Guide de l'utilisateur du système ExtraHop

Les modules ExtraHop offrent une combinaison de solutions, de composants et de services basés sur le cloud qui offrent de la valeur pour de multiples cas d'utilisation.

Des modules sont disponibles pour la détection et la réponse réseau (NDR) et la surveillance des performances réseau (NPM), avec des modules supplémentaires pour les systèmes de détection d'intrusion (IDS) et l'analyse des paquets.

Les administrateurs peuvent accorder aux utilisateurs un accès basé sur les rôles au module NDR, au module NPM ou aux deux.

Surveillance des performances du réseau

Le module NPM permet aux utilisateurs privilégiés d'effectuer les types de tâches système suivants.

• Affichez, créez et modifiez des tableaux de bord personnalisés. Les utilisateurs peuvent également sélectionner un tableau de bord pour leur page de destination par défaut.
• Configurez les alertes et les notifications par e-mail pour ces alertes.
• Afficher les détections de performances.

Détection et réponse du réseau

Le module NDR permet aux utilisateurs privilégiés d'effectuer les types de tâches système suivants.

• Consultez la page de présentation de la sécurité.
• Afficher les détections de sécurité.
• Affichez, créez et modifiez des enquêtes.
• Consultez les briefings sur les menaces.

Les utilisateurs autorisés à accéder aux deux modules sont autorisés à effectuer toutes ces tâches. Consultez le guide de migration pour en savoir plus sur la migration des utilisateurs vers un accès basé sur les rôles à l'aide de ces modules.

Des modules supplémentaires sont également disponibles pour des cas d'utilisation spécifiques :

Criminalistique des paquets

Le module Packet Forensics peut être combiné au module NDR ou NPM pour fournir une capture, un stockage et une récupération complets des paquets.

Systèmes de détection d'intrusion

Le module IDS doit être associé au module NDR et fournit des détections basées sur des signatures IDS conformes aux normes du secteur.

Les capteurs ExtraHop collectent et stockent plusieurs niveaux d'interaction réseau sous forme de métriques. Les métriques sont des observations agrégées concernant les interactions entre les points de terminaison au fil du temps. Les packetstores collectent et stockent les données brutes transférées entre deux points de terminaison sous forme de paquets. Magasins de disques collectez et stockez des enregistrements, qui sont des informations structurées sur les transactions, les messages et les flux réseau.

Vous pouvez visualiser et interroger toutes ces interactions à partir de capteurs individuels ou d'un console qui est lié à un déploiement complexe de capteurs, de magasins de paquets et de magasins de disques.

Par exemple, lorsqu'un client envoie une requête HTTP à un serveur Web, voici le contenu de chaque type de données :

• Le paquet contient les données brutes qui ont été envoyées et reçues lors de l' interaction.
• L'enregistrement associé contient les métadonnées horodatées relatives à l' interaction : date à laquelle la demande a eu lieu, adresse IP du client et du serveur, URI demandé, éventuels messages d'erreur.
• La métrique associée (requêtes HTTP) contient un agrégat de cette interaction avec les autres interactions observées au cours de la période spécifiée, telles que le nombre de demandes effectuées, le nombre de demandes réussies, le nombre de clients ayant envoyé des demandes et le nombre de serveurs ayant reçu les demandes.

Les métriques et les enregistrements peuvent être personnalisés pour extraire et stocker des métadonnées spécifiques à l'aide de JavaScript déclencheurs. Alors que le système ExtraHop est terminé 4600 métriques intégrées, vous souhaiterez peut-être créer un métrique personnalisée qui collecte et agrège les erreurs 404 uniquement à partir de serveurs Web critiques. Et vous souhaiterez peut-être maximiser votre espace de stockage d'enregistrements uniquement collecte des transactions survenues via un port suspect.

Une fois qu'un équipement est découvert, le système ExtraHop commence à collecter des métriques en fonction du niveau d'analyse configuré pour cet équipement. Tu peux Trouvez un équipement par leur adresse MAC, leur adresse IP ou leur nom (tel qu'un nom d'hôte observé à partir du trafic DNS, le nom NetBIOS, le nom du Cisco Discovery Protocol (CDP), le nom DHCP ou un nom personnalisé que vous avez attribué à l'équipement).

Le système ExtraHop peut découvrir et suivre les appareils par leur adresse MAC (L2 Discovery) ou par leur adresse IP (L3 Discovery). L2 Discovery offre l'avantage de suivre les métriques d'un équipement même si l'adresse IP est modifiée ou réattribuée par le biais d'une requête DHCP. Par défaut, le système ExtraHop est configuré pour L2 Discovery.

Les adresses IPv4 et IPv6 des appareils sont découvertes à partir des messages ARP (Address Resolution Protocol), des réponses du protocole NDP ( Neighbor Discovery Protocol), des diffusions locales ou du trafic de multidiffusion du sous-réseau local. L'adresse MAC et l'adresse IP des appareils apparaissent dans les résultats de recherche sur l'ensemble du système avec les informations relatives à l'équipement.

Découverte L2

Dans L2 Discovery, le système ExtraHop crée une entrée d'équipement pour chaque adresse MAC locale découverte via le fil. Les adresses IP sont mappées à l'adresse MAC, mais les métriques sont stockées avec l'adresse MAC de l'équipement même si l'adresse IP change.

Les adresses IP observées en dehors des domaines de diffusion surveillés localement sont agrégées sur l'un des routeurs entrants de votre réseau. Si un équipement envoie une demande DHCP via un routeur agissant en tant qu'agent de relais DHCP, le système ExtraHop détecte et mappe l'adresse IP à l'adresse MAC de l'équipement. Si l'adresse IP de l'équipement change lors d'une demande ultérieure via l'agent de relais DHCP, le système ExtraHop met à jour son mappage et continue de suivre les métriques de l'équipement par adresse MAC.

L'adresse MAC et l'adresse IP de l'équipement distant sont découvertes.

Si aucun agent de relais DHCP n'est configuré, les périphériques distants peuvent être découverts par leur adresse IP via Découverte L3 à distance.

Découverte L3 à distance

Si le système ExtraHop détecte une adresse IP à laquelle aucun trafic ARP ou NDP n'est associé, cet équipement est considéré comme un équipement distant. Les appareils distants ne sont pas automatiquement découverts, mais vous pouvez ajouter une plage d'adresses IP distantes et découvrir les appareils situés en dehors du réseau local. Une entrée d'équipement est créée pour chaque adresse IP observée dans la plage d' adresses IP distantes. (Les appareils distants ne possèdent pas d'entrées parent L2.)

Seule l'adresse IP de l'équipement distant est découverte.

Voici quelques recommandations concernant le moment où configurer Remote L3 Discovery :

• Les appareils de vos clients se trouvent sur un segment du réseau qui n'est pas directement connecté.
• Votre organisation dispose d'un bureau distant sans système ExtraHop sur site, mais les utilisateurs de ce site accèdent aux ressources du centre de données central qui sont directement surveillées par un système ExtraHop . Les adresses IP du site distant peuvent être découvertes en tant que périphériques.
• Un service cloud ou un autre type de service hors site héberge vos applications distantes et possède une plage d'adresses IP connue. Les serveurs distants compris dans cette plage d'adresses IP peuvent être suivis individuellement.

Le système ExtraHop offre à la fois un apprentissage automatique et des fonctionnalités basées sur des règles détections qui identifient les menaces actives ou potentielles, les faiblesses du réseau vulnérables aux exploits et les configurations sous-optimales susceptibles de dégrader les performances du réseau.

En outre, graphiques, visualisations, et cartes d'activité des équipements permettre une chasse proactive aux menaces.

Le tableau de bord de l'activité réseau vous permet de surveiller les informations générales sur l'activité et les performances des applications depuis le transport via les couches d'application (L4 à L7) de votre réseau.

Chaque graphique du tableau de bord de l'activité réseau contient des visualisations des données métriques du réseau et du protocole qui ont été générées au cours du intervalle de temps sélectionné, organisé par région.

Le tableau de bord Network Activity est un tableau de bord système intégré que vous ne pouvez pas modifier, supprimer ou ajouter à une collection partagée. Cependant, vous pouvez copier un graphique depuis le tableau de bord de l'activité réseau et ajoutez-le à un tableau de bord personnalisé, ou vous pouvez faire une copie du tableau de bord et modifiez-le pour surveiller les indicateurs qui vous concernent.

Les informations suivantes résument chaque région et ses cartes.

Vue d'ensemble du trafic

Vérifiez si les goulots d'étranglement du trafic sont liés à un protocole d'application spécifique ou à la latence du réseau . La région Aperçu du trafic contient les graphiques suivants :

Tableau du débit moyen des paquets réseau par protocole L7: Trouvez le protocole qui a le plus grand volume de transmissions de paquets sur la couche application (L7) pendant l'intervalle de temps sélectionné.

Durée aller-retour du réseau All Activity: La ligne du 95e percentile indique la plage supérieure du temps nécessaire aux paquets pour traverser le réseau. Si cette valeur est supérieure à 250 ms, des problèmes de réseau peuvent ralentir les performances de l'application. Le temps d'aller-retour est une mesure du temps entre le moment où un client ou un serveur a envoyé un paquet et celui où il a reçu un accusé de réception.

Alertes: Consultez jusqu'à 40 des dernières alertes générées, ainsi que leur niveau de gravité. Les alertes sont des conditions configurées par l'utilisateur qui établissent des valeurs de référence pour des mesures de protocole spécifiques.

Protocoles actifs

Observez comment les performances des applications sont affectées par les protocoles qui communiquent activement sur le système ExtraHop. Par exemple, vous pouvez rapidement consulter les graphiques qui indiquent les temps de traitement des serveurs et le rapport entre les erreurs et les réponses par protocole.

Il existe un tableau pour chaque protocole actif. Si vous ne trouvez pas le protocole que vous attendiez, il est possible que les applications ne communiquent pas via ce protocole pour intervalle de temps sélectionné.

Pour plus d'informations sur les protocoles et pour consulter les définitions métriques, consultez le Référence des métriques du protocole ExtraHop.

Le tableau de bord des performances du réseau vous permet de surveiller l'efficacité de la transmission des données sur les couches de liaison de données, de réseau et de transport (L2 à L4).

Chaque graphique du tableau de bord des performances du réseau contient des visualisations des données de performance du réseau qui ont été générées au cours du intervalle de temps sélectionné, organisé par région.

Le tableau de bord Network Performance est un tableau de bord système intégré que vous ne pouvez pas modifier, supprimer ou ajouter à une collection partagée. Cependant, vous pouvez copier un graphique depuis le tableau de bord des performances du réseau et ajoutez le graphique à un tableau de bord personnalisé, ou vous pouvez faire une copie du tableau de bord et modifiez le tableau de bord pour suivre les indicateurs qui vous concernent.

Les informations suivantes résument chaque région.

Métriques du réseau L2

Surveillez les débits sur la couche de liaison de données (L2) par bits et par paquets, et surveillez les types de trames transmises. Vous pouvez également déterminer la quantité de données envoyée aux récepteurs par monodiffusion, diffusion ou distribution multicast.

Métriques du réseau L4

Surveillez la latence du transfert de données sur la couche de transport (L4). Visualisez l'activité TCP par le biais de métriques de connexion, de demande et de réponse. Ces données peuvent indiquer l' efficacité avec laquelle les données sont envoyées et reçues à travers la couche de transport de votre réseau.

Performances du réseau

Surveillez l'impact des performances du réseau sur les applications. Visualisez le débit global du réseau en examinant le débit par protocole d'application et l' ampleur des temps d'aller-retour TCP élevés.

Métriques du réseau L3

Visualisez le débit de données au niveau de la couche réseau (L3) et visualisez les paquets et le trafic par protocoles TCP/IP.

DSCP

Consultez la répartition des paquets et du trafic par points de code Differentiated Services, qui fait partie de l'architecture réseau DiffServ. Chaque paquet IP contient un champ pour exprimer la priorité de la manière dont le paquet doit être traité, ce que l' on appelle les services différenciés. Les valeurs des priorités sont appelées points de code.

Groupes de multidiffusion

Visualisez le trafic envoyé à plusieurs récepteurs lors d'une seule transmission, ainsi que les paquets et le trafic par chaque groupe de récepteurs. Le trafic de multidiffusion sur un réseau est organisé en groupes en fonction des adresses de destination.

Le tableau de bord Security Hardening vous permet de surveiller les informations générales relatives aux menaces de sécurité potentielles sur votre réseau.

Le tableau de bord Security Hardening est un tableau de bord intégré au système que vous ne pouvez pas modifier, supprimer ou ajouter à une collection partagée. Cependant, vous pouvez copier un graphique depuis le tableau de bord Security Hardening et ajoutez-le à tableau de bord personnalisé, ou vous pouvez faire une copie du tableau de bord et modifiez-le pour suivre les statistiques qui vous concernent.

Les informations suivantes résument chaque région et ses graphiques.

Renseignements sur les menaces

Observez le nombre de connexions et de transactions contenant des noms d'hôte, des adresses IP ou des URI suspects trouvés dans renseignement sur les menaces. Cliquez sur une valeur métrique bleue ou sur le nom d'une métrique dans la légende pour accéder à une métrique suspecte. Une page détaillée apparaît avec une icône de caméra rouge à côté de l'objet suspect. Cliquez sur l'icône rouge représentant une caméra pour en savoir plus sur la source de renseignements sur les menaces.

Remarque :

Les métriques de renseignement sur les menaces affichent une valeur nulle pour l'une ou plusieurs des raisons suivantes : Votre abonnement ExtraHop Reveal (x) n'inclut pas de renseignements sur les menaces. Vous n'avez pas activé les renseignements sur les menaces pour votre système ExtraHop Reveal (x). Vous n'avez pas directement chargé de collections de menaces personnalisées sur votre capteurs. Contactez le support ExtraHop pour obtenir de l'aide lors du téléchargement d'une collecte des menaces personnalisée vers votre site géré par ExtraHop capteurs. Aucun objet suspect n'a été trouvé.

SSL - Séances

Observez le nombre de sessions SSL actives avec des suites de chiffrement faibles sur votre réseau. Vous pouvez voir quels clients et serveurs participent à ces sessions ainsi que les suites de chiffrement avec lesquelles ces sessions sont cryptées. Les suites de chiffrement DES, 3DES, MD5, RC4, nulles, anonymes et d'exportation sont considérées comme faibles car elles incluent un algorithme de chiffrement connu pour sa vulnérabilité. Les données chiffrées à l'aide d'une suite de chiffrement faible sont potentiellement dangereuses.

Vous pouvez également observer le nombre de sessions SSL établies avec TLS v1.0 et quels clients participent à ces sessions. Des vulnérabilités connues sont associées à TLS v1.0. Si vous disposez d'un nombre élevé de sessions TLS v1.0, pensez à configurer les serveurs pour qu'ils prennent en charge la dernière version de TLS.

SSL - Certificats

Vérifiez quels certificats SSL de votre réseau sont auto-signés, comportent un caractère générique, ont expiré ou expirent bientôt. Les certificats auto-signés sont signés par l'entité qui les émet, plutôt que par une autorité de certification fiable. Bien que les certificats auto-signés soient moins chers que les certificats émis par une autorité de certification, ils sont également vulnérables aux attaques de type man-in-the-middle.

Un certificat générique s'applique à tous les sous-domaines de premier niveau d'un nom de domaine donné. Par exemple, le certificat générique *.company.com sécurise www.company.com, docs.company.com et customer.company.com. Bien que les certificats génériques soient moins chers que les certificats individuels, les certificats génériques présentent un risque accru s'ils sont compromis, car ils peuvent s'appliquer à un nombre illimité de domaines.

Scans de vulnérabilité

Observez quels appareils analysent les applications et les systèmes de votre réseau afin de détecter les points faibles et les cibles potentielles, tels que les appareils à valeur élevée. Dans le graphique de gauche, vous pouvez identifier les appareils qui envoient le plus de requêtes de numérisation, à savoir les requêtes HTTP associées à une activité d'analyse connue. Dans le graphique de droite, vous pouvez voir quels agents utilisateurs sont associés aux demandes d'analyse. L'agent utilisateur peut vous aider à déterminer si les demandes de scan sont associées à des scanners de vulnérabilités connus tels que Nessus et Qualys.

DNS

Observez les serveurs DNS les plus actifs sur votre réseau et le nombre total d'échecs de recherche DNS inversée rencontrés par ces serveurs. Un échec de recherche DNS inversée se produit lorsqu'un serveur émet une erreur en réponse à une demande d' enregistrement de pointeur (PTR) d'un client. Les échecs des recherches DNS inversées sont normaux, mais une augmentation soudaine ou régulière du nombre de défaillances sur un hôte spécifique peut indiquer qu'un attaquant analyse votre réseau.

Vous pouvez également observer le nombre de requêtes de mappage d'adresses et d'enregistrement de texte sur votre réseau. Une augmentation importante ou soudaine de ces types de requêtes peut indiquer la présence d'un tunnel DNS potentiel.

Le tableau de bord Generative AI vous permet de surveiller le trafic provenant des outils OpenAI sur votre réseau.

Chaque graphique du tableau de bord de Generative AI Tools contient des visualisations du trafic associé au service cloud OpenAI pour des outils tels que ChatGPT. Afficher le trafic généré lors d'une intervalle de temps sélectionné, organisé par région.

Le tableau de bord Generative AI Tools est un tableau de bord système intégré, et vous ne pouvez pas modifier, supprimer ou ajouter des tableaux de bord système à une collection. Cependant, vous pouvez copier un graphique depuis le tableau de bord de Generative AI Tools et ajoutez le graphique à un tableau de bord personnalisé, ou vous pouvez faire une copie du tableau de bord et modifiez le tableau de bord pour suivre les indicateurs qui vous concernent.

Les informations suivantes résument chaque région et ses cartes.

Outils d'IA générative

Surveillez le trafic vers les outils basés sur OpenAI observés sur votre réseau. Découvrez à quel moment le trafic s'est produit, combien de données ont été transférées et quels terminaux internes ont participé.

Le tableau de bord Active Directory vous permet de suivre l'activité du serveur Kerberos pour les comptes d'utilisateurs et d'ordinateurs Active Directory ainsi que pour les services tels que le catalogue global et les politiques de groupe.

Chaque graphique du tableau de bord Active Directory contient des visualisations des données de compte Active Directory qui ont été générées au cours du intervalle de temps sélectionné, organisé par région.

Le tableau de bord Active Directory est un tableau de bord système intégré que vous ne pouvez pas modifier, supprimer ou ajouter à une collection partagée. Cependant, vous pouvez copier un graphique depuis le tableau de bord Active Directory et ajoutez-le à un tableau de bord personnalisé, ou vous pouvez faire une copie du tableau de bord et modifiez-le pour surveiller les indicateurs qui vous concernent.

Les informations suivantes résument chaque région et ses cartes.

Résumé du compte

Observez le nombre de comptes Active Directory dans votre environnement dans les graphiques suivants :

Nombre total de comptes: Nombre total de comptes d'utilisateurs et de comptes d'ordinateurs.

Comptes privilégiés: Nombre total de comptes privilégiés qui se sont connectés avec succès, qui ont reçu une erreur de connexion et qui ont envoyé une demande d'accès au service.

Erreurs d'authentification

Observez le nombre de comptes Active Directory présentant des erreurs d'authentification dans les graphiques suivants :

Erreurs liées au compte utilisateur: Nombre total d'erreurs de connexion au compte utilisateur dues à des mots de passe non valides, à des mots de passe expirés ou à des comptes désactivés. Affiché sous forme de graphique en courbes et de graphique en listes.

Erreurs liées au compte informatique: Nombre total d'erreurs de connexion à un compte d'ordinateur dues à des mots de passe non valides, à des mots de passe expirés ou à des comptes désactivés. Affiché sous forme de graphique en courbes et de graphique en listes.

Erreurs liées au compte: Nombre total d'erreurs, quel que soit le type de compte, dues à des blocages de comptes ou à des erreurs temporelles. Affiché sous forme de graphique en courbes et de graphique en listes.

Détails des erreurs d'authentification

Observez les détails relatifs aux comptes Active Directory présentant des erreurs d'authentification dans les graphiques suivants :

Comptes d'utilisateurs: Noms d'utilisateur associés aux comptes utilisateurs qui n'ont pas réussi à se connecter. Ce graphique indique également le nombre de fois que chaque compte utilisateur a reçu une erreur en raison d'un mot de passe non valide ou d'un compte expiré.

Comptes informatiques: Adresses IP et noms d'hôte des clients associés aux comptes d'utilisateurs qui n'ont pas réussi à se connecter. Ce graphique indique également le nombre de fois que chaque compte utilisateur a reçu une erreur en raison d'un mot de passe non valide ou d'un compte expiré.

Service d'octroi de billets

Observez les données de transaction associées au service d'octroi de tickets Kerberos dans les graphiques suivants :

Transactions: Nombre total de demandes de tickets de service et nombre d'erreurs inconnues liées au nom principal du service (SPN).

Transactions: Nombre total de demandes de tickets de service.

Erreurs SPN inconnues par SPN: Nombre d'erreurs SPN inconnues répertoriées par le SPN à l'origine de l' erreur.

Erreurs SPN inconnues par le client: Nombre d'erreurs SPN inconnues répertoriées par le client ayant reçu l' erreur.

Nombre total d'erreurs SPN inconnues: Nombre total d'erreurs SPN inconnues.

Politique de groupe

Observez les données de transaction CIFS/SMB associées à la politique de groupe dans les graphiques suivants :

Transactions: Nombre total de réponses relatives à la politique de groupe et d' erreurs de stratégie de groupe.

Transactions: Nombre total de réponses de politique de groupe et d'erreurs de politique de groupe, en plus du temps de traitement du serveur nécessaire pour envoyer le premier paquet en réponse après réception du dernier paquet de la demande de politique de groupe.

LDAP

Observez les données des transactions LDAP à l'aide des graphiques suivants :

Transactions: Nombre total de réponses et d'erreurs LDAP.

Transactions: Nombre total de réponses et d'erreurs LDAP, en plus du temps de traitement du serveur nécessaire pour envoyer le premier paquet en réponse après réception du dernier paquet de la demande.

Informations d'identification LDAP non sécurisées : Nombre total de demandes de liaison en texte brut. Affiché sous forme de graphique en courbes et de graphique en listes.

Catalogue mondial

Observez les données de transaction associées au catalogue global dans les graphiques suivants :

Transactions: Nombre total de réponses et d'erreurs dans le catalogue global.

Transactions: Nombre total de réponses et d'erreurs du catalogue global, en plus du temps de traitement du serveur nécessaire pour envoyer le premier paquet en réponse après réception du dernier paquet de la demande de catalogue global.

Enregistrements du service DNS

Observez les données de transaction d'enregistrement du service DNS dans les graphiques suivants :

Transactions: Nombre total de réponses et d'erreurs liées aux enregistrements de service.

Transactions: Nombre total de réponses et d'erreurs d'enregistrement de service, en plus du temps de traitement du serveur nécessaire pour envoyer le premier paquet en réponse après réception du dernier paquet de la demande.

Le tableau de bord System Health fournit une vaste collection de graphiques qui vous permettent de vous assurer que votre système ExtraHop fonctionne comme prévu, de résoudre les problèmes et d' évaluer les domaines qui affectent les performances. Par exemple, vous pouvez surveiller le nombre de paquets traités par le système ExtraHop pour vous assurer que les paquets sont capturés en permanence.

Chaque graphique du tableau de bord des performances du réseau contient des visualisations des données de performance du système qui ont été générées au cours du intervalle de temps sélectionné, organisé par région.

Le tableau de bord System Health est un tableau de bord système intégré que vous ne pouvez pas modifier, supprimer ou ajouter à une collection partagée. Cependant, vous pouvez copier un graphique depuis le tableau de bord System Health et ajoutez-le à un tableau de bord personnalisé, ou vous pouvez faire une copie du tableau de bord et modifiez-le pour surveiller les indicateurs qui vous concernent.

Le tableau de bord d'utilisation du système vous permet de surveiller la façon dont les utilisateurs interagissent avec le système ExtraHop.

Chaque graphique du tableau de bord d'utilisation du système contient des visualisations des interactions des utilisateurs avec le système ExtraHop et des détections qui ont été générées au cours du intervalle de temps sélectionné, organisé par région.

Les informations suivantes résument chaque région et ses cartes.

Utilisateurs d'ExtraHop

Observez l'activité de connexion des utilisateurs et le nombre actuel d'utilisateurs actifs sur le système ExtraHop.

Utilisateurs actifs et connexions: Le nombre de fois que les utilisateurs se sont connectés au système ExtraHop et les instantanés actuels des utilisateurs actifs. Le graphique en courbes affiche les utilisateurs actifs actuels et le graphique à colonnes indique le nombre de connexions utilisateur au fil du temps. Un identifiant est compté chaque fois qu'un utilisateur se connecte au système, y compris les connexions multiples d'un seul utilisateur.

Connexions des utilisateurs les plus populaires: Utilisateurs ayant le plus grand nombre de connexions sur le système ExtraHop au cours de l'intervalle de temps sélectionné.

Utilisateurs actifs et connexions: Le nombre d'utilisateurs actuellement actifs sur le système ExtraHop et le nombre total de connexions utilisateur sur l'intervalle de temps sélectionné.

Tableaux de bord

Observez la fréquence à laquelle les utilisateurs consultent tableaux de bord et quels sont les tableaux de bord les plus consultés.

Vues du tableau de bord: Nombre total de vues du tableau de bord au fil du temps. Une vue de tableau de bord est comptabilisée lorsqu'un tableau de bord apparaît suite à la connexion d'un utilisateur, à un clic ou à une navigation directe via une URL partagée.

Tableaux de bord les plus consultés: Tableaux de bord avec le plus grand nombre de vues.

Total des vues du tableau de bord: Nombre total de vues du tableau de bord sur l' intervalle de temps sélectionné.

Détections

Observez les informations sur détections qui sont générés par le système ExtraHop et la façon dont les utilisateurs consultent et suivi détections.

Vues de détection: Deux valeurs sont affichées dans ce graphique en courbes : Detection List Views compte le nombre de clics sur la liste de détection lorsque groupés par type de détection, et Detection Detail Views compte le nombre de fois qu'un page détaillée de détection apparaît après la connexion d'un utilisateur, un clic ou une navigation directe via une URL partagée. Cliquez sur le nom de l'une des mesures dans la légende pour effectuer une analyse par type de détection.

Détections les plus consultées: Les types de détection les plus consultés au cours de l' intervalle de temps sélectionné.

Nombre total de vues de détection: Les valeurs totales des vues de liste de détection et des vues détaillées de détection sur l'intervalle de temps sélectionné.

Suivi des détections (graphique en courbes): Le nombre de détections clôturées avec ou sans mesures prises, et le nombre d'enquêtes créées au fil du temps.

Suivi des détections (graphique en listes): Le nombre total de détections clôturées avec ou sans action, le nombre d'enquêtes créées et le nombre total de détections dont le statut Reconnu a été défini sur l'intervalle de temps sélectionné. La liste inclut également le nombre de détections actuellement définies sur le statut En cours.

Nombre total de détections fermées: Nombre total de détections clôturées avec ou sans action pendant l'intervalle de temps sélectionné. Les valeurs du nombre total de détections fermées incluent les détections qui ont été masquées une fois le statut de détection défini.

Types de détection

Observez quels types de détection ont été les plus générés par le système ExtraHop et comment les utilisateurs interagissent avec ces détections.

Types de détection les plus consultés: Nombre de vues de liste de détection et de vues détaillées de détection pour les types de détection survenus au cours de l' intervalle de temps sélectionné.

En cliquant sur le nom d'un équipement, vous pouvez afficher toutes les informations découvertes à son sujet par le système ExtraHop sur la page d'aperçu de l'appareil. La page de présentation de l'appareil est divisée en trois sections : un résumé de haut niveau, un panneau de propriétés et un panneau d'activité.

https://example-eda/extrahop/#/metrics/devices//0026b94c03810000/overview/&tab=detections

Les métriques sont des mesures en temps réel du trafic de votre réseau que le système ExtraHop calcule à partir des données du réseau ou des flux. Les mesures collectées à partir du trafic des équipements peuvent être consultées dans des tableaux et des graphiques intégrés à partir d'une page d'équipement.

Cliquez sur une page métrique intégrée dans le volet de gauche pour afficher le niveau supérieur métriques relatives à l'équipement ou client et serveur métriques par protocole. Cliquez sur un graphique pour Afficher les pages métriques détaillées, qui affichent les valeurs métriques d'une clé spécifique (telle qu'une adresse IP de client ou de serveur).

Outre les pages intégrées au réseau et au protocole TCP, les appareils affichent des pages métriques intégrées pour les services cloud associés si des données sont disponibles. Voir le Référence des métriques du protocole pour plus d'informations sur les données disponibles sur les pages d'équipement intégrées.

Le système ExtraHop fournit des milliers de métriques intégrées. Voici quelques moyens d' obtenir des informations supplémentaires sur vos appareils

• Création d'un graphique pour visualiser des indicateurs spécifiques et enregistrer le graphique dans un tableau de bord.
• Création d'une carte dactivitiés pour afficher les relations entre les équipements homologues sur des protocoles spécifiés.
• Écrire un déclencheur pour créer métriques personnalisées ou créez un application conteneur pour collecter des métriques pour des appareils spécifiques.

Entrez une adresse IP dans le champ de recherche global ou cliquez sur un lien d'adresse IP sur la page de présentation de l' appareil pour afficher les détails d'une adresse IP.

Les informations suivantes s'affichent pour une adresse IP détectée sur un équipement :

• Chaque équipement sur lequel l'adresse IP est actuellement observée, quel que soit l'intervalle de temps sélectionné.
• Chaque équipement sur lequel l'adresse IP a été précédemment observée dans l' intervalle de temps sélectionné, y compris l'horodateur à partir duquel l'adresse IP a été vue pour la dernière fois sur l'équipement.

Si Découverte L2 est activé, les adresses IPv4 et IPv6 peuvent être observées simultanément sur l'équipement, ou des adresses IP différentes peuvent être attribuées à l'équipement par DHCP au fil du temps.

Les informations suivantes s'affichent pour une adresse IP associée à un équipement :

• La géolocalisation de l'adresse IP et des liens vers le site Web ARIN Whois.
• Chaque équipement sur lequel l'adresse IP associée a été vue en dehors du réseau à tout moment pendant l'intervalle de temps sélectionné. Par exemple, un client VPN de votre réseau peut être associé à une adresse IP externe sur l'Internet public.
• Tous les services cloud associés à l'adresse IP.
• L'adresse IP de l'équipement telle qu'elle est vue par le système ExtraHop sur votre réseau.
• L'horodateur lorsque l'adresse IP associée a été vue pour la dernière fois sur l'équipement.

Voici quelques méthodes pour consulter des informations supplémentaires sur l'adresse IP et l'équipement :

• Passez le curseur sur le nom d'un équipement pour afficher ses propriétés.
• Cliquez sur le nom d'un équipement pour voir la page de présentation de l'appareil.
• Cliquez Rechercher des enregistrements pour démarrer un requête d'enregistrement qui est filtré par l'adresse IP .
• Cliquez Rechercher des paquets pour démarrer un requête par paquet qui est filtré par cet équipement.

Les appareils personnalisés vous permettent de collecter des métriques pour les appareils situés en dehors de votre réseau local ou lorsque vous souhaitez agréger les métriques d'un groupe d'appareils en un seul équipement. Ces appareils peuvent même être des interfaces physiques différentes situées sur le même équipement ; le fait d'agréger les métriques de ces interfaces permet de comprendre plus facilement dans quelle mesure vos ressources physiques sont sollicitées dans leur ensemble, plutôt que par interface.

Vous pourriez créer un équipement personnalisé pour suivre des appareils individuels en dehors de votre domaine de diffusion local ou pour collecter des mesures concernant plusieurs adresses IP connues ou des blocs CIDR à partir d'un site distant ou d'un service cloud. Tu peux collecter des statistiques sur des sites distants pour des appareils personnalisés pour découvrir comment les sites distants consomment les services et pour gagner en visibilité sur le trafic entre les sites distants et un centre de données. Voir le Référence des métriques du protocole pour obtenir la liste complète des statistiques et des descriptions des sites distants.

Une fois que vous avez créé un équipement personnalisé, toutes les métriques associées aux adresses IP et aux ports sont agrégées dans un seul équipement qui collecte les métriques L2-L7. Un seul équipement personnalisé compte comme un seul appareil dans le cadre de votre capacité sous licence pour Analyse avancée ou analyse standard, qui vous permet de ajouter un équipement personnalisé à la liste de surveillance. Tous les déclencheurs ou alertes sont également attribués à l'équipement personnalisé en tant qu' équipement unique.

Bien que les appareils personnalisés regroupent les métriques en fonction de leurs critères définis, les calculs des métriques ne sont pas traités de la même manière que pour les appareils découverts. Par exemple, un déclencheur peut être attribué à un équipement personnalisé qui valide les enregistrements dans un espace de stockage des enregistrements. Toutefois, l'équipement personnalisé n'apparaît ni en tant que client ni en tant que serveur dans les enregistrements de transactions. Le système ExtraHop remplit ces attributs avec l'équipement correspondant aux données de la conversation sur le fil .

Les appareils personnalisés peuvent affecter les performances globales du système. Vous devez donc éviter les configurations suivantes :

• Évitez de créer plusieurs appareils personnalisés pour les mêmes adresses IP ou ports. Les appareils personnalisés configurés selon des critères qui se chevauchent peuvent dégrader les performances du système.
• Évitez de créer un équipement personnalisé pour un large éventail d'adresses IP ou de ports, car cela pourrait dégrader les performances du système.

Si un grand nombre de périphériques personnalisés affecte les performances de votre système, vous pouvez supprimer ou désactiver un équipement personnalisé. Le Discovery ID unique pour l'équipement personnalisé reste toujours dans le système. Voir Créez un équipement personnalisé pour surveiller le trafic des bureaux distants pour vous familiariser avec les appareils personnalisés.

Un groupe de dispositifs est un ensemble défini par l'utilisateur qui peut vous aider à suivre les métriques sur plusieurs appareils, généralement regroupés selon des attributs partagés tels que l'activité du protocole.

Tu peux créer un groupe d'équipements statique qui vous oblige à ajouter ou à supprimer manuellement un équipement du groupe. Ou vous pouvez créer un groupe d' équipements dynamiques qui inclut des critères qui déterminent quels appareils sont automatiquement inclus dans le groupe. Par exemple, vous pouvez créer un groupe d'équipements dynamique en fonction du temps de découverte des équipements qui ajoute des appareils découverts pendant un intervalle de temps spécifique.

Par défaut, la page Groupe de périphériques inclut les groupes d'équipements dynamiques suivants que vous pouvez remplacer ou supprimer :

Nouveaux appareils (dernières 24 heures)

Comprend les ressources et les points de terminaison qui ont été vus pour la première fois par le système ExtraHop au cours des dernières 24 heures.

Nouveaux appareils (7 derniers jours)

Comprend les ressources et les points de terminaison qui ont été vus pour la première fois par le système ExtraHop au cours des 7 derniers jours.

Le système ExtraHop inclut également des groupes d'équipements dynamiques intégrés par rôle et par protocole. Vous pouvez attribuer des groupes d'équipements intégrés en tant que source métrique pour des objets tels que des graphiques, des alertes, des déclencheurs et des cartes d'activité. Vous ne pouvez pas remplacer ou supprimer un groupe de dispositifs intégré, mais vous pouvez ajouter des critères de filtre et l'enregistrer en tant que nouveau groupe de dispositifs.

Sur la page Appareils, cliquez sur le nombre d'équipements pour un rôle ou un protocole, tel qu'un contrôleur de domaine ou des clients CIFS, pour afficher la page de présentation du groupe de périphériques. En cliquant sur le filtre en haut de la page, vous pouvez ajouter des critères supplémentaires et mettre à jour les données de page à la demande au lieu de créer un groupe déquipements.

La collecte de métriques avec des groupes d'équipements n'a aucun impact sur les performances. Toutefois, nous vous recommandons prioriser ces groupes par leur importance pour garantir que les bons appareils reçoivent le plus haut niveau d'analyse.

Les groupes d'appareils constituent un bon choix lorsque vous souhaitez appliquer collectivement des appareils en tant que source. Par exemple, vous pouvez collecter et afficher des métriques pour tous vos serveurs Web de production prioritaires dans un tableau de bord.

En créant un groupe d'appareils, vous pouvez gérer tous ces appareils en tant que source métrique unique au lieu de les ajouter à vos graphiques en tant que sources individuelles. Notez toutefois que tous les déclencheurs ou alertes attribués sont attribués à chaque membre du groupe (ou à chaque équipement individuel).

Le système ExtraHop découvre les noms des équipements en surveillant passivement les protocoles de dénomination, notamment DNS, DHCP, NETBIOS et Cisco Discovery Protocol (CDP).

Si aucun nom n'est découvert par le biais d'un protocole de dénomination, le nom par défaut est dérivé des attributs de l' équipement, tels que les adresses MAC et IP. Pour certains appareils découverts lors du flux capteurs, le système ExtraHop attribue des noms en fonction du rôle de l'équipement, comme Internet Gateway ou Amazon DNS Server. Vous pouvez également créer un nom personnalisé ou définir un nom d'instance cloud pour un équipement.

Un équipement peut être identifié par plusieurs noms, qui apparaissent sous la forme d'alias connus sur la page de présentation de l'appareil. Si un équipement porte plusieurs noms, l'ordre de priorité d'affichage est spécifié dans les paramètres d'administration. Vous pouvez effectuer une recherche par n'importe quel nom pour trouver un équipement.

Si le nom d'un équipement n'inclut pas de nom d'hôte, le système ExtraHop n'a pas encore observé le trafic du protocole de dénomination associé à cet équipement. Le système ExtraHop n' effectue pas de recherches DNS pour les noms d'équipement.

En fonction du type de trafic associé à l'équipement ou au modèle d'appareil, le système ExtraHop attribue automatiquement un rôle à l'équipement, tel qu'une passerelle, un serveur de fichiers, une base de données ou un équilibreur de charge. Le rôle Autre est attribué aux appareils qui ne peuvent pas être identifiés.

Un seul rôle à la fois peut être attribué à un équipement. Vous pouvez manuellement modifier le rôle d'un équipement, ou le système ExtraHop peut réattribuer un rôle différent si des changements de trafic et de comportement sont observés. Par exemple, si un PC a été transformé en serveur Web, vous pouvez modifier le rôle immédiatement, ou le changement peut être observé au fil du temps et le rôle mis à jour par le système.

Le système ExtraHop identifie les rôles suivants :

Icône	Rôle	Descriptif
	Appareil personnalisé	Un équipement créé par l'utilisateur qui collecte des métriques en fonction de critères spécifiques. Le système ExtraHop attribue automatiquement ce rôle lorsque vous créer un équipement personnalisé. Vous ne pouvez pas attribuer manuellement le rôle personnalisé à un équipement.
	Simulateur d'attaque	Un équipement qui exécute un logiciel de simulation de brèche et d'attaque (BAS) pour simuler des attaques sur un réseau.
	Base de données	Un équipement qui héberge principalement une instance de base de données.
	Serveur DHCP	Un équipement qui traite principalement l'activité du serveur DHCP.
	Serveur DNS	Un équipement qui traite principalement l'activité du serveur DNS.
	Contrôleur de domaine	Un équipement qui agit en tant que contrôleur de domaine pour l'activité des serveurs Kerberos, CIFS et MSRPC.
	Serveur de fichiers	Un équipement qui répond aux demandes de lecture et d'écriture de fichiers via les protocoles NFS et CIFS/SMB.
	Pare-feu	Un équipement qui surveille le trafic réseau entrant et sortant et qui bloque le trafic conformément aux règles de sécurité. Le système ExtraHop n'attribue pas automatiquement ce rôle aux appareils.
	Passerelle	Un équipement qui fait office de routeur ou de passerelle. Le système ExtraHop recherche les appareils associés à un grand nombre d'adresses IP uniques (au-delà d' un certain seuil) lors de l'identification des passerelles. Les noms des équipements de passerelle incluent le nom du routeur tel que Cisco B1B500. Contrairement aux autres Appareils parents L2, vous pouvez ajouter un équipement passerelle à la liste de surveillance pour une analyse avancée.
	Caméra IP	Un équipement qui envoie des données d'image et de vidéo via le réseau. Le système ExtraHop attribue ce rôle en fonction du modèle d'équipement.
	Équilibreur de charge	Un équipement qui agit comme un proxy inverse pour distribuer le trafic sur plusieurs serveurs.
	Dispositif médical	Un équipement conçu pour les besoins de santé et les environnements médicaux. Le système ExtraHop peut attribuer ce rôle si un équipement est d'une marque et d'un modèle médicaux connus ou si l'équipement traite le trafic DICOM.
	Appareil mobile	Un équipement sur lequel un système d'exploitation mobile est installé, tel qu'iOS ou Android.
	Passerelle NAT	Un équipement qui fait office de passerelle de traduction d'adresses réseau (NAT). Le système ExtraHop peut attribuer ce rôle si un équipement est associé à au moins quatre familles d'empreintes digitales du système d'exploitation ou à au moins quatre marques et modèles de matériel ou de fournisseurs. Une fois ce rôle attribué à un équipement, les propriétés du logiciel, de la marque et du modèle du matériel et des utilisateurs authentifiés ne s'affichent plus pour l'équipement.
	PC	Un équipement tel qu'un ordinateur portable, un ordinateur de bureau, une machine virtuelle Windows ou un appareil macOS qui traite le trafic client DNS, HTTP et SSL.
	Imprimante	Un équipement qui permet aux utilisateurs d'imprimer du texte et des graphiques à partir d'autres appareils connectés. Le système ExtraHop attribue ce rôle en fonction du modèle d'équipement ou du trafic observé sur le mDNS (DNS multicast).
	Téléphone VoIP	Un équipement qui gère les appels téléphoniques de voix sur IP (VoIP).
	Client VPN	Un équipement interne qui communique avec une adresse IP distante. Si La découverte des clients VPN est activée, le système ExtraHop attribue automatiquement ce rôle aux appareils internes communiquant avec des adresses IP distantes via une passerelle VPN . Vous ne pouvez pas attribuer manuellement le rôle de client VPN à un équipement.
	Passerelle VPN	Un équipement qui connecte deux ou plusieurs appareils ou réseaux VPN entre eux pour établir des connexions à distance. Le système ExtraHop attribue ce rôle aux appareils dotés d'un grand nombre de pairs VPN externes si la classification automatique de ce rôle est activée dans le fichier de configuration en cours d'exécution.
	Scanner de vulnérabilité	Un équipement qui exécute des programmes d'analyseur de vulnérabilités.
	Serveur proxy Web	Un équipement qui traite les requêtes HTTP entre un équipement et un autre serveur.
	Serveur Web	Un équipement qui héberge principalement des ressources Web et répond aux requêtes HTTP.
	Point d'accès Wi-Fi	Un équipement qui crée un réseau local sans fil et projette un signal réseau sans fil vers une zone désignée. Le système ExtraHop attribue ce rôle en fonction du modèle d'équipement.