Guide de l'utilisateur du système ExtraHop
À propos de ce guide
Ce guide fournit des informations sur le système ExtraHop pour les appareils ExtraHop Discover et Command.
Le but de ce guide est d'aider les utilisateurs à comprendre l'architecture et les fonctionnalités du système ExtraHop ainsi qu'à apprendre à utiliser les commandes, les champs et les options disponibles dans l'ensemble du système.
Des ressources supplémentaires sont disponibles via les liens suivants :
- Consultez les informations sur les fonctionnalités et fonctions d'administration des appareils ExtraHop Discover et Command dans le Guide de l'interface utilisateur d'ExtraHop
- Consultez la documentation complète d'ExtraHop : https://docs.extrahop.com.
- Voir les modules de formation en ligne sur le site Web d'ExtraHop : https://www.extrahop.com/go/training/.
Nous contacter
Vos commentaires sont importants pour nous.
Merci de nous indiquer comment nous pouvons améliorer ce document. Envoyez vos commentaires ou suggestions à documentation@extrahop.com.
Site Web du portail d'assistance: https://customer.extrahop.com/s/
Téléphone:
- 877-333-9872 (ÉTATS-UNIS)
- +44 (0) 203 7016850 (EMEA)
- +65-31585513 (APAC)
Présentation du système ExtraHop
Ce guide explique comment le système ExtraHop collecte et analyse vos données et comment les principaux composants et fonctionnalités du système vous aident à accéder aux détections, aux mesures, aux transactions et aux paquets concernant le trafic sur votre réseau.
Vidéo : | Consultez la formation associée : Présentation du système ExtraHop |
Architecture de plateforme
Le système ExtraHop est personnalisé avec des composants modulaires qui se combinent pour répondre à vos besoins environnementaux uniques.
Modules
Les modules ExtraHop offrent une combinaison de solutions, de composants et de services basés sur le cloud qui offrent de la valeur pour de multiples cas d'utilisation.
Des modules sont disponibles pour la détection et la réponse du réseau (NDR) et la surveillance des performances du réseau (NPM), ainsi que des modules supplémentaires pour les systèmes de détection d'intrusion (IDS) et la criminalistique des paquets.
Les administrateurs peuvent accorder aux utilisateurs un accès basé sur les rôles au module NDR, au module NPM ou aux deux.
- Surveillance des performances du réseau
- Le module NPM permet aux utilisateurs privilégiés d'effectuer les types de
tâches système suivants.
- Affichez, créez et modifiez des tableaux de bord personnalisés. Les utilisateurs peuvent également sélectionner un tableau de bord pour leur page de destination par défaut.
- Configurez les alertes et les notifications par e-mail pour ces alertes.
- Afficher les détections de performances.
- Détection et réponse du réseau
- Le module NDR permet aux utilisateurs privilégiés d'effectuer les types de
tâches système suivants.
- Consultez la page de présentation de la sécurité.
- Afficher les détections de sécurité.
- Consultez, créez et modifiez des enquêtes.
- Consultez les briefings sur les menaces.
Les utilisateurs autorisés à accéder aux deux modules sont autorisés à effectuer toutes ces tâches. Consultez les Guide de migration pour en savoir plus sur la migration des utilisateurs vers un accès basé sur les rôles à l' aide de ces modules.
Ces modules supplémentaires sont également disponibles pour des cas d'utilisation spécifiques :
- Packet Forensics
- Le module Packet Forensics peut être combiné au module NDR ou NPM pour fournir une capture, un stockage et une récupération complets des paquets.
- Systèmes de détection d'intrusion
- Le module IDS doit être combiné au module NDR et fournit des détections basées sur des signatures IDS
conformes aux normes de l'industrie. La plupart des capteurs de paquets ExtraHop sont éligibles
au module IDS, à condition que le capteur soit sous licence pour le module NDR.
Remarque : Débit peut être affectée lorsque plusieurs modules sont activés sur la sonde.
Caractéristiques
Le système ExtraHop fournit un ensemble complet de fonctionnalités qui vous permet d'organiser et d'analyser les détections, les mesures, les enregistrements et les paquets associés au trafic sur votre réseau .
L'accès au module et au système est déterminé par privilèges d'utilisateur qui sont gérés par votre administrateur ExtraHop.
Caractéristiques globales
- Vue d'ensemble du réseau
- Vue d'ensemble du périmètre
- Cartes d'activités
- tableau de bord Active Directory
- tableau de bord génératif de l'IA
- Rapports de tableau de bord planifiés
- Suivi des détections
- Actifs
- Géomap
- Disques
- Paquets
- Intégrations (RevealX 360 uniquement)
- Accès à l'API
- Priorités d'analyse
- Catalogue métrique
- Lots
- éléments déclencheurs
- Assistant de recherche IA (actifs et dossiers)
Caractéristiques du module NDR
- Aperçu de la sécurité
- Assistant de recherche IA
- Rapports sur les opérations de sécurité
- Tableaux de bord de sécurité intégrés
- Détections de sécurité
- Carte MITRE
- Enquêtes
- Règles de réglage pour les détections de sécurité
- Règles de notification pour les détections de sécurité et les briefings sur les menaces
- Exposés sur les menaces
- Renseignements sur les menaces
- Analyse de fichiers
- Extraction de fichiers (analyse des paquets requise)
Caractéristiques du module NPM
- Tableaux de bord personnalisés
- Tableaux de bord de performance intégrés
- Détections de performances
- Règles de réglage pour les détections de performances
- Règles de notification pour les détections de performances
- Alertes
Des solutions
- RevealX Enterprise
- RevealX Enterprise est une solution autogérée qui comprend capteurs,
consoles, les magasins de paquets, les magasins de disques et l'accès aux services cloud ExtraHop.
- RevealX 360
- RevealX 360 est une solution logicielle en tant que service (SaaS) qui comprend capteurs et packetstores et comprend un espace de stockage des
enregistrements basé sur le cloud avec Standard Investigation, un consoleet accès aux services cloud
ExtraHop.
Composantes
Chaque solution propose un ensemble de composants en fonction de vos besoins environnementaux : capteurs, magasins de paquets, magasins de disques et console pour une gestion centralisée et des vues de données unifiées.
- Capteurs de paquets
- Les capteurs de paquets capturent, stockent et analysent les données métriques relatives à votre réseau. Plusieurs niveaux d'analyse, de collecte et de stockage des données sont disponibles en fonction de la taille de la sonde. Ces capteurs sont disponibles dans les modules NPM et NDR en tant qu'options physiques, virtuelles et basées sur le cloud, dans des tailles adaptées à vos besoins d' analyse.
- Capteurs IDS
- Les capteurs du système de détection d'intrusion (IDS) s'intègrent aux capteurs de paquets pour générer des détections basées sur la signature IDS standard de l'industrie. Les capteurs IDS sont déployés en tant que module complémentaire au module NDR. Les capteurs IDS sont une appliance physique associée à une sonde réseau d'analyse de paquets et sont disponibles pour les environnements RevealX 360 ou RevealX Enterprise.
- Capteurs de débit
- Les capteurs de flux sont disponibles pour RevealX 360 uniquement et collectent exclusivement les journaux de flux VPC afin que vous puissiez voir le trafic géré par les services AWS SaaS.
- Disquaires
- Les magasins de disques intègrent des capteurs et consoles pour stocker les enregistrements de transactions et de flux qui peuvent être interrogés depuis l'ensemble du système ExtraHop. Les magasins d'enregistrements peuvent être déployés en tant qu'options physiques ou virtuelles autonomes et peuvent être pris en charge en tant que connexions tierces à Splunk ou BiqQuery depuis RevealX Enterprise. RevealX 360 avec Standard Investigation fournit un espace de stockage des enregistrements entièrement hébergé et basé sur le cloud. Les magasins de disques sont disponibles dans des packages avec les modules NPM et NDR.
- Bouquetteries
- Les magasins de paquets s'intègrent à des capteurs et consoles fournir PCAP en continu et un espace de stockage suffisant pour des enquêtes plus approfondies et des besoins en matière de criminalistique. Les Packetstores peuvent être déployés en tant qu'options physiques ou virtuelles autonomes et sont disponibles en tant que module complémentaire Packet Forensics pour les modules NPM et NDR.
- Consoles
- Les consoles fournissent une interface basée sur un navigateur qui fournit un centre de commande pour tous les composants connectés. Consoles peuvent être déployés en tant qu'options autonomes virtuelles ou basées sur le cloud pour RevealX Enterprise et sont inclus dans RevealX 360.
Le tableau suivant donne un aperçu des options disponibles pour chaque solution.
RevealX Enterprise | RevealX 360 | |||
---|---|---|---|---|
Physique | Virtuel/Cloud | Physique | Virtuel/Cloud | |
sonde à paquets | ||||
sonde IDS | IDS 9380 | IDS 9380 | ||
sonde de débit | N/A | N/A | N/A |
EFC 1291v AWS (PVC) EFC 1292 v (NetFlow) |
Magasin de paquets |
Inclus dans les abonnements Ultra |
|||
Disquaire | EXAMEN 5200 | N/A | Inclus dans les abonnements Premium et Ultra | |
Console | N/A | N/A | Inclus dans tous les abonnements |
Services cloud ExtraHop
Analyse des capteurs intelligents
Le système ExtraHop propose une interface basée sur un navigateur avec des outils qui vous permettent d' explorer et de visualiser les données, d'étudier les résultats dans des flux de travail ascendants et descendants, et de personnaliser la manière dont vous collectez, visualisez et partagez les données de votre réseau. Les utilisateurs avancés peuvent automatiser et écrire des scripts pour les tâches administratives et les tâches utilisateur via API REST ExtraHop et personnalisez la collecte de données via API ExtraHop Trigger , qui est un outil IDE JavaScript.
Au cœur du système ExtraHop se trouve un sonde qui capture, stocke et analyse les données métriques relatives à votre réseau et propose différents niveaux d'analyse, de collecte et de stockage des données en fonction de vos besoins. Sondes sont dotés d'un espace de stockage prenant en charge 30 jours de rétrospective métrique. Notez que la rétrospective réelle varie en fonction des modèles de trafic, des taux de transaction, du nombre de points de terminaison et du nombre de protocoles actifs.
Les consoles font office de centre de commande avec des connexions à plusieurs capteurs, des magasins de disques et des magasins de paquets répartis dans les centres de données et les succursales. Tous les déploiements de RevealX 360 incluent une console ; RevealX Enterprise peut déployer des variantes virtuelles ou cloud.
Les consoles fournissent des vues de données unifiées sur tous vos sites et vous permettent de synchroniser certaines configurations avancées (telles que déclencheurs et alertes) et paramètres (paramètres de réglage, priorités d'analyse, et disquaires).
Les sections suivantes décrivent les principaux composants fonctionnels du système ExtraHop et la manière dont ils fonctionnent ensemble.
Types de capteurs
Le type de sonde vous déployez détermine le type de données collectées, stockées et analysées.
Données filaires
Les capteurs de paquets et les capteurs du système de détection d'intrusion (IDS) observent passivement les paquets non structurés via un miroir de ports ou tapent et stockent les données dans la banque de données locale. Les données des paquets sont soumises à un traitement de flux en temps réel qui transforme les paquets en données filaires structurées selon les étapes suivantes :
- Les machines à états TCP sont recréées pour effectuer un réassemblage complet.
- Les paquets sont collectés et regroupés en flux.
- Les données structurées sont analysées et traitées de la manière suivante :
- Les transactions sont identifiées.
- Les appareils sont automatiquement découverts et classés en fonction de leur activité.
- Des métriques sont générées et associées à des protocoles et à des sources, et les données métriques sont ensuite agrégées en cycles métriques.
- Au fur et à mesure que de nouvelles métriques sont générées et stockées et que la banque de données est pleine, les plus anciennes métriques existantes sont remplacées selon le principe du premier entré, premier sorti (FIFO).
Données de flux
Un flux est un ensemble de paquets qui font partie d'une connexion unique entre deux terminaux. Flux capteurs sont disponibles pour RevealX 360 et offrent une visibilité continue du réseau sur la base des journaux de flux VPC afin de sécuriser les environnements AWS. Les journaux de flux VPC vous permettent de capturer des informations sur le trafic IP entrant et sortant des interfaces réseau de votre VPC et sont enregistrés sous forme d'enregistrements de journaux de flux, qui sont des événements de journal composés de champs décrivant le flux de trafic. Ces données de journal vous permettent de rechercher des menaces à l'aide de détections avancées par apprentissage automatique.
Les journaux de flux sont ingérés, dédupliqués, puis regroupés en flux. Les flux sont ensuite enrichis avec des données (telles que des adresses MAC) demandées à partir des API AWS EC2.
Les flux sont ensuite analysés et traités de la manière suivante :
- Les appareils sont automatiquement découverts et classés en fonction de leur activité observée sur des ports spécifiques.
- Les métriques L2-L4 de base sont générées et agrégées en cycles métriques.
- Les types d'enregistrement ExFlow sont générés et publiés.
Métriques, enregistrements et paquets
Les capteurs ExtraHop collectent et stockent plusieurs niveaux d'interaction réseau sous forme de métriques. Les métriques sont des observations agrégées concernant les interactions entre les points de terminaison au fil du temps. Les packetstores collectent et stockent les données brutes transférées entre deux points de terminaison sous forme de paquets. Magasins de disques collectez et stockez des enregistrements, qui sont des informations structurées sur les transactions, les messages et les flux réseau.
Vous pouvez visualiser et interroger toutes ces interactions à partir de capteurs individuels ou d'un console qui est lié à un déploiement complexe de capteurs, de magasins de paquets et de magasins de disques.
Par exemple, lorsqu'un client envoie une requête HTTP à un serveur Web, voici le contenu de chaque type de données :
- Le paquet contient les données brutes qui ont été envoyées et reçues lors de l' interaction.
- L'enregistrement associé contient les métadonnées horodatées relatives à l' interaction : date à laquelle la demande a eu lieu, adresse IP du client et du serveur, URI demandé, éventuels messages d'erreur.
- La métrique associée (requêtes HTTP) contient un agrégat de cette interaction avec les autres interactions observées au cours de la période spécifiée, telles que le nombre de demandes effectuées, le nombre de demandes réussies, le nombre de clients ayant envoyé des demandes et le nombre de serveurs ayant reçu les demandes.
Les métriques et les enregistrements peuvent être personnalisés pour extraire et stocker des métadonnées spécifiques à l'aide de JavaScript déclencheurs. Alors que le système ExtraHop est terminé 4600 métriques intégrées, vous souhaiterez peut-être créer un métrique personnalisée qui collecte et agrège les erreurs 404 uniquement à partir de serveurs Web critiques. Et vous souhaiterez peut-être maximiser votre espace de stockage d'enregistrements uniquement collecte des transactions survenues via un port suspect.
Découverte des appareils
Une fois qu'un équipement est découvert, le système ExtraHop commence à collecter des métriques en fonction du niveau d'analyse configuré pour cet équipement. Tu peux Trouvez un équipement par leur adresse MAC, leur adresse IP ou leur nom (tel qu'un nom d'hôte observé à partir du trafic DNS, le nom NetBIOS, le nom du Cisco Discovery Protocol (CDP), le nom DHCP ou un nom personnalisé que vous avez attribué à l'équipement).
Le système ExtraHop peut découvrir et suivre les appareils par leur adresse MAC (L2 Discovery) ou par leur adresse IP (L3 Discovery). L2 Discovery offre l'avantage de suivre les métriques d'un équipement même si l'adresse IP est modifiée ou réattribuée par le biais d'une requête DHCP. Par défaut, le système ExtraHop est configuré pour L2 Discovery.
Les adresses IPv4 et IPv6 des appareils sont découvertes à partir des messages ARP (Address Resolution Protocol), des réponses du protocole NDP ( Neighbor Discovery Protocol), des diffusions locales ou du trafic de multidiffusion du sous-réseau local. L'adresse MAC et l'adresse IP des appareils apparaissent dans les résultats de recherche sur l'ensemble du système avec les informations relatives à l'équipement.
Découverte L2
Dans L2 Discovery, le système ExtraHop crée une entrée d'équipement pour chaque adresse MAC locale découverte via le fil. Les adresses IP sont mappées à l'adresse MAC, mais les métriques sont stockées avec l'adresse MAC de l'équipement même si l'adresse IP change.
Les adresses IP observées en dehors des domaines de diffusion surveillés localement sont agrégées sur l'un des routeurs entrants de votre réseau. Si un équipement envoie une demande DHCP via un routeur agissant en tant qu'agent de relais DHCP, le système ExtraHop détecte et mappe l'adresse IP à l'adresse MAC de l'équipement. Si l'adresse IP de l'équipement change lors d'une demande ultérieure via l'agent de relais DHCP, le système ExtraHop met à jour son mappage et continue de suivre les métriques de l'équipement par adresse MAC.
L'adresse MAC et l'adresse IP de l'équipement distant sont découvertes.
Si aucun agent de relais DHCP n'est configuré, les périphériques distants peuvent être découverts par leur adresse IP via Découverte L3 à distance.
L3 Discovery
Dans L3 Discovery, le système ExtraHop crée et lie deux entrées pour chaque équipement local découvert : une entrée parent L2 avec une adresse MAC et une entrée enfant L3 avec les adresses IP et l'adresse MAC.
Voici quelques considérations importantes concernant la découverte de la L3 :
- Si le proxy ARP est activé sur un routeur, le système ExtraHop crée un équipement L3 pour chaque adresse IP pour laquelle le routeur répond aux demandes ARP.
- Si un proxy ARP est configuré sur votre réseau, le système ExtraHop peut détecter automatiquement les appareils distants.
- Les métriques L2 qui ne peuvent pas être associées à un équipement enfant L3 particulier ( par exemple, le trafic de diffusion L2) sont associées à l'équipement parent L2.
Découverte L3 à distance
Si le système ExtraHop détecte une adresse IP à laquelle aucun trafic ARP ou NDP n'est associé, cet équipement est considéré comme un équipement distant. Les appareils distants ne sont pas automatiquement découverts, mais vous pouvez ajouter une plage d'adresses IP distantes et découvrir les appareils situés en dehors du réseau local. Une entrée d'équipement est créée pour chaque adresse IP observée dans la plage d' adresses IP distantes. (Les appareils distants ne possèdent pas d'entrées parent L2.)
Seule l'adresse IP de l'équipement distant est découverte.
Voici quelques recommandations concernant le moment où configurer Remote L3 Discovery :
- Les appareils de vos clients se trouvent sur un segment du réseau qui n'est pas directement connecté.
- Votre organisation dispose d'un bureau distant sans système ExtraHop sur site, mais les utilisateurs de ce site accèdent aux ressources du centre de données central qui sont directement surveillées par un système ExtraHop . Les adresses IP du site distant peuvent être découvertes en tant que périphériques.
- Un service cloud ou un autre type de service hors site héberge vos applications distantes et possède une plage d'adresses IP connue. Les serveurs distants compris dans cette plage d'adresses IP peuvent être suivis individuellement.
Découverte du VPN
Découverte du VPN permet au système ExtraHop de corréler les adresses IP privées RFC-1918 attribuées aux clients VPN avec leurs adresses IP externes publiques. Cette visibilité accrue sur le trafic nord-sud réduit les obstacles lors de l'enquête sur les incidents de sécurité et les problèmes de performance impliquant des clients VPN externes. (Cette fonctionnalité nécessite une passerelle VPN assignée manuellement par l'utilisateur.)Déduplication des trames logicielles
Le système ExtraHop supprime les trames et paquets L2 et L3 dupliqués lorsque les métriques sont collectées et agrégées à partir de l'activité de votre réseau par défaut. La déduplication L2 supprime les trames Ethernet identiques (où l'en-tête Ethernet et l'intégralité du paquet IP doivent correspondre) ; la déduplication L3 supprime les paquets TCP ou UDP avec des champs d'ID IP identiques sur le même flux (où seul le paquet IP doit correspondre).
Le système ExtraHop recherche les doublons et supprime uniquement le paquet immédiatement précédent, à la fois sur le flux (pour la déduplication L3) ou globalement (pour la déduplication L2) si le doublon arrive à moins d'une milliseconde du paquet d'origine.
Par défaut, le même paquet traversant différents VLAN est supprimé par déduplication L3. En outre, les paquets doivent avoir la même longueur et le même ID IP, et les paquets TCP doivent également avoir la même somme de contrôle TCP.
La duplication L2 n'existe généralement que si le même paquet est vu dans le flux de données, ce qui est généralement lié à un problème de port de duplication. La duplication L3 est souvent le résultat de la mise en miroir du même trafic sur plusieurs interfaces du même routeur, ce qui peut apparaître sous forme de retransmissions TCP superflues dans le système ExtraHop.
Le État de santé du système La page contient des graphiques qui affichent les paquets dupliqués L2 et L3 qui ont été supprimés par le système ExtraHop. La déduplication fonctionne sur les ports 10 Gbit/s par défaut et sur les ports 1 Gbit/s si le logiciel RSS est activé. La déduplication L3 n'est actuellement prise en charge que pour IPv4, et non pour IPv6.
Détection des menaces
Le système ExtraHop offre à la fois un apprentissage automatique et des fonctionnalités basées sur des règles détections qui identifient les menaces actives ou potentielles, les faiblesses du réseau vulnérables aux exploits et les configurations sous-optimales susceptibles de dégrader les performances du réseau.
En outre, graphiques, visualisations, et cartes d'activité des équipements permettre une chasse proactive aux menaces.
Réglage de la détection
Réduisez le bruit et faites uniquement apparaître les détections critiques en ajoutant des informations sur votre réseau qui permettent d'identifier les paramètres connus tels que les domaines fiables et les scanners de vulnérabilités.En outre, vous pouvez créer des règles d'exceptions qui masquent des détections ou des participants spécifiques et réduisent davantage les bruits indésirables.
Localité du réseau
Par défaut, tout équipement doté d'une adresse IP RFC1918 (incluse dans un bloc CIDR 10/8, 172.16/12 ou 192.168/16) est classé sur le système en tant que périphérique interne.Cependant, étant donné que certains environnements réseau incluent des adresses IP non conformes à la RFC1918 dans leur réseau interne, vous pouvez modifier la classification interne ou externe des adresses IP depuis la page Localités du réseau.
Renseignements sur les menaces
Le système ExtraHop comprend des renseignements sur les menaces flux d'ExtraHop et Crowdstrike Falçon qui sont mis à jour via le cloud à mesure que de nouvelles menaces sont découvertes. Vous pouvez également ajouter des collections de menaces auprès d'un tiers.Exposés sur les menaces
Exposés sur les menaces fournir des informations sur les menaces imminentes qui ciblent les réseaux. Les détections mises à jour, les requêtes ciblées sur les enregistrements et les paquets, ainsi que les appareils concernés sont présentés comme point de départ de votre investigation, accessibles depuis le Aperçu de la sécurité page.Intégrations
RevealX 360 propose plusieurs intégrations tierces qui peuvent améliorer la gestion de la détection et des réponses et fournir une meilleure visibilité sur le trafic réseau.- Cortex XSOAR
- Exportez les détections ExtraHop, exécutez des playbooks de réponse et interrogez les détails de l'équipement dans Cortex XSOAR.
- Crowd Strike
- Consultez les détails sur les appareils CrowdStrike et conservez ces appareils depuis le système ExtraHop.
- Balance à journaux CrowdStrike Falçon
- Spécifiez les critères de filtre pour les détections de sécurité ExtraHop et exportez les résultats vers CrowdStrike Falçon LogScale.
- Microsoft 365
- Importez les détections et les événements Microsoft 365, surveillez les mesures Microsoft 365 dans des tableaux de bord intégrés et affichez les détails des événements à risque dans les enregistrements.
- Décryptage du protocole Microsoft
- Déchiffrez le trafic via les protocoles Microsoft tels que LDAP, RPC, SMB et WSMan pour améliorer la détection des attaques de sécurité dans votre environnement Microsoft Windows.
- QRadar
- Exportez et visualisez les détections ExtraHop dans votre QRadar SIEM.
- Splunk
- Exportez et visualisez les détections ExtraHop dans votre Splunk SIEM.
- Splunk SOAR
- Exportez et visualisez les détections, les métriques et les paquets ExtraHop dans votre solution Splunk SOAR .
Naviguer dans le système ExtraHop
Le système ExtraHop permet d'accéder aux données d'activité du réseau et aux détails de détection via une interface utilisateur dynamique et hautement personnalisable.
Vidéo : | Consultez la formation associée : Parcours d'apprentissage complet des fondamentaux de l'interface utilisateur |
Navigateurs pris en charge
Les navigateurs suivants sont compatibles avec tous les systèmes ExtraHop. Appliquez les fonctionnalités d'accessibilité et de compatibilité fournies par votre navigateur pour accéder au contenu par le biais d'outils technologiques d'assistance.
- Firefox
- Google Chrome
- Microsoft Edge
- Safari
Important : | Internet Explorer 11 n'est plus pris en charge. Nous vous recommandons d' installer la dernière version de tout navigateur compatible. |
Disposition et menus
Les éléments de navigation globale sont situés en haut de la page et contiennent des liens vers les principales sections du système. Dans chaque section, le volet de gauche contient des liens vers des pages ou des données spécifiques.
La figure suivante montre à la fois les éléments de navigation globaux et du volet gauche.
Voici les définitions de chaque élément de navigation global :
- Pages de présentation
- Les pages de présentation vous permettent d'évaluer rapidement l'étendue des activités suspectes sur votre
réseau, d'en savoir plus sur l'activité du protocole et les connexions des équipements, et d'étudier le trafic entrant
et sortant sur votre réseau.
- Consultez le Aperçu de la sécurité pour obtenir des informations sur les détections de sécurité sur votre réseau.
- Consultez le Vue d'ensemble du réseau pour obtenir des informations sur les appareils actifs de votre réseau.
- Consultez le Vue d'ensemble du périmètre pour obtenir des informations sur le trafic entrant et sortant de votre réseau.
- Tableaux de bord
- Cliquez Tableaux de bord pour afficher, créer ou partager des tableaux de bord afin de surveiller tous les aspects de votre réseau ou de vos applications. Tableaux de bord du système vous offrent un aperçu instantané de l'activité et des menaces de sécurité potentielles sur votre réseau.
- Alertes
- Cliquez Alertes pour afficher les informations relatives à chaque alerte générée pendant l'intervalle de temps.
- Détections
- Si votre paquet ou flux sonde est connecté au service d'apprentissage automatique ExtraHop,
la navigation de niveau supérieur affiche Détections menu. Cliquez
Détections pour consulter les détections identifiées à partir de vos données Wire Data.
Vous pouvez accéder aux détections enregistrées même si sonde est déconnecté du service
d'apprentissage automatique.
Remarque : Les détections par apprentissage automatique nécessitent connexion aux services cloud ExtraHop. - Actifs
- Cliquez Actifs pour trouver n'importe quelle application, réseau ou équipement découvert par le système ExtraHop. Vous pouvez consulter les mesures de protocole relatives à vos actifs, à vos utilisateurs actifs ou à l'activité réseau par protocole.
- Disques
- Si votre système ExtraHop est configuré avec espace de stockage des enregistrements, la navigation de niveau supérieur affiche le menu Enregistrements. Cliquez Disques pour rechercher tous les enregistrements stockés pour l' intervalle de temps actuel. Les enregistrements sont des informations structurées sur les transactions, les messages et les flux réseau.
- Paquets
- Si votre système ExtraHop est configuré avec stockage des paquets, la navigation de niveau supérieur affiche le menu Paquets. Cliquez Paquets pour rechercher tous les paquets stockés pour l' intervalle de temps actuel.
- champ de recherche global
- Tapez le nom de n'importe quel équipement, nom d'hôte ou adresse IP, application ou réseau pour trouver une correspondance sur votre sonde ou console. Si vous avez un espace de stockage des enregistrements connecté, vous pouvez rechercher des enregistrements enregistrés. Si vous avez un système de stockage des paquets connecté, vous pouvez rechercher des paquets.
- Icône d'aide
- Consultez les informations d'aide relatives à la page que vous êtes en train de consulter. Pour accéder à la documentation ExtraHop la plus récente et la plus complète, visitez le Site de documentation ExtraHop.
- Icône des paramètres système
- Accédez aux options de configuration du système, telles que les déclencheurs, les alertes, les rapports planifiés et les appareils personnalisés, puis cliquez pour afficher le système ExtraHop et sa version. Cliquez Avis relatifs au système pour afficher la liste des fonctionnalités de la version la plus récente et de toutes notifications relatives au système telles que les licences expirant ou les mises à niveau du microprogramme disponibles.
- Icône d'option utilisateur
- Connectez-vous et déconnectez-vous de votre sonde ou console, modifiez votre mot de passe, sélectionnez le thème d'affichage, définir une langue, et accédez aux options de l'API.
- Basculement du volet
- Réduisez ou agrandissez le volet de gauche.
- sélecteur de temps global
- Modifier l'intervalle de temps pour afficher l'activité des applications et du réseau observée par le système ExtraHop pendant une période donnée. L'intervalle de temps global est appliqué à toutes les mesures du système et ne change pas lorsque vous naviguez sur différentes pages.
- Pages récentes
- Consultez la liste des dernières pages que vous avez visitées dans un menu déroulant et faites une sélection pour revenir à la page précédente. Les pages répétées sont dédupliquées et condensées pour économiser de l'espace.
- Trajectoire de navigation
- Affichez où vous vous trouvez dans le système et cliquez sur le nom d'une page dans le chemin pour revenir à cette page.
- Menu déroulant des commandes
- Cliquez pour accéder à des actions spécifiques pour la page que vous consultez. Par exemple, lorsque vous cliquez Tableaux de bord en haut de la page, le menu de commandes propose des actions permettant de modifier les propriétés du tableau de bord ou de créer un nouveau tableau de bord.
Commencez à analyser les données
Commencez votre parcours d'analyse de données avec le système ExtraHop en suivant les flux de travail de base répertoriés ci-dessous. Au fur et à mesure que vous vous familiariserez avec le système ExtraHop, vous pourrez effectuer des tâches plus avancées, telles que l'installation de bundles et la création de déclencheurs.
Voici quelques méthodes de base pour naviguer et utiliser le système ExtraHop pour analyser l' activité du réseau.
- Surveillez les métriques et étudiez les données intéressantes
- Les bons points de départ sont tableau de bord de l'activité réseau et tableau de bord des performances du réseau, qui
vous présentent des résumés des indicateurs importants relatifs aux performances des applications sur votre réseau. Lorsque
vous constatez un pic de trafic, des erreurs ou le temps de traitement du serveur, vous pouvez interagir avec les données du
tableau de bord pour approfondissez et identifiez quels clients, serveurs,
méthodes ou autres facteurs ont contribué à cette activité inhabituelle.
Vous pouvez ensuite poursuivre le suivi des performances ou le dépannage en création d'un tableau de bord personnalisé pour suivre un ensemble de mesures et d' appareils intéressants.
Consultez ce qui suit procédures pas à pas pour en savoir plus sur la surveillance des données dans les tableaux de bord :
- Recherchez un équipement spécifique et étudiez les métriques et les transactions associées
- Si vous souhaitez étudier un serveur lent, vous pouvez recherchez le serveur dans le système ExtraHop par nom d'équipement ou adresse IP
puis examinez l'activité du serveur sur une page de protocole.
Y a-t-il eu une augmentation du nombre d'erreurs de réponse ou de demandes ? Le temps de traitement du serveur était-il trop long ou la latence du
réseau a-t-elle affecté le taux de transfert de données ? Cliquez sur différents protocoles sur la page
Appareils pour étudier d'autres données métriques collectées par le système ExtraHop. Exploration par adresses IP
homologues pour voir à quels clients ou applications le serveur a communiqué.
Si votre système ExtraHop est connecté à un espace de stockage des enregistrements, vous pouvez examiner l'intégralité des transactions auxquelles le serveur a participé en création d'une requête d'enregistrement.
Consultez ce qui suit procédures pas à pas pour en savoir plus sur l'exploration des indicateurs et des enregistrements :
- Obtenez de la visibilité sur les modifications apportées à votre réseau en recherchant l'activité du protocole
- Vous pouvez obtenir une vue de haut en bas de votre réseau en consultant les groupes de protocoles intégrés. Un groupe de
protocoles est un ensemble d'appareils automatiquement regroupés par le
système ExtraHop en fonction du trafic de protocole observé sur le fil. Par exemple, vous pouvez trouver des serveurs
nouveaux ou mis hors service qui communiquent activement via un protocole en création d'une
carte d'activités.
Si vous trouvez un ensemble d'appareils que vous souhaitez continuer à surveiller, vous pouvez ajouter une étiquette d'équipement ou nom de l'équipement personnalisé pour que ces appareils soient plus faciles à trouver dans le système ExtraHop. Vous pouvez également créer un groupe d'équipements personnalisé ou un tableau de bord personnalisé pour surveiller l'activité d'un groupe déquipements.
Flux de travail avancés pour personnaliser votre système ExtraHop
Une fois familiarisé avec les flux de travail de base, vous pouvez personnaliser votre système ExtraHop en configurant des notifications d'alerte, en créant des métriques personnalisées ou en installant des offres groupées.
- Configurer des alertes
- Alertes suivez les mesures spécifiées pour vous informer des écarts de trafic susceptibles d'indiquer un problème avec un équipement réseau. Configuration d'une alerte de seuil pour vous avertir lorsqu'une métrique surveillée dépasse une valeur définie. Configuration d'une alerte de tendance pour vous avertir lorsqu'une métrique surveillée s'écarte des tendances normales observées par le système.
- Créez un déclencheur pour créer des mesures et des applications personnalisées
-
déclencheurs sont des scripts personnalisés
qui exécutent une action lors d'un événement prédéfini. Les déclencheurs nécessitent
une planification pour s'assurer qu'ils n'ont pas d'impact négatif sur les performances du système.
Consultez ce qui suit procédures pas à pas pour en savoir plus sur l'exploration des métriques et des enregistrements :
Intervalles de temps
Le sélecteur de temps est affiché dans le coin supérieur gauche de la barre de navigation et contrôle l'intervalle de temps global pour les métriques et les détections affichées dans le système ExtraHop.
Voici quelques considérations relatives aux intervalles de temps :
- Le sélecteur de temps vous permet de sélectionner un intervalle de temps global relatif, tel que le dernier jour, ou de définir une plage horaire personnalisée.
- Le sélecteur de temps vous permet de modifiez manuellement le fuseau horaire affiché.
- L'intervalle de temps sélectionné reste le même, qu'il s'agisse de consulter des statistiques dans un tableau de bord ou d' enquêter sur des détections, jusqu'à ce que vous modifiiez l'intervalle ou que vous accédiez à une page avec un intervalle de temps prédéfini, tel que les détails de détection ou les informations sur les menaces.
- Si un intervalle de temps relatif est sélectionné lorsque vous vous déconnectez, le système ExtraHop utilise par défaut cet intervalle de temps relatif lorsque vous vous reconnectez.
- Si une plage de temps personnalisée est sélectionnée lorsque vous vous déconnectez, le système ExtraHop utilise par défaut le dernier intervalle de temps relatif que vous avez consulté lors de la session de connexion précédente.
- Vous pouvez accéder aux cinq intervalles de temps uniques les plus récents à partir du L'histoire onglet du sélecteur de temps.
- L'intervalle de temps est inclus à la fin de l'URL dans votre navigateur. Pour partager un lien avec d'autres personnes respectant un intervalle de temps spécifique, copiez l'URL complète. Pour maintenir un intervalle de temps spécifique après la déconnexion du système ExtraHop, ajoutez l'URL à vos favoris.
Modifier l'intervalle de temps
- Cliquez sur l'intervalle de temps dans le coin supérieur gauche de la page (par exemple Les 30 dernières minutes).
-
Sélectionnez l'une des options d'intervalle suivantes :
- Un intervalle de temps prédéfini (tel que Les 30 dernières minutes, Les 6 dernières heures, Dernier jour, ou La semaine dernière).
- Une unité de temps personnalisée.
- Une plage horaire personnalisée. Cliquez sur un jour pour spécifier la date de début de la plage. Un seul clic permet de spécifier un seul jour. Cliquez sur un autre jour pour spécifier la date de fin de la plage.
- Comparez les deltas métriques à partir de deux intervalles de temps différents.
- Cliquez Enregistrer.
Conseil : | Vous pouvez également définir l'intervalle de temps à partir du L'histoire onglet en sélectionnant un maximum de cinq intervalles de temps récents définis lors d'une session de connexion précédente. |
Modifier le fuseau horaire affiché
Le sélecteur de temps vous permet de modifier le fuseau horaire affiché dans le système ExtraHop, offrant ainsi une plus grande flexibilité lors de l'affichage de données temporelles telles que les métriques, les détections et les enregistrements dans des environnements couvrant plusieurs fuseaux horaires.
Voici quelques considérations concernant l'affichage des paramètres horaires dans RevealX 360 :
- La modification du fuseau horaire affiché affecte les horodatages que vous voyez dans le système ExtraHop, mais ne s'applique pas aux rapports planifiés ni aux tableaux de bord exportés.
- La modification de votre fuseau horaire remplace l'heure d'affichage par défaut configurée dans les paramètres d'administration. Voir Heure du système (pour ExtraHop Performance et RevealX Enterprise) ou Configurer l'heure du système (pour RevealX 360) pour plus d'informations.
- <extrahop-hostname-or-IP-address>Connectez-vous au système ExtraHop via https ://.
- Cliquez sur le sélecteur de temps dans le coin supérieur gauche de la page.
- Cliquez Fuseau horaire.
-
Sélectionnez l'une des options suivantes :
- Heure du navigateur
- Heure du système
- UTC
- Spécifier le fuseau horaire puis sélectionnez un fuseau horaire dans la liste déroulante.
- Cliquez Enregistrer.
Afficher les dernières données pour un intervalle de temps
Les pages qui affichent les données métriques surveillées, telles que les tableaux de bord et les pages de protocole, sont continuellement mises à jour pour afficher les données les plus récentes pour l'intervalle de temps sélectionné.
Les pages de mesures détaillées, les détections, les enregistrements, les paquets et les alertes sont rechargées sur demande
en cliquant sur l'icône d'actualisation des données dans le coin supérieur gauche de la page.
Modifier la granularité des données du graphique
Le système ExtraHop stocke les métriques par tranches de 30 secondes. Les données métriques sont ensuite agrégées ou regroupées dans des tranches supplémentaires de cinq minutes et d'une heure. L'agrégation des données permet de limiter le nombre de points de données affichés sur un graphique chronologique afin de faciliter l'interprétation de la granularité des données. L'intervalle de temps que vous sélectionnez détermine la meilleure agrégation, ou agrégation, des données à afficher dans un graphique pour la période que vous consultez.
Par exemple, si vous sélectionnez un intervalle de temps important, par exemple une semaine, les données métriques sont agrégées sous forme de cumuls d'une heure. Sur l'axe X d'un graphique en courbes, vous voyez un point de données pour chaque heure au lieu d'un point de données pour toutes les 30 secondes. Si vous souhaitez augmenter le niveau de granularité, vous pouvez zoomer sur un graphique ou modifier l' intervalle de temps.
Le système ExtraHop inclut des métriques intégrées de haute précision avec des cumuls d'une seconde, à savoir les métriques Network Bytes et Network Packets. Ces métriques sont associées à un équipement ou à une source de capture réseau. Pour plus d'informations sur la façon d'afficher ces statistiques dans un graphique, voir Afficher le taux maximum dans un graphique.
Le système ExtraHop inclut également des métriques intégrées permettant d'identifier la milliseconde de trafic la plus chargée en une seconde. Ces mesures, qui sont le nombre maximal d'octets réseau par milliseconde et le nombre maximal de paquets par milliseconde, sont associées à une source de capture réseau et vous aident à détecter les microrafales. Les microrafales sont des rafales de trafic rapides qui se produisent en quelques millisecondes.
Le tableau suivant fournit des informations sur la manière dont les données sont agrégées en fonction de l' intervalle de temps.
Intervalle de temps | Roll Up d'agrégation (si disponible) | Remarques |
---|---|---|
Moins de six minutes | 1 seconde | Un récapitulatif d'une seconde n'est disponible que pour les métriques personnalisées et pour les métriques
intégrées suivantes :
|
120 minutes ou moins | 30 secondes | Si aucun roll up de 30 secondes n'est disponible, un roll up de 5 ou 60 minutes s' affiche. |
Entre 121 minutes et 24 heures | 5 minutes | Si le roll up de 5 minutes n'est pas disponible, un roll up de 60 minutes s'affiche. |
Plus de 24 heures | 60 minutes | — |
Remarque : | Si vous disposez d'une banque de données étendue configurée pour des métriques de 24 heures, un intervalle de temps spécifié de 30 jours ou plus affiche un cumul d'agrégation de 24 heures. |
Zoomez sur une plage de temps personnalisée
Vous pouvez cliquer et faire glisser le pointeur sur un graphique pour zoomer sur une activité métrique intéressante. Cette plage de temps personnalisée est ensuite appliquée à l'ensemble du système ExtraHop, ce qui est utile pour étudier d'autres activités métriques survenues en même temps.
Le zoom sur une plage de temps n'est disponible que dans les graphiques dotés d'axes X et Y, tels que les graphiques linéaires, surfaciques, en chandeliers et en histogrammes.
Gelez l'intervalle de temps pour créer une plage de temps personnalisée
Si vous voyez des données intéressantes sur une carte dactivités, un tableau de bord ou une page de protocole, vous pouvez figer l'intervalle de temps pour créer instantanément une plage de temps personnalisée. Le gel de l'intervalle de temps est utile pour créer des liens que vous pouvez partager avec d'autres personnes et pour étudier les activités métriques connexes survenues simultanément.
Pages d'aperçu
Les pages de présentation vous permettent d'évaluer rapidement l'étendue des activités suspectes sur votre réseau, d'en savoir plus sur l'activité des protocoles et les connexions aux équipements, et d'étudier le trafic entrant et sortant sur votre réseau.
- Consultez le Aperçu de la sécurité pour obtenir des informations sur les détections de sécurité sur votre réseau.
- Consultez le Vue d'ensemble du réseau pour obtenir des informations sur les appareils actifs de votre réseau.
- Consultez le Vue d'ensemble du périmètre pour obtenir des informations sur le trafic entrant et sortant de votre réseau.
Aperçu de la sécurité
L'aperçu de la sécurité affiche plusieurs graphiques qui mettent en évidence les données sous différents angles concernant les détections. Ces graphiques peuvent vous aider à évaluer l'étendue des risques de sécurité, à lancer des enquêtes sur des activités inhabituelles et à atténuer les menaces de sécurité. Les détections sont analysées toutes les 30 secondes ou toutes les heures, selon la métrique.
Vidéo : | Consultez la formation associée : Présentation de la sécurité, du réseau et du périmètre |
- Recommandé pour le triage
- Ce graphique présente une liste des détections recommandées par ExtraHop sur la base d'une analyse contextuelle de votre environnement. Cliquez sur une détection pour afficher carte de détection dans Vue de triage sur la page Détections.
- Enquêtes
- Ce graphique fournit un décompte des enquêtes créées au cours de l' intervalle de temps sélectionné. Le décompte inclut les enquêtes recommandées par ExtraHop ou créées par les utilisateurs. Cliquez sur le graphique pour afficher tableau des enquêtes sur la page Détections.
- Détections par catégorie d'attaque
- Ce graphique fournit un moyen rapide de voir les types d'attaques susceptibles de menacer votre réseau et affiche le nombre de détections survenues dans chaque catégorie au cours de l'intervalle de temps sélectionné. Les actions relatives aux détections objectives sont répertoriées par type pour vous aider à hiérarchiser les détections les plus graves. Cliquez sur n'importe quel chiffre pour ouvrir une vue filtrée des détections correspondant à la valeur sélectionnée catégorie d'attaque.
- Délinquants fréquents
- Ce graphique montre les 20 appareils ou terminaux qui ont agi en tant que contrevenants lors d'une ou de plusieurs
détections. Le système ExtraHop prend en compte le nombre de catégories d'attaques et de types de
détection distincts, ainsi que les scores de risque des détections associés à chaque équipement afin de
déterminer quels appareils sont considérés comme des récidivistes.
La taille de l' icône de rôle de l'équipement indique le nombre de types de détection distincts et la position de l'icône indique le nombre de catégories d'attaques distinctes. Cliquez sur l'icône d'un rôle pour afficher plus d'informations sur les catégories d'attaques et les types de détection associés à l'équipement. Cliquez sur le nom de l'équipement pour afficher propriétés de l'équipement.
En savoir plus sur la sécurité du réseau grâce au Tableau de bord Security Hardening.
Briefings sur les menaces
Les briefings sur les menaces fournissent des conseils actualisés dans le cloud concernant les événements de sécurité à l'échelle du secteur. En savoir plus sur les briefings sur les menaces.
Sélecteur de site et rapport sur les opérations de sécurité
Vous pouvez spécifier les sites dont vous souhaitez consulter les données sur cette page. Les utilisateurs ayant accès au module NDR peuvent générer un rapport sur les opérations de sécurité pour partager les résultats.
- Sélecteur de site
- Cliquez sur le sélecteur de site en haut de la page pour afficher les données d'un ou de plusieurs sites de votre environnement. Visualisez le trafic combiné sur vos réseaux ou concentrez-vous sur un seul site pour vous aider à trouver rapidement les données des équipements. Le sélecteur de site indique quand tous les sites ou certains sites sont hors ligne. Comme les données ne sont pas disponibles sur les sites hors ligne, les graphiques et les pages d'équipements associés aux sites hors ligne peuvent ne pas afficher de données ou n'afficher que des données limitées. Le sélecteur de site n'est disponible que depuis console.
- (module NDR uniquement) Rapport sur les opérations de sécurité
- Le rapport sur les opérations de sécurité contient un résumé des principales détections et des principaux risques auxquels votre réseau est exposé. Cliquez Générer un rapport pour spécifier l'intervalle de temps et les sites à inclure dans le rapport, puis cliquez sur Générez pour créer un fichier PDF. Cliquez Rapport sur le calendrier pour créer un rapport sur les opérations de sécurité qui est envoyé par e-mail aux destinataires conformément à la fréquence configurée.
Vue d'ensemble du réseau
L'aperçu du réseau affiche une carte des détections sur votre réseau et une liste des délinquants par nombre de détections. La vue d'ensemble du réseau actualise la carte de détection et les données sur les délinquants toutes les minutes.
Vidéo : | Consultez la formation associée : Présentation de la sécurité, du réseau et du périmètre |
- Basculer entre les catégories de détection
- Vous pouvez basculer entre les vues qui affichent Toutes les détections d'attaques ou Toutes les détections de performances, en fonction des modules activés et de votre accès aux modules.
Délinquants lors de détections
Cette liste répertorie les délinquants, triés selon le nombre de détections où l'équipement ou le point de terminaison a agi comme un délinquant.
- Cliquez sur un équipement ou un point de terminaison dans la liste pour mettre en évidence les détections associées sur la carte de détection, afficher les propriétés de l'équipement et accéder aux liens vers recherche de point de terminaison sites, détections, enregistrements ou paquets.
- En fonction de la catégorie de détection sélectionnée et du module de votre système, cliquez sur Afficher toutes les détections d'attaques ou Afficher toutes les détections de performance lien pour accéder au Détections page, filtré par catégorie de détection et regroupé par source.
- Sélectionnez le Afficher les détections sans victimes case à cocher pour afficher les détections qui n'incluent pas de victime participante. Par exemple, les scans SSL/TLS et certaines détections d'avertissement pour détecter des activités suspectes n'incluent qu'un délinquant.
Carte de détection
La carte de détection affiche le délinquant et la victime pour toutes les détections sélectionnées lors du basculement entre les catégories de détection.
Les cercles sont surlignés en rouge si l'équipement est apparu en tant que délinquant lors d' au moins une détection pendant l'intervalle de temps sélectionné et sont surlignés en bleu sarcelle si l' équipement est une victime.
Les participants sont connectés par des lignes étiquetées avec le type de détection ou le nombre de détections associés à la connexion, et les rôles des équipements sont représentés par une icône.
- Cliquez sur un cercle pour afficher les propriétés de l'équipement et accéder aux liens vers recherche de point de terminaison sites, détections, enregistrements ou paquets.
- Cliquez sur une connexion pour afficher les détections associées.
- Passez la souris sur un cercle pour voir les étiquettes des équipements et surligner les connexions des appareils.
En savoir plus sur Détections.
Sélecteur de site et rapport sur les opérations de sécurité
Vous pouvez spécifier les sites dont vous souhaitez consulter les données sur cette page. Les utilisateurs ayant accès au module NDR peuvent générer un rapport sur les opérations de sécurité pour partager les résultats.
- Sélecteur de site
- Cliquez sur le sélecteur de site en haut de la page pour afficher les données d'un ou de plusieurs sites de votre environnement. Visualisez le trafic combiné sur vos réseaux ou concentrez-vous sur un seul site pour vous aider à trouver rapidement les données des équipements. Le sélecteur de site indique quand tous les sites ou certains sites sont hors ligne. Comme les données ne sont pas disponibles sur les sites hors ligne, les graphiques et les pages d'équipements associés aux sites hors ligne peuvent ne pas afficher de données ou n'afficher que des données limitées. Le sélecteur de site n'est disponible que depuis console.
- (module NDR uniquement) Rapport sur les opérations de sécurité
- Le rapport sur les opérations de sécurité contient un résumé des principales détections et des principaux risques auxquels votre réseau est exposé. Cliquez Générer un rapport pour spécifier l'intervalle de temps et les sites à inclure dans le rapport, puis cliquez sur Générez pour créer un fichier PDF. Cliquez Rapport sur le calendrier pour créer un rapport sur les opérations de sécurité qui est envoyé par e-mail aux destinataires conformément à la fréquence configurée.
Vue d'ensemble du périmètre
L'aperçu du périmètre affiche des graphiques et des visualisations interactives qui vous aident à surveiller le trafic entrant et sortant de votre réseau via des connexions avec des terminaux externes.
Vidéo : | Consultez la formation associée : Présentation de la sécurité, du réseau et du périmètre |
Trafic périmétrique
Les graphiques du trafic périmétrique fournissent une vue d'ensemble du trafic des équipements avec des connexions externes.
- Trafic entrant
- Ce décompte indique le volume total de trafic entrant pendant l' intervalle de temps sélectionné. Cliquez sur le nombre pour afficher la vitesse à laquelle les données sont transférées en provenance de terminaux externes et effectuez une analyse détaillée par site ou par conversation.
- Trafic sortant
- Ce décompte indique le volume total du trafic sortant pendant l' intervalle de temps sélectionné. Cliquez sur le nombre pour afficher la vitesse à laquelle les données sont transférées vers des terminaux externes et effectuez une analyse détaillée par site ou par conversation.
- Appareils acceptant les connexions entrantes
- Ce décompte affiche le nombre d'appareils qui ont accepté des connexions entrantes provenant de terminaux externes pendant l'intervalle de temps sélectionné. Cliquez sur le nombre pour ouvrir une page de présentation des groupes déquipements qui affiche la liste des appareils, les données relatives au trafic et l'activité du protocole.
- Connexions entrantes
- Ce décompte affiche le nombre de connexions entrantes initiées par des terminaux externes. Cliquez sur le décompte pour accéder à une vue détaillée de ces conversations.
- Connexions entrantes suspectes
- Ce graphique affiche le nombre de connexions initiées par des terminaux externes suspects. ExtraHop identifie les terminaux suspects via renseignements sur les menaces données. Cliquez sur le graphique pour ouvrir une vue filtrée de ces conversations.
- Connexions sortantes suspectes
- Ce décompte affiche le nombre de connexions initiées par des terminaux internes avec des terminaux externes suspects. ExtraHop identifie les terminaux suspects via renseignements sur les menaces données. Cliquez sur le graphique pour ouvrir une vue filtrée de ces conversations.
- Connexions peu communes
- (RevealX 360 uniquement) Ce décompte affiche le nombre de connexions sortantes depuis votre réseau vers des adresses IP qui ne sont pas visitées normalement ou qui n'ont jamais été visitées par le passé. Cliquez sur le graphique pour ouvrir une vue filtrée de ces conversations.
Visualisation de Halo
La visualisation Halo fournit deux vues de vos connexions réseau à des points de terminaison externes : les services cloud et les téléchargements volumineux.
Les extrémités externes apparaissent sur l'anneau extérieur avec des connexions aux extrémités internes et apparaissent sous forme de cercles au milieu de la visualisation. Ces visualisations vous permettent de hiérarchiser vos investigation pour les connexions marquées par des détections à haut risque ou pour les appareils de grande valeur.
Pour aider à identifier les points finaux à fort trafic, la taille des cercles intérieurs et extérieurs augmente à mesure que le volume de trafic augmente. Dans certains cas, la taille des cercles intérieurs et des segments de l'anneau extérieur peut être augmentée pour des raisons de lisibilité. Cliquez sur un point de terminaison pour afficher des informations précises sur le trafic.
Cliquez Services dans le cloud pour visualiser les connexions entre les terminaux internes et les fournisseurs de services cloud. Les fournisseurs de services cloud et la quantité de données envoyées ou reçues apparaissent dans le panneau d'informations situé à droite. Vous pouvez basculer entre les vues qui affichent Octets sortants aux fournisseurs et Octets entrants à votre réseau.
Cliquez Importations volumineuses pour visualiser les connexions entre les points de terminaison internes et externes où plus de 1 Mo de données ont été transférés en une seule transmission depuis votre réseau vers un point de terminaison externe. Les points de terminaison externes et la quantité de données téléchargées apparaissent dans le panneau d'informations situé à droite.
- Passez la souris sur les points de terminaison ou les connexions pour afficher les noms d'hôte et les adresses IP disponibles.
- Passez la souris sur les points de terminaison ou les connexions pour mettre en surbrillance les éléments de liste correspondants sur la droite. De même, passez la souris sur les éléments de la liste pour mettre en évidence les points de terminaison et les connexions correspondants dans la visualisation du halo.
- Cliquez sur les extrémités ou les connexions dans la visualisation en halo pour maintenir le focus et afficher des informations précises sur le trafic et les liens correspondant à votre sélection sur la droite.
- Cliquez sur un point de terminaison externe dans la visualisation ou la liste du halo pour afficher le volume total de trafic entrant ou sortant associé au point de terminaison et aux points de terminaison internes connectés.
- Cliquez sur un point de terminaison interne dans la liste pour afficher les propriétés de l'équipement et accéder aux liens vers les informations associées, telles que les détections, les enregistrements ou les paquets.
- Cliquez sur la loupe à côté d'un point de terminaison dans la liste pour afficher les enregistrements associés à ce point de terminaison.
- Au bas de la liste des services cloud, basculez entre les vues qui affichent les octets sortants et les octets entrants sur votre réseau.
- Ajustez l'intervalle de temps pour afficher les connexions à des heures spécifiques, telles que les activités inattendues en soirée ou le week-end.
Visualisation de cartes
L'onglet Géolocalisation fournit une carte du monde du trafic entre les points de terminaison internes et les emplacements géographiques, qui sont surlignés dans une couleur contrastante sur la carte. L'intensité de la couleur contrastante représente le volume de trafic à cette géolocalisation. Les géolocalisations représentées sur la carte sont également répertoriées dans le volet droit.
Cliquez sur une géolocalisation surlignée sur la carte ou dans la liste pour afficher le volume total de trafic entrant ou sortant associé aux points de terminaison internes connectés.
Voici quelques moyens d'interagir avec les détails de géolocalisation et la visualisation de la carte :
- Cliquez sur un point de terminaison interne dans la liste pour afficher les propriétés de l'équipement et accéder aux liens vers les informations associées telles que les détections, les enregistrements ou les paquets.
- Cliquez sur la loupe à côté d'un point de terminaison dans la liste pour afficher les enregistrements associés au point de terminaison.
- Au bas de la liste, basculez entre les vues qui indiquent les octets sortants et les octets entrants sur votre réseau.
- Cliquez sur les commandes situées dans le coin inférieur droit de la carte pour zoomer ou dézoomer ou remettre la carte dans sa position initiale, ou vous pouvez faire pivoter la molette de votre souris.
- Cliquez et faites glisser votre souris sur la carte ou appuyez sur les touches fléchées de votre clavier pour repositionner la vue cartographique.
- Ajustez l'intervalle de temps pour visualiser le trafic à des heures précises, par exemple les activités inattendues le soir ou le week-end.
Sélecteur de site et rapport sur les opérations de sécurité
Vous pouvez spécifier les sites dont vous souhaitez consulter les données sur cette page. Les utilisateurs ayant accès au module NDR peuvent générer un rapport sur les opérations de sécurité pour partager les résultats.
- Sélecteur de site
- Cliquez sur le sélecteur de site en haut de la page pour afficher les données d'un ou de plusieurs sites de votre environnement. Visualisez le trafic combiné sur vos réseaux ou concentrez-vous sur un seul site pour vous aider à trouver rapidement les données des équipements. Le sélecteur de site indique quand tous les sites ou certains sites sont hors ligne. Comme les données ne sont pas disponibles sur les sites hors ligne, les graphiques et les pages d'équipements associés aux sites hors ligne peuvent ne pas afficher de données ou n'afficher que des données limitées. Le sélecteur de site n'est disponible que depuis console.
- (module NDR uniquement) Rapport sur les opérations de sécurité
- Le rapport sur les opérations de sécurité contient un résumé des principales détections et des principaux risques auxquels votre réseau est exposé. Cliquez Générer un rapport pour spécifier l'intervalle de temps et les sites à inclure dans le rapport, puis cliquez sur Générez pour créer un fichier PDF. Cliquez Rapport sur le calendrier pour créer un rapport sur les opérations de sécurité qui est envoyé par e-mail aux destinataires conformément à la fréquence configurée.
Tableaux de bord
Les tableaux de bord constituent un outil efficace pour surveiller le trafic réseau prioritaire ou résoudre les problèmes, car ils regroupent plusieurs graphiques métriques dans un emplacement central où vous pouvez étudier et partager des données. Vous pouvez également ajouter des zones de texte, mises en forme via Markdown, pour fournir du contenu aux parties prenantes.
Vidéo : | Consultez la formation associée : Concepts relatifs aux tableaux |
Les tableaux de bord et les collections se trouvent dans le dock du tableau de bord.
Cliquez Collections pour afficher toutes les collections de tableaux de bord que vous possédez ou qui ont été partagées avec vous. Le nombre de tableaux de bord de chaque collection est affiché. Cliquez sur le nom de la collection pour afficher le propriétaire, les personnes avec lesquelles la collection est partagée et la liste des tableaux de bord de la collection.
Seul le propriétaire de la collection peut modifier ou supprimer une collection. Toutefois, comme les tableaux de bord peuvent être ajoutés à plusieurs collections, vous pouvez créer une collection et partagez-le avec d'autres utilisateurs et groupes.
Cliquez Tableaux de bord pour afficher une liste alphabétique de tous les tableaux de bord que vous possédez ou qui ont été partagés avec vous, y compris les tableaux de bord partagés via une collection. Le propriétaire de chaque tableau de bord est affiché. Une icône à côté du nom du propriétaire indique que le tableau de bord a été partagé avec vous.
Création de tableaux de bord
Si vous souhaitez surveiller des mesures spécifiques ou personnalisées, vous pouvez créer un tableau de bord personnalisé. Vous devez disposer de privilèges d'écriture personnels ou supérieurs et d'un accès au module NPM pour créer et modifier des tableaux de bord.
Les tableaux de bord personnalisés sont stockés séparément pour chaque utilisateur qui accède au système ExtraHop. Après avoir créé un tableau de bord personnalisé, vous pouvez le partager avec d'autres utilisateurs d'ExtraHop.
Il existe plusieurs méthodes pour créer votre propre tableau de bord :
- Création d'un tableau de bord personnalisé ou créer un tableau de bord avec des sources dynamiques à partir de zéro
- Copier un tableau de bord existant, puis personnalisez-le
- Copier un graphique existant, puis enregistrez-le dans un nouveau tableau de bord
Les nouveaux tableaux de bord sont ouverts en mode Modifier la mise en page, ce qui vous permet d'ajouter, d'organiser et de supprimer des composants dans le tableau de bord. Après avoir créé un tableau de bord, vous pouvez effectuer les tâches suivantes :
- Ajouter ou supprimer des widgets et des régions
- Modifier une région
- Modifier un graphique
- Modifier une zone de texte
Cliquez sur le menu de commande dans le coin supérieur droit de la page pour modifier les propriétés du tableau de bord ou supprimer le tableau de bord.
Remarque : | Vous ne pouvez pas récupérer un tableau de bord supprimé. Lors de la suppression de comptes utilisateurs, les administrateurs d'ExtraHop peuvent transférer la propriété du tableau de bord à un autre utilisateur du système. Dans le cas contraire, tous les tableaux de bord personnalisés associés au compte utilisateur sont également supprimés. Pour préserver les tableaux de bord, faire une copie avant que le compte ne soit supprimé. |
Découvrez comment surveiller votre réseau en réalisation d'une présentation détaillée d'un tableau de bord.
Affichage des tableaux de bord
Les tableaux de bord sont composés de widgets graphiques, de widgets d'alerte et de widgets de zone de texte qui peuvent présenter une vue concise des systèmes critiques ou des systèmes gérés par une équipe particulière.
Cliquez dans un graphique pour interagir avec les données métriques :
- Cliquez sur le titre d'un graphique pour afficher la liste des sources métriques et options de menu.
- Cliquez sur une étiquette métrique pour approfondissez et enquêter par un détail métrique.
- Cliquez sur le libellé d'une métrique, puis sur Maintenir le focus pour afficher uniquement cette métrique dans le graphique.
- Cliquez sur le titre d'un graphique ou sur une étiquette de mesure, puis sur Description pour en savoir plus sur la mesure source.
- Cliquez sur un marqueur de détection pour accéder à la page détaillée de la détection
Modifiez le sélecteur de temps pour observer l'évolution des données au fil du temps :
Exporter et partager les données du tableau de bord
Par défaut, tous les tableaux de bord personnalisés sont privés et aucun autre utilisateur d'ExtraHop ne peut consulter ou modifier votre tableau de bord.
Partagez votre tableau de bord pour accorder l'autorisation de consultation ou de modification à d'autres utilisateurs et groupes d'ExtraHop, ou partager une collection pour accorder une autorisation en lecture seule à plusieurs tableaux de bord.
Vous ne pouvez modifier un tableau de bord partagé que si le propriétaire vous a accordé l'autorisation de modification. Cependant, vous pouvez copier et personnaliser un tableau de bord partagé sans autorisation de modification.
Exportez les données par graphique individuel ou par tableau de bord complet :
- Pour exporter les données d'un graphique individuel, cliquez sur le titre du graphique et sélectionnez l'une des options suivantes dans le menu déroulant : Exporter au format CSV ou Exporter vers Excel.
- Pour présenter ou exporter l'intégralité du tableau de bord, cliquez sur le menu de commandes dans le coin supérieur droit de la page et sélectionnez l'une des options suivantes : Mode de présentation, Exporter au format PDF ou Rapports planifiés (consoles uniquement).
Tableaux de bord du système
Le système ExtraHop fournit les tableaux de bord intégrés suivants qui affichent l'activité des protocoles courants concernant le comportement général et l'état de votre réseau.
Les tableaux de bord système se trouvent dans la collection de tableaux de bord système par défaut du dock des tableaux de bord et ne peuvent pas être ajoutés à une autre collection partagée avec d'autres utilisateurs.
Les tableaux de bord du système peuvent être consultés par n'importe quel utilisateur, à l'exception de utilisateurs restreints Le tableau de bord d'utilisation du système ne peut être consulté que par les utilisateurs utilisant l'administration du système et des accès privilèges.
- tableau de bord de l'activité réseau (accès au module NPM requis)
- Trouvez les meilleurs orateurs par protocole d'application (L7) et consultez les alertes récentes. Pour plus d'informations sur les graphiques de ce tableau de bord, voir tableau de bord de l'activité réseau.
- tableau de bord des performances réseau (accès au module NPM requis)
- Identifiez la latence du trafic et les goulots d'étranglement sur les couches de liaison de données (L2), de réseau (L3) et de transport (L4). Pour plus d'informations sur les graphiques de ce tableau de bord, voir tableau de bord des performances du réseau.
- tableau de bord de renforcement de la sécurité (accès au module NDR requis)
- Surveillez les informations générales relatives aux menaces de sécurité potentielles sur votre réseau. Pour plus d' informations sur les graphiques de ce tableau de bord, voir tableau de bord sur le renforcement de la sécurité.
- Tableau de bord des outils d'IA générative
- Vérifiez le trafic OpenAI sur votre réseau et depuis les points de terminaison internes communiquant via OpenAI. Pour plus d'informations sur les graphiques de ce tableau de bord, voir Tableau de bord des outils d'IA générative.
- tableau de bord Active Directory
- Suivez l'activité du serveur Kerberos pour les comptes d'utilisateurs et d'ordinateurs Active Directory ainsi que pour les services tels que le catalogue global et les politiques de groupe. Pour plus d'informations sur les graphiques de ce tableau de bord, voir tableau de bord Active Directory.
- tableau de bord System Health
- Assurez-vous que votre système ExtraHop fonctionne comme prévu, résolvez les problèmes et évaluez les domaines qui affectent les performances. Pour plus d'informations sur les graphiques de ce tableau de bord, voir tableau de bord de l'état du système.
- tableau de bord de l'utilisation du système (privilèges d'administration du système et des accès requis)
- Surveillez la façon dont les utilisateurs interagissent avec les détections, les enquêtes et les tableaux de bord du système ExtraHop. Pour plus d'informations sur les graphiques de ce tableau de bord, voir tableau de bord de l'utilisation du système.
tableau de bord de l'activité réseau
Le tableau de bord de l'activité réseau vous permet de surveiller les informations générales sur l'activité et les performances des applications depuis le transport via les couches d'application (L4 à L7) de votre réseau.
Chaque graphique du tableau de bord de l'activité réseau contient des visualisations des données métriques du réseau et du protocole qui ont été générées au cours du intervalle de temps sélectionné, organisé par région.
Remarque : | Depuis une console, vous pouvez afficher le tableau de bord de l'activité réseau pour chaque site connecté. Le nom du site apparaît dans la barre de navigation ; cliquez sur la flèche vers le bas à côté du nom pour faire pivoter l'affichage vers d'autres sites. |
Le tableau de bord Network Activity est un tableau de bord système intégré que vous ne pouvez pas modifier, supprimer ou ajouter à une collection partagée. Cependant, vous pouvez copier un graphique depuis le tableau de bord de l'activité réseau et ajoutez-le à un tableau de bord personnalisé, ou vous pouvez faire une copie du tableau de bord et modifiez-le pour surveiller les indicateurs qui vous concernent.
Les informations suivantes résument chaque région et ses cartes.
- Vue d'ensemble du trafic
- Vérifiez si les goulots d'étranglement du trafic sont liés à un protocole d'application spécifique ou à la latence du réseau
. La région Aperçu du trafic contient les graphiques suivants :
Tableau du débit moyen des paquets réseau par protocole L7: Trouvez le protocole qui a le plus grand volume de transmissions de paquets sur la couche application (L7) pendant l'intervalle de temps sélectionné.
Durée aller-retour du réseau All Activity: La ligne du 95e percentile indique la plage supérieure du temps nécessaire aux paquets pour traverser le réseau. Si cette valeur est supérieure à 250 ms, des problèmes de réseau peuvent ralentir les performances de l'application. Le temps d'aller-retour est une mesure du temps entre le moment où un client ou un serveur a envoyé un paquet et celui où il a reçu un accusé de réception.
Alertes: Consultez jusqu'à 40 des dernières alertes générées, ainsi que leur niveau de gravité. Les alertes sont des conditions configurées par l'utilisateur qui établissent des valeurs de référence pour des mesures de protocole spécifiques.
- Protocoles actifs
-
Observez comment les performances des applications sont affectées par les protocoles qui communiquent activement sur le système ExtraHop. Par exemple, vous pouvez rapidement consulter les graphiques qui indiquent les temps de traitement des serveurs et le rapport entre les erreurs et les réponses par protocole.
Il existe un tableau pour chaque protocole actif. Si vous ne trouvez pas le protocole que vous attendiez, il est possible que les applications ne communiquent pas via ce protocole pour intervalle de temps sélectionné.
-
Pour plus d'informations sur les protocoles et pour consulter les définitions métriques, consultez le Référence des métriques du protocole ExtraHop.
tableau de bord des performances du réseau
Le tableau de bord des performances du réseau vous permet de surveiller l'efficacité de la transmission des données sur les couches de liaison de données, de réseau et de transport (L2 à L4).
Chaque graphique du tableau de bord des performances du réseau contient des visualisations des données de performance du réseau qui ont été générées au cours du intervalle de temps sélectionné, organisé par région.
Remarque : | Depuis une console, vous pouvez afficher le tableau de bord des performances du réseau pour chaque site connecté. Le nom du site apparaît dans la barre de navigation ; cliquez sur la flèche vers le bas à côté du nom pour faire pivoter l'affichage vers d'autres sites. |
Le tableau de bord Network Performance est un tableau de bord système intégré que vous ne pouvez pas modifier, supprimer ou ajouter à une collection partagée. Cependant, vous pouvez copier un graphique depuis le tableau de bord des performances du réseau et ajoutez le graphique à un tableau de bord personnalisé, ou vous pouvez faire une copie du tableau de bord et modifiez le tableau de bord pour suivre les indicateurs qui vous concernent.
Les informations suivantes résument chaque région.
- Métriques du réseau L2
- Surveillez les débits sur la couche de liaison de données (L2) par bits et par paquets, et surveillez les types de trames transmises. Vous pouvez également déterminer la quantité de données envoyée aux récepteurs par monodiffusion, diffusion ou distribution multicast.
- Métriques du réseau L4
- Surveillez la latence du transfert de données sur la couche de transport (L4). Visualisez l'activité TCP par le biais de métriques de connexion, de demande et de réponse. Ces données peuvent indiquer l' efficacité avec laquelle les données sont envoyées et reçues à travers la couche de transport de votre réseau.
- Performances du réseau
- Surveillez l'impact des performances du réseau sur les applications. Visualisez le débit global du réseau en examinant le débit par protocole d'application et l' ampleur des temps d'aller-retour TCP élevés.
- Métriques du réseau L3
- Visualisez le débit de données au niveau de la couche réseau (L3) et visualisez les paquets et le trafic par protocoles TCP/IP.
- DSCP
- Consultez la répartition des paquets et du trafic par points de code Differentiated Services, qui fait partie de l'architecture réseau DiffServ. Chaque paquet IP contient un champ pour exprimer la priorité de la manière dont le paquet doit être traité, ce que l' on appelle les services différenciés. Les valeurs des priorités sont appelées points de code.
- Groupes de multidiffusion
- Visualisez le trafic envoyé à plusieurs récepteurs lors d'une seule transmission, ainsi que les paquets et le trafic par chaque groupe de récepteurs. Le trafic de multidiffusion sur un réseau est organisé en groupes en fonction des adresses de destination.
Tableau de bord Security Hardening
Le tableau de bord Security Hardening vous permet de surveiller les informations générales relatives aux menaces de sécurité potentielles sur votre réseau.
Vidéo : | Consultez la formation associée : Tableau de bord de sécurité |
Remarque : | À partir d'une console, vous pouvez afficher le tableau de bord Security Hardening pour chaque sonde réseau d'analyse de paquets. Cliquez sur la flèche vers le bas à côté du nom de la sonde dans la barre de navigation pour afficher le tableau de bord Security Hardening pour les autres capteurs. |
Le tableau de bord Security Hardening est un tableau de bord intégré au système que vous ne pouvez pas modifier, supprimer ou ajouter à une collection partagée. Cependant, vous pouvez copier un graphique depuis le tableau de bord Security Hardening et ajoutez-le à tableau de bord personnalisé, ou vous pouvez faire une copie du tableau de bord et modifiez-le pour suivre les statistiques qui vous concernent.
Les informations suivantes résument chaque région et ses graphiques.
- Renseignements sur les menaces
- Observez le nombre de connexions et de transactions contenant des noms d'hôte, des
adresses IP ou des URI suspects trouvés dans renseignement sur les
menaces. Cliquez sur une valeur métrique bleue ou sur le nom d'une métrique dans la légende pour
accéder à une métrique suspecte. Une page détaillée apparaît avec une icône de caméra rouge à côté de l'objet suspect. Cliquez sur
l'icône rouge représentant une caméra pour en savoir plus sur la source de renseignements sur les menaces.
Remarque : Les métriques de renseignement sur les menaces affichent une valeur nulle pour l'une ou plusieurs des raisons suivantes : - Votre abonnement ExtraHop RevealX n'inclut pas de renseignements sur les menaces.
- Vous n'avez pas activé les renseignements sur les menaces pour votre système ExtraHop RevealX.
- Vous n'avez pas directement chargé de collections de menaces personnalisées sur votre capteurs. Contactez le support ExtraHop pour obtenir de l'aide lors du téléchargement d'une collecte des menaces personnalisée vers votre site géré par ExtraHop capteurs.
- Aucun objet suspect n'a été trouvé.
- SSL - Séances
- Observez le nombre de sessions SSL actives avec des suites de chiffrement faibles sur votre réseau. Vous
pouvez voir quels clients et serveurs participent à ces sessions ainsi que les suites de
chiffrement avec lesquelles ces sessions sont cryptées. Les suites de chiffrement DES, 3DES, MD5, RC4, nulles, anonymes et
d'exportation sont considérées comme faibles car elles incluent un
algorithme de chiffrement connu pour sa vulnérabilité. Les données chiffrées à l'aide d'une suite de chiffrement faible sont
potentiellement dangereuses.
Vous pouvez également observer le nombre de sessions SSL établies avec TLS v1.0 et quels clients participent à ces sessions. Des vulnérabilités connues sont associées à TLS v1.0. Si vous disposez d'un nombre élevé de sessions TLS v1.0, pensez à configurer les serveurs pour qu'ils prennent en charge la dernière version de TLS.
- SSL - Certificats
- Vérifiez quels certificats SSL de votre réseau sont auto-signés, comportent un caractère générique, ont expiré ou
expirent bientôt. Les certificats auto-signés sont signés par l'entité qui les
émet, plutôt que par une autorité de certification fiable. Bien que les
certificats auto-signés soient moins chers que les certificats émis par une autorité de certification, ils sont
également vulnérables aux attaques de type man-in-the-middle.
Un certificat générique s'applique à tous les sous-domaines de premier niveau d'un nom de domaine donné. Par exemple, le certificat générique *.company.com sécurise www.company.com, docs.company.com et customer.company.com. Bien que les certificats génériques soient moins chers que les certificats individuels, les certificats génériques présentent un risque accru s'ils sont compromis, car ils peuvent s'appliquer à un nombre illimité de domaines.
- Scans de vulnérabilité
- Observez quels appareils analysent les applications et les systèmes de votre réseau afin de détecter les points faibles et les cibles potentielles, tels que les appareils à valeur élevée. Dans le graphique de gauche, vous pouvez identifier les appareils qui envoient le plus de requêtes de numérisation, à savoir les requêtes HTTP associées à une activité d'analyse connue. Dans le graphique de droite, vous pouvez voir quels agents utilisateurs sont associés aux demandes d'analyse. L'agent utilisateur peut vous aider à déterminer si les demandes de scan sont associées à des scanners de vulnérabilités connus tels que Nessus et Qualys.
- DNS
- Observez les serveurs DNS les plus actifs sur votre réseau et le nombre total d'échecs de recherche DNS
inversée rencontrés par ces serveurs. Un échec de recherche DNS inversée
se produit lorsqu'un serveur émet une erreur en réponse à une demande d'
enregistrement de pointeur (PTR) d'un client. Les échecs des recherches DNS inversées sont normaux, mais une augmentation soudaine ou régulière du nombre de
défaillances sur un hôte spécifique peut indiquer qu'un attaquant analyse votre
réseau.
Vous pouvez également observer le nombre de requêtes de mappage d'adresses et d'enregistrement de texte sur votre réseau. Une augmentation importante ou soudaine de ces types de requêtes peut indiquer la présence d'un tunnel DNS potentiel.
Tableau de bord des outils d'IA générative
Le tableau de bord Generative AI vous permet de surveiller le trafic provenant des outils OpenAI sur votre réseau.
Chaque graphique du tableau de bord de Generative AI Tools contient des visualisations du trafic associé au service cloud OpenAI pour des outils tels que ChatGPT. Afficher le trafic généré lors d'une intervalle de temps sélectionné, organisé par région.
Remarque : | Depuis une console, vous pouvez afficher le tableau de bord des outils d'IA générative pour chaque site connecté. Le nom du site apparaît dans la barre de navigation ; cliquez sur la flèche vers le bas à côté du nom pour faire pivoter l'affichage vers d'autres sites. |
Le tableau de bord Generative AI Tools est un tableau de bord système intégré, et vous ne pouvez pas modifier, supprimer ou ajouter des tableaux de bord système à une collection. Cependant, vous pouvez copier un graphique depuis le tableau de bord de Generative AI Tools et ajoutez le graphique à un tableau de bord personnalisé, ou vous pouvez faire une copie du tableau de bord et modifiez le tableau de bord pour suivre les indicateurs qui vous concernent.
Les informations suivantes résument chaque région et ses cartes.
- Outils d'IA générative
- Surveillez le trafic vers les outils basés sur OpenAI observés sur votre réseau. Découvrez à quel moment le trafic s'est produit, combien de données ont été transférées et quels terminaux internes ont participé.
tableau de bord Active Directory
Le tableau de bord Active Directory vous permet de suivre l'activité du serveur Kerberos pour les comptes d'utilisateurs et d'ordinateurs Active Directory ainsi que pour les services tels que le catalogue global et les politiques de groupe.
Chaque graphique du tableau de bord Active Directory contient des visualisations des données de compte Active Directory qui ont été générées au cours du intervalle de temps sélectionné, organisé par région.
Le tableau de bord Active Directory est un tableau de bord système intégré que vous ne pouvez pas modifier, supprimer ou ajouter à une collection partagée. Cependant, vous pouvez copier un graphique depuis le tableau de bord Active Directory et ajoutez-le à un tableau de bord personnalisé, ou vous pouvez faire une copie du tableau de bord et modifiez-le pour surveiller les indicateurs qui vous concernent.
Remarque : | Depuis une console, vous pouvez afficher le tableau de bord Active Directory pour chaque site connecté. Le nom du site apparaît dans la barre de navigation ; cliquez sur la flèche vers le bas à côté du nom pour faire pivoter l'affichage vers d'autres sites. |
Les informations suivantes résument chaque région et ses cartes.
- Résumé du compte
- Observez le nombre de comptes Active Directory dans votre environnement dans les graphiques
suivants :
Nombre total de comptes: Nombre total de comptes d'utilisateurs et de comptes d'ordinateurs.
Comptes privilégiés: Nombre total de comptes privilégiés qui se sont connectés avec succès, qui ont reçu une erreur de connexion et qui ont envoyé une demande d'accès au service.
- Erreurs d'authentification
- Observez le nombre de comptes Active Directory présentant des erreurs d'authentification dans
les graphiques suivants :
Erreurs liées au compte utilisateur: Nombre total d'erreurs de connexion au compte utilisateur dues à des mots de passe non valides, à des mots de passe expirés ou à des comptes désactivés. Affiché sous forme de graphique en courbes et de graphique en listes.
Erreurs liées au compte informatique: Nombre total d'erreurs de connexion à un compte d'ordinateur dues à des mots de passe non valides, à des mots de passe expirés ou à des comptes désactivés. Affiché sous forme de graphique en courbes et de graphique en listes.
Erreurs liées au compte: Nombre total d'erreurs, quel que soit le type de compte, dues à des blocages de comptes ou à des erreurs temporelles. Affiché sous forme de graphique en courbes et de graphique en listes.
- Détails des erreurs d'authentification
- Observez les détails relatifs aux comptes Active Directory présentant des erreurs d'authentification
dans les graphiques suivants :
Comptes d'utilisateurs: Noms d'utilisateur associés aux comptes utilisateurs qui n'ont pas réussi à se connecter. Ce graphique indique également le nombre de fois que chaque compte utilisateur a reçu une erreur en raison d'un mot de passe non valide ou d'un compte expiré.
Comptes informatiques: Adresses IP et noms d'hôte des clients associés aux comptes d'utilisateurs qui n'ont pas réussi à se connecter. Ce graphique indique également le nombre de fois que chaque compte utilisateur a reçu une erreur en raison d'un mot de passe non valide ou d'un compte expiré.
- Service d'octroi de billets
- Observez les données de transaction associées au service d'octroi de tickets Kerberos
dans les graphiques suivants :
Transactions: Nombre total de demandes de tickets de service et nombre d'erreurs inconnues liées au nom principal du service (SPN).
Transactions: Nombre total de demandes de tickets de service.
Erreurs SPN inconnues par SPN: Nombre d'erreurs SPN inconnues répertoriées par le SPN à l'origine de l' erreur.
Erreurs SPN inconnues par le client: Nombre d'erreurs SPN inconnues répertoriées par le client ayant reçu l' erreur.
Nombre total d'erreurs SPN inconnues: Nombre total d'erreurs SPN inconnues.
- Politique de groupe
- Observez les données de transaction CIFS/SMB associées à la politique de groupe dans les graphiques suivants :
Transactions: Nombre total de réponses relatives à la politique de groupe et d' erreurs de stratégie de groupe.
Transactions: Nombre total de réponses de politique de groupe et d'erreurs de politique de groupe, en plus du temps de traitement du serveur nécessaire pour envoyer le premier paquet en réponse après réception du dernier paquet de la demande de politique de groupe.
- LDAP
- Observez les données des transactions LDAP à l'aide des graphiques suivants :
Transactions: Nombre total de réponses et d'erreurs LDAP.
Transactions: Nombre total de réponses et d'erreurs LDAP, en plus du temps de traitement du serveur nécessaire pour envoyer le premier paquet en réponse après réception du dernier paquet de la demande.
Informations d'identification LDAP non sécurisées : Nombre total de demandes de liaison en texte brut. Affiché sous forme de graphique en courbes et de graphique en listes.
- Catalogue mondial
- Observez les données de transaction associées au catalogue global dans les
graphiques suivants :
Transactions: Nombre total de réponses et d'erreurs dans le catalogue global.
Transactions: Nombre total de réponses et d'erreurs du catalogue global, en plus du temps de traitement du serveur nécessaire pour envoyer le premier paquet en réponse après réception du dernier paquet de la demande de catalogue global.
- Enregistrements du service DNS
- Observez les données de transaction d'enregistrement du service DNS dans les graphiques suivants :
Transactions: Nombre total de réponses et d'erreurs liées aux enregistrements de service.
Transactions: Nombre total de réponses et d'erreurs d'enregistrement de service, en plus du temps de traitement du serveur nécessaire pour envoyer le premier paquet en réponse après réception du dernier paquet de la demande.
tableau de bord de l'état du système
Le tableau de bord System Health fournit une vaste collection de graphiques qui vous permettent de vous assurer que votre système ExtraHop fonctionne comme prévu, de résoudre les problèmes et d' évaluer les domaines qui affectent les performances. Par exemple, vous pouvez surveiller le nombre de paquets traités par le système ExtraHop pour vous assurer que les paquets sont capturés en permanence.
Chaque graphique du tableau de bord des performances du réseau contient des visualisations des données de performance du système qui ont été générées au cours du intervalle de temps sélectionné, organisé par région.
Le tableau de bord System Health est un tableau de bord système intégré que vous ne pouvez pas modifier, supprimer ou ajouter à une collection partagée. Cependant, vous pouvez copier un graphique depuis le tableau de bord System Health et ajoutez-le à un tableau de bord personnalisé, ou vous pouvez faire une copie du tableau de bord et modifiez-le pour surveiller les indicateurs qui vous concernent.
Remarque : | La page des paramètres d'administration fournit également informations d'état et outils de diagnostic pour tous les systèmes ExtraHop. |
Naviguez dans le tableau de bord System Health
Accédez à la page État du système en cliquant sur l'icône Paramètres système ou en cliquant Tableaux de bord depuis le haut de la page. Le tableau de bord System Health affiche automatiquement des informations sur le système ExtraHop auquel vous êtes connecté. Si vous consultez le tableau de bord System Health depuis une console, vous pouvez cliquer sur le sélecteur de site en haut de la page pour afficher les données d'un site spécifique ou de tous les sites de votre environnement.
Les graphiques du tableau de bord de l'état du système sont répartis dans les sections suivantes :
- Découverte d'appareils
- Consultez le nombre total d'appareils sur votre réseau. Découvrez quels appareils ont été découverts et combien d'entre eux sont actuellement actifs.
- Flux de données
- Évaluez l'efficacité du processus de collecte de données Wire à l'aide de graphiques relatifs au débit, au débit des paquets, aux désynchronisations et aux pertes de capture.
- Enregistrements
- Afficher le nombre total d'enregistrements envoyés à un espace de stockage des enregistrements joint.
- DÉCLENCHEURS
- Surveillez l'impact des déclencheurs sur votre système ExtraHop. Découvrez à quelle fréquence les déclencheurs s'exécutent, à quelle fréquence ils échouent et quels déclencheurs sollicitent le plus votre processeur.
- Flux de données ouvert et magasin d'enregistrements
- Suivez l'activité des transmissions de flux de données ouverts (ODS) vers et depuis votre système. Affichez le nombre total de connexions à distance, le débit des messages et les détails relatifs à des cibles distantes spécifiques.
- Certificats SSL
- Vérifiez les informations d'état de tous les certificats SSL de votre système ExtraHop.
- Capture de paquets à distance (RPCAP)
- Afficher le nombre de paquets et de trames envoyés et reçus par les homologues du RPCAP.
- Indicateurs de santé avancés
- Suivez l'allocation de mémoire liée à la capture de données, à la banque de données du système, aux déclencheurs et aux transmissions à distance. Surveillez le débit d'écriture, la taille du poste de travail et l'activité du déclencheur sur la banque de données du système.
Découverte d'appareils
Le Découverte d'appareils La section du tableau de bord de l'état du système fournit une vue du nombre total d'appareils sur votre réseau. Découvrez quels types d'appareils sont connectés et combien d'entre eux sont actuellement actifs.
Le Découverte d'appareils La section fournit les graphiques suivants :
Appareils actifs
Un graphique en aires qui affiche le nombre de périphériques L2, L3, de passerelle et personnalisés qui ont communiqué activement sur le réseau pendant l'intervalle de temps sélectionné. À côté du graphique en aires, un diagramme de valeurs affiche le nombre de périphériques L2, L3, de passerelle et personnalisés actifs au cours de l'intervalle de temps sélectionné.
Surveillez ce graphique après avoir apporté des modifications à la configuration du SPAN pour vous assurer qu'il n'y ait aucune conséquence imprévue susceptible de mettre le système ExtraHop en mauvais état. Par exemple, l'inclusion accidentelle d'un réseau peut mettre à rude épreuve les capacités du système ExtraHop en consommant davantage de ressources et en nécessitant une plus grande gestion des paquets, ce qui entraîne de mauvaises performances. Vérifiez que le système ExtraHop surveille le nombre attendu d'appareils actifs.
Flux de données
Le Flux de données Une section du tableau de bord de l'état du système vous permet d' observer l'efficacité du processus de collecte de données Wire Data à l'aide de graphiques relatifs au débit, au débit de paquets, aux désynchronisations et aux pertes de capture.
Le Flux de données La section fournit les graphiques suivants :
Débit
Un graphique en aires illustrant le débit des paquets entrants sur l' intervalle de temps sélectionné, exprimé en octets par seconde. Le graphique affiche les informations de débit pour les paquets analysés et filtrés, ainsi que pour les doublons L2 et L3.
Le dépassement des seuils du produit peut entraîner une perte de données. Par exemple, un débit élevé peut entraîner la suppression de paquets au niveau de la source de span ou d'un agrégateur d'span. De même, un grand nombre de doublons L2 ou L3 peut également indiquer un problème au niveau de la source ou de l' agrégateur d'intervalles et peut entraîner des mesures asymétriques ou incorrectes.
Le taux acceptable d'octets par seconde dépend de votre produit. Reportez-vous au Fiche technique des capteurs ExtraHop pour découvrir quelles sont les limites de votre système ExtraHop et déterminer si le taux d'octets par seconde est trop élevé.
Débit par interface
Un graphique en courbes illustrant le débit des paquets entrants, répertorié par chaque interface configurée sur la sonde. Le débit est exprimé en octets par seconde pendant l'intervalle de temps sélectionné. Le graphique affiche les informations de débit pour les paquets analysés et filtrés, ainsi que pour les doublons L2 et L3.
Lorsque vous visualisez plusieurs capteurs depuis une console ExtraHop, le graphique représente le taux de transfert moyen agrégé à partir d'interfaces partageant le même nombre.
Le dépassement des seuils de produit peut entraîner une perte de données. Par exemple, un débit élevé peut entraîner la perte de paquets à la source de span ou à un agrégateur de span. De même, de grandes quantités de doublons L2 ou L3 peuvent également indiquer un problème au niveau de la source ou de l'agrégateur de span et peuvent entraîner des mesures biaisées ou incorrectes.
Le débit acceptable de paquets par seconde dépend de votre produit. Reportez-vous à la Fiche technique des capteurs ExtraHop pour découvrir quelles sont les limites de votre système ExtraHop et déterminer si le débit de paquets par seconde est trop élevé.
Surveillez ce graphique pour résoudre les problèmes de débit des paquets à un niveau granulaire et ajuster la configuration de l'interface si nécessaire.
Débit de paquets
Un graphique en aires qui affiche le taux de paquets entrants, exprimé en paquets par seconde. Le graphique affiche les informations relatives au débit des paquets analysés et filtrés, ainsi que les doublons L2 et L3.
Le débit acceptable de paquets par seconde dépend de votre produit. Reportez-vous au Fiche technique des capteurs ExtraHop pour découvrir quelles sont les limites de votre système ExtraHop et déterminer si le taux de paquets par seconde est trop élevé.
Débit de paquets par interface
Un graphique en courbes qui affiche le taux de paquets entrants et un graphique à colonnes qui affiche le nombre de paquets abandonnés, répertoriés par chaque interface configurée sur la sonde. Le débit de paquets est exprimé en paquets reçus par seconde pendant l'intervalle de temps sélectionné. Le graphique affiche les informations relatives au débit des paquets analysés et filtrés, ainsi que des doublons L2 et L3.
Lorsque vous visualisez plusieurs capteurs depuis une console ExtraHop, le graphique représente le débit de paquets agrégé et le nombre de paquets abandonnés par les interfaces partageant le même nombre.
Le dépassement des seuils de produit peut entraîner une perte de données. Par exemple, un débit de paquets élevé peut entraîner la suppression de paquets à la source de span ou à un agrégateur de span. De même, de grandes quantités de doublons L2 ou L3 peuvent également indiquer un problème au niveau de la source ou de l'agrégateur de span et peuvent entraîner des mesures biaisées ou incorrectes.
Le débit acceptable de paquets par seconde dépend de votre produit. Reportez-vous à Fiche technique des capteurs ExtraHop pour découvrir quelles sont les limites de votre système ExtraHop et déterminer si le débit de paquets par seconde est trop élevé.
Surveillez ce graphique pour résoudre les problèmes de débit de paquets à un niveau granulaire et ajuster la configuration de l'interface si nécessaire.
Erreurs de paquets par interface
Un graphique en courbes qui affiche le nombre d'erreurs de paquets reçues pendant l'intervalle de temps sélectionné, répertoriées par chaque interface configurée sur la sonde. Le graphique affiche les informations relatives aux erreurs de paquets pour les paquets analysés et filtrés, ainsi que pour les doublons L2 et L3 .
Lorsque vous visualisez plusieurs capteurs à partir d'une console ExtraHop, le graphique représente le nombre agrégé d'erreurs de paquets survenues sur des interfaces partageant le même nombre.
Surveillez ce graphique pour résoudre les erreurs de paquets à un niveau granulaire. L'augmentation du nombre d'erreurs de paquets peut entraîner une perte de données. Assurez-vous que les paquets sont envoyés comme prévu et modifiez la configuration de l'interface si nécessaire.
Flux analysés
Un graphique en courbes qui affiche le nombre de flux analysés par le système ExtraHop au cours de l'intervalle de temps sélectionné. Le graphique indique également le nombre de flux unidirectionnels survenus au cours de la même période. À côté du graphique en courbes, un diagramme de valeurs affiche le nombre total de flux analysés et unidirectionnels survenus au cours de l'intervalle de temps sélectionné. Un flux est un ensemble de paquets qui font partie d'une transaction entre deux points de terminaison via un protocole tel que TCP, UDP ou ICMP.
Désynchronisations
Un graphique en courbes qui affiche les occurrences de désynchronisations à l'échelle du système sur le système ExtraHop au cours de l'intervalle de temps sélectionné. À côté du graphique en courbes, un diagramme de valeurs affiche le nombre total de désynchronisations survenues au cours de l'intervalle de temps sélectionné. Une désynchronisation se produit lorsque le flux de données ExtraHop supprime un paquet TCP et, par conséquent, n'est plus synchronisé avec une connexion TCP.
Si les ajustements apportés à votre SPAN ne réduisent pas le nombre important de désynchronisations, contactez Assistance ExtraHop .
Paquets tronqués
Un graphique en courbes qui affiche les occurrences de paquets tronqués sur le système ExtraHop au cours de l'intervalle de temps sélectionné. À côté du graphique en courbes, un diagramme de valeurs affiche le nombre total de paquets tronqués survenus au cours de l'intervalle de temps sélectionné. Un paquet tronqué se produit lorsque la longueur totale réelle du paquet est inférieure à la longueur totale indiquée dans l'en-tête IP.
Taux de perte de capture
Un graphique en courbes qui affiche le pourcentage de paquets déposés sur l' interface de la carte réseau sur un système ExtraHop sur l'intervalle de temps sélectionné.
Charge de capture
Un graphique en courbes qui affiche le pourcentage de cycles du système ExtraHop consommés par les threads de capture actifs sur l'intervalle de temps sélectionné, en fonction de la durée totale du thread de capture. Cliquez sur le lien associé Charge de capture moyenne graphique permettant d' effectuer une analyse détaillée par thread et de déterminer quels threads consomment le plus de ressources.
Métriques écrites sur le disque (Log Scale)
Un graphique en courbes qui affiche la quantité d'espace consommée par les métriques écrites sur le disque au cours de l'intervalle de temps sélectionné, exprimée en octets par seconde. Comme il existe une large plage entre les points de données, l'utilisation du disque est affichée sur une échelle logarithmique.
Estimations rétrospectives des données métriques
Affiche les statistiques estimées de la banque de données sur le système ExtraHop. Les métriques Lookback sont disponibles par intervalles de 24 heures, 1 heure, 5 minutes et 30 secondes en fonction du débit d'écriture, exprimé en octets par seconde.
Reportez-vous à ce tableau pour déterminer jusqu'où vous pouvez rechercher des données historiques pour des intervalles de temps donnés. Par exemple, vous pourriez être en mesure de consulter des intervalles d'une heure de données remontant à 9 jours.
Enregistrements
Le Enregistrements la section du tableau de bord System Health vous permet d'observer l'efficacité du processus de collecte de données filaires à l'aide de graphiques relatifs au nombre d' enregistrements et au débit.
Le Flux de données La section fournit les graphiques suivants :
Nombre d'enregistrements
Un graphique en courbes qui affiche le nombre d'enregistrements envoyés à un espace de stockage des enregistrements au cours de l'intervalle de temps sélectionné. À côté du graphique en courbes, un diagramme de valeurs affiche le nombre total d' enregistrements envoyés au cours de l'intervalle de temps sélectionné.
Un nombre extrêmement élevé d'enregistrements envoyés à un espace de stockage des enregistrements peut entraîner de longues files d'attente de messages et la suppression de messages dans l'espace de stockage des enregistrements. Consultez les graphiques dans le Flux de données ouvert et magasin d'enregistrements section du tableau de bord System Health pour plus d'informations sur les transmissions dans l'espace de stockage des enregistrements.
Débit record
Un graphique en courbes qui affiche le nombre d'enregistrements en octets envoyés à un espace de stockage des enregistrements. À côté du graphique en courbes, un diagramme de valeurs affiche le nombre total d'enregistrements envoyés en octets sur l'intervalle de temps sélectionné.
Ce graphique ne reflète pas les ajustements de taille basés sur la compression ou la déduplication et ne doit pas être référencé pour estimer les coûts de l'espace de stockage des enregistrements. Un débit d'enregistrement extrêmement élevé peut entraîner de longues files d'attente de messages et la suppression de messages dans l'espace de stockage des enregistrements. Consultez les graphiques dans le Flux de données ouvert et magasin d'enregistrements section du tableau de bord System Health pour plus d'informations sur les transmissions dans l'espace de stockage des enregistrements.
DÉCLENCHEURS
Le DÉCLENCHEURS la section du tableau de bord de l'état du système vous permet de surveiller l'impact des déclencheurs sur votre système. Découvrez à quelle fréquence les déclencheurs sont exécutés, à quelle fréquence ils échouent et quels déclencheurs sollicitent le plus votre processeur.
Le DÉCLENCHEURS La section fournit les graphiques suivants :
Charge du déclencheur
Un graphique en courbes qui affiche le pourcentage de cycles de processeur alloués aux processus de déclenchement qui ont été consommés par les déclencheurs pendant l'intervalle de temps sélectionné.
Retard de déclenchement
Un graphique à colonnes qui affiche les délais de déclenchement maximaux survenus au cours de l'intervalle de temps sélectionné en millisecondes. À côté du graphique à colonnes, un diagramme de valeurs affiche le délai de déclenchement le plus long enregistré au cours de l'intervalle de temps sélectionné. Un délai de déclenchement est le délai entre le moment où un événement déclencheur est capturé et le moment où un thread de déclenchement est créé pour cet événement.
Les longs délais de déclenchement peuvent indiquer des problèmes de traitement, consultez le Déclenchez des exceptions par déclencheuret Déclencheur, charge par gâchette des graphiques pour voir quel déclencheur commet le plus d'exceptions non gérées et lesquels consomment le plus de ressources.
Le déclencheur s'exécute et s'arrête
Un graphique en courbes et à colonnes dans lequel le graphique en courbes indique le nombre de fois que les déclencheurs ont été exécutés, et le graphique à colonnes qui l'accompagne indique le nombre de fois où les déclencheurs ont été supprimés, sur l'intervalle de temps sélectionné. À côté du graphique linéaire et à colonnes, un diagramme de valeurs affiche le nombre total d'exécutions et de baisses de déclencheurs survenues au cours de l'intervalle de temps sélectionné. Ces graphiques fournissent un aperçu global de tous les déclencheurs actuellement en cours d'exécution sur le système ExtraHop.
Détails du déclencheur
Un graphique en listes qui affiche les déclencheurs individuels ainsi que le nombre de cycles, d'exécutions et d' exceptions attribués à chacun sur l'intervalle de temps sélectionné. Par défaut, la liste des déclencheurs est triée par ordre décroissant par cycle de déclencheur.
Déclencheur, charge par gâchette
Un graphique en courbes qui affiche le pourcentage de cycles de processeur alloués aux processus de déclenchement qui ont été consommés par les déclencheurs pendant l'intervalle de temps sélectionné, listés par nom de déclencheur.
Le déclencheur s'exécute par déclencheur
Un graphique en courbes qui affiche le nombre de fois que chaque déclencheur actif s'est exécuté sur l'intervalle de temps sélectionné.
Une activité élevée peut également indiquer qu' un déclencheur fonctionne plus que nécessaire. Par exemple, un déclencheur peut s'exécuter sur plusieurs événements pour lesquels il serait plus efficace de créer des déclencheurs distincts, ou un script de déclenchement peut ne pas respecter les directives de script recommandées, telles que décrites dans le Guide des meilleures pratiques en matière de déclencheurs.
Déclenchez des exceptions par déclencheur
Un graphique en courbes qui affiche le nombre d'exceptions non gérées, triées par déclencheur, survenues sur le système ExtraHop au cours de l'intervalle de temps sélectionné.
Cycles de déclenchement par fil
Un graphique en courbes qui affiche le nombre de cycles de déclenchement consommés par les déclencheurs pour un thread.
Flux de données ouvert et magasin d'enregistrements
La section Open Data Stream (ODS) and Recordstore du tableau de bord System Health vous permet de suivre l'activité des transmissions ODS et de l'espace de stockage des enregistrements vers et depuis votre système. Vous pouvez également afficher le nombre total de connexions à distance, le débit des messages et les détails relatifs à des cibles distantes spécifiques.
Le Open Data Stream (ODS) et Recordstore La section fournit les graphiques suivants :
Débit des messages
Un graphique en courbes qui affiche le débit des données des messages distants, exprimé en octets. À côté du graphique en courbes, un diagramme de valeurs affiche le débit moyen des données des messages distants sur l'intervalle de temps sélectionné. Les messages distants sont des transmissions envoyées à un espace de stockage des enregistrements ou à des systèmes tiers depuis le système ExtraHop via un flux de données ouvert (ODS).
Messages envoyés
Un graphique en courbes qui affiche le taux moyen d'envoi de messages distants depuis le système ExtraHop vers un espace de stockage des enregistrements ou une cible de flux de données ouvert (ODS). À côté du graphique en courbes, un diagramme de valeurs affiche le nombre total de messages envoyés au cours de l' intervalle de temps sélectionné.
Messages supprimés par type de télécommande
Un graphique en courbes qui affiche le taux moyen de messages distants abandonnés avant d'atteindre un espace de stockage des enregistrements ou une cible ODS.
Erreurs d'envoi de message
Un graphique en courbes qui affiche le nombre d'erreurs survenues lors de l'envoi d'un message distant à un espace de stockage des enregistrements ou à une cible ODS. Surveillez ce graphique pour vous assurer que les paquets sont envoyés comme prévu. Les erreurs de transmission peuvent avoir les conséquences suivantes :
- Erreurs du serveur cible
- Nombre d'erreurs renvoyées au système ExtraHop par les magasins de disques ou les cibles ODS. Ces erreurs se sont produites sur le serveur cible et n'indiquent aucun problème avec le système ExtraHop.
- Messages supprimés dans la file d'attente complète
- Nombre de messages envoyés aux magasins de disques et aux cibles ODS qui ont été supprimés parce que la file d'attente de messages sur le serveur cible était pleine. Un nombre élevé de messages supprimés peut indiquer que le débit de messages est trop élevé pour être traité par le système ExtraHop ou le serveur cible. Regardez le Longueur de la file d'attente de messages Exremote par cible et le Détails de la cible des graphiques pour voir si vos erreurs de transmission peuvent être liées à une longue file d'attente de messages.
- Messages supprimés qui ne correspondent pas à la cible
- Nombre de messages distants supprimés parce que le système distant spécifié dans le script déclencheur Open Data Stream (ODS) ne correspond pas au nom configuré sur la page Open Data Streams dans les paramètres d'administration. Assurez-vous que les noms des systèmes distants sont cohérents dans les scripts de déclencheur et les paramètres d' administration.
- Erreurs de décodage Messages supprimés
- Nombre de messages supprimés en raison de problèmes d'encodage interne entre ExtraHop Capture (excap) et ExtraHop Remote (exremote).
Connexions
Un graphique en courbes et en colonnes dans lequel le graphique en courbes indique le nombre de tentatives effectuées par le système pour se connecter à un serveur cible distant et le graphique à colonnes qui l'accompagne indique le nombre d'erreurs survenues à la suite de ces tentatives. À côté du graphique à lignes et à colonnes, un diagramme de valeurs affiche le nombre total de tentatives de connexion et d'erreurs de connexion survenues au cours de l'intervalle de temps sélectionné.
Longueur de la file d'attente de messages Exremote par cible
Un graphique en courbes qui affiche le nombre de messages dans la file d'attente ExtraHop Remote (exremote) en attente de traitement par le système ExtraHop.
Longueur de la file d'attente de messages Excap par type de télécommande
Un graphique en courbes qui affiche le nombre de messages cibles distants dans la file d'attente ExtraHop Capture (excap) en attente de traitement par le système ExtraHop.
Reportez-vous au Messages supprimés par type de télécommande tableau pour déterminer si des messages ont été envoyés.
Détails de la cible
Un graphique en listes qui affiche les mesures suivantes relatives à l'espace de stockage des enregistrements ou aux cibles distantes ODS sur l'intervalle de temps sélectionné : nom de la cible, octets de message cible envoyés, erreurs du serveur cible, messages supprimés dans la file d'attente complète, erreurs de décodage, messages supprimés, tentatives de connexion au serveur cible et erreurs de connexion au serveur cible.
Certificats SSL
La section Certificats SSL du tableau de bord de l'état du système vous permet de consulter les informations d' état de tous les certificats SSL de votre système.
Le Certificats SSL La section fournit le tableau suivant :
Détails du certificat
Un graphique en listes qui affiche les informations suivantes pour chaque certificat :
- Sessions déchiffrées
- Le nombre de sessions déchiffrées avec succès.
- Sessions non prises en charge
- Nombre de sessions qui n'ont pas pu être déchiffrées à l'aide d'une analyse passive, telle que l'échange de clés DHE.
- Séances indépendantes
- Le nombre de sessions qui n'ont pas été déchiffrées ou qui n'ont été que partiellement déchiffrées en raison de désynchronisations.
- Sessions de transmission
- Nombre de sessions qui n'ont pas été déchiffrées en raison d'erreurs matérielles, telles que celles causées par le dépassement des spécifications du matériel d'accélération SSL.
- Sessions déchiffrées avec un secret partagé
- Nombre de sessions déchiffrées via une clé secrète partagée.
Capture de paquets à distance (RPCAP)
La section Remote Packet Capture (RPCAP) du tableau de bord System Health vous permet de visualiser le nombre de paquets et de trames envoyés par des homologues RPCAP et reçus par le système ExtraHop.
Le Capture de paquets à distance (RPCAP) La section fournit les graphiques suivants :
Transmis par Peer
Un graphique en listes qui affiche les informations suivantes concernant les paquets et les trames transférés par un homologue RPCAP :
- Paquets transférés
- Le nombre de paquets qu'un pair RPCAP a tenté de transférer vers un système ExtraHop .
- Paquets d'interface du redirecteur
- Nombre total de paquets consultés par le redirecteur. Les redirecteurs des appareils RPCAP se coordonneront entre eux pour empêcher plusieurs appareils d'envoyer le même paquet . Il s'agit du nombre de paquets qui ont été visualisés avant que les trames ne soient supprimées pour réduire le trafic transféré, et avant que les trames ne soient supprimées par des filtres définis par l'utilisateur.
- Forwarder Kernel Frame Drops
- Nombre d'images supprimées parce que le noyau de l'homologue RPCAP était surchargé par le flux de trames non filtrées. Les trames non filtrées n'ont pas été filtrées par le noyau pour supprimer les paquets dupliqués ou les paquets qui ne devraient pas être transférés en raison de règles définies par l'utilisateur.
- Abandon de l'interface du redirecteur
- Nombre de paquets supprimés parce que le redirecteur RPCAP était surchargé par le flux de trames non filtrées. Les trames non filtrées n'ont pas été filtrées pour supprimer les paquets dupliqués ou les paquets qui ne devraient pas être transférés en raison de règles définies par l'utilisateur .
Reçu par le système ExtraHop
Un graphique en listes qui affiche les informations suivantes concernant les paquets et les trames reçus par un système ExtraHop depuis un homologue RPCAP (Remote Packet Capture) :
- Octets encapsulés
- Taille totale de tous les paquets liés au flux UDP entre l'équipement RPCAP et le système ExtraHop, en octets. Ces informations vous indiquent le volume de trafic que le redirecteur RPCAP ajoute à votre réseau.
- Paquets encapsulés
- Le nombre de paquets liés au flux UDP entre l'équipement RPCAP et le système ExtraHop.
- Octets de tunnel
- Taille totale des paquets, sans compter les en-têtes d'encapsulation, que le système ExtraHop a reçus d'un équipement RPCAP, en octets.
- Paquets de tunnels
- Le nombre de paquets que le système ExtraHop a reçus d'un homologue RPCAP. Ce nombre doit être très proche du nombre de paquets transférés dans le tableau des paquets envoyés par un périphérique distant. S'il y a un écart important entre ces deux nombres, des paquets tombent entre l'équipement RPCAP et le système ExtraHop.
Le suivi des paquets et des octets encapsulés est un bon moyen de s'assurer que les redirecteurs RPCAP n'imposent pas de charge inutile à votre réseau. Vous pouvez surveiller les paquets et les octets du tunnel pour vous assurer que le système ExtraHop reçoit tout ce que l' équipement RPCAP envoie.
Indicateurs de santé avancés
La section Advanced Health Metrics du tableau de bord de l'état du système vous permet de suivre l'allocation de tas liée à la capture de données, à la banque de données du système, aux déclencheurs et aux transmissions à distance. Surveillez le débit d'écriture, la taille de l'ensemble de travail et l'activité du déclencheur sur la banque de données du système.
Le Indicateurs de santé avancés La section fournit les graphiques suivants :
- Capture et allocation de tas de données
- Déclencheur et allocation de tas à distance
- Stocker le débit d'écriture
- Taille de l'ensemble de travail
- Chargement déclencheur de la banque de données
- Le déclencheur de la banque de données s'exécute et s'arrête
- Exceptions de déclenchement de la banque de données par déclencheur
Capture et allocation de tas de données
Un graphique en courbes qui affiche la quantité de mémoire que le système ExtraHop consacre à la capture de paquets réseau et à la banque de données.
Déclencheur et allocation de tas à distance
Un graphique en courbes qui affiche la quantité de mémoire, exprimée en octets, que le système ExtraHop consacre au traitement des déclencheurs de capture et aux flux de données ouverts (ODS).
Stocker le débit d'écriture
Un graphique en aires qui affiche le débit d'écriture de la banque de données, exprimé en octets, sur le système ExtraHop. Le graphique affiche les données pour l'intervalle de temps sélectionné et pour des intervalles de 24 heures, 1 heure, 5 minutes et 30 secondes.
Taille de l'ensemble de travail
Un graphique en aires qui affiche la taille définie de travail du cache d'écriture pour les métriques sur le système ExtraHop. La taille de l'ensemble de travail indique le nombre de mesures pouvant être écrites dans le cache pour l'intervalle de temps sélectionné et pour des intervalles de 24 heures, 1 heure, 5 minutes et 30 secondes.
Chargement déclencheur de la banque de données
Un graphique en courbes qui affiche le pourcentage de cycles consommés par les déclencheurs spécifiques à une banque de données sur le système ExtraHop, en fonction de la durée totale du thread de capture.
Le déclencheur de la banque de données s'exécute et s'arrête
Un graphique à lignes et à colonnes dans lequel le graphique en courbes indique le nombre de fois que des déclencheurs spécifiques à une banque de données ont été exécutés sur le système ExtraHop pendant l'intervalle de temps sélectionné, et le graphique à colonnes correspondant affiche le nombre de déclencheurs spécifiques à la banque de données supprimés de la file de déclencheurs en attente d'exécution sur le système ExtraHop pendant l'intervalle de temps sélectionné.
À partir du Chargement déclencheur de la banque de données graphique, cliquez sur Charge du déclencheur étiquette métrique pour effectuer une analyse détaillée et voir quels déclencheurs de banque de données s'exécutent le plus fréquemment.
Toutes les données de dépôt affichées sur le histogramme indiquent que des abandons déclencheurs de la banque de données se produisent et que les files d'attente des déclencheurs sont sauvegardées.
Le système met en file d'attente les opérations de déclenchement si un thread de déclenchement est surchargé. Si la file d'attente des déclencheurs de la banque de données devient trop longue, le système arrête d'ajouter des opérations de déclenchement à la file d'attente et supprime les déclencheurs. Les déclencheurs en cours d'exécution ne sont pas affectés.
La principale cause des longues files d'attente, et des abandons de déclencheurs qui en découlent, est un déclencheur de longue durée dans une banque de données.
Exceptions de déclenchement de la banque de données par déclencheur
Un graphique en listes qui affiche le nombre d'exceptions non gérées causées par des déclencheurs spécifiques à une banque de données sur le système ExtraHop.
Outils d'état et de diagnostic dans les paramètres d'administration
Les paramètres d'administration constituent une autre source d'informations et de diagnostics sur le système.
Pour plus de statistiques sur l'état général du système ExtraHop et pour les outils de diagnostic qui permettent Assistance ExtraHop pour résoudre les erreurs du système, consultez le État et diagnostics section des paramètres d'administration.
tableau de bord de l'utilisation du système
Le tableau de bord d'utilisation du système vous permet de surveiller la façon dont les utilisateurs interagissent avec le système ExtraHop.
Chaque graphique du tableau de bord d'utilisation du système contient des visualisations des interactions des utilisateurs avec le système ExtraHop et des détections générées via intervalle de temps sélectionné, organisé par région.
Remarque : | Le tableau de bord d'utilisation du système est un tableau de bord système intégré que vous ne pouvez pas modifier, supprimer ou ajouter à une collection partagée. Vous ne pouvez pas copier le tableau de bord d'utilisation du système ni copier des graphiques dans des tableaux de bord personnalisés. |
Before you begin
Le tableau de bord de l'utilisation du système ne peut être consulté depuis une console que par les utilisateurs disposant de l'administration du système et des accès privilèges.Les informations suivantes résument chaque région et ses graphiques.
- Utilisateurs de ExtraHop
- Observez l'activité de connexion des utilisateurs et le nombre actuel d'utilisateurs actifs sur le système
ExtraHop.
Utilisateurs actifs et connexions: Le nombre de fois que les utilisateurs se sont connectés au système ExtraHop et les instantanés actuels des utilisateurs actifs. Le graphique en courbes affiche les utilisateurs actifs actuels et le graphique à colonnes affiche le nombre de connexions d'utilisateurs au fil du temps. Une connexion est comptabilisée chaque fois qu'un utilisateur se connecte au système, y compris les connexions multiples par un seul utilisateur.
Connexions des utilisateurs les plus populaires: Utilisateurs ayant enregistré le plus grand nombre de connexions sur le système ExtraHop au cours de l'intervalle de temps sélectionné.
Utilisateurs actifs et connexions: Le nombre d'utilisateurs actuellement actifs sur le système ExtraHop et le nombre total de connexions utilisateur au cours de l'intervalle de temps sélectionné.
- Tableaux de bord
- Observez la fréquence à laquelle les utilisateurs consultent tableaux de bord et quels tableaux de bord sont les plus consultés.
Vues du tableau de bord: Nombre total de vues du tableau de bord au fil du temps. Une vue de tableau de bord est prise en compte lorsqu'un tableau de bord apparaît après la connexion d'un utilisateur, un clic ou une navigation directe via une URL partagée.
Tableaux de bord les plus consultés: Tableaux de bord affichant le plus grand nombre de vues.
Total des vues du tableau de bord: Le nombre total de vues du tableau de bord sur l' intervalle de temps sélectionné.
- Détections
- Observez les informations sur détections qui sont générés par le système ExtraHop et la façon dont les utilisateurs
visualisent et suivi détections.
Vues de détection: Deux valeurs sont affichées dans ce graphique en courbes : Detection List Views compte le nombre de clics sur la liste de détection lorsque groupés par type de détection, et Detection Detail Views compte le nombre de fois que page détaillée de détection apparaît après la connexion d'un utilisateur, un clic ou une navigation directe via une URL partagée. Cliquez sur le nom de l'une des métriques dans la légende pour effectuer une recherche par type de détection.
Détections les plus consultées: Les types de détection les plus consultés au cours de l' intervalle de temps sélectionné.
Nombre total de vues de détection: Les valeurs totales pour les vues de liste de détection et les vues détaillées de détection sur l'intervalle de temps sélectionné.
Suivi des détections (graphique en courbes): Le nombre de détections qui ont été clôturées avec ou sans action, et le nombre de détections qui ont été confirmées au fil du temps.
Suivi des détections (graphique en listes): Le nombre total de détections clôturées avec ou sans action entreprise, le nombre d'enquêtes créées et le nombre total de détections dont le statut Reconnu a été défini sur l'intervalle de temps sélectionné. La liste inclut également le nombre de détections actuellement définies sur le statut En cours.
Total des détections fermées: Le nombre total de détections clôturées avec et sans action entreprise au cours de l'intervalle de temps sélectionné. Les valeurs du total des détections fermées incluent les détections qui ont été masquées après la définition de l'état de détection.
Détections recommandées: Le nombre de détections recommandées pour le triage pendant l'intervalle de temps sélectionné.
Détections les plus recommandées: Les types de détection les plus recommandés pour le triage au cours de l'intervalle de temps sélectionné.
Total des détections fermées recommandées: Le nombre total de détections recommandées qui ont été clôturées avec et sans action entreprise pendant l'intervalle de temps sélectionné.
- Types de détection
- Observez quels types de détection ont été le plus générés par le système ExtraHop et
comment les utilisateurs interagissent avec ces détections.
Types de détection les plus consultés: Le nombre de vues de la liste de détection et de vues détaillées des détections pour les types de détection qui se sont produits au cours de l' intervalle de temps sélectionné.
- Enquêtes
- Observez les informations sur les enquêtes créées par les utilisateurs, les enquêtes
recommandées par le système ExtraHop et la manière dont les utilisateurs consultent et interagissent
avec les enquêtes.
Vues de l'enquête: Le nombre de vues d'investigation créées et recommandées par les utilisateurs au fil du temps. Une vue d'investigation est prise en compte lorsqu'une enquête est affichée suite à la connexion d'un utilisateur, à un clic ou à une navigation directe via une URL partagée.
Enquêtes les plus consultées: Les types d'enquêtes créées et recommandées par les utilisateurs qui ont été les plus consultées au cours de l'intervalle de temps sélectionné.
Nombre total de vues de l'enquête: Le nombre total de vues d'investigation créées et recommandées par l'utilisateur pendant l'intervalle de temps sélectionné.
Enquêtes créées: Le nombre d'enquêtes créées au fil du temps, répertorié par enquêtes créées par les utilisateurs et par enquêtes recommandées par le système ExtraHop.
Enquêtes les plus recommandées: Les types d'investigation les plus recommandés par le système ExtraHop pendant l'intervalle de temps sélectionné.
Nombre total d'enquêtes créées: Le nombre total d'enquêtes créées par les utilisateurs et le nombre total d'enquêtes recommandées par le système ExtraHop pendant l'intervalle de temps sélectionné.
- Exposés sur les menaces
- Consultez les informations relatives aux briefings sur les menaces qui fournissent des conseils sur
les menaces potentielles qui pèsent sur votre réseau et sur la manière dont les utilisateurs les perçoivent.
Vues d'information sur les menaces: Le nombre de vues d'informations sur les menaces au fil du temps. Une vue d'information sur les menaces est prise en compte lorsqu'une page détaillée d'information sur les menaces s'affiche à la suite d'un clic de l'utilisateur ou d'une navigation directe via une URL partagée.
Exposés sur les menaces les plus consultés: Les exposés sur les menaces qui ont été les plus consultés au cours de l'intervalle de temps sélectionné .
Nombre total de vues des exposés sur les menaces: Le nombre total de séances d'information sur les menaces qui ont été visionnées pendant l'intervalle de temps sélectionné.
Création d'un tableau de bord
Les tableaux de bord fournissent un emplacement unique pour les indicateurs importants qui vous intéressent. Lorsque vous créez un tableau de bord personnalisé, une mise en page de tableau de bord s'ouvre contenant une seule région avec un widget graphique vide et un widget de zone de texte vide. Modifiez un graphique pour intégrer des indicateurs en temps réel dans votre tableau de bord, et modifiez une zone de texte pour fournir des informations. Enfin, ajustez la mise en page et ajoutez d'autres widgets pour compléter votre tableau de bord et commencer à surveiller votre réseau.
Before you begin
Déterminez les indicateurs que vous souhaitez surveiller sur votre tableau de bord. Posez-vous les questions suivantes :- Dois-je savoir si mon serveur est hors ligne ou indisponible ? Ajoutez des indicateurs de disponibilité tels que les demandes et les réponses aux graphiques de votre tableau de bord.
- Mon serveur fonctionne-t-il correctement ? Ajoutez des indicateurs de fiabilité tels que les erreurs aux graphiques de votre tableau de bord.
- Les ressources de mon serveur sont-elles suffisantes ? Ajoutez des indicateurs de performance tels que le temps de traitement du serveur aux graphiques de votre tableau de bord.
Création de la mise en page du tableau de bord
Les étapes suivantes vous montrent comment créer le cadre de votre tableau de bord, qui inclut deux types de widgets vides : un graphique et une zone de texte. Votre nouveau tableau de bord s'ouvre en mode Modifier la mise en page (qui s'affiche dans le coin supérieur droit). Le mode Modifier la mise en page vous permet de modifier rapidement votre graphique et votre zone de texte, et d'organiser le placement des widgets et des régions sur un tableau de bord.
- Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
- En haut de la page, cliquez sur Tableaux de bord.
-
Sur la page Tableaux de bord, effectuez l'une des étapes suivantes :
- Cliquez Tableaux de bord dans le dock du tableau de bord, puis cliquez sur Créer un tableau de bord au bas du quai.
- Cliquez sur le menu de commande dans le coin supérieur droit de la page et sélectionnez Nouveau tableau de bord.
- Dans la fenêtre Propriétés du tableau de bord, saisissez le nom de votre tableau de bord.
- Entrez toutes les autres métadonnées pour votre tableau de bord, telles que le nom de l'auteur ou une description. Notez que le lien permanent fournit une URL directe vers votre tableau de bord pour tous les utilisateurs qui ont privilèges de partage pour votre tableau de bord.
- Cliquez Créez.
Modifier un graphique de base
Les étapes suivantes montrent le flux général de modification d'un widget graphique dans l'outil Metric Explorer. Commencez par spécifier les sources et les indicateurs pour ajouter des données à votre graphique. Par exemple, vous pouvez désormais ajouter à votre tableau de bord les indicateurs de disponibilité, de fiabilité ou de performance que vous avez pris en compte au début de cette procédure. Choisissez ensuite un type de graphique pour visualiser les données.
Que faire ensuite
- Pour en savoir plus sur les graphiques, consultez le FAQ sur les graphiques.
- Entraînez-vous à créer des diagrammes en effectuant les procédures pas à pas suivantes :
Modifier un widget de zone de texte de base
Les étapes suivantes vous montrent comment afficher du texte personnalisé dans une région de tableau de bord. Il s'agit d'un outil utile pour ajouter des notes sur un graphique ou des données dans un tableau de bord. Le widget de zone de texte prend en charge la syntaxe Markdown. Un nouveau widget de zone de texte contient un exemple de texte déjà formaté dans Markdown pour vous fournir des exemples de base.
- Cliquez sur la zone de texte.
- Tapez et modifiez le texte dans la partie gauche Rédacteur volet. Le texte de sortie HTML s'affiche dynamiquement dans le volet d'aperçu droit. Pour d'autres exemples de mise en forme, voir Formater le texte dans Markdown.
- Cliquez Enregistrer.
Ajoutez d'autres widgets et régions à votre tableau de bord
Ajoutez et organisez le placement des régions et des widgets sur vos tableaux de bord.
Que faire ensuite
Maintenant que votre tableau de bord est terminé, vous pouvez effectuer les étapes suivantes :
Conseils pour l'édition de graphiques
Les conseils suivants vous aident à rechercher et à sélectionner des indicateurs lors de la création d'un graphique.
- Filtrez les résultats de recherche en fonction d'un type de source ou d'un protocole spécifique en cliquant sur N'importe quel type ou N'importe quel protocole sous les champs de recherche.
- Vous ne pouvez sélectionner que le même type de source que celui qui figure actuellement dans votre ensemble métrique. Un ensemble de mesures contient un type de source et des métriques. Par exemple, si vous sélectionnez l' application All Activity comme source, vous ne pouvez ajouter que d'autres applications à cet ensemble métrique.
- Créez un groupe ad hoc de plusieurs sources dans votre graphique en sélectionnant Combiner les sources. Par exemple, vous pouvez combiner deux applications, puis afficher une seule valeur métrique dans le graphique pour ces deux applications.
- Si vous sélectionnez un groupe déquipements comme source, vous pouvez Exploration par membre du groupe pour afficher des statistiques individuelles pour un maximum de 20 appareils du groupe.
Création d'un tableau de bord avec des sources dynamiques
Vous pouvez créer un tableau de bord avec des sources dynamiques pour permettre aux utilisateurs de modifier la source du tableau de bord à tout moment. Si vous avez créé un grand nombre de tableaux de bord qui ont tous les mêmes indicateurs, mais des sources différentes, vous pouvez envisager de remplacer ces tableaux de bord par un tableau de bord unique à source dynamique.
Conseil : | Si vous souhaitez masquer le menu source dynamique de votre tableau de bord, ajoutez le paramètre suivant à
la fin de l'URL de la page du tableau de bord :
&hideTemplatePanel=true. Avant Après Par exemple : https://eda/extrahop/#/Dashboard/XYFwM/?$device=16&from=30&interval_type=MIN&until=0&hideTemplatePanel=true |
Que faire ensuite
Copier un tableau de bord
Si vous souhaitez dupliquer un tableau de bord utile, vous pouvez copier un tableau de bord, puis remplacer ou modifier les sources pour afficher différentes données d'application, d'équipement ou de réseau. Vous ne pouvez copier qu'un seul tableau de bord à la fois.
Remarque : | Si vous souhaitez uniquement copier un tableau de bord afin de pouvoir modifier la source sur l' ensemble du tableau de bord, vous pouvez envisager création d'un tableau de bord avec des sources dynamiques au lieu de créer plusieurs copies d'un seul tableau de bord. |
Modifier la mise en page d'un tableau de bord
Placez votre tableau de bord en mode Modifier la mise en page pour ajouter, supprimer ou réorganiser les widgets et les régions de la mise en page de votre tableau de bord. Vous ne pouvez ajouter ou supprimer des widgets ou des régions que lorsque le tableau de bord est en mode Modifier la mise en page.
Lorsque vous créez un nouveau tableau de bord, celui-ci est automatiquement placé en mode Modifier la mise en page. Pour modifier la mise en page d'un tableau de bord existant, procédez comme suit :
Modifier un graphique à l'aide de l'explorateur de métriques
L'explorateur de métriques est un outil de création et de modification de graphiques qui vous permet de créer des visualisations dynamiques du comportement des équipements et des réseaux.
Vidéo : | Consultez la formation associée : Choix d'une métrique |
Création et modification d'un graphique de base
Avec l'explorateur de mesures, vous pouvez modifier les composants du graphique, tels que les sources , les mesures et les calculs de données, puis prévisualiser la façon dont les données métriques apparaissent dans différents types de graphiques. Lorsque vous êtes satisfait de vos sélections, enregistrez votre graphique dans un tableau de bord.
Les étapes suivantes présentent le flux de travail de base et les exigences minimales pour compléter un nouveau graphique.
Configuration des options avancées pour l'analyse des données et la personnalisation des graphiques
En fonction des mesures et du type de graphique que vous sélectionnez, vous pouvez configurer des options avancées pour créer des visualisations sophistiquées à l'aide de l'explorateur de métriques, comme illustré dans la figure suivante.
Explorez les données métriques et les sources pour afficher les détails
Dans la section Détails de l'onglet Métriques, vous pouvez hiérarchiser pour afficher les statistiques détaillées ou analyse détaillée d'un groupe déquipements pour afficher les appareils individuels dans le graphique. Vous pouvez également filtrer les mesures détaillées pour obtenir des correspondances exactes ou créer un filtre regex .Ajouter une ligne de référence ou une ligne de seuil depuis l'onglet Analyse
Vous ajouter une ligne de base dynamique ou ligne de seuil statique à votre graphique. Les lignes de base sont calculées une fois le graphique enregistré. Pour voir une ligne représentant un seuil, tel qu'une valeur d' accord de niveau de service (SLA), ajoutez une ligne de seuil statique à votre graphique.Renommer les étiquettes de légende et le titre du graphique
Pour les graphiques qui affichent une légende, vous pouvez modifier le nom d'une métrique dans la légende du graphique avec étiquette personnalisée. Dans l'explorateur de métriques, cliquez sur l'étiquette dans le volet d'aperçu, puis sélectionnez Renommer. Pour renommer un graphique, cliquez sur le titre du graphique et sélectionnez Renommer.Personnalisez votre graphique dans l'onglet Options
Vous pouvez accéder aux options suivantes pour personnaliser les propriétés du graphique et l'affichage des données métriques dans votre graphique :- Convertir les données métriques d'octets en bits
- Convertir les données métriques de base 2 (Ki=1024) en base 10 (K = 1000)
- Modifier l'axe Y d'un graphique de série chronologique d'une échelle linéaire à une échelle logarithmique
- Abréger les valeurs métriques dans un graphique (par exemple, abréger 16 130 542 octets à 16,1 Mo)
- Triez les données métriques par ordre croissant ou décroissant dans un graphique à barres, une liste ou un graphique de valeurs
- Modifier la précision du percentile dans un graphique en camembert
- Masquer ou afficher la légende d'un graphique
- Masquer les mesures inactives avec une valeur nulle afin que ces mesures ne soient pas visibles dans le graphique, y compris la légende et l'étiquette
- Inclure Sparkline dans une liste ou un diagramme de valeurs
- Afficher l'état d'alerte pour les données affichées dans des listes ou des graphiques de valeurs (pour plus d'informations, voir Alertes)
- Passez l'affichage couleur des données métriques en niveaux de gris (à l'exception des graphiques qui affichent un état d'alerte)
- Pour les étiquettes d'adresse IP, affichez le nom d'hôte (s'il est détecté à partir du trafic DNS dans les données filaires) ou l'adresse IP d'origine (si un proxy est détecté à partir de données câblées)
- Afficher le délai relatif pour une date d'expiration, tel que le nombre de jours avant l'expiration d'un certificat SSL.
Remarque : | Certaines options ne sont disponibles que pour certains types de graphiques. Par exemple, l' option permettant d'inclure un sparkline apparaît uniquement dans l'onglet Options pour les graphiques de listes et de valeurs . |
Créez un groupe ad hoc pour combiner des données provenant de plusieurs sources
Dans l'onglet Métrique, vous pouvez créer un groupe ad hoc de plusieurs sources au sein d'un ensemble en sélectionnant Combiner les sources. Par exemple, vous pouvez combiner deux applications, puis afficher une seule valeur métrique dans le graphique pour ces deux applications.Que faire ensuite
Entraînez-vous à créer des diagrammes en effectuant les procédures pas à pas suivantes :Filtres d'expressions régulières
Filtrez les résultats de votre recherche en écrivant des chaînes d'expressions régulières (regex) dans certains champs de recherche du système ExtraHop. Par exemple, vous pouvez filtrer les paramètres d' une clé métrique détaillée, comme un nombre dans une adresse IP. Vous pouvez également filtrer en excluant des clés spécifiques ou une combinaison de clés des graphiques.
- Champs de recherche marqués d'un astérisque
- Cliquez sur l'astérisque pour activer les chaînes regex.
Ce type de champ est disponible sur les pages système suivantes :- Filtrer un tableau d'appareils
- Création de critères de filtrage pour un groupe déquipements dynamique
- Certains champs de recherche avec un opérateur à trois champs
- Cliquez sur le menu déroulant de l'opérateur pour sélectionner l'option regex.
Ce type de champ est disponible sur la page système suivante :- Modification d'un graphique dans l'explorateur de métriques
- Certains champs de recherche avec une infobulle
- Passez le pointeur de la souris sur l'infobulle dans le champ pour voir quand une expression régulière est requise.
Ce type de champ est disponible sur la page système suivante :- Ajouter des relations d'enregistrement à une métrique personnalisée
Le tableau suivant inclut des exemples de syntaxe standard de regex.
Scénario graphique | Filtre Regex | Comment ça marche |
---|---|---|
Comparez les codes d'état HTTP 200 à 404. | (200|404) | Le symbole en forme de barre verticale (|) est l'opérateur OR. Ce filtre correspond 200, ou 404, ou les deux codes de statut. |
Afficher n'importe quel code d'état HTTP contenant un 4. | [41] | Les crochets ([et]) désignent une série de caractères. Le filtre recherche tous les caractères entre crochets, quel que soit leur ordre. Ce filtre correspond à toute valeur contenant un 4 ou un 1. Par exemple, ce filtre peut renvoyer 204, 400, 101, ou 201 codes de statut. |
Afficher tout 500codes d'état HTTP au niveau -level. | ^ [5] | Le symbole du curseur (^) situé entre crochets ([et]) signifie « commence par ». Ce filtre correspond à toute valeur commençant par un 5. Par exemple, ce filtre peut renvoyer 500 et 502 codes de statut. |
Afficher tout 400 et 500codes d'état HTTP au niveau -level. | ^ [45] | Plusieurs valeurs entre crochets ([et]) sont recherchées individuellement, même si elles sont précédées du symbole du curseur (^). Ce filtre ne recherche pas les valeurs commençant par 45, mais correspond à toutes les valeurs commençant par un 4 ou 5. Par exemple, ce filtre peut renvoyer 400, 403, et 500 codes de statut. |
Afficher tous les codes d'état HTTP sauf 200codes d' état de niveau -level. | ^ (? ! 2) | Un point d'interrogation (? ) et point d'exclamation (! ) entre parenthèses spécifient une valeur à exclure. Ce filtre correspond à toutes les valeurs, à l'exception des valeurs commençant par un 2. Par exemple, ce filtre peut renvoyer 400, 500, et 302 codes de statut. |
Afficher n'importe quelle adresse IP avec 187. | 187. | Allumettes 1, 8, et 7 caractères de l'adresse IP. Ce filtre ne renverra pas les adresses IP se terminant par 187, car la période de fin indique que quelque chose doit suivre les valeurs. Si vous souhaitez rechercher le point sous forme de valeur littérale, vous devez le faire précéder d'une barre oblique inverse (\). |
Vérifiez toutes les adresses IP contenant 187.18. | 187 \ ,18. | Allumettes 187.18 et tout ce qui suit. La première période est traitée littéralement car elle est précédée d'une barre oblique inverse (\). La deuxième période est traitée comme un joker. Par exemple, ce filtre renvoie les résultats pour 187.18.0.0, 180.187.0.0, ou 187.180.0.0/16. Ce filtre ne renvoie pas d' adresse se terminant par 187.18, car le caractère générique exige que les caractères suivent les valeurs spécifiées. |
Afficher n'importe quelle adresse IP sauf 187.18.197.150. | ^ (? ! 187 \ .18 \ .197 \ .150) | Correspond à tout sauf 187.18.197.150, où ^(?!) indique la valeur à exclure. |
Excluez une liste d'adresses IP spécifiques. | ^(?!187\.18\.197\.15[012]) | Correspond à tout sauf 187.18.197.150, 187.18.197.151, et 187.18.197.152, où ^(?!) indique la valeur à exclure et les crochets ([et]) indiquent plusieurs valeurs. |
Filtres supplémentaires
Lorsque vous créer une métrique détaillée personnalisée à partir du catalogue de mesures, vous pouvez ajouter une syntaxe regex avancée au champ de recherche des filtres supplémentaires de la section Record Relationships.
La syntaxe regex de ce champ doit répondre aux exigences suivantes :
- Si votre clé contient plusieurs valeurs, votre syntaxe regex doit inclure un
seul groupe de capture. Un groupe de capture est désigné par des parenthèses. Votre groupe de
capture détermine la valeur du filtre.
- Si vous souhaitez renvoyer une valeur spécifique à partir d'une clé métrique détaillée
contenant plusieurs valeurs de champs d'enregistrement, l'expression régulière doit suivre la syntaxe suivante :
CLÉ $ :/ <regex> /
Par exemple, si votre clé métrique détaillée est ipaddr:host:cipher et que vous souhaitez uniquement renvoyer la valeur de l'adresse IP, vous devez saisir ce qui suit :
$KEY : /^ ([^ :] +) : . +/
- Si votre clé contient plusieurs valeurs de champs d'enregistrement, les valeurs sont séparées par un délimiteur spécifié dans le déclencheur qui génère la clé. Le placement des délimiteurs dans votre syntaxe regex doit correspondre aux délimiteurs de la clé de détail. Par exemple, si vous avez une clé avec trois valeurs séparées par un séparateur composé de deux points, les trois valeurs de la clé dans votre syntaxe regex doivent être séparées par deux points.
Conseil : | Si vous souhaitez renvoyer toutes les valeurs des champs d'enregistrement dans une clé métrique détaillée, tapez CLÉ $. Par exemple, si votre clé métrique détaillée est ipaddr:host:cipher, tapez CLÉ $ dans le champ de recherche pour renvoyer les trois valeurs d'enregistrement de ces champs (adresse IP, nom d'hôte et suite de chiffrement SSL). |
Modifier un widget de zone de texte
Si vous souhaitez inclure un texte explicatif à côté des graphiques de votre tableau de bord ou afficher le logo d'une entreprise dans votre tableau de bord, vous pouvez modifier un widget de zone de texte. Le widget de zone de texte vous permet d'afficher du texte, des liens, des images ou des exemples de mesures dans votre tableau de bord.
Vidéo : | Consultez la formation associée : Fournir du contexte à l'aide de widgets de zone de texte |
Le widget de zone de texte prend en charge Markdown, une syntaxe de mise en forme simple qui convertit le texte brut en HTML avec des caractères non alphabétiques, tels que « # » ou « * ». Les nouveaux widgets de zone de texte contiennent des exemples Markdown. Un widget de zone de texte est automatiquement fourni chaque fois que vous créer un tableau de bord. Vous pouvez également ajouter un widget de zone de texte à la mise en page de votre tableau de bord.
Pour modifier un widget de zone de texte existant, procédez comme suit :
Formater le texte dans Markdown
Le tableau suivant présente les formats Markdown courants pris en charge dans le widget de zone de texte.
Remarque : | D'autres exemples de formats Markdown sont fournis dans le Guides GitHub : Maîtriser Markdown et dans le Spécification CommonMark . |
Formater | Descriptif | Exemple |
---|---|---|
Rubriques | Placez un signe numérique (#) et un espace devant votre texte pour mettre en forme les titres. Le niveau du titre est déterminé par le nombre de signes numériques. | #### Example H4 heading |
Listes non ordonnées | Placez un astérisque (*) avant votre texte. Si possible, placez chaque élément de la liste sur une ligne distincte. |
* First example
* Second example |
Listes ordonnées | Placez le chiffre 1 et le point (1.) avant votre texte pour chaque élément de ligne ; Markdown incrémentera automatiquement le numéro de liste. Si possible, placez chaque élément de la liste sur une ligne distincte. |
1. First example
1. Second example |
AUDACIEUX | Placez un double astérisque avant et après votre texte. | **bold text** |
Italiques | Placez un trait de soulignement avant et après votre texte. | _italicized text_ |
Hyperliens |
Placez le texte du lien entre crochets avant l'URL entre parenthèses. Ou saisissez votre URL. Les liens vers des sites Web externes s'ouvrent dans un nouvel onglet du navigateur. Les liens du système ExtraHop, tels que les tableaux de bord, s'ouvrent dans l'onglet actuel du navigateur. |
[Visit our home page](https://www.extrahop.com) https://www.extrahop.com |
Citations en blocs | Placez un crochet à angle droit et un espace devant votre texte. |
On the ExtraHop website: > Access the live demo and review case studies. |
Fonte Monospace | Placez un backtick (`) avant et après votre texte. | `example code block` |
Emojis | Copiez et collez une image emoji dans la zone de texte. Consultez les Graphique Emoji Unicode site web pour les images. La syntaxe Markdown ne prend pas en charge les shortcodes emoji. |
Ajouter des images dans Markdown
Vous pouvez ajouter des images au widget de zone de texte en créant un lien vers celles-ci. Assurez-vous que votre image est hébergée sur un réseau accessible au système ExtraHop.
Les liens vers les images doivent être spécifiés dans le format suivant :
![<alt_text>](<file_path>)
Où <alt_text> est le texte alternatif pour le nom de l'image et <file_path> est le chemin de l'image. Par exemple :
![Graph](/images/graph_1.jpg)
Remarque : | Vous pouvez également ajouter des images en les encodant en Base64. Pour plus d'informations, consultez le post suivant sur le forum ExtraHop, »Placer des images dans des zones de texte. » |
Ajouter des exemples métriques dans Markdown
Vous pouvez écrire une requête métrique pour inclure une valeur métrique en ligne avec le texte du widget de zone de texte. Par exemple, pour indiquer le nombre de serveurs Web ayant renvoyé une erreur 404, vous pouvez ajouter une requête métrique à une phrase et la valeur est mise à jour dans le texte.
L'exemple suivant montre le format de base pour écrire des requêtes métriques :
%%metric:{ "metric_category": "<metric_category>", "object_type": "<object_type>", "object_ids": [object_id], "metric_specs": [ { "name": "<metric_spec>" } ] }%%
Pour localiser le object_type, metric_spec, et metric_category pour les valeurs d'une métrique, procédez comme suit :
- Cliquez Réglages
- Cliquez Catalogue métrique.
- Entrez le nom de la métrique dans le champ de recherche.
- Sélectionnez la métrique et notez les valeurs de metric_category, object_type, et metric_spec dans le Paramètres de l'API REST section.
Pour localiser le object_id pour un équipement, un groupe de dispositifs ou un autre actif , procédez comme suit :
- Cliquez Actifs, puis cliquez sur un type d'actif dans le volet de gauche.
- Cliquez sur le nom de l'actif souhaité, puis ouvrez la fenêtre des propriétés.
- Notez la valeur affichée pour l'ID de l'API REST.
Après avoir localisé les valeurs de la métrique que vous souhaitez afficher, ajoutez-les à la requête métrique dans l'éditeur de texte. La valeur sera affichée dans le widget de texte.
Remarque : | Les requêtes métriques suivantes ne sont pas prises en charge dans le widget de zone de texte :
|
Exemples de requêtes métriques pour le widget de zone de texte
Les exemples suivants vous montrent comment écrire des requêtes métriques de haut niveau, ou de base, pour des objets d' application, d'équipement et de réseau. Vous pouvez également rédiger une requête pour obtenir des métriques détaillées.
Métriques relatives aux applications
Pour spécifier l'objet All Activity, object_ids est »0».
Cet exemple de requête montre comment récupérer des métriques HTTP à partir de l'objet d' application All Activity et affiche le résultat suivant : »Getting [value] HTTP requests and [value] HTTP responses from All Activity.»
Getting %%metric:{ "object_type": "application", "object_ids": [0], "metric_category": "http", "metric_specs": [{"name":"req"}] }%%HTTP requests and %%metric:{ "object_type": "application", "object_ids": [0], "metric_category": "http", "metric_specs": [{"name":"rsp"}] }%% HTTP responses from All Activity.
Métriques de l'appareil
Vous devez spécifier soit un client (»_client») ou serveur (»_server») dans le metric_category. Pour récupérer les métriques d'un équipement spécifique, spécifiez le numéro d'identification de l'objet de l'équipement dans object_ids. Pour récupérer l'identifiant de l'objet de l'équipement (deviceOid), recherchez l'objet de l'équipement dans la recherche globale ExtraHop. Sélectionnez l'équipement dans les résultats de recherche. Le »deviceOid=» la valeur sera incorporée dans la chaîne de requête URL.
Cet exemple de requête montre comment récupérer des métriques à partir d'un objet client d'équipement et affiche le résultat suivant : »Getting [value] CLIENT DNS response errors from a specific device.»
Getting %%metric:{"object_type": "device", "object_ids": [8], "metric_category": "dns_client", "metric_specs": [{"name":"rsp_error"}] }%% CLIENT DNS response errors from a specific device.
Cet exemple de requête montre comment récupérer des métriques à partir d'un objet de serveur d'équipement et affiche le résultat suivant : »Getting [value] SERVER DNS response errors from a specific device.»
Getting %%metric:{ "object_type": "device", "object_ids": [156], "metric_category": "dns_server", "metric_specs": [{"name":"rsp_error"}] }%% SERVER DNS response errors from a specific device.
Métriques du réseau
Pour spécifier tous les réseaux, object_type est »capture» et le object_ids est »0. » Pour spécifier un VLAN spécifique, object_type est »vlan» et le object_ids est le numéro de VLAN.
Cet exemple de requête montre comment récupérer des métriques pour tous les réseaux et affiche le résultat suivant : »Getting [value] broadcast packets from all networks.»
Getting %%metric:{ "object_type": "capture", "object_ids": [0], "metric_category": "net","metric_specs": [{"name":"frame_cast_broadcast_pkts"}] }%% broadcast packets from all networks.
Cet exemple de requête montre comment récupérer des métriques pour un VLAN spécifique et affiche le résultat suivant : »Getting [value] broadcast packets from VLAN 3.»
Getting %%metric:{ "object_type": "vlan", "object_ids": [3], "metric_category": "net", "metric_specs": [{"name":"frame_cast_broadcast_pkts"}] }%% broadcast packets from VLAN 3.
Métriques du groupe
Pour spécifier un groupe, object_type est »device_group. » Vous devez spécifier soit un client (»_client») ou serveur (»_server») dans le metric_category. Le object_ids pour le groupe spécifique doit être récupéré depuis l' explorateur d'API REST.
Cet exemple de requête montre comment récupérer des métriques pour tous les réseaux et affiche le résultat suivant : »Getting [value] HTTP responses from the HTTP Client Device Group.»
Getting %%metric:{ "object_type": "device_group", "object_ids": [17], "metric_category": "http_client", "metric_specs": [{"name":"req"}] }%% HTTP responses from the HTTP Client Device Group.
Métriques détaillées
Si vous souhaitez récupérer des métriques détaillées, votre requête de métrique doit contenir des paramètres clés supplémentaires, tels que key1 et key2 :
- type_objet
- identifiant_objets
- catégorie_métrique
- metric_spec
- nom
- clé1
- clé 2
Important : | Vous devez fournir le object_ids dans votre requête. |
Cet exemple montre comment récupérer des requêtes HTTP par URI pour l'application All Activity (object_ids est »0») :
%%metric:{ "object_type": "application", "object_ids": [0], "metric_category": "http_uri_detail", "metric_specs": [{"name":"req"}] }%%
Cet exemple de requête vous montre comment récupérer des requêtes HTTP par des URI contenant une valeur clé pour »pagead2» pour l'application All Activity (object_ids est »0») :
%%metric:{ "metric_category": "http_uri_detail", "object_type": "application", "object_ids": [0], "metric_specs": [ { "name": "req", "key1": "/pagead2/" } ] }%%
Cet exemple de requête montre comment récupérer les mesures de comptage pour tous les réseaux et affiche le résultat suivant : »Getting [value] detail ICA metrics on all networks.»
Getting %%metric:{ "object_type": "capture", "object_ids": [0], "metric_category": "custom_detail", "metric_specs": [{ "name":"custom_count", "key1":"network-app-byte-detail-ICA" }] }%% detail ICA metrics on all networks.
Cet exemple de requête montre comment récupérer une statistique de jeu de données personnalisée avec des clés topn et des percentiles, et affiche le résultat suivant : »The fifth percentile is: [value].»
The fifth percentile is: %%metric:{ "object_type": "vlan", "object_ids": [1], "metric_category": "custom_detail", "metric_specs": [{ "name": "custom_dset", "key1": "myCustomDatasetDetail", "key2": "/10.10.7/", "calc_type": "percentiles", "percentiles": [5] }] }%% .
Remarque : | Exemples de métriques ne sont pas pris en charge dans le widget de zone de texte. Par exemple, en ajoutant le "calc_type": "mean" le paramètre de votre requête de zone de texte n'est pas pris en charge. |
Modifier une région de tableau de bord
Les régions du tableau de bord, qui contiennent des graphiques et des widgets, sont hautement personnalisables. Lorsque vous travaillez avec des tableaux de bord, il se peut que vous deviez fréquemment modifier ou copier une région. Vous pouvez uniquement supprimer, redimensionner ou réorganiser une région en modifiant la disposition du tableau de bord.
Modifier l'intervalle de temps pour une région du tableau de bord
Dans un tableau de bord, vous pouvez appliquer un intervalle de temps à l'ensemble d'un tableau de bord à l'aide du sélecteur de temps global, ou appliquer un intervalle de temps différent par région à l'aide du sélecteur de temps de région.
Modifier les propriétés du tableau de bord
Pour renommer un tableau de bord, modifier le thème ou modifier l'URL, vous devez modifier les propriétés du tableau de bord. Lorsque vous créez un tableau de bord, vous avez la possibilité de définir les propriétés du tableau de bord. Vous pouvez toutefois modifier les propriétés du tableau de bord à tout moment.
Présenter un tableau de bord
Vous pouvez configurer votre tableau de bord pour qu'il s'affiche en mode plein écran pour les présentations ou pour les écrans de votre centre d'exploitation réseau.
Le mode plein écran propose les options d'affichage suivantes :
- Vous pouvez consulter l'ensemble du tableau de bord et interagir avec celui-ci en mode présentation.
- Vous pouvez afficher un cycle continu de chaque graphique dans le tableau de bord dans un diaporama de widgets.
- Vous pouvez consulter un région unique en affichage plein écran .
Pour présenter un tableau de bord complet en plein écran, procédez comme suit :
Partager un tableau de bord
Par défaut, tous les tableaux de bord personnalisés que vous créez sont privés, ce qui signifie qu'aucun utilisateur d' ExtraHop ne peut consulter ou modifier votre tableau de bord. Cependant, vous pouvez partager votre tableau de bord en accordant un accès de consultation ou de modification à d'autres utilisateurs et groupes d'ExtraHop.
Voici quelques points importants à prendre en compte concernant le partage de tableaux de bord :
- La manière dont un utilisateur interagit avec un tableau de bord partagé et les informations qu'il peut consulter dans le système ExtraHop sont déterminées par les privilèges de l'utilisateur. Par exemple, vous pouvez ajouter un utilisateur avec le privilège de lecture seule restreint, qui permet à cet utilisateur de consulter uniquement les tableaux de bord que vous partagez avec lui dans le système ExtraHop. Pour plus d'informations, consultez le Privilèges utilisateur section du guide des administrateurs d'ExtraHop.
- Lorsque vous accordez l'autorisation de modification à un utilisateur, celui-ci peut modifier et partager le tableau de bord avec d'autres utilisateurs, puis l'ajouter à une collection. Toutefois, les autres utilisateurs ne peuvent pas supprimer le tableau de bord. Seul le propriétaire du tableau de bord peut supprimer un tableau de bord.
- Les informations de groupe sont importées dans le système ExtraHop depuis LDAP ( tel qu'OpenLDAP ou Active Directory). Les informations utilisateur sont disponibles une fois qu'un utilisateur ExtraHop se connecte à son compte.
- Pour partager un tableau de bord avec un utilisateur qui n'est pas un utilisateur d'ExtraHop, vous pouvez créer un fichier PDF du tableau de bord.
- Tu peux créer un rapport de tableau de bord planifié, qui envoie régulièrement le fichier PDF du tableau de bord à n'importe quel destinataire d'e-mail. (Consoles uniquement.)
Supprimer l'accès à un tableau de bord
Vous pouvez supprimer ou modifier l'accès au tableau de bord que vous avez accordé aux utilisateurs et aux groupes.
- Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
- En haut de la page, cliquez sur Tableaux de bord.
- Dans le dock du tableau de bord, sélectionnez le tableau de bord personnalisé que vous souhaitez modifier.
- Cliquez sur le menu de commande dans le coin supérieur droit de la page et sélectionnez Partagez.
-
Supprimez l'accès des utilisateurs ou des groupes en effectuant l'une des
étapes suivantes :
- Supprimer tous les accès d'un utilisateur ou d'un groupe en cliquant sur le bouton rouge Supprimer (x) icône à côté du nom de l'utilisateur ou du groupe.
- Supprimer l'accès aux modifications en sélectionnant Peut voir dans la liste déroulante située à côté du nom de l'utilisateur ou du groupe.
- Cliquez Enregistrer.
Création d'une collection de tableaux de bord
Vous pouvez créer une collection pour organiser les tableaux de bord dont vous êtes propriétaire et qui ont été partagés avec vous.
Voici quelques points importants à prendre en compte à propos des collections de tableaux de bord :
- Votre privilèges utilisateur déterminez si vous pouvez créer et partager des collections.
- Vous pouvez ajouter n'importe quel tableau de bord à une collection que vous possédez ou que vous êtes autorisé à consulter ou à modifier.
- Vous pouvez ajouter un tableau de bord à plusieurs collections.
- Vous pouvez partager une collection si vous êtes propriétaire de tous les tableaux de bord de cette collection ou si vous êtes autorisé à les modifier.
Exporter des données
Vous pouvez exporter les données graphiques du système ExtraHop aux formats CSV et XLSX.
Vous pouvez également créer des PDF de graphiques, de pages et de tableaux de bord ExtraHop.
Création d'un fichier PDF
Vous pouvez exporter les données d'un tableau de bord, d'une page de protocole ou d'un graphique individuel sous forme de fichier PDF.
-
Recherchez le tableau de bord ou la page de protocole qui contient les données que vous souhaitez exporter
et effectuez l'une des étapes suivantes :
- Pour créer un fichier PDF de la page entière, cliquez sur le menu de commande dans le coin supérieur droit de la page et sélectionnez Imprimer à partir d'une sonde ou Exporter au format PDF depuis une console.
- Pour créer un fichier PDF contenant un graphique ou un widget individuel, cliquez sur le titre du graphique et sélectionnez Imprimer à partir d'une sonde ou sélectionnez Exporter au format PDF depuis le menu déroulant d'une console.
-
Une boîte de dialogue d'aperçu du PDF s'ouvre. Effectuez l'une des étapes suivantes :
- Cliquez Imprimer la page puis sélectionnez PDF comme destination dans les paramètres d'impression de votre navigateur.
- À partir d'une sonde, cliquez sur Widget d'impression et sélectionnez PDF comme destination dans les paramètres d'impression de votre navigateur.
- À partir d'une console, sélectionnez Personnalisations du format PDF puis cliquez sur Exporter au format PDF. Le processus de génération d'un PDF peut prendre plusieurs secondes.
Personnaliser le format d'un fichier PDF
Lorsque vous créez un fichier PDF d'un tableau de bord ou d'une page de protocole à partir d'un console, vous disposez de plusieurs options pour personnaliser l'apparence de votre fichier PDF.
Que faire ensuite
Le fichier PDF sera téléchargé sur votre ordinateur local. Chaque fichier PDF inclut le titre du tableau de bord et l'intervalle de temps. Cliquez Voir le rapport sur ExtraHop pour ouvrir le tableau de bord d'origine défini selon l'intervalle de temps spécifié dans le fichier PDF.Création d'un rapport planifié
À partir d'un console, vous pouvez planifier l'envoi par e-mail à des destinataires spécifiques de rapports contenant des informations sur l'activité de votre système ExtraHop. Créez un rapport de tableau de bord planifié pour envoyer par e-mail un fichier PDF contenant les informations sélectionnées sur les tableaux de bord, notamment des graphiques et des mesures. Créez un rapport des opérations de sécurité planifié pour envoyer par e-mail un PDF contenant un résumé des principales détections et des principaux risques pour votre réseau.
Création d'un rapport de tableau de bord planifié
Lorsque vous créez un rapport de tableau de bord planifié, vous pouvez spécifier la fréquence à laquelle le rapport est envoyé par e-mail et l'intervalle de temps entre les données du tableau de bord incluses dans le fichier PDF.
Before you begin
- La capacité d'écriture de votre compte utilisateur doit être limitée ou supérieure privilèges.
- Votre système ExtraHop doit être configuré pour envoyer des e-mails. (RevealX Enterprise uniquement)
- Vous devez vous connecter à une console du système ExtraHop.
- Vous ne pouvez créer un rapport que pour les tableaux de bord que vous possédez ou auxquels vous avez un accès partagé.
- Si vous créez un rapport pour un tableau de bord qui est ensuite supprimé ou devient inaccessible pour vous, un e-mail est toujours envoyé aux destinataires. Cependant, l'e-mail n' inclut pas le fichier PDF et inclut une note indiquant que le tableau de bord n'est pas disponible pour le propriétaire du rapport.
Que faire ensuite
- Pour arrêter l'envoi d'un rapport planifié, désactivez le Activer le rapport case à cocher ou supprimez le rapport.
Création d'un rapport sur les opérations de sécurité planifiées
Lorsque vous créez un rapport sur les opérations de sécurité planifié, vous pouvez spécifier la fréquence à laquelle un fichier PDF du rapport est envoyé par courrier électronique et l'intervalle de temps pour les données incluses dans le rapport.
Before you begin
- La capacité d'écriture de votre compte utilisateur doit être limitée ou supérieure privilèges.
- Votre système ExtraHop doit inclure le module Network Detection and Response (NDR).
- Vous devez vous connecter à une console du système ExtraHop.
- Votre système ExtraHop doit être configuré pour envoyer des e-mails. (RevealX Enterprise uniquement)
- Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
- Cliquez sur l'icône Paramètres système puis cliquez sur Rapports planifiés.
- Cliquez Créez.
- Tapez un nom unique pour le rapport dans Nom du rapport champ.
- Facultatif : Dans le Descriptif dans ce champ, saisissez les informations relatives au rapport. La description n'apparaît pas dans le rapport final, mais uniquement dans les paramètres du rapport.
- Dans la section Type de rapport, sélectionnez Opérations de sécurité.
- À partir du Sites menu déroulant, sélectionnez les sites que vous souhaitez inclure dans le rapport.
-
À partir du Calendrier section, effectuez les étapes suivantes pour
configurer un calendrier pour le rapport :
-
À partir du Envoyer un e-mail section, procédez comme suit
pour configurer les notifications par e-mail :
-
Pour enregistrer votre rapport, effectuez l'une des étapes suivantes :
- Cliquez Envoyer maintenant pour envoyer un rapport de test par e-mail aux adresses e-mail, puis cliquez sur Terminé. Votre rapport est enregistré et programmé.
- Cliquez Enregistrer. Votre rapport est planifié et sera envoyé aux destinataires en fonction de la fréquence de rapport que vous avez spécifiée.
Que faire ensuite
- Pour arrêter l'envoi d'un rapport planifié, désactivez le Activer le rapport case à cocher ou supprimez le rapport.
Types de graphiques
Les graphiques du tableau de bord du système ExtraHop offrent plusieurs manières de visualiser les données métriques, ce qui peut vous aider à répondre aux questions concernant le comportement de votre réseau.
- Pour savoir comment une métrique évolue au fil du temps, sélectionnez un graphique chronologique tel que l'aire, la colonne, la ligne, la ligne et la colonne, ou le graphique dstatus.
- Pour savoir comment une valeur métrique se compare à un ensemble complet de données, sélectionnez un graphique de distribution tel qu'un diagramme à cases, un chandelier, une carte thermique ou un histogramme.
- Pour connaître la valeur métrique exacte pour une période donnée, sélectionnez un graphique de valeurs totales tel qu' une barre, une liste, un secteur, un tableau ou un diagramme de valeurs.
- Pour connaître l'état d'alerte de cette métrique, sélectionnez la liste, le statut ou le diagramme de valeurs.
Trouvez d'autres réponses dans le FAQ sur les graphiques.
Le tableau suivant fournit une liste des types de graphiques et des descriptions. Cliquez sur le type de graphique pour voir plus de détails et d'exemples.
Type de graphique | Descriptif | Type |
---|---|---|
Carte des zones | Affiche les valeurs métriques sous forme de ligne reliant les points de données au fil du temps, la zone située entre la ligne et l'axe étant colorée. | Séries chronologiques |
Diagramme à colonnes | Affiche les données métriques sous forme de colonnes verticales sur un intervalle de temps sélectionné. | Séries chronologiques |
Graphique linéaire | Affiche les valeurs métriques sous forme de points de données sur une ligne au fil du temps. | Séries chronologiques |
Graphique à lignes et à colonnes | Affiche les valeurs métriques sous forme de ligne, qui connecte une série de points de données au fil du temps, avec la possibilité d'afficher une autre métrique sous forme de graphique à colonnes sous le graphique linéaire. | Séries chronologiques |
Tableau de statut | Affiche les valeurs métriques dans un graphique à colonnes ainsi que le statut d'une alerte attribuée à la fois à la source et à la métrique dans le graphique. | Séries chronologiques |
Diagramme à boîtes | Affiche la variabilité d'une distribution de données métriques. Chaque ligne horizontale du diagramme à cases comprend trois ou cinq points de données. | Diffusion |
Tableau en chandeliers | Affiche la variabilité d'une distribution des données métriques au fil du temps. | Diffusion |
Graphique Heatmap | Affiche une distribution des données métriques dans le temps, où la couleur représente une concentration de données. | Diffusion |
Diagramme d'histogramme | Affiche une distribution des données métriques sous forme de barres verticales ou de bacs. | Diffusion |
Graphique à barres | Affiche la valeur totale des données métriques sous forme de barres horizontales. | Valeur totale |
Tableau de liste | Affiche les données métriques sous forme de liste avec des sparklines facultatifs qui représentent l' évolution des données au fil du temps. | Valeur totale |
Diagramme à secteurs | Affiche les données métriques sous forme de portion ou de pourcentage d'un ensemble. | Valeur totale |
Tableau graphique | Affiche plusieurs valeurs métriques dans un tableau, qui peut être facilement trié. | Valeur totale |
Tableau des valeurs | Affiche la valeur totale d'une ou de plusieurs mesures. | Valeur totale |
Carte des zones
Les données métriques sont affichées sous forme de points de données au fil du temps connectés par une ligne, la zone située entre la ligne et l'axe X étant colorée.
Si votre graphique contient plusieurs mesures, les données de chaque métrique sont affichées sous forme de ligne individuelle ou de série. Chaque série est empilée pour illustrer la valeur cumulée des données.
Sélectionnez le graphique en aires pour voir comment l'accumulation de plusieurs points de données métriques au fil du temps contribue à une valeur totale. Par exemple, un graphique en aires peut révéler comment les différents protocoles contribuent à l'activité totale des protocoles.
Pour plus d'informations sur l'affichage des taux dans votre graphique, consultez le Taux d'affichage section.
Remarque : | Ce graphique prend en charge marqueurs de détection, qui indiquent les détections associées aux données cartographiques. |
Remarque : | Les détections par apprentissage automatique nécessitent connexion aux services cloud ExtraHop. |
La figure suivante montre un exemple de graphique en aires.
Graphique à barres
La valeur totale des données métriques est affichée sous forme de barres horizontales.
Sélectionnez le graphique en barres lorsque vous souhaitez comparer les données de plusieurs mesures pour un intervalle de temps sélectionné.
La figure suivante montre un exemple de graphique en barres.
Diagramme à boîtes
Le diagramme à boîtes montre la variabilité d'une distribution de données métriques. Vous ne pouvez afficher que les données issues des métriques du jeu de données, telles que le temps de traitement du serveur, dans ce graphique.
Chaque ligne horizontale du diagramme à cases comprend trois ou cinq points de données. Avec cinq points de données, la ligne contient une barre de corps, un crochet vertical, une ligne d'ombre supérieure et une ligne d'ombre inférieure. Avec trois points de données, la ligne contient une coche verticale, une ombre supérieure et une ombre inférieure. Pour plus d'informations sur l'affichage de valeurs de percentiles spécifiques dans votre graphique, voir Afficher les percentiles.
La figure suivante montre un exemple de diagramme à boîtes.
Tableau en chandeliers
Le graphique en chandelier montre la variabilité d'une distribution des données métriques au fil du temps. Vous ne pouvez afficher que les données issues de métriques d'ensembles de données ou de métriques d'octets et de paquets de réseau (L2) de haute précision.
Les lignes verticales à chaque intervalle de temps affichent trois ou cinq points de données. Si la ligne comporte cinq points de données, elle contient un corps, un crochet central, une ligne d'ombre supérieure et une ligne d' ombre inférieure. Si la ligne comporte trois points de données, elle contient un crochet central. Pour plus d' informations sur l'affichage de valeurs de percentiles spécifiques dans votre graphique, voir Afficher les percentiles.
Sélectionnez le graphique en chandelier pour visualiser la variabilité des calculs de données sur une période donnée.
La figure suivante montre un exemple de graphique en chandelier.
Diagramme à colonnes
Les données métriques sont affichées sous forme de colonnes verticales au fil du temps. Si votre graphique contient plusieurs mesures, les données de chaque métrique sont affichées sous forme de colonne individuelle ou de série. Chaque série est empilée pour illustrer la valeur cumulée des données.
Sélectionnez le graphique à colonnes pour comparer la façon dont l'accumulation de plusieurs points de données métriques à un moment donné contribue à la valeur totale.
Remarque : | Ce graphique prend en charge marqueurs de détection, qui indiquent les détections associées aux données cartographiques. |
La figure suivante montre un exemple de graphique à colonnes.
Graphique Heatmap
Le graphique de carte thermique affiche une distribution des données métriques dans le temps, la couleur représentant une concentration de données. Vous pouvez uniquement sélectionner une métrique de jeu de données à afficher dans le graphique, telle que le temps de traitement du serveur ou le temps d'aller-retour.
Sélectionnez la carte thermique lorsque vous souhaitez identifier des modèles dans la distribution des données.
- La légende de la carte thermique affiche le dégradé de couleurs correspondant à la plage de données du graphique. Par exemple, la couleur foncée de la carte thermique indique une concentration plus élevée de points de données.
- La plage de données par défaut se situe entre le 5e et le 95e percentile, ce qui permet de filtrer les valeurs aberrantes de la distribution. Les valeurs aberrantes peuvent fausser l'échelle des données affichées dans votre graphique, ce qui complique l'identification des tendances et des modèles pour la majorité de vos données. Toutefois, vous pouvez choisir d'afficher l'ensemble des données en modifiant le filtre par défaut dans le Options onglet. Pour plus d'informations, voir Filtrer les valeurs aberrantes.
- Le thème sélectionné, tel que Clair, Dark ou Space, détermine si une couleur foncée ou claire indique une concentration plus élevée de points de données.
La figure suivante montre un exemple de graphique de carte thermique.
Histogramme
L'histogramme affiche une distribution des données métriques sous forme de barres verticales ou de bacs. Vous ne pouvez sélectionner qu'une métrique de jeu de données à afficher dans ce graphique, telle que le temps de traitement du serveur ou le temps d' aller-retour.
Sélectionnez l'histogramme pour visualiser la forme de distribution des données.
- La plage de données par défaut est comprise entre le 5e et le 95e percentile (5e au 95e), ce qui permet de filtrer les valeurs aberrantes de la distribution. La vue minimale à maximale (min-max) affiche la plage de données complète. Cliquez sur la loupe dans le coin supérieur droit du graphique pour passer d'une vue à l'autre.
- Les données sont automatiquement réparties dans des groupes sur une échelle linéaire ou logarithmique en fonction de la plage de données. Par exemple, lorsque la plage de données s'étend sur plusieurs ordres de grandeur, les données sont placées dans des groupes sur une échelle logarithmique. Min-Max (log) apparaît dans le coin supérieur droit du graphique.
- Cliquez et faites glisser pour zoomer sur plusieurs bacs ou sur un compartiment spécifique. Cliquez à nouveau sur la
loupe dans le coin supérieur droit du graphique pour effectuer un zoom arrière sur la vue d'origine
(5e-95e ou Min to Max).
Remarque : Le fait de zoomer pour afficher un intervalle de temps personnalisé ne modifie pas l'intervalle de temps global ou régional. - Votre sélection (entre les vues 5e-95e et min-max) sera conservée pour votre graphique, mais pas pour les utilisateurs avec lesquels vous avez partagé votre tableau de bord et votre graphique. Pour définir une sélection permanente avant de partager un tableau de bord, voir Filtrer les valeurs aberrantes.
La figure suivante montre un exemple d'histogramme.
Remarque : | Ce graphique ne prend pas en charge les lignes de base ou les seuils. |
Graphique linéaire
Les données métriques sont affichées sous forme de points de données au fil du temps connectés sur une ligne. Si votre graphique contient plusieurs mesures, les données de chaque métrique sont affichées sous forme de ligne individuelle ou de série. Chaque série se chevauche.
Sélectionnez le graphique en courbes pour comparer les changements au fil du temps.
Remarque : | Ce graphique prend en charge marqueurs de détection, qui indiquent les détections associées aux données cartographiques. |
La figure suivante montre un exemple de graphique en courbes.
Graphique à lignes et à colonnes
Les données métriques sont affichées sous forme de points de données au fil du temps connectés par une ligne, avec la possibilité d'afficher un graphique à colonnes sous le graphique en courbes. Par exemple, si votre graphique contient plusieurs mesures (par exemple, les requêtes HTTP et les erreurs HTTP), vous pouvez sélectionner Afficher sous forme de colonnes pour afficher l'une des mesures sous forme de graphique à colonnes sous le graphique en courbes.
Les colonnes sont affichées en rouge par défaut. Pour supprimer la couleur rouge, cliquez sur Options et désélectionnez Afficher les colonnes en rouge.
Sélectionnez le graphique à lignes et à colonnes pour comparer différentes mesures à différentes échelles dans un même graphique. Par exemple, vous pouvez afficher les taux d'erreur et le nombre total de réponses HTTP dans un graphique.
Remarque : | Ce graphique prend en charge marqueurs de détection, qui indiquent les détections associées aux données cartographiques. |
La figure suivante montre un exemple de graphique à lignes et à colonnes.
Tableau de liste
Les données métriques sont affichées sous forme de liste. Sélectionnez le graphique en listes pour afficher de longues listes de valeurs métriques, telles que les mesures détaillées.
- Ajoutez un sparkline, qui est un simple graphique en aires placé en ligne avec le nom et la valeur de la métrique. Un sparkline montre l'évolution des données au fil du temps. Cliquez sur Des options onglet et sélectionnez Inclure des paillettes.
- Affichez la valeur métrique dans une couleur d'état d'alerte. Les différentes couleurs indiquent la gravité de l'alerte configurée. Par exemple, si un seuil d'alerte est dépassé pour une métrique affichée dans le graphique en listes, la valeur de cette métrique apparaît en rouge. Cliquez sur le Des options onglet et sélectionnez La couleur indique l' état de l'alerte.
Remarque : | Ce graphique ne prend pas en charge les lignes de base ou les seuils. |
La figure suivante montre un exemple de graphique en listes.
Diagramme à secteurs
Les données métriques sont affichées sous forme de portion ou de pourcentage d'un ensemble. Si votre graphique contient plusieurs mesures, les données de chaque métrique sont représentées sous forme de tranche unique, ou de série, dans le graphique circulaire.
Sélectionnez le graphique en camembert pour comparer les valeurs métriques qui s'excluent mutuellement, telles que les mesures détaillées du code détat pour la métrique de réponse HTTP de niveau supérieur.
- Afficher sous forme de graphique en forme de donut. Cliquez sur Option appuyez sur l'onglet et sélectionnez Afficher la valeur totale.
- Spécifiez la précision décimale, ou le nombre de chiffres, affiché dans votre graphique. La précision au centile est utile pour afficher les ratios de données, en particulier pour les accords de niveau de service (SLA) qui peuvent nécessiter des données précises pour les rapports. Cliquez sur Des options onglet, et dans la section Unités, sélectionnez Afficher les pourcentages au lieu des chiffres. Sélectionnez ensuite 0,00 % ou 0,000% depuis la liste déroulante.
La figure suivante montre un exemple de graphique en camembert.
Tableau de statut
Les données métriques sont affichées dans un graphique à colonnes. La couleur de chaque colonne représente l'état d'alerte le plus grave de l'alerte configurée pour la métrique. Vous ne pouvez sélectionner qu'une seule source et une seule métrique à afficher dans ce graphique.
Pour afficher le statut de toutes les alertes associées à la catégorie métrique sélectionnée, cliquez sur Afficher les alertes associées. Une liste d'alertes est ensuite affichée sous le graphique à colonnes.
Sélectionnez le graphique dstatus pour voir comment les données et le statut d'alerte de votre métrique évoluent au fil du temps.
Remarque : | Ce graphique ne prend pas en charge les valeurs de référence. |
La figure suivante montre un exemple de graphique dstatus.
Tableau graphique
Les données métriques sont affichées sur les lignes et les colonnes d'un tableau. Chaque ligne représente une source. Chaque colonne représente une métrique. Vous pouvez ajouter plusieurs sources (du même type) et mesures à un tableau.
Remarque : | Ce graphique ne prend pas en charge les lignes de base ou les seuils. |
La figure suivante montre un exemple de tableau graphique.
Tableau des valeurs
La valeur totale d'une ou de plusieurs mesures est affichée sous forme de valeur unique. Si vous sélectionnez plusieurs mesures, les valeurs métriques sont affichées côte à côte.
Sélectionnez le diagramme de valeurs pour voir la valeur totale des mesures importantes, telles que le nombre total d'erreurs HTTP survenant sur votre réseau.
- Ajoutez des sparklines, un simple graphique en aires placé sous la valeur métrique. Un sparkline montre l'évolution des données au fil du temps. Cliquez sur Des options appuyez sur l'onglet et sélectionnez Inclure des paillettes.
- Affichez la valeur métrique dans une couleur d'état d'alerte. Les différentes couleurs indiquent la gravité de l'alerte configurée. Par exemple, si un seuil d'alerte est dépassé pour une métrique, la valeur apparaît en rouge. Cliquez sur Des options appuyez sur l'onglet et sélectionnez La couleur indique l'état de l'alerte.
Remarque : | Ce graphique ne prend pas en charge les lignes de base ou les seuils. |
La figure suivante montre un exemple de diagramme de valeurs.
Création d'un graphique
Les graphiques sont un outil essentiel pour visualiser, analyser et comprendre le comportement du réseau. Vous pouvez créer un graphique personnalisé à partir d'un tableau de bord ou d'une page de protocole pour visualiser les données provenant de plus de 4 000 métriques intégrées ou personnalisées disponibles dans le système ExtraHop. Par exemple, si vous observez une métrique de serveur intéressante lors du dépannage, vous pouvez créer un graphique pour visualiser et analyser plus en détail cette métrique. Les graphiques personnalisés sont ensuite enregistrés dans des tableaux de bord.
Que faire ensuite
Après avoir créé un graphique, découvrez comment utiliser les tableaux de bord :
Copier un graphique
Vous pouvez copier un graphique depuis un tableau de bord ou une page de protocole, puis enregistrer le graphique copié dans un tableau de bord. Les widgets copiés sont toujours placés dans une nouvelle région du tableau de bord, que vous pouvez modifier ultérieurement.
Conseil : | Si vous souhaitez copier un tableau de bord, un graphique ou une zone de texte sans créer de nouvelle région, cliquez sur le menu de commandes dans le coin supérieur droit de la page du tableau de bord et cliquez sur Modifier la mise en page. Recherchez le graphique que vous souhaitez copier, puis cliquez sur Dupliquer. |
Que faire ensuite
Le graphique est copié dans une nouvelle région du tableau de bord en mode Modifier la mise en page. Vous pouvez désormais modifier votre tableau de bord ou votre graphique de la manière suivante :Percer vers le bas
Une métrique intéressante soulève naturellement des questions sur les facteurs associés à cette valeur métrique. Par exemple, si vous constatez un grand nombre de délais d'expiration des requêtes DNS sur votre réseau, vous vous demandez peut-être quels clients DNS rencontrent ces délais. Dans le système ExtraHop, vous pouvez facilement effectuer une recherche vers le bas à partir d'une métrique de niveau supérieur pour afficher les appareils, les méthodes ou les ressources associés à cette métrique.
Lorsque vous parcourez une métrique à l'aide d'une clé (telle qu'une adresse IP client, une méthode, un URI ou une ressource), le système ExtraHop calcule un topnset d'un maximum de 1 000 paires clé-valeur. Vous pouvez ensuite étudier ces paires clé-valeur, appelées mesures détaillées, pour savoir quels facteurs sont liés à l'activité intéressante.
Exploration vers le bas à partir d'un tableau de bord ou d'une page de protocole
En cliquant sur une métrique dans un graphique ou une légende, vous pouvez voir quelle clé, telle que l' adresse IP du client, l'adresse IP du serveur, la méthode ou la ressource, a contribué à cette valeur.
Les étapes suivantes vous montrent comment localiser une métrique, puis comment effectuer une hiérarchisation vers le bas :
Que faire ensuite
Approfondissez la capture du réseau et les métriques VLAN
Cliquez sur une métrique de niveau supérieur intéressante concernant l'activité du réseau sur un Réseau capture ou VLAN page permettant d'identifier les appareils liés à cette activité.
Remarque : | Pour plus d'informations sur la manière d'explorer les métriques à partir d'un réseau de flux ou d'une page d'interface de réseau de flux, consultez le Exploration vers le bas à partir d'un tableau de bord ou d'une page de protocole section. |
- Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
- Cliquez Actifs.
- Cliquez Réseaux dans le volet de gauche.
- Cliquez sur le nom d'une capture réseau ou d'une interface VLAN.
- Cliquez sur une couche réseau dans le volet de gauche, telle que L3 ou Protocoles L7. Les graphiques qui affichent les valeurs métriques pour l'intervalle de temps sélectionné apparaissent. Pour la plupart des protocoles et mesures, un Appareil le tableau apparaît également au bas de la page.
- Cliquez sur les données du graphique pour mettre à jour la liste afin d'afficher uniquement les appareils associés aux données.
- Cliquez sur le nom d'un équipement. UN Appareil une page apparaît, qui affiche le trafic et l'activité du protocole associés à l'équipement sélectionné.
Exploration vers le bas à partir d'une détection
Pour certaines détections, vous pouvez effectuer une analyse détaillée de la métrique ou de la clé à l'origine du comportement inhabituel. Le nom ou la clé métrique apparaît sous forme de lien au bas d'une détection individuelle.
Remarque : | Les détections comportant des mesures ou des clés ne comportant pas de mesures détaillées n'incluent pas d'option d'exploration
vers le bas. Les détections qui n'affichent qu'une activité anormale du protocole au lieu
d'une métrique n'incluent pas non plus d'option d'exploration des métriques. Par exemple, vous ne pouvez pas
effectuer une analyse détaillée d'une détection d'activité anormale d'un client DNS, comme le montre la figure
ci-dessous. Cliquez plutôt sur les liens correspondant au nom de l'équipement ou de l'application,
Carte des activités, ou Enregistrements pour en savoir
plus sur cette activité anormale. |
Analyse détaillée à partir d'une alerte
Cliquez sur le nom de la métrique ou sur la clé dans une alerte de seuil pour voir quelle clé, telle que le client, le serveur, la méthode ou la ressource, a contribué à la valeur de la métrique ou à un comportement inhabituel.
Étudiez les indicateurs de détail
Après avoir exploré une métrique depuis un tableau de bord, une page de protocole, une détection ou une alerte, vous pouvez examiner les valeurs métriques par clé sur une page de métrique détaillée. Filtrez les données métriques ou sélectionnez différentes clés, telles que des codes d'état ou des URI, pour afficher les données sous différents angles.
La figure suivante montre comment filtrer, faire pivoter, trier ou exporter des données sur une page métrique détaillée.
Si vous avez effectué une recherche approfondie sur une métrique par IP, client ou serveur, les adresses IP et les noms d'hôtes (s'ils sont observés à partir du trafic DNS) apparaissent dans le tableau. Des options supplémentaires s'offrent désormais à vous. Par exemple, vous pouvez accéder directement à la page de protocole d'un client ou d'un serveur, comme illustré dans la figure suivante.
- Filtrer les résultats
-
Une page détaillée peut contenir jusqu'à 1 000 paires clé-valeur. Il existe deux manières de rechercher des résultats spécifiques à partir de données : filtrer les résultats ou cliquez sur une touche du tableau pour créer un autre filtre d'exploration.
Pour filtrer les résultats, cliquez sur N'importe quel domaine, puis sélectionnez un champ qui varie en fonction de la touche. Par exemple, vous pouvez sélectionner Localité du réseau pour les clés client ou serveur. Sélectionnez ensuite l'un des opérateurs suivants :
- Sélectionnez = pour effectuer une correspondance de chaîne exacte.
- Sélectionnez ≈ pour effectuer une correspondance de chaînes approximative. L'
opérateur ≈ prend en charge les expressions régulières.
Remarque : Pour exclure un résultat, entrez une expression régulière. Pour plus d'informations, voir Création de filtres d'expressions régulières. - Sélectionnez ≉ pour exclure une correspondance de chaîne approximative de vos résultats.
- Sélectionnez > ou ≥ pour effectuer une correspondance pour des valeurs supérieures (ou égales à) une valeur spécifiée.
- Sélectionnez < ou ≤ pour effectuer une correspondance pour des valeurs inférieures (ou égales) à une valeur spécifiée.
- Cliquez Ajouter un filtre pour enregistrer les paramètres du filtre. Vous pouvez enregistrer plusieurs filtres pour une seule requête. Les filtres enregistrés sont effacés si vous sélectionnez une autre clé dans la section Détails du volet de gauche.
Pour terminer le filtre, entrez ou sélectionnez la valeur selon laquelle vous souhaitez filtrer les résultats, puis cliquez sur Ajouter un filtre.
- Étudier les données relatives aux renseignements sur les menaces (ExtraHop RevealX Premium et Ultra uniquement)
- Cliquez sur l'icône rouge de la caméra pour visionner renseignements sur les menaces des informations sur un hôte, une adresse IP ou un URI suspect trouvées dans des données métriques détaillées.
- Mettez en surbrillance une valeur métrique dans le graphique supérieur
- Sélectionnez une ligne individuelle ou plusieurs lignes pour modifier les données du graphique dans le graphique supérieur de la page des mesures métriques détaillées. Passez la souris sur les points de données du graphique pour afficher plus d'informations sur chaque point de données.
- Passez à un plus grand nombre de données par clé
- Cliquez sur le nom des touches dans Détails section pour voir des valeurs métriques plus détaillées, ventilées par d'autres clés. Pour l'adresse IP ou les clés d'hôte, cliquez sur le nom d'un équipement dans le tableau pour accéder à Appareil page de protocole, qui affiche le trafic et l'activité protocolaire associés à cet équipement.
- Ajustez l'intervalle de temps et comparez les données de deux intervalles de temps
- En modifiant l'intervalle de temps, vous pouvez consulter et comparer les données métriques de différentes périodes
dans le même tableau. Pour plus d'informations, voir Comparez les intervalles de temps pour trouver le delta métrique.
Remarque : L'intervalle de temps global situé dans le coin supérieur gauche de la page comprend une icône d'actualisation bleue et un texte gris qui indique la date à laquelle les mesures d'exploration vers le bas ont été interrogées pour la dernière fois. Pour recharger les mesures pour l'intervalle de temps spécifié, cliquez sur l'icône d'actualisation dans l'affichage du sélecteur de temps global. Pour plus d'informations, voir Afficher les dernières données pour un intervalle de temps. - Trier les données métriques en colonnes
- Cliquez sur l'en-tête de colonne pour effectuer un tri par métrique afin de voir quelles clés sont associées aux valeurs métriques les plus grandes ou les plus petites. Par exemple, triez en fonction du temps de traitement pour voir quels clients ont connu les temps de chargement de leur site Web les plus longs.
- Calcul des données de modification pour les métriques
- Modifiez les calculs suivants pour les valeurs métriques affichées dans le tableau :
- Si vous avez une métrique de comptage dans le tableau, cliquez sur Compter dans le Options section dans le volet de gauche, puis sélectionnez Taux moyen. Pour en savoir plus, consultez le Afficher un taux ou un nombre dans un graphique sujet.
- Si le tableau contient une métrique de jeu de données, cliquez sur Moyenne dans le Options section dans le volet de gauche, puis sélectionnez Résumé. Lorsque vous sélectionnez Résumé, vous pouvez consulter la moyenne et l'écart type.
- Exporter des données
- Cliquez avec le bouton droit sur une valeur métrique dans le tableau pour télécharger un fichier PDF, CSV ou Excel.
Profilez une seconde fois vers le bas à l'aide d'un filtre clé
Après avoir exploré une métrique de niveau supérieur par touche pour la première fois, une page détaillée apparaît avec un topnset de valeurs métriques ventilées par cette clé. Vous pouvez ensuite créer un filtre pour effectuer une seconde exploration vers le bas à l'aide d'une autre touche. Par exemple, vous pouvez parcourir les réponses HTTP par code d'état, puis effectuer une nouvelle exploration vers le bas en fonction du code d'état 404 pour trouver plus d'informations sur les serveurs, les URI ou les clients associés à ce code d'état.
Remarque : | L'option d'exploration vers le bas une deuxième fois n'est disponible que pour certains topnsets. |
Les étapes suivantes vous montrent comment effectuer une hiérarchisation descendante à partir d'un graphique, puis une nouvelle exploration vers le bas à partir d'une page métrique détaillée :
Ajouter des mesures détaillées à un graphique
Si vous souhaitez surveiller rapidement un ensemble de mesures détaillées dans un tableau de bord, sans effectuer à plusieurs reprises les mêmes étapes de hiérarchisation, vous pouvez effectuer une analyse détaillée sur une métrique lorsque vous modifiez un graphique dans explorateur de métriques. La plupart des graphiques peuvent afficher jusqu'à 20 des valeurs métriques les plus détaillées, ventilées par clé. Une clé peut être l'adresse IP d'un client, un nom d'hôte, une méthode, un URI, un référent, etc. Les widgets de tableau et de liste peuvent afficher jusqu' à 200 valeurs métriques détaillées les plus élevées.
Par exemple, un tableau de bord destiné à surveiller le trafic Web peut contenir un graphique affichant le nombre total de requêtes et de réponses HTTP. Vous pouvez modifier ce graphique pour effectuer une analyse détaillée de chaque métrique par adresse IP afin de voir les principaux intervenants.
Les étapes suivantes vous montrent comment modifier un graphique existant, puis comment effectuer un défilement vers le bas pour afficher les mesures détaillées :
Afficher un taux ou un nombre dans un graphique
Vous pouvez visualiser les erreurs, les réponses, les demandes et les autres données métriques de comptage dans un graphique sous forme de taux par seconde ou de nombre total d'événements au fil du temps. Pour les métriques de haute précision relatives aux octets réseau et aux paquets réseau, vous disposez d'options supplémentaires pour afficher le débit maximal, minimum et moyen par seconde dans un graphique.
Quand modification d'un graphique dans l'explorateur de métriques, vous pouvez sélectionner un nombre ou un taux en cliquant sur le lien déroulant situé sous le nom de la métrique, comme illustré dans la figure suivante.
En outre, vous pouvez sélectionner l'une des options suivantes pour afficher les taux et les dénombrements. Notez que le type de métrique que vous sélectionnez influe sur le taux ou le nombre automatiquement affiché.
- Taux moyen
- Calcule la valeur métrique moyenne par seconde pour l'intervalle de temps sélectionné. Pour les métriques liées au réseau, telles que Response L2 Bytes ou NetFlow Bytes, le débit moyen par seconde est automatiquement affiché.
- Compter
- Affiche le nombre total d'événements pour l'intervalle de temps sélectionné. Pour la majorité des indicateurs de comptage, tels que les erreurs, les demandes et les réponses, le décompte est automatiquement affiché.
- Récapitulatif des taux
- Calcule les valeurs métriques maximale, minimale et moyenne par seconde. Pour les métriques de haute précision, telles que les octets réseau et les paquets réseau, ces trois débits sont automatiquement affichés dans le graphique sous forme de résumé. Vous pouvez également choisir de n'afficher que le taux maximum, minimum ou moyen dans un graphique. Des mesures de haute précision sont collectées à l'aide d'un Niveau de granularité d'une seconde et ne sont disponibles que lorsque vous configurer votre graphique avec une source de réseau ou d'équipement.
Afficher le taux moyen dans un graphique
Si vous avez configuré un graphique avec une erreur, une réponse, une demande ou un autre type de métrique de comptage, le nombre total d'événements au fil du temps est automatiquement affiché. Vous pouvez également modifier le graphique pour afficher un taux moyen par seconde pour vos données.
Before you begin
Création d'un graphique et sélectionnez une métrique de comptage, telle que les erreurs, les demandes ou les réponses, comme source. Enregistrez votre graphique dans un tableau de bord.Afficher des percentiles ou une moyenne dans un graphique
Si vous disposez d'un ensemble de serveurs essentiels à votre réseau, l'affichage du 95e centile du temps de traitement des serveurs dans un graphique peut vous aider à évaluer les difficultés rencontrées par les serveurs. Les percentiles sont des mesures statistiques qui peuvent vous montrer comment un point de données se compare à une distribution totale dans le temps.
Vous ne pouvez afficher les calculs de valeur percentile et de moyenne (moyenne) que dans les graphiques contenant jeu de données ou ensemble d'échantillons métriques. Les métriques du jeu de données sont associées au timing et à la latence, telles que le temps de traitement du serveur et les métriques de temps aller-retour. Les métriques Sampleset fournissent des résumés des métriques temporelles détaillées, telles que le temps de traitement du serveur ventilé par serveur, méthode ou URI.
Quand modification d'un graphique dans l' explorateur de mesures, vous pouvez sélectionner les percentiles ou la moyenne en cliquant sur le lien déroulant situé sous le nom de la métrique du jeu de données ou de l'ensemble d'échantillons, comme illustré dans la figure suivante.
L'explorateur de métriques fournit les calculs suivants pour afficher les percentiles et la moyenne.
- Résumé
-
Pour les métriques du jeu de données, le résumé est une plage qui inclut les valeurs des 95e, 75e, 50e, 25e et 5e percentiles.
Par exemple, chaque ligne d'un graphique en chandelier contient cinq points de données. Si Résumé est sélectionné, le corps principal de la ligne représente la plage comprise entre le 25e percentile et le 75e percentile. Le crochet du milieu représente le 50e percentile (médiane). L'ombre supérieure au-dessus de la ligne du corps représente le 95e percentile. L'ombre inférieure représente le 5e percentile.
Pour les métriques des ensembles d'échantillons, le résumé affiche l'écart type +/-1 et les valeurs moyennes. Dans le graphique en chandelier, le crochet vertical sur la ligne représente la moyenne, tandis que les ombres supérieures et inférieures représentent les valeurs d'écart type.
- Méchant
- La moyenne calculée des données.
- Médiane
- La valeur du 50e percentile d'une métrique d'un ensemble de données.
- Maximum
- La valeur du 100e percentile d'une métrique d'un ensemble de données.
- Minimum
- La valeur du 0e percentile d'une métrique d'un ensemble de données.
- Percentile
- Plage personnalisée de trois ou cinq percentiles pour une métrique d'un ensemble de données.
Afficher une plage personnalisée de percentiles
Vous pouvez afficher une plage personnalisée de trois ou cinq percentiles pour les mesures relatives au temps de traitement du serveur ou au temps de trajet aller-retour. Vous ne pouvez pas afficher de percentiles personnalisés dans un diagramme circulaire ou un graphique dstatus.
Les étapes suivantes vous montrent comment ajouter une plage de percentiles personnalisée à un graphique de tableau de bord existant :
Before you begin
Création d'un graphique et sélectionnez un jeu de données ou ensemble d'échantillons métrique, et enregistrez-la dans un tableau de bord.- Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
- En haut de la page, cliquez sur Tableaux de bord.
-
Lancez le Metric
Explorer pour modifier le graphique en suivant les étapes suivantes :
- Dans le dock du tableau de bord, sélectionnez un tableau de bord contenant le graphique que vous souhaitez modifier.
- Cliquez sur le titre du graphique et sélectionnez Modifier.
- Cliquez Résumé sous le nom de la métrique.
- Sélectionnez Percentile... depuis la liste déroulante.
- Dans le champ Définir les percentiles, tapez un nombre pour chaque valeur de percentile, séparé par une virgule. Par exemple, pour afficher les 10e, 30e et 80e percentiles, tapez 10, 30, 80.
- Cliquez Enregistrer. Votre plage personnalisée est désormais affichée dans le graphique. Vous pouvez basculer entre votre plage personnalisée et d'autres sélections de percentiles, telles que Résumé ou Maximum, à tout moment.
- Cliquez Enregistrer une nouvelle fois pour fermer l'explorateur de métriques.
Filtrez les valeurs aberrantes dans des histogrammes ou des diagrammes thermiques
Les histogrammes et les cartes thermiques affichent une distribution des données. Cependant, les valeurs aberrantes peuvent fausser l'affichage de la distribution dans votre graphique, ce qui rend difficile l'observation de modèles ou de valeurs moyennes. L'option de filtre par défaut pour ces graphiques exclut les valeurs aberrantes de la plage de données et affiche les 5e au 95e percentiles. Vous pouvez modifier le filtre pour afficher l' ensemble des données (minimales et maximales), y compris les valeurs aberrantes, de votre graphique en suivant la procédure suivante.
- Cliquez sur le titre du graphique, puis sélectionnez Modifier pour lancer le explorateur de métriques.
- Cliquez sur Des options onglet.
- Dans la liste déroulante Filtre par défaut de la section Filtres, sélectionnez Min à Max.
- Cliquez Enregistrer pour fermer l'explorateur de métriques.
Modifier les libellés métriques dans la légende d'un graphique
Vous pouvez remplacer l'étiquette métrique par défaut d'un graphique par une étiquette personnalisée. Par exemple, vous pouvez remplacer l'étiquette par défaut, « Network Bytes », par une étiquette personnalisée telle que « Débit ».
Les libellés personnalisés ne s'appliquent qu'aux graphiques individuels. L'étiquette personnalisée d'une métrique sera conservée si vous copiez le graphique sur un autre tableau de bord, si vous partagez un tableau de bord avec un autre utilisateur ou si vous ajoutez de nouvelles mesures à votre graphique.
Toutefois, si vous apportez des modifications à la métrique d'origine, par exemple en mettant à jour le calcul des données (de la médiane au 95e percentile, par exemple) ou en approfondissant la métrique, l'étiquette personnalisée sera automatiquement effacée. L'étiquette est effacée pour éviter toute erreur d'étiquetage ou toute inexactitude potentielle de l'étiquette personnalisée lorsque les données métriques changent.
Voici quelques points à prendre en compte pour modifier le libellé de la légende d'un graphique :
- Pour métriques détaillées, une étiquette personnalisée est
automatiquement ajoutée à toutes les clés affichées dans le graphique. Cependant, vous pouvez
modifier l'ordre de la clé dans l'étiquette en incluant la variable,
CLÉ $:
- Type Erreurs $KEY à afficher Erreurs 172.21.1.1
- Type [$KEY] erreurs à afficher [172.21.1.1] erreurs
- Vous ne pouvez pas modifier les libellés du diagramme à cases, du chandelier, de la carte thermique, du tableau ou des diagrammes d'état.
- Vous ne pouvez pas renommer les libellés de delta métrique ou de ligne de base dynamique.
Before you begin
Création d'un graphique et sélectionnez une métrique.Les étapes suivantes vous montrent comment modifier les libellés métriques dans un graphique de tableau de bord existant :
Ajouter une ligne de base dynamique à un graphique
Les lignes de base dynamiques permettent de faire la distinction entre l'activité normale et l'activité anormale dans les données de votre graphique. Les lignes de base ne sont prises en charge que dans les diagrammes en zones, en chandeliers, en colonnes, en lignes et en courbes.
Le système ExtraHop calcule des lignes de base dynamiques sur la base de données historiques. Pour générer un nouveau point de données sur une ligne de base dynamique, le système calcule la valeur médiane pour une période spécifiée.
Avertissement : | La suppression ou la modification d'une ligne de base dynamique peut entraîner la suppression des données de référence du système. Si aucune ligne de base dynamique n'est référencée par aucun tableau de bord, les données seront supprimées du système afin de libérer les ressources système inutilisées. Vous ne pouvez pas récupérer une ligne de base dynamique une fois qu'elle a été supprimée. |
Sélectionnez le type de référence le mieux adapté à votre environnement. Par exemple, si vous constatez régulièrement des changements spectaculaires d'un jour à l'autre, sélectionnez une base horaire de référence qui compare l'activité observée certains jours de la semaine. Si l'activité HTTP augmente le samedi, la base de référence de l'heure de la semaine peut vous aider à comparer le pic actuel d' activité HTTP avec le niveau observé les autres samedis à la même heure. Le tableau suivant décrit le mode de calcul de chaque type de référence :
Type de ligne de base | Données historiques | Quelles sont les comparaisons entre les données de référence | Nouveaux points de données de référence ajoutés |
---|---|---|---|
Heure du jour | 10 jours | Valeurs métriques à partir d'une heure donnée de la journée. Par exemple, tous les jours à 14h. | Toutes les heures |
Heure de la semaine | 5 semaines | Valeurs métriques pour une heure donnée un jour précis de la semaine. Par exemple, tous les mercredis à 14h. | Toutes les heures |
Tendance à court terme | 1 heure | Valeurs métriques pour chaque minute en une heure. | Toutes les 30 secondes |
Voici quelques points importants à prendre en compte lors de l'ajout d'une référence à un graphique :
- Les lignes de base dynamiques calculent et stockent les données de référence. Par conséquent, la création d'une ligne de base consomme des ressources système et la configuration d'un trop grand nombre de lignes de base risque de dégrader les performances du système.
- La suppression ou la modification d'une ligne de base dynamique peut supprimer des données de ligne de base dynamique du système.
- Les métriques détaillées, également appelées topnsets, ne sont pas prises en charge. Les mesures relatives à l'ensemble d'échantillons, au taux maximum et au taux minimum ne sont pas non plus prises en charge. Si l'un de ces types de mesures est sélectionné dans votre graphique, vous ne pourrez pas générer de ligne de base dynamique pour ces données.
- Le système ne peut commencer à créer une ligne de base dynamique que si la quantité nécessaire de données historiques est disponible. Par exemple, un Heure du jour la base de référence nécessite 10 jours de données historiques. Si le système ne collecte des données que depuis six jours, la base de référence ne commence à être tracée que lorsqu'il dispose de quatre jours supplémentaires de données.
- Le système ne trace pas rétroactivement une ligne de base dynamique pour les données historiques. Le système trace uniquement une ligne de base dynamique pour les nouvelles données.
- Si deux lignes de base dynamiques identiques existent dans des tableaux de bord distincts, les tableaux de bord réutilisent les données de référence ; toutefois, les lignes de base doivent être identiques. Si vous sélectionnez un nouveau type de ligne de base, la nouvelle ligne de base dynamique ne partagera pas de données avec la ligne de base dynamique précédente.
Les étapes suivantes vous montrent comment ajouter une ligne de base dynamique à un graphique de tableau de bord existant :
Ajouter une ligne de seuil statique à un graphique
L'affichage d'une ligne de seuil statique dans un graphique peut vous aider à déterminer quels points de données sont inférieurs ou supérieurs à une valeur significative.
Par exemple, vous pouvez créer un graphique en courbes pour le temps de traitement du serveur afin de vous aider à surveiller les performances d'une base de données importante dans votre environnement réseau. En ajoutant une ligne de seuil qui définit un accord de niveau de service (SLA) limite de temps de traitement acceptable, vous pouvez voir quand les performances de la base de données ralentissent et résoudre le problème.
Vous pouvez ajouter une ou plusieurs lignes de seuil au fur et à mesure que vous modifier un graphique à l'aide de l'explorateur de métriques. Ces lignes sont locales au graphique et ne sont pas associées à d'autres widgets ou alertes. Les lignes de seuil ne sont disponibles que pour les graphiques de zones, de chandeliers, de colonnes, de lignes, de lignes et de colonnes, ainsi que pour les graphiques d'état.
Les étapes suivantes vous montrent comment ajouter une ligne de seuil statique à un graphique de tableau de bord existant :
Afficher les membres du groupe déquipements dans un graphique
Si vous disposez d'un graphique qui affiche un groupe de dispositifs, vous pouvez consulter les statistiques des principaux appareils du groupe, au lieu de visualiser une seule valeur pour l'ensemble du groupe d'appareils. L'exploration par membre du groupe dans l'explorateur de métriques vous permet de visualiser jusqu'à 20 appareils dans le graphique.
Si le nombre de membres des groupes indiqué dans un graphique est inférieur au nombre de résultats que vous avez indiqué, cela peut être dû au fait que vous avez sélectionné un groupe de groupes intégré comportant un petit nombre d'appareils. Pour les groupes d'équipements intégrés, les appareils sont placés dynamiquement dans un groupe en fonction du type de trafic de protocole auquel ils sont associés ou du rôle qui leur est attribué.
Before you begin
Création d'un graphique qui contient un groupe déquipements comme source sélectionnée. Enregistrez le graphique dans un tableau de bord.Filtres d'expressions régulières
Filtrez les résultats de votre recherche en écrivant des chaînes d'expressions régulières (regex) dans certains champs de recherche du système ExtraHop. Par exemple, vous pouvez filtrer les paramètres d' une clé métrique détaillée, comme un nombre dans une adresse IP. Vous pouvez également filtrer en excluant des clés spécifiques ou une combinaison de clés des graphiques.
- Champs de recherche marqués d'un astérisque
- Cliquez sur l'astérisque pour activer les chaînes regex.
Ce type de champ est disponible sur les pages système suivantes :- Filtrer un tableau d'appareils
- Création de critères de filtrage pour un groupe déquipements dynamique
- Certains champs de recherche avec un opérateur à trois champs
- Cliquez sur le menu déroulant de l'opérateur pour sélectionner l'option regex.
Ce type de champ est disponible sur la page système suivante :- Modification d'un graphique dans l'explorateur de métriques
- Certains champs de recherche avec une infobulle
- Passez le pointeur de la souris sur l'infobulle dans le champ pour voir quand une expression régulière est requise.
Ce type de champ est disponible sur la page système suivante :- Ajouter des relations d'enregistrement à une métrique personnalisée
Le tableau suivant inclut des exemples de syntaxe standard de regex.
Scénario graphique | Filtre Regex | Comment ça marche |
---|---|---|
Comparez les codes d'état HTTP 200 à 404. | (200|404) | Le symbole en forme de barre verticale (|) est l'opérateur OR. Ce filtre correspond 200, ou 404, ou les deux codes de statut. |
Afficher n'importe quel code d'état HTTP contenant un 4. | [41] | Les crochets ([et]) désignent une série de caractères. Le filtre recherche tous les caractères entre crochets, quel que soit leur ordre. Ce filtre correspond à toute valeur contenant un 4 ou un 1. Par exemple, ce filtre peut renvoyer 204, 400, 101, ou 201 codes de statut. |
Afficher tout 500codes d'état HTTP au niveau -level. | ^ [5] | Le symbole du curseur (^) situé entre crochets ([et]) signifie « commence par ». Ce filtre correspond à toute valeur commençant par un 5. Par exemple, ce filtre peut renvoyer 500 et 502 codes de statut. |
Afficher tout 400 et 500codes d'état HTTP au niveau -level. | ^ [45] | Plusieurs valeurs entre crochets ([et]) sont recherchées individuellement, même si elles sont précédées du symbole du curseur (^). Ce filtre ne recherche pas les valeurs commençant par 45, mais correspond à toutes les valeurs commençant par un 4 ou 5. Par exemple, ce filtre peut renvoyer 400, 403, et 500 codes de statut. |
Afficher tous les codes d'état HTTP sauf 200codes d' état de niveau -level. | ^ (? ! 2) | Un point d'interrogation (? ) et point d'exclamation (! ) entre parenthèses spécifient une valeur à exclure. Ce filtre correspond à toutes les valeurs, à l'exception des valeurs commençant par un 2. Par exemple, ce filtre peut renvoyer 400, 500, et 302 codes de statut. |
Afficher n'importe quelle adresse IP avec 187. | 187. | Allumettes 1, 8, et 7 caractères de l'adresse IP. Ce filtre ne renverra pas les adresses IP se terminant par 187, car la période de fin indique que quelque chose doit suivre les valeurs. Si vous souhaitez rechercher le point sous forme de valeur littérale, vous devez le faire précéder d'une barre oblique inverse (\). |
Vérifiez toutes les adresses IP contenant 187.18. | 187 \ ,18. | Allumettes 187.18 et tout ce qui suit. La première période est traitée littéralement car elle est précédée d'une barre oblique inverse (\). La deuxième période est traitée comme un joker. Par exemple, ce filtre renvoie les résultats pour 187.18.0.0, 180.187.0.0, ou 187.180.0.0/16. Ce filtre ne renvoie pas d' adresse se terminant par 187.18, car le caractère générique exige que les caractères suivent les valeurs spécifiées. |
Afficher n'importe quelle adresse IP sauf 187.18.197.150. | ^ (? ! 187 \ .18 \ .197 \ .150) | Correspond à tout sauf 187.18.197.150, où ^(?!) indique la valeur à exclure. |
Excluez une liste d'adresses IP spécifiques. | ^(?!187\.18\.197\.15[012]) | Correspond à tout sauf 187.18.197.150, 187.18.197.151, et 187.18.197.152, où ^(?!) indique la valeur à exclure et les crochets ([et]) indiquent plusieurs valeurs. |
Filtres supplémentaires
Lorsque vous créer une métrique détaillée personnalisée à partir du catalogue de mesures, vous pouvez ajouter une syntaxe regex avancée au champ de recherche des filtres supplémentaires de la section Record Relationships.
La syntaxe regex de ce champ doit répondre aux exigences suivantes :
- Si votre clé contient plusieurs valeurs, votre syntaxe regex doit inclure un
seul groupe de capture. Un groupe de capture est désigné par des parenthèses. Votre groupe de
capture détermine la valeur du filtre.
- Si vous souhaitez renvoyer une valeur spécifique à partir d'une clé métrique détaillée
contenant plusieurs valeurs de champs d'enregistrement, l'expression régulière doit suivre la syntaxe suivante :
CLÉ $ :/ <regex> /
Par exemple, si votre clé métrique détaillée est ipaddr:host:cipher et que vous souhaitez uniquement renvoyer la valeur de l'adresse IP, vous devez saisir ce qui suit :
$KEY : /^ ([^ :] +) : . +/
- Si votre clé contient plusieurs valeurs de champs d'enregistrement, les valeurs sont séparées par un délimiteur spécifié dans le déclencheur qui génère la clé. Le placement des délimiteurs dans votre syntaxe regex doit correspondre aux délimiteurs de la clé de détail. Par exemple, si vous avez une clé avec trois valeurs séparées par un séparateur composé de deux points, les trois valeurs de la clé dans votre syntaxe regex doivent être séparées par deux points.
Conseil : | Si vous souhaitez renvoyer toutes les valeurs des champs d'enregistrement dans une clé métrique détaillée, tapez CLÉ $. Par exemple, si votre clé métrique détaillée est ipaddr:host:cipher, tapez CLÉ $ dans le champ de recherche pour renvoyer les trois valeurs d'enregistrement de ces champs (adresse IP, nom d'hôte et suite de chiffrement SSL). |
Trouvez tous les appareils qui communiquent avec des adresses IP externes
Les étapes suivantes vous montrent comment trouver toutes les adresses IP externes avec lesquelles vos appareils internes communiquent. Vous pouvez ensuite voir si des appareils établissent ou reçoivent des connexions non autorisées depuis d'autres appareils extérieurs à votre réseau.
Conseil : | Par défaut, tout équipement possédant une adresse IP RFC1918 (incluse dans un bloc CIDR 10/8, 172.16/12 ou 192.168/16) que le système ExtraHop découvre automatiquement est classé comme un équipement interne. Étant donné que certains environnements réseau incluent des adresses IP autres que la RFC1918 dans leur réseau interne, vous pouvez spécifier la localité d'une adresse IP sur la page Localités du réseau. |
Surveiller un équipement pour détecter les connexions par adresse IP externes
Si vous disposez d'un serveur d'authentification ou d'une base de données qui ne doit pas se connecter à des adresses IP situées en dehors de votre réseau interne, vous pouvez créer un diagramme de valeurs dans un tableau de bord qui suit les métriques externes acceptées et externes connectées. À partir de votre tableau de bord, vous pouvez ensuite surveiller le nombre de connexions externes pour un équipement spécifique.
Conseil : | Par défaut, tout équipement possédant une adresse IP RFC1918 (incluse dans un bloc CIDR 10/8, 172.16/12 ou 192.168/16) que le système ExtraHop découvre automatiquement est classé comme un équipement interne. Étant donné que certains environnements réseau incluent des adresses IP non conformes à la norme RFC1918 dans leur réseau interne, vous pouvez spécifier la localité d'une adresse IP sur la page Localités du réseau. |
Les étapes suivantes vous montrent comment créer un diagramme de valeurs pour ces métriques TCP , puis comment ajouter le graphique à un tableau de bord.
Que faire ensuite
Partager un tableau de bordComparez les intervalles de temps pour trouver le delta métrique
La comparaison des données métriques entre deux intervalles de temps vous permet de voir la différence, ou le delta, entre les données métriques côte à côte dans le même graphique. Si vous créez une comparaison et naviguez vers une autre zone du système ExtraHop, la comparaison est temporairement désactivée. Lorsque vous revenez à votre page d'origine, la comparaison que vous avez enregistrée est de nouveau activée.
Actifs
Toutes les activités métriques collectées à partir des données de votre réseau sont regroupées de manière logique en sections sur la page Actifs, où vous pouvez naviguer pour trouver les données dont vous avez besoin.
Vidéo : | Consultez la formation associée : Actifs |
Appareils
Les appareils, également appelés actifs et points de terminaison, sont des objets de votre réseau dotés d'une adresse MAC ou d'une adresse IP qui ont été automatiquement découverts et classés par le système ExtraHop. Assignez n'importe quel équipement à un graphique, une alerte ou un déclencheur en tant que source métrique. En savoir plus sur les appareils.
Groupes d'appareils
Groupes d'appareils sont des ensembles de périphériques définis par l'utilisateur qui peuvent être assignés collectivement en tant que source métrique à un graphique, une alerte ou un déclencheur. Tu peux créer un groupe d'équipements dynamique qui ajoute des appareils correspondant à vos critères spécifiés ou vous pouvez créer un groupe dproximatif d'équipements et ajoutez ou supprimez manuellement des appareils. Le système ExtraHop inclut également des groupes d'équipements dynamiques intégrés par rôle et par activité de protocole que vous pouvez attribuer en tant que source métrique. Cliquez sur le lien d'un rôle ou d'un protocole sur la page Appareils pour afficher les statistiques relatives à un groupe d'équipements intégré.
Utilisateurs
La page Utilisateurs affiche la liste de tous les utilisateurs actifs de votre réseau et des appareils auxquels l'utilisateur s'est connecté. Le nom d'utilisateur est extrait du protocole d'authentification, tel que LDAP ou Active Directory. Rechercher les appareils auxquels un utilisateur spécifique a accédé.
Remarque : | Ces utilisateurs ne sont pas associés à des comptes utilisateurs du système ExtraHop. |
Demandes
Les applications sont des conteneurs définis par l'utilisateur qui représentent les systèmes distribués de votre réseau. Créez une application pour afficher toutes les activités métriques associées au trafic de votre site Web : transactions Web, requêtes et réponses DNS et transactions de base de données. Consultez les FAQ sur les candidatures.
Les applications de base qui filtrent les métriques intégrées par activité de protocole peuvent être créé via le système ExtraHop . Les applications complexes qui collectent des métriques personnalisées ou des métriques provenant du trafic non L7 doivent être créé via un déclencheur, qui nécessite du code JavaScript. En savoir plus sur déclencheurs de construction.
Réseaux
Les réseaux sont des sites et des réseaux de flux à partir desquels le système ExtraHop collecte et analyse les données. Les sites incluent un paquet capteurs et flux capteurs. Cliquez sur une entrée pour voir les VLAN associés à un site, ou cliquez sur une entrée pour voir les interfaces associées à un réseau de flux.
Appareils
Le système ExtraHop découvre et classe automatiquement les appareils, également appelés points de terminaison, qui communiquent activement sur votre réseau, tels que les clients, les serveurs, les routeurs, les équilibreurs de charge et les passerelles. Chaque équipement bénéficie du plus haut niveau d'analyse disponible, en fonction de la configuration de votre système.
Le système ExtraHop peut découvrir et suivre les appareils par leur adresse MAC (L2 Discovery) ou par leur adresse IP (L3 Discovery). L'activation de L2 Discovery offre l'avantage de suivre les métriques d'un équipement, même si l' adresse IP est modifiée ou réattribuée via une requête DHCP. Si L3 Discovery est activé, il est important de savoir que les appareils peuvent ne pas avoir de corrélation biunivoque avec les périphériques physiques de votre environnement. Par exemple, si un seul équipement physique possède plusieurs interfaces réseau actives, ce périphérique est identifié comme plusieurs appareils par le système ExtraHop.
Une fois qu'un équipement est découvert, le système ExtraHop commence à collecter des métriques en fonction de niveau d'analyse configuré pour cet équipement. Le niveau d'analyse détermine les types de métriques qui sont générés et les fonctionnalités disponibles pour organiser les données métriques.
Appareils de navigation
Cliquez Actifs depuis le menu supérieur pour afficher les options de recherche et les graphiques qui fournissent des informations sur les appareils actifs découverts sur votre réseau au cours de l'intervalle de temps sélectionné :
- Assistant de recherche AI (nécessite l'accès au module NDR)
- Vous permet de rechercher des appareils avec des questions écrit dans un langage naturel et courant. Assistant de recherche IA doit être activé par l'administrateur ExtraHop.
- champ de recherche standard
- Fournit un filtre pour ajouter des critères rechercher des appareils spécifiques. Cliquez sur le filtre pour modifier les critères de recherche.
- Propositions de recherche
- Fournit des suggestions de recherches qui tirent parti des filtres de recherche qui ont été créés.
- Appareils actifs
- Affiche le nombre total d'appareils découverts par le système ExtraHop au cours de l'intervalle de temps sélectionné. Cliquez sur le numéro pour afficher la liste de tous les appareils découverts. À partir de la liste des appareils actifs, vous pouvez rechercher des appareils spécifiques ou cliquez sur le nom d'un appareil pour afficher les détails de l'équipement sur Page de présentation de l'appareil.
- Nouveaux appareils
- Affiche le nombre d'appareils découverts au cours des cinq derniers jours. Cliquez sur le numéro pour afficher la liste de tous ces appareils.
- Appareils par rôle
- Affiche chaque rôle d'équipement et le nombre d'appareils affectés à chaque rôle actif pendant l'intervalle de temps spécifié. Cliquez sur un rôle d'équipement pour afficher une page intégrée de présentation du groupe d'appareils qui inclut les données métriques, les adresses IP homologues et l'activité du protocole pour ce groupe d'appareils. Vous pouvez également ajouter des critères de filtre supplémentaires et enregistrer le groupe en tant que nouveau groupe dynamique d'équipements.
- Appareils par activité de protocole
- Affiche la liste des activités de protocole détectées sur votre réseau. Cliquez sur le nom d'un protocole ou sur le nombre d'équipements pour afficher une page de présentation des groupes d'appareils intégrée contenant des graphiques métriques spécifiques concernant cette activité de protocole. Cliquez sur une carte d'activités pour voir toutes les connexions d'appareil à appareil. Vous pouvez également ajouter des critères de filtre supplémentaires et enregistrer le groupe en tant que nouveau groupe dynamique d'équipements.
Page de présentation de l'appareil
En cliquant sur le nom d'un équipement, vous pouvez consulter toutes les informations découvertes à son sujet par le système ExtraHop sur la page Aperçu de l'appareil. La page de présentation de l'appareil est divisée en trois sections : un résumé de niveau supérieur, un panneau des propriétés et un panneau d'activité.
Résumé de l'appareil
Le récapitulatif de l'équipement fournit des informations telles que le nom de l'équipement, l' adresse IP ou l'adresse MAC actuelle et le rôle attribué à l'équipement. Si vous regardez depuis un console, le nom du site associé à l'équipement s'affiche également.
- Cliquez Disques pour démarrer un requête d'enregistrement qui est filtré par cet équipement.
- Cliquez Paquets pour démarrer un requête de paquet qui est filtré par cet équipement.
Propriétés de l'appareil
La section des propriétés de l'équipement fournit les attributs et attributions connus suivants pour l'appareil.
- Appareil de grande valeur
- Une icône à valeur élevée apparaît si le système ExtraHop a détecté l' équipement fournissant l'authentification ou les services essentiels ; vous pouvez également spécifier manuellement un équipement comme valeur élevée. Les scores de risque sont augmentés pour les détections sur des appareils à valeur élevée.
- Adresses IP
- Liste des adresses IP observées sur l'équipement à tout moment pendant l'intervalle de temps sélectionné. Si Découverte L2 est activée, la liste peut afficher à la fois les adresses IPv4 et IPv6 qui sont observées simultanément sur l'équipement, ou la liste peut afficher plusieurs adresses IP attribuées via des requêtes DHCP à des moments différents. Un horodateur indique la date à laquelle l'adresse IP a été observée pour la dernière fois sur l'équipement. Cliquez sur une adresse IP pour afficher les autres appareils sur lesquels l'adresse IP a été consultée.
- Adresses IP associées
- Liste des adresses IP, généralement en dehors du réseau, associées à l'équipement à tout moment pendant l'intervalle de temps sélectionné. Par exemple, un client VPN de votre réseau peut être associé à une adresse IP externe sur l'Internet public. Un horodateur indique la date à laquelle l'adresse IP a été associée pour la dernière fois à l'équipement. Cliquez sur une adresse IP associée pour afficher des détails tels que la localisation géographique et les autres appareils auxquels l'adresse IP a été associée.
- Propriétés de l'instance Cloud
-
Les propriétés d'instance cloud suivantes apparaissent pour l'équipement lorsque vous configurez les propriétés via l'API REST :
- Compte Cloud
- Type d'instance cloud
- Cloud privé virtuel (VPC)
- Sous-réseau
- Nom de l'instance Cloud (apparaît dans la propriété Known Alias)
- Description de l'instance Cloud (les métadonnées de l'instance apparaissent automatiquement pour les appareils dans Flow Analysis)
Voir Ajoutez des propriétés d'instance cloud via l'explorateur d'API ExtraHop pour plus d' informations.
- Les utilisateurs
- Liste des utilisateurs authentifiés connectés à l'équipement. Cliquez sur un nom d'utilisateur pour accéder à la page Utilisateurs et voir à quels autres appareils l'utilisateur est connecté.
- Pseudonymes connus
- Une liste d'alternatives
noms des équipements et le programme ou protocole source.
Remarque : Plusieurs noms DNS sont pris en charge. - Matériel et logiciels
- La marque et le modèle du matériel ou du fournisseur de l'équipement et de tous
les systèmes d'exploitation exécutés sur l'appareil.
Le système ExtraHop observe le trafic réseau sur les appareils pour déterminer automatiquement la marque et le modèle du fournisseur, ou vous pouvez attribuer manuellement une nouvelle marque et un nouveau modèle.
Conseil : (Intégration à CrowdStrike (sur RevealX 360 uniquement) Cliquez sur les liens depuis les appareils CrowdStrike pour afficher les détails de l'équipement dans CrowdStrike Falçon et initier le confinement des appareils CrowdStrike qui participent à une détection de sécurité. - Balises
- Le tags attribués à l'équipement. Cliquez sur le nom d'une étiquette pour afficher les autres appareils auxquels la balise est attribuée.
- Vu pour la première et la dernière fois
- Les horodatages entre la première découverte de l'équipement et la date à laquelle l'activité a été observée pour la dernière fois sur l'appareil. NOUVEAU apparaît si l' équipement a été découvert au cours des cinq derniers jours
- Analyse
- Le niveau d' analyse que cet équipement reçoit.
Voici quelques moyens d'afficher et de modifier les propriétés de l'équipement :
- Cliquez Afficher les groupes pour consulter le groupe d'équipements adhésion à l'équipement.
- Cliquez Modifier les propriétés pour afficher ou modifier les propriétés de l'équipement , telles que rôle de l'équipement, des adhésions à des groupes ddevices-équipements, ou étiquettes d'équipement.
- Cliquez Modifier les devoirs pour afficher ou modifier lequel alertes et déclencheurs sont attribués à l' équipement.
Activité de l'appareil
La section sur l'activité de l'équipement fournit des informations sur la manière dont l'équipement communique avec d'autres appareils et sur les détections et les alertes associées à l'appareil.
- Cliquez Trafic pour afficher les graphiques des protocoles et des données homologues,
puis forer
vers le bas sur les métriques des graphiques de trafic.
Remarque : Les graphiques de trafic ne sont pas disponibles si le niveau d'analyse de l'équipement est en mode découverte. Pour activer les cartes de trafic pour l'appareil, placez l'appareil à Analyse avancée ou Analyse standard. - Cliquez Détections pour afficher la liste des détections, puis cliquez sur le nom d'une détection pour afficher les détails de détection.
- Cliquez Appareils similaires pour afficher la liste des appareils présentant un comportement de trafic réseau similaire observé par une analyse d'apprentissage automatique. Des appareils similaires peuvent vous aider à mieux comprendre le comportement normal de l'équipement lors de la recherche de menaces. Cet onglet ne s'affiche que si des appareils similaires sont associés à l'équipement.
- (L'accès au module NPM est requis.) Cliquez Alertes pour afficher la liste des alertes, puis cliquez sur le nom d'une alerte pour afficher les détails de l' alerte. Cet onglet ne s'affiche que si des alertes sont associées à l' équipement.
- Cliquez Appareils homologues pour consulter une carte dveloppement d'activités, qui est une représentation visuelle de l'activité du protocole L4-L7 entre les appareils de votre réseau. À modifier la carte dqu`activités avec des filtres et des étapes supplémentaires, cliquez sur Ouvrir la carte des activités.
Conseil : | Vous pouvez ajouter la page Présentation de l'appareil à un affichage d'activité spécifique à vos favoris
en réglant tab Paramètre d'URL à l'une des valeurs suivantes :
Par exemple, l'URL suivante affiche toujours l'activité de détection pour l'équipement spécifié : https://example-eda/extrahop/#/metrics/devices//0026b94c03810000/overview/&tab=detections |
Détails de l'adresse IP
Entrez une adresse IP dans le champ de recherche global ou cliquez sur un lien d'adresse IP sur la page de présentation de l' appareil pour afficher les détails d'une adresse IP.
Les informations suivantes s'affichent pour une adresse IP détectée sur un équipement :
- Chaque équipement sur lequel l'adresse IP est actuellement observée, quel que soit l'intervalle de temps sélectionné.
- Chaque équipement sur lequel l'adresse IP a été précédemment observée dans l' intervalle de temps sélectionné, y compris l'horodateur à partir duquel l'adresse IP a été vue pour la dernière fois sur l'équipement.
Si Découverte L2 est activé, les adresses IPv4 et IPv6 peuvent être observées simultanément sur l'équipement, ou des adresses IP différentes peuvent être attribuées à l'équipement par DHCP au fil du temps.
Les informations suivantes s'affichent pour une adresse IP associée à un équipement :
- La géolocalisation de l'adresse IP et des liens vers le site Web ARIN Whois.
- Chaque équipement sur lequel l'adresse IP associée a été vue en dehors du réseau à tout moment pendant l'intervalle de temps sélectionné. Par exemple, un client VPN de votre réseau peut être associé à une adresse IP externe sur l'Internet public.
- Tous les services cloud associés à l'adresse IP.
- L'adresse IP de l'équipement telle qu'elle est vue par le système ExtraHop sur votre réseau.
- L'horodateur lorsque l'adresse IP associée a été vue pour la dernière fois sur l'équipement.
Voici quelques méthodes pour consulter des informations supplémentaires sur l'adresse IP et l'équipement :
- Passez le curseur sur le nom d'un équipement pour afficher ses propriétés.
- Cliquez sur le nom d'un équipement pour voir la page de présentation de l'appareil.
- Cliquez Rechercher des enregistrements pour démarrer un requête d'enregistrement qui est filtré par l'adresse IP .
- Cliquez Rechercher des paquets pour démarrer un requête par paquet qui est filtré par cet équipement.
Regroupement d'appareils
Les appareils personnalisés et les groupes d'appareils vous permettent d'agréger les statistiques de vos appareils. Les appareils personnalisés sont des appareils créés par l'utilisateur qui collectent des mesures en fonction de critères spécifiques, tandis que les groupes d'appareils collectent des mesures pour tous les appareils spécifiés d'un groupe. Avec les groupes d'appareils, vous pouvez toujours consulter les statistiques de chaque appareil ou membre du groupe. Les statistiques d'un équipement personnalisé sont collectées et affichées comme s'il s'agissait d'un seul appareil. Vous ne pouvez pas consulter les mesures individuelles des appareils .
Les groupes d'appareils et les appareils personnalisés peuvent agréger dynamiquement les métriques en fonction des critères que vous avez spécifiés. Nous vous recommandons de sélectionner des critères fiables, tels que l'adresse IP, l'adresse MAC, le VLAN, la balise ou le type de l'équipement. Bien que vous puissiez sélectionner les appareils par leur nom, si le nom DNS n'est pas découvert automatiquement, l'équipement n'est pas ajouté.
Groupes d'appareils | Appareils personnalisés | |
---|---|---|
Critères | Comprend :
|
|
Coût de performance | Relativement faible. Étant donné que les groupes d'équipements ne combinent que des métriques déjà calculées, l'effet sur la collecte des métriques est relativement faible. Cependant, le traitement d'un grand nombre de groupes d' appareils comportant un grand nombre d'appareils et des critères complexes prendra plus de temps. | Relativement élevé. Étant donné que les statistiques relatives aux appareils personnalisés sont agrégées en fonction de critères définis par l'utilisateur, un grand nombre d'appareils personnalisés, ou des appareils personnalisés avec des critères extrêmement larges, nécessitent un traitement plus important. Les appareils personnalisés augmentent également le nombre d' objets système pour lesquels les métriques sont validées. |
Afficher les statistiques de chaque équipement | Oui | Non |
Contrôle d'édition pour les utilisateurs à écriture limitée | Oui Utilisateurs avec privilèges d'écriture limités peut créer et modifier des groupes d'équipements. Cette politique de privilèges globale doit être activée dans les paramètres d'administration. |
Non |
Meilleures pratiques | Créez pour les appareils locaux sur lesquels vous souhaitez afficher et comparer les statistiques dans un seul graphique. Les groupes d'appareils peuvent être définis en tant que source métrique. | Créez pour les appareils situés en dehors de votre réseau local ou pour les types de trafic que vous souhaitez organiser en tant que source unique. Par exemple, vous souhaiterez peut-être définir toutes les interfaces physiques d'un serveur comme un seul équipement personnalisé afin de mieux visualiser les statistiques de ce serveur dans son ensemble. |
Appareils personnalisés
Les appareils personnalisés vous permettent de collecter des métriques pour les appareils situés en dehors de votre réseau local ou lorsque vous souhaitez agréger les métriques d'un groupe d'appareils en un seul équipement. Ces appareils peuvent même être des interfaces physiques différentes situées sur le même équipement ; le fait d'agréger les métriques de ces interfaces permet de comprendre plus facilement dans quelle mesure vos ressources physiques sont sollicitées dans leur ensemble, plutôt que par interface.
Vous pourriez créer un équipement personnalisé pour suivre des appareils individuels en dehors de votre domaine de diffusion local ou pour collecter des mesures concernant plusieurs adresses IP connues ou des blocs CIDR à partir d'un site distant ou d'un service cloud. Tu peux collecter des statistiques sur des sites distants pour des appareils personnalisés pour découvrir comment les sites distants consomment les services et pour gagner en visibilité sur le trafic entre les sites distants et un centre de données. Voir le Référence des métriques du protocole pour obtenir la liste complète des statistiques et des descriptions des sites distants.
Une fois que vous avez créé un équipement personnalisé, toutes les métriques associées aux adresses IP et aux ports sont agrégées dans un seul équipement qui collecte les métriques L2-L7. Un seul équipement personnalisé compte comme un seul appareil dans le cadre de votre capacité sous licence pour Analyse avancée ou analyse standard, qui vous permet de ajouter un équipement personnalisé à la liste de surveillance. Tous les déclencheurs ou alertes sont également attribués à l'équipement personnalisé en tant qu' équipement unique.
Bien que les appareils personnalisés regroupent les métriques en fonction de leurs critères définis, les calculs des métriques ne sont pas traités de la même manière que pour les appareils découverts. Par exemple, un déclencheur peut être attribué à un équipement personnalisé qui valide les enregistrements dans un espace de stockage des enregistrements. Toutefois, l'équipement personnalisé n'apparaît ni en tant que client ni en tant que serveur dans les enregistrements de transactions. Le système ExtraHop remplit ces attributs avec l'équipement correspondant aux données de la conversation sur le fil .
Les appareils personnalisés peuvent affecter les performances globales du système. Vous devez donc éviter les configurations suivantes :
- Évitez de créer plusieurs appareils personnalisés pour les mêmes adresses IP ou ports. Les appareils personnalisés configurés selon des critères qui se chevauchent peuvent dégrader les performances du système.
- Évitez de créer un équipement personnalisé pour un large éventail d'adresses IP ou de ports, car cela pourrait dégrader les performances du système.
Si un grand nombre de périphériques personnalisés affecte les performances de votre système, vous pouvez supprimer ou désactiver un équipement personnalisé. Le Discovery ID unique pour l'équipement personnalisé reste toujours dans le système. Voir Créez un équipement personnalisé pour surveiller le trafic des bureaux distants pour vous familiariser avec les appareils personnalisés.
Groupes d'appareils
Un groupe de dispositifs est un ensemble défini par l'utilisateur qui peut vous aider à suivre les métriques sur plusieurs appareils, généralement regroupés selon des attributs partagés tels que l'activité du protocole.
Tu peux créer un groupe d'équipements statique qui vous oblige à ajouter ou à supprimer manuellement un équipement du groupe. Ou vous pouvez créer un groupe d' équipements dynamiques qui inclut des critères qui déterminent quels appareils sont automatiquement inclus dans le groupe. Par exemple, vous pouvez créer un groupe d'équipements dynamique en fonction du temps de découverte des équipements qui ajoute des appareils découverts pendant un intervalle de temps spécifique.
Par défaut, la page Groupe de périphériques inclut les groupes d'équipements dynamiques suivants que vous pouvez remplacer ou supprimer :
- Nouveaux appareils (dernières 24 heures)
- Comprend les ressources et les points de terminaison qui ont été vus pour la première fois par le système ExtraHop au cours des dernières 24 heures.
- Nouveaux appareils (7 derniers jours)
- Comprend les ressources et les points de terminaison qui ont été vus pour la première fois par le système ExtraHop au cours des 7 derniers jours.
Le système ExtraHop inclut également des groupes d'équipements dynamiques intégrés par rôle et par protocole. Vous pouvez attribuer des groupes d'équipements intégrés en tant que source métrique pour des objets tels que des graphiques, des alertes, des déclencheurs et des cartes d'activité. Vous ne pouvez pas remplacer ou supprimer un groupe de dispositifs intégré, mais vous pouvez ajouter des critères de filtre et l'enregistrer en tant que nouveau groupe de dispositifs.
Sur la page Appareils, cliquez sur le nombre d'équipements pour un rôle ou un protocole, tel qu'un contrôleur de domaine ou des clients CIFS, pour afficher la page de présentation du groupe de périphériques. En cliquant sur le filtre en haut de la page, vous pouvez ajouter des critères supplémentaires et mettre à jour les données de page à la demande au lieu de créer un groupe déquipements.
La collecte de métriques avec des groupes d'équipements n'a aucun impact sur les performances. Toutefois, nous vous recommandons prioriser ces groupes par leur importance pour garantir que les bons appareils reçoivent le plus haut niveau d'analyse.
Les groupes d'appareils constituent un bon choix lorsque vous souhaitez appliquer collectivement des appareils en tant que source. Par exemple, vous pouvez collecter et afficher des métriques pour tous vos serveurs Web de production prioritaires dans un tableau de bord.
En créant un groupe d'appareils, vous pouvez gérer tous ces appareils en tant que source métrique unique au lieu de les ajouter à vos graphiques en tant que sources individuelles. Notez toutefois que tous les déclencheurs ou alertes attribués sont attribués à chaque membre du groupe (ou à chaque équipement individuel).
Noms et rôles des appareils
Après la découverte d'un équipement, le système ExtraHop suit l'ensemble du trafic associé à l'équipement afin de déterminer le nom et le rôle de l'équipement.
Noms des appareils
Le système ExtraHop découvre les noms des équipements en surveillant passivement les protocoles de dénomination, notamment DNS, DHCP, NETBIOS et Cisco Discovery Protocol (CDP).
Si aucun nom n'est découvert par le biais d'un protocole de dénomination, le nom par défaut est dérivé des attributs de l' équipement, tels que les adresses MAC et IP. Pour certains appareils découverts lors du flux capteurs, le système ExtraHop attribue des noms en fonction du rôle de l'équipement, comme Internet Gateway ou Amazon DNS Server. Vous pouvez également créer un nom personnalisé ou définir un nom d'instance cloud pour un équipement.
Un équipement peut être identifié par plusieurs noms, qui apparaissent sous la forme d'alias connus sur la page de présentation de l'appareil. Si un équipement porte plusieurs noms, l'ordre de priorité d'affichage est spécifié dans les paramètres d'administration. Vous pouvez effectuer une recherche par n'importe quel nom pour trouver un équipement.
Remarque : | Les noms personnalisés ne sont pas synchronisés entre les systèmes ExtraHop connectés. Par exemple, un nom personnalisé créé sur une sonde n'est pas disponible sur une console connectée. |
Si le nom d'un équipement n'inclut pas de nom d'hôte, le système ExtraHop n'a pas encore observé le trafic du protocole de dénomination associé à cet équipement. Le système ExtraHop n' effectue pas de recherches DNS pour les noms d'équipement.
Rôles des appareils
En fonction du type de trafic associé à l'équipement ou au modèle d'appareil, le système ExtraHop attribue automatiquement un rôle à l'équipement, tel qu'une passerelle, un serveur de fichiers, une base de données ou un équilibreur de charge. Le rôle Autre est attribué aux appareils qui ne peuvent pas être identifiés.
Un seul rôle à la fois peut être attribué à un équipement. Vous pouvez manuellement modifier le rôle d'un équipement, ou le système ExtraHop peut réattribuer un rôle différent si des changements de trafic et de comportement sont observés. Par exemple, si un PC a été transformé en serveur Web, vous pouvez modifier le rôle immédiatement, ou le changement peut être observé au fil du temps et le rôle mis à jour par le système.
Le système ExtraHop identifie les rôles suivants :
Icône | Rôle | Descriptif |
---|---|---|
Appareil personnalisé | Un équipement créé par l'utilisateur qui collecte des métriques en fonction de critères spécifiques. Le système ExtraHop attribue automatiquement ce rôle lorsque vous créer un équipement personnalisé. Vous ne pouvez pas attribuer manuellement le rôle personnalisé à un équipement. | |
Simulateur d'attaque | Un équipement qui exécute un logiciel de simulation de brèche et d'attaque (BAS) pour simuler des attaques sur un réseau. | |
Base de données | Un équipement qui héberge principalement une instance de base de données. | |
Serveur DHCP | Un équipement qui traite principalement l'activité du serveur DHCP. | |
Serveur DNS | Un équipement qui traite principalement l'activité du serveur DNS. | |
Contrôleur de domaine | Un équipement qui agit en tant que contrôleur de domaine pour l'activité des serveurs Kerberos, CIFS et MSRPC. | |
Serveur de fichiers | Un équipement qui répond aux demandes de lecture et d'écriture de fichiers via les protocoles NFS et CIFS/SMB. | |
Pare-feu | Un équipement qui surveille le trafic réseau entrant et sortant et qui bloque le trafic conformément aux règles de sécurité. Le système ExtraHop n'attribue pas automatiquement ce rôle aux appareils. | |
Passerelle | Un équipement qui fait office de routeur ou de passerelle. Le système ExtraHop recherche les appareils associés à un grand nombre d'adresses IP uniques (au-delà d' un certain seuil) lors de l'identification des passerelles. Les noms des équipements de passerelle incluent le nom du routeur tel que Cisco B1B500. Contrairement aux autres Appareils parents L2, vous pouvez ajouter un équipement passerelle à la liste de surveillance pour une analyse avancée. | |
Caméra IP | Un équipement qui envoie des données d'image et de vidéo via le réseau. Le système ExtraHop attribue ce rôle en fonction du modèle d'équipement. | |
Équilibreur de charge | Un équipement qui agit comme un proxy inverse pour distribuer le trafic sur plusieurs serveurs. | |
Dispositif médical | Un équipement conçu pour les besoins de santé et les environnements médicaux. Le système ExtraHop peut attribuer ce rôle si un équipement est d'une marque et d'un modèle médicaux connus ou si l'équipement traite le trafic DICOM. | |
Appareil mobile | Un équipement sur lequel un système d'exploitation mobile est installé, tel qu'iOS ou Android. | |
Passerelle NAT | Un équipement qui fait office de passerelle de traduction d'adresses réseau (NAT). Le système ExtraHop peut attribuer ce rôle si un équipement est associé à au moins quatre familles d'empreintes digitales du système d'exploitation ou à au moins quatre marques et modèles de matériel ou de fournisseurs. Une fois ce rôle attribué à un équipement, les propriétés du logiciel, de la marque et du modèle du matériel et des utilisateurs authentifiés ne s'affichent plus pour l'équipement. | |
PC | Un équipement tel qu'un ordinateur portable, un ordinateur de bureau, une machine virtuelle Windows ou un appareil macOS qui traite le trafic client DNS, HTTP et SSL. | |
Imprimante | Un équipement qui permet aux utilisateurs d'imprimer du texte et des graphiques à partir d'autres appareils connectés. Le système ExtraHop attribue ce rôle en fonction du modèle d'équipement ou du trafic observé sur le mDNS (DNS multicast). | |
Téléphone VoIP | Un équipement qui gère les appels téléphoniques de voix sur IP (VoIP). | |
Client VPN | Un équipement interne qui communique avec une adresse IP distante. Si La découverte des clients VPN est activée, le système ExtraHop attribue automatiquement ce rôle aux appareils internes communiquant avec des adresses IP distantes via une passerelle VPN . Vous ne pouvez pas attribuer manuellement le rôle de client VPN à un équipement. | |
Passerelle VPN | Un équipement qui connecte deux ou plusieurs appareils ou réseaux VPN entre eux pour établir des connexions à distance. Le système ExtraHop attribue ce rôle aux appareils dotés d'un grand nombre de pairs VPN externes si la classification automatique de ce rôle est activée dans le fichier de configuration en cours d'exécution. | |
Scanner de vulnérabilité | Un équipement qui exécute des programmes d'analyseur de vulnérabilités. | |
Serveur proxy Web | Un équipement qui traite les requêtes HTTP entre un équipement et un autre serveur. | |
Serveur Web | Un équipement qui héberge principalement des ressources Web et répond aux requêtes HTTP. | |
Point d'accès Wi-Fi | Un équipement qui crée un réseau local sans fil et projette un signal réseau sans fil vers une zone désignée. Le système ExtraHop attribue ce rôle en fonction du modèle d'équipement. |
Trouvez un équipement
Le système ExtraHop détecte automatiquement les appareils tels que les clients, les serveurs, les routeurs, les équilibreurs de charge et les passerelles qui communiquent activement avec d'autres appareils via le fil. Vous pouvez rechercher un équipement spécifique sur le système, puis consulter les mesures relatives au trafic et au protocole sur une page de protocole.
Il existe plusieurs manières de rechercher un équipement :
- Trouvez des appareils à partir d'une recherche globale
- Trouvez des appareils par détails
- Trouvez des appareils avec AI Search Assistant
- Trouvez des appareils grâce aux recherches suggérées
- Trouvez des appareils par activité de détection
- Trouvez des appareils par activité de protocole
- Trouvez les appareils auxquels un utilisateur spécifique a accédé
- Trouvez des appareils homologues
Trouvez des appareils à partir d'une recherche globale
Vous pouvez rechercher des appareils dans le champ de recherche global en haut de la page. La recherche globale compare un terme de recherche à plusieurs propriétés de l'équipement, telles que le nom d'hôte, l' adresse IP, l'alias connu, le fournisseur, le tag, la description et le groupe d'équipements. Par exemple, si vous recherchez le terme vm, les résultats de la recherche peuvent afficher des appareils qui incluent vm dans le nom de l'appareil, le fournisseur de l'appareil ou l'étiquette de l'appareil.
Trouvez des appareils par détails
Vous pouvez rechercher des appareils en fonction des informations observées sur le réseau, telles que l' adresse IP, l'adresse MAC, le nom d'hôte ou l'activité du protocole. Vous pouvez également rechercher des appareils à l'aide d'informations personnalisées, telles que les étiquettes des appareils.
Le filtre de recherche à trois champs vous permet d'effectuer une recherche par plusieurs catégories à la fois. Par exemple, vous pouvez ajouter des filtres pour le nom de l'équipement, l'adresse IP et le rôle afin d'afficher les résultats pour les appareils qui répondent à tous les critères spécifiés.
Que faire ensuite
- Cliquez sur le nom d'un équipement pour afficher les propriétés et les statistiques de l'appareil sur le Page de présentation de l'appareil.
- Cliquez Création d'un groupe dynamique depuis le coin supérieur droit jusqu'à créer un groupe ddevices-équipements dynamique en fonction des critères de filtrage.
- Cliquez sur le menu de commandes puis sélectionnez PDF ou CSV pour exporter la liste des équipements dans un fichier.
Trouvez des appareils avec AI Search Assistant
AI Search Assistant vous permet de rechercher des appareils contenant des questions rédigées dans un langage naturel courant afin de créer rapidement des requêtes complexes par rapport à la création d'une requête de recherche standard avec les mêmes critères.
Par exemple, si vous tapez « Quels appareils ont un trafic HTTP avec TLS v1.0 ? » , la requête suivante de l'assistant de recherche AI s'affiche :
(Detection Activity where Device Role = As Participant and Type = Deprecated SSL/TLS Versions )
Voici quelques éléments à prendre en compte lors de la recherche d'appareils avec AI Search Assistant :
- Les invites sont mappées de la même manière critères de filtrage des équipements que vous spécifiez lors de la création d'une recherche standard. Le système ExtraHop peut ne pas être en mesure de traiter une requête contenant des demandes d'informations sur l'équipement ne répondant pas aux critères.
- Les instructions peuvent inclure des plages temporelles absolues et relatives, telles que « Lequel de mes appareils a participé à des transferts de données bloqués cette semaine ? ». L' année en cours est appliquée si une année n'est pas incluse dans la date.
- Les instructions doivent être aussi claires et concises que possible et nous vous recommandons d'essayer d' écrire quelques variantes pour optimiser vos résultats.
- Le système ExtraHop peut conserver les instructions des utilisateurs à des fins d'amélioration du produit ; nous vous recommandons de ne pas inclure de données exclusives ou confidentielles dans vos invites.
- Vous p
Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?