protocole standard au niveau de l'
application qui transfère des messages électroniques entre un serveur et une application cliente via une connexion TCP.
Mise en miroir des ports
La mise en miroir de ports se produit lorsqu'un commutateur réseau envoie une copie des paquets réseau d'un port de
commutateur (ou d'un VLAN complet) à une connexion de surveillance réseau sur un autre port de commutateur
.
Protocole
Un protocole définit le format et l'ordre des messages échangés entre deux
appareils ou plus, ainsi que les actions entreprises lors de la transmission et de la réception d'un message ou d'un autre
événement.
Page de protocole
Une page de protocole est une page intégrée qui inclut des graphiques intégrés avec des
indicateurs de haut niveau concernant vos actifs. Ces graphiques métriques peuvent être copiés dans vos tableaux de bord.
RAPIDE
QUIC est un protocole réseau de couche transport crypté qui établit des connexions
via UDP.
RDP
Le protocole RDP (Remote Desktop Protocol) est un protocole propriétaire de Microsoft permettant de
communiquer entre un serveur hôte de session Remote Desktop et un client exécutant le logiciel Remote
Desktop Connections. Le RDP est encapsulé et crypté dans le protocole TCP.
Enregistrer
Les enregistrements sont des informations structurées sur les flux et les transactions concernant les événements de votre réseau
qui peuvent être envoyées à un espace de stockage des enregistrements compatible pour y être stockées. Vous pouvez ensuite rechercher des enregistrements
à partir d'une sonde ou d'une console.
Un format dac.enregistrement est un schéma en lecture qui détermine la façon dont chaque enregistrement est affiché
dans le système ExtraHop. Le système ExtraHop possède des formats d'enregistrement intégrés pour tous les
types d'enregistrement intégrés, et bien que vous ne puissiez pas modifier un format d'enregistrement intégré, vous pouvez créer un format
d'enregistrement personnalisé.
Types d'enregistrements
Les types d'enregistrement relient les enregistrements enregistrés au format d'enregistrement dans le système ExtraHop.
Nécessite un espace de stockage des enregistrements compatible.
Disquaire
Un espace de stockage des enregistrements collecte les enregistrements de transactions et de flux envoyés par une sonde connectée pour un stockage et une récupération
à long terme. Vous pouvez consulter, enregistrer et rechercher les informations structurées sur les flux et les
transactions concernant les événements sur votre réseau à l'aide d'une interface utilisateur simple et unifiée, sans aucune
modification de vos applications ou infrastructures existantes. Les magasins d'enregistrements ExtraHop sont
disponibles sous forme de déploiements physiques ou virtuels ; l'espace de stockage des enregistrements basé sur le cloud inclus dans
RevealX Standard Investigation ; et les entrepôts de données tiers pris en charge incluent BigQuery et Splunk.
Redis
Redis est un serveur de structure de données open-source.
Région
Une région est tableau de bord composant contenant des
widgets.
Délai de retransmission (RTO)
Un délai de retransmission (RTO) est une métrique du protocole TCP permettant de déterminer les performances du réseau
. Les retransmissions TCP se produisent fréquemment sur le réseau. TCP lance un temporisateur
de retransmission lorsqu'un segment sortant est transmis à une adresse IP. S'il
n'y a aucun accusé de réception (ACK) avant l'expiration du délai, le segment est retransmis. Un RTO
se produit lorsque l'expéditeur commence à manquer trop d'accusés de réception et arrête d'envoyer des segments
pendant un certain temps. Les RTO peuvent représenter un délai de 1 à 5 secondes sur votre réseau. Plusieurs RTO
au fil du temps peuvent entraîner des retards importants sur votre réseau.
RevealX 360
RevealX 360 fournit une visibilité et une gestion basées sur le SaaS dans les environnements connectés sur site et dans le cloud.
La console RevealX 360 fournit une vue unique des données
collectées à partir de plusieurs capteurs, magasins de paquets et magasins d'enregistrements, qui peuvent être distribuées
dans les centres de données, les succursales et le cloud public.
RevealX Enterprise
RevealX Enterprise est une offre par abonnement de produits ExtraHop qui comprend
une sonde pour collecter des données sur les câbles et des composants supplémentaires en fonction du type de forfait.
RFB
RFB (remote framebuffer) est un protocole d'accès à distance à une interface utilisateur
graphique qui permet à un client de visualiser et de contrôler un système sur
un autre ordinateur.
Score de risque
(ExtraHop RevealX uniquement) Un indice de risque est un indicateur numérique de la gravité d'une détection.
Les scores de risque sont basés sur plusieurs facteurs, tels que l'emplacement de la détection dans
la chaîne dʼattaques, la vulnérabilité du protocole de détection et le niveau d'impact que la
détection pourrait avoir sur le réseau. La note est attribuée sur une échelle de 1 à 99, 99 étant la note la plus
sévère.
RPC
Le MRPC (Microsoft Remote Procedure Call) est un mécanisme de communication permettant aux
clients d'appeler une procédure à partir d'un programme situé sur un autre ordinateur, serveur ou réseau
.
Capture de paquets à distance (RPCAP)
La capture de paquets à distance (RPCAP) est une implémentation logicielle pour le transfert
de paquets similaire à une prise physique. Si vous souhaitez surveiller le trafic réseau pour les appareils qui
ne sont pas directement connectés à votre flux de données filaire, vous pouvez transférer des paquets via le cloud et
analyser ces données via le système ExtraHop.
RSPAN
L'analyseur de ports commutés à distance (RSPAN) permet de surveiller à distance plusieurs commutateurs
sur un réseau commuté. Le RSPAN est un moyen de transférer le trafic d'une source SPAN sur un commutateur vers
une destination SPAN sur un autre commutateur connecté via un tronc.
Remarque : | RSPAN nécessite
que les châssis source et de destination se trouvent dans le même
domaine de couche 2. |
RTCP
Le protocole RTCP (Real-time Transport Control Protocol) est un protocole qui surveille les
statistiques relatives au streaming de données audio et vidéo transférées par le protocole RTP.
RTP
Le RTP (transport en temps réel) est un protocole qui définit le format de paquet
normalisé pour le transfert en temps réel de flux audio et vidéo.
Journal de débogage
Le journal de débogage est un composant de l'éditeur de déclencheurs du système ExtraHop. Le
journal de débogage affiche les exceptions et les résultats des instructions de débogage dans les scripts de déclencheur.
Type métrique de l'échantillon
Dans le système ExtraHop, ce type de métrique de niveau supérieur représente un résumé des données qui
fournit une moyenne (moyenne) et un écart type sur une période spécifiée. Les
métriques des ensembles d'échantillons résument généralement les données relatives à une métrique détaillée.
SDP
Le protocole SDP (Session Description Protocol) est un protocole qui définit les sessions de
streaming multimédia.
Sonde
Une sonde ExtraHop permet d'analyser et de visualiser toutes les données de votre réseau, de vos
applications, de vos clients, de votre infrastructure et de votre entreprise. Une sonde réseau d'analyse de paquets (ou EDA
) collecte passivement une copie des données filaires non structurées, c'est-à-dire toutes les transactions effectuées sur
votre réseau, et transforme ces données en données filaires structurées. Un capteur de flux (ou EFC) collecte des données à partir des journaux de
flux et n'est pris en charge que sur ExtraHop RevealX 360. Les capteurs peuvent être connectés à une console
ExtraHop pour une gestion centralisée et une vue unifiée des données collectées et stockées.
Ils peuvent également être connectés à des magasins de disques et à des magasins de paquets pour un stockage supplémentaire et
une analyse plus approfondie.
serveur
Un serveur est un système matériel dédié à l'hébergement d'un ou plusieurs services destinés aux utilisateurs ou aux
clients du réseau. Dans le contexte du réseau IP (Internet Protocol), un serveur est un
programme qui fonctionne comme un récepteur de socket.
SIP
Le protocole SIP (Session Initiation Protocol) est un protocole de signalisation qui contrôle les sessions de
communication, telles que les appels vocaux pour les
applications de téléphonie IP.
Site
Un site est un flux de données filaire analysé par le système ExtraHop qui représente une zone physique
ou logique de votre réseau, telle qu'un centre de données, une succursale ou une charge de travail dans le cloud.
Vous pouvez consulter les actifs, les détections et les autres données d'un site spécifique ou de plusieurs
sites.
SMPP
Le SMPP (Short Messaging Peer-to-Peer) est un protocole au niveau de l'application
qui transfère les données du service de messages courts (SMS) entre des
entités de messagerie courte externes (ESME) et des centres de service de messages courts (SMSC).
SMTP
Le protocole SMTP (Simple Mail Transfer Protocol) est un protocole standard qui envoie,
reçoit et relaie les messages électroniques entre les serveurs, les agents de transfert de courrier électronique et les applications clientes.
Type de métrique Snapshot
Dans le système ExtraHop, ce type de métrique de niveau supérieur représente un point de données qui
représente un point unique dans le temps. Les métriques des instantanés incluent les ratios, les connexions actuelles et les connexions TCP
établies.
SNMP
Le protocole SNMP (Simple Network Management Protocol) est un protocole de couche 7 permettant de collecter
, d'organiser, d'échanger et de modifier des informations sur les appareils gérés sur les réseaux IP.
La source
Les sources sont des ressources qui peuvent être attribuées à des graphiques, à des déclencheurs et à des alertes pour donner
accès à des collections métriques.
SPAN
La mise en miroir de ports sur un commutateur Cisco Systems est généralement appelée Switched Port
Analyzer (SPAN). SPAN copie le trafic et l'envoie vers une destination pour
analyse du réseau.
SSH
Secure Shell (SSH) est un protocole qui transmet des informations de manière sécurisée sur un
réseau.
SLL
Le protocole SSL (Secure Sockets Layer) est un protocole standard pour sécuriser les
communications sur Internet. Pour établir un lien crypté entre un navigateur Web
et un serveur, le serveur doit disposer d'un certificat SSL.
Analyse standard
Les enregistrements, les paquets, les détections, les cartes d'activité, l'activité des protocoles et les graphiques avec les mesures du
débit et des paquets sont disponibles pour les appareils recevant une analyse standard. Ajustez les priorités d'
analyse pour faire passer un équipement ou un point de terminaison d'une analyse standard à une analyse avancée
.
Tableau de statut
Ce type de graphique ExtraHop affiche les valeurs métriques dans un graphique à colonnes, où la couleur des
colonnes représente l'état et la gravité d'une alerte attribuée à la source et à la métrique
sélectionnée dans le graphique.
STIX
(ExtraHop RevealX uniquement) L'expression structurée des informations sur les menaces (STIX) est le
langage et le format de sérialisation permettant de normaliser, de transmettre et de partager des données relatives aux données de renseignements sur les menaces cybernétiques.
Le format STIX est généralement soutenu par la
communauté et les plateformes de renseignements sur les menaces. Vous pouvez télécharger des fichiers STIX via le système ExtraHop ou l'
API REST en tant que collecte des menaces personnalisée. Les collections de menaces personnalisées doivent être formatées dans STIX
sous forme de fichiers TAR compressés, tels que .TGZ ou TAR.GZ.
Tableau graphique
Ce type de graphique ExtraHop affiche les valeurs métriques sur les lignes et les colonnes d'un
tableau.
TAXI
TAXII (Trusted Automated Exchange of Intelligence Information) est un protocole permettant d'
envoyer des renseignements sur les menaces via HTTPS.
TCP
Dans le système ExtraHop, les métriques TCP (Transmission Control Protocol) fournissent des
informations sur le transfert fiable de paquets entre une source et une destination. Grâce aux métriques
TCP, ExtraHop permet de savoir quels appareils sont connectés les uns aux autres,
quand les appareils envoient des données, s'il y a des erreurs dans les données,
par quels protocoles sont communiqués, etc.
TCP RST
Un paquet TCP RST est envoyé pour empêcher l'établissement d'une connexion TCP ou pour mettre fin de force
à une connexion existante. Parfois, des réinitialisations sont envoyées lorsque l'
équipement récepteur n'a pas réussi à ACK le paquet SYN ou qu'il n'a pas accusé réception d'un autre paquet envoyé et
retransmis ultérieurement dans la transaction. Dans certains cas, les RST TRCP indiquent qu'une erreur
s'est produite. Les volumes élevés de réinitialisations sortantes doivent être étudiés afin de déterminer s'ils correspondent à un comportement
attendu ou s'ils indiquent un problème plus important.
Telnet
Telnet est un protocole de couche applicative pour les communications interactives
orientées texte via une connexion de terminal virtuel.
Exposé sur les menaces
(ExtraHop RevealX uniquement) Les briefings sur les menaces fournissent des conseils sur les menaces potentielles qui pèsent sur votre
réseau, à la fois en raison d'événements de sécurité touchant l'ensemble du secteur et en analysant votre réseau par apprentissage automatique.
Les briefings sur les menaces peuvent inclure la détection de scans, d'exploits et d'indicateurs de compromission
(IOC) liés à la menace.
Collecte des menaces
(ExtraHop RevealX uniquement) Une collecte des menaces est un ensemble de données d'
adresses IP, de noms d'hôte et d'URI suspects qui permet à votre système RevealX d'identifier les indicateurs de compromission et d'afficher des
renseignements sur les menaces dans des graphiques et des enregistrements du système.
Renseignements sur les menaces
Les renseignements sur les menaces sont des données connues sur les adresses IP, les noms d'hôte et les URI suspects
qui peuvent aider à identifier les risques auxquels votre organisation est exposée. Ces ensembles de données, appelés
collections de menaces, sont disponibles par défaut dans votre système RevealX et auprès de
sources gratuites et commerciales de la communauté de la sécurité.
TFTP
Le protocole TFTP (Trivial File Transfer Protocol) est un protocole simple qui permet à un client de
transférer des fichiers depuis et vers un hôte distant sans authentification de l'utilisateur. Le TFTP est souvent
implémenté pour le démarrage du réseau, la sauvegarde et le transfert des fichiers de configuration des équipements et le
transfert des images du microprogramme.
sélecteur de temps
Le sélecteur de temps est un outil qui vous permet de spécifier un intervalle de temps pour
la collecte et la présentation des données réseau dans le système ExtraHop. Il existe deux types de sélecteurs de
temps : un sélecteur de temps global pour spécifier des intervalles de temps globaux et
un sélecteur de temps de région pour spécifier les intervalles de temps régionaux dans un tableau de bord.
Horodatage
Un horodateur est un enregistrement numérique de l'heure à laquelle un événement particulier s'est produit. Dans le système
ExtraHop, vous pouvez sélectionner l'horodateur par défaut ou configurer des horodatages externes
tels que Gigamon ou Anue via le fichier de configuration en cours d'exécution.
Tinygram
Un tinygram est un petit paquet ou un segment TCP. Un tinygram est un paquet dont la
charge utile est inférieure aux données d'en-tête de trame (L2-L4). En général, les tinygrams entraînent des
ratios inefficaces entre les données d'en-tête de trame et les informations réellement utiles transitant sur le réseau. Les tinygrams
peuvent contribuer à la congestion du réseau.
Mesure métrique de haut niveau
Une métrique de haut niveau, ou métrique de base, vous donne une somme de données pour une période spécifiée.
Les indicateurs de haut niveau vous fournissent une vue d'ensemble qui vous permet d'identifier ce qui se passe sur votre
réseau. Vous pouvez ensuite accéder à une métrique de niveau supérieur pour afficher les métriques détaillées. Il
existe différents types de mesures de haut niveau qui fournissent différentes informations, notamment le
nombre, le jeu de données, le maximum, le sampleset et les types de mesures instantanés. Comprendre les types de métriques
est essentiel pour écrire des déclencheurs et configurer des graphiques.
Top Set
Un topnset correspond aux 1 000 meilleures paires clé-valeur calculées pour l'intervalle
de temps que vous spécifiez dans le sélecteur de temps. Un topnset n'est pas un ensemble de données complet car il
ne représente que les valeurs-clés enregistrées pour un cumul d'agrégation spécifique (sur la base d'un intervalle de temps spécifié) et est limité à
1 000 clés par topnset.
Gâchette
Les déclencheurs sont des scripts personnalisés qui exécutent une action sur un événement prédéfini. Par
exemple, vous pouvez écrire un déclencheur pour enregistrer une métrique personnalisée à chaque fois qu'une
requête HTTP se produit, ou pour classer le trafic d'un serveur spécifique en tant que serveur dapplications.
Réglage
Processus par lequel les détections de faible valeur sont supprimées d'une liste de détection. Une
détection peut être réglée par un paramètre de réglage qui empêche la
génération de la détection ou par une règle de réglage qui masque la détection en fonction du type de détection, des
participants ou des propriétés de détection.
Tableau des valeurs
Ce graphique ExtraHop affiche la valeur totale d'une ou de plusieurs métriques. La sélection
de plusieurs mesures affichera les valeurs métriques côte à côte.
Perte de paquets virtuels
La perte de paquets virtuels (VPL) fait référence à un phénomène qui affecte les applications totalement ou partiellement
virtualisées. Le VPL crée des symptômes qui suggèrent une congestion du réseau et n'est
souvent pas détecté par les outils traditionnels de surveillance du réseau et de
gestion des performances des applications (APM). La VPL se produit lorsqu'un hyperviseur planifie le temps processeur pour un nombre
excessif de machines virtuelles (VM) et empêche ces machines virtuelles de répondre assez rapidement aux accusés de réception TCP.
Le VPL peut être détecté en combinant la connaissance des applications et une analyse TCP
avancée.
VLAN
Un réseau local virtuel (VLAN) est un regroupement logique de trafic ou de périphériques sur un
réseau. Les informations VLAN sont extraites des balises VLAN, si le processus de mise en miroir du trafic
préserve les balises sur le port miroir.
Scanner de vulnérabilités
Les scanners de vulnérabilité sont des programmes qui recherchent
des faiblesses dans les applications, les systèmes et les réseaux. Dans le système ExtraHop, un équipement
qui envoie des requêtes HTTP associées à une activité de scanner connue se voit attribuer le rôle de scanner de
vulnérabilités. Vous pouvez également désigner manuellement un équipement en tant que scanner en
modifiant le rôle de l'équipement en Vulnerability Scanner.
Liste de surveillance
Les appareils individuels de la liste de surveillance bénéficient de la garantie Analyse avancée. En règle générale, les appareils de grande
valeur sont ajoutés à la liste de surveillance. L'Analyse avancée est un niveau d'analyse dans lequel
les enregistrements, les paquets, les cartes d'activité et les graphiques contenant des mesures du protocole L2-L7 sont disponibles
pour les appareils. Vous pouvez supprimer des appareils de la liste de surveillance à tout moment.
Les widgets sont configurables tableau de bord composants qui peuvent
être ajoutés à une région pour différentes fonctions. Les types de widgets sont les suivants : graphique, zone de texte, alerte, groupes d'
activités et réseaux (consoles uniquement).
Données de câblage
Les données filaires sont créées lorsque les données en vol sont analysées lorsque le trafic est envoyé sur le
réseau. Grâce à un traitement complet en temps réel, les données non structurées sont réassemblées en Wire
Data structurées qui peuvent être analysées en temps réel. Les données filaires comprennent les données L2-L7
qui couvrent l'ensemble de la chaîne de livraison des applications et fournissent la visibilité la plus complète et la plus étendue.
WireGuard
WireGuard est un protocole open-source. Les utilisateurs peuvent configurer des réseaux privés virtuels
(VPN) sécurisés à l'aide d'outils cryptographiques qui scellent les données dans un tunnel crypté.
WMI
WMI (Windows Management Instrumentation) est un ensemble d'
extensions système Windows qui fournit une interface de système d'exploitation pour établir des sessions d'accès
à distance.
WMAN
Le protocole WSMAN (Web Services Management) est une norme publique pour l'
échange de données avec n'importe quel équipement informatique.
taille de fenêtre à zéro
Une taille de fenêtre à zéro est une métrique TCP du système ExtraHop qui mesure la congestion des applications
. Lorsqu'un équipement annonce un message de taille de fenêtre à l'expéditeur pendant le
transfert de données, cela signifie que l'équipement ne peut plus accepter de données car la
fenêtre de réception de l'équipement (une mémoire tampon pour les données entrantes) est pleine. Le message de taille de fenêtre à zéro indique à l'expéditeur de
suspendre le transfert de données jusqu'à nouvel ordre.
Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?