Trouvez un équipement

Le système ExtraHop détecte automatiquement les appareils tels que les clients, les serveurs, les routeurs, les équilibreurs de charge et les passerelles qui communiquent activement avec d'autres appareils via le fil. Vous pouvez rechercher un équipement spécifique sur le système, puis consulter les mesures relatives au trafic et au protocole sur une page de protocole.

Trouvez des appareils à partir d'une recherche globale

Vous pouvez rechercher des appareils dans le champ de recherche global en haut de la page. La recherche globale compare un terme de recherche à plusieurs propriétés de l'équipement, telles que le nom d'hôte, l' adresse IP, l'alias connu, le fournisseur, le tag, la description et le groupe d'équipements. Par exemple, si vous recherchez le terme vm, les résultats de la recherche peuvent afficher des appareils qui incluent vm dans le nom de l'appareil, le fournisseur de l'appareil ou l'étiquette de l'appareil.

  1. Tapez un terme de recherche dans le champ de recherche global en haut de la page.
  2. Cliquez N'importe quel type puis sélectionnez Appareils.
    Les résultats de la recherche sont affichés dans une liste en dessous du champ de recherche. Cliquez Plus de résultats pour faire défiler la liste.

    Les appareils correspondants qui n'ont aucune activité pendant l'intervalle de temps spécifié ont une étiquette Inactive.

    Conseil :Les appareils inactifs pendant plus de 90 jours sont exclus des résultats de recherche globaux. Cependant, vous pouvez immédiatement exclure tous les appareils inactifs depuis moins de 90 jours via les paramètres d'administration.
  3. Cliquez sur le nom d'un équipement pour ouvrir le Page de présentation de l'appareil et consultez les propriétés et les statistiques de l'équipement.

Trouvez des appareils par détails

Vous pouvez rechercher des appareils en fonction des informations observées sur le réseau, telles que l' adresse IP, l'adresse MAC, le nom d'hôte ou l'activité du protocole. Vous pouvez également rechercher des appareils à l'aide d'informations personnalisées, telles que les étiquettes des appareils.

Le filtre de recherche à trois champs vous permet d'effectuer une recherche par plusieurs catégories à la fois. Par exemple, vous pouvez ajouter des filtres pour le nom de l'équipement, l'adresse IP et le rôle afin d'afficher les résultats pour les appareils qui répondent à tous les critères spécifiés.

  1. Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
  2. En haut de la page, cliquez sur Actifs puis cliquez sur Appareils actifs graphique.
  3. Facultatif : Si cela s'affiche, cliquez sur Recherche standard.
  4. Dans le filtre à trois champs, cliquez sur Nom et sélectionnez l'une des catégories suivantes :
    Option Description
    Nom Filtre les appareils en fonction du nom de l'équipement découvert. Par exemple, le nom d'un équipement découvert peut inclure l'adresse IP ou le nom d'hôte.
    Adresse MAC Filtre les appareils en fonction de l'adresse MAC de l'équipement.
    Adresse IP Filtre les appareils par adresse IP au format de bloc IPv4, IPv6 ou CIDR.
    Site Filtre les appareils associés à un site connecté.

    Console uniquement.

    L'heure de la découverte Filtre les appareils découverts automatiquement par le système ExtraHop dans l'intervalle de temps spécifié. Pour plus d'informations, voir Création d'un groupe dproximatif d'équipements en fonction de l'heure de découverte.
    Niveau d'analyse Filtre les appareils par niveau d'analyse, ce qui détermine quelles données et mesures sont collectées pour un équipement.

    Vous ne pouvez pas créer de groupe déquipements dynamique pour les appareils filtrés par niveau d'analyse.

    modèle Filtre les appareils par marque et par nom de modèle. Les conseils suivants peuvent vous aider à trouver le modèle d'équipement que vous souhaitez :
    • Sélectionnez l'opérateur de correspondance exacte (=) pour afficher la liste déroulante des modèles et des ensembles de modèles existants.
    • Sélectionnez l'opérateur de correspondance exacte (=), puis sélectionnez Modèles personnalisés pour filtrer tous les appareils affectés à un ensemble de modèles personnalisé.
    Activité Filtre les appareils en fonction de l'activité de protocole associée à l'équipement. Par exemple, la sélection d'un serveur HTTP renvoie les appareils dont les métriques sont associées au serveur HTTP et tout autre équipement dont le rôle d' équipement est défini sur Serveur HTTP.

    Filtre également les appareils qui ont accepté ou initié une connexion externe, ce qui peut vous aider à déterminer si les appareils sont impliqués dans une activité suspecte.

    Compte Cloud Filtre les appareils en fonction du compte de service cloud associé à l'appareil.
    ID d'instance cloud Filtre les appareils en fonction de l'ID d'instance cloud associé à l'équipement.
    Type d'instance cloud Filtre les appareils en fonction du type d'instance cloud associé à l'équipement.
    Valeur élevée Filtre les appareils considérés comme à valeur élevée parce qu'ils fournissent des services d'authentification, prennent en charge les services essentiels de votre réseau ou sont spécifiés par l'utilisateur comme étant à valeur élevée.
    Actuellement actif Filtre les appareils en fonction de l'activité observée sur un équipement au cours des 30 dernières minutes.
    Type de localité du réseau Filtre les appareils en fonction de toutes les localités du réseau interne ou externe.
    Nom de la localité du réseau Filtre les appareils par nom de localité du réseau.
    Rôle Filtre les appareils en fonction du rôle d'équipement attribué, tel que passerelle, pare-feu, équilibreur de charge et serveur DNS.
    Logiciel Filtre les appareils en fonction du logiciel du système d'exploitation détecté sur l'équipement.
    Sous-réseau Filtre les appareils en fonction du sous-réseau associé à l'équipement.
    Balise Filtre les appareils en fonction de balises d'équipement définies par l'utilisateur.
    Fournisseur Filtre les appareils en fonction du nom du fournisseur de l'équipement, tel que déterminé par la recherche de l'identifiant unique organisationnel (OUI).
    Cloud privé virtuel Filtre les appareils en fonction du VPC associé à l'équipement.
    VLAN Filtre les appareils en fonction de la balise VLAN de l'équipement. Les informations VLAN sont extraites des balises VLAN, si le processus de mise en miroir du trafic les conserve sur le port miroir.

    Disponible uniquement si devices_accross_vlans le réglage est réglé sur False dans le fichier de configuration en cours d'exécution.

    Nom CDP Filtre les appareils en fonction du nom CDP attribué à l'équipement.
    Nom de l'instance de cloud Filtre les appareils en fonction du nom d'instance cloud attribué à l'équipement.
    Nom personnalisé Filtre les appareils en fonction du nom personnalisé attribué à l'équipement.
    Nom DHCP Filtre les appareils en fonction du nom DHCP attribué à l'équipement.
    Nom DNS Filtre les appareils selon n'importe quel nom DNS attribué à l'équipement.
    Nom NetBIOS Filtre les appareils en fonction du nom NetBIOS attribué à l'équipement.
    Activité de détection Filtre les appareils ayant une activité de détection où l'équipement était un participant. Active des critères supplémentaires tels que la catégorie, l'indice de risque et la technique MITRE.
    Remarque :Vous ne pouvez pas créer de groupe dveloppement contenant cette option de critère.
  5. Sélectionnez l'un des opérateurs suivants ; les opérateurs disponibles sont déterminés par la catégorie sélectionnée :
    Option Description
    = Filtre les appareils qui correspondent exactement au champ de recherche de la catégorie sélectionnée.
    Filtre les appareils qui ne correspondent pas exactement au champ de recherche.
    Filtre les appareils qui incluent la valeur du champ de recherche pour la catégorie sélectionnée.
    ≈/ Filtre les appareils qui excluent la valeur du champ de recherche pour la catégorie sélectionnée.
    commence par Filtre les appareils dont le nom commence par la valeur du champ de recherche de la catégorie sélectionnée.
    existe Filtre les appareils qui ont une valeur pour la catégorie sélectionnée.
    n'existe pas Filtre les appareils qui n'ont pas de valeur pour la catégorie sélectionnée.
    correspondre Filtre les appareils qui incluent la valeur du champ de recherche pour la catégorie sélectionnée.
    et Filtre les appareils qui correspondent aux conditions spécifiées dans au moins deux champs de recherche.
    ou Filtre les appareils qui correspondent à au moins une condition spécifiée dans au moins deux champs de recherche.
    pas Filtre les appareils qui ne correspondent pas aux conditions spécifiées dans un champ de recherche.
  6. Dans le champ de recherche, saisissez la chaîne à rechercher ou sélectionnez une valeur dans la liste déroulante. Le type d'entrée est basé sur la catégorie sélectionnée.
    Par exemple, si vous souhaitez rechercher des appareils en fonction de leur nom, saisissez la chaîne à laquelle vous souhaitez faire correspondre dans le champ de recherche. Si vous souhaitez rechercher des appareils en fonction du rôle, sélectionnez-le dans la liste déroulante des rôles.
    Conseil :Selon la catégorie sélectionnée, vous pouvez cliquer sur l'icône Regex dans le champ de texte pour activer la correspondance par expression régulière.

  7. Cliquez Ajouter un filtre.
    La liste des appareils est filtrée selon les critères spécifiés.

Que faire ensuite

  • Cliquez sur le nom d'un équipement pour afficher les propriétés et les statistiques de l'appareil sur le Page de présentation de l'appareil.
  • Cliquez Création d'un groupe dynamique depuis le coin supérieur droit jusqu'à créer un groupe ddevices-équipements dynamique en fonction des critères de filtrage.
  • Cliquez sur le menu de commandes puis sélectionnez PDF ou CSV pour exporter la liste des équipements dans un fichier.

Trouvez des appareils avec AI Search Assistant

AI Search Assistant vous permet de rechercher des appareils contenant des questions écrites dans un langage naturel et courant afin de créer rapidement des requêtes complexes par rapport à la création d'une requête de recherche standard avec les mêmes critères.

Par exemple, si vous tapez « Quels appareils ont un trafic HTTP avec TLS v1.0 ? » , la requête suivante de l'assistant de recherche AI s'affiche :

(Activity = http_client or Activity = http_server) and (Detection Activity where Device Role = any and Type = weak_cipher_individual)

Voici quelques éléments à prendre en compte lors de la recherche d'appareils avec AI Search Assistant :

  • Les invites sont mappées de la même manière critères de filtrage des équipements que vous spécifiez lors de la création d'une recherche standard. Le système ExtraHop peut ne pas être en mesure de traiter une requête contenant des demandes d'informations sur l'équipement ne répondant pas aux critères.
  • Les instructions doivent être aussi claires et concises que possible et nous vous recommandons d'essayer d'écrire quelques variantes pour optimiser vos résultats.
  • Vous pouvez modifier la requête et ajouter des critères de recherche standard pour affiner les résultats.
  • Nous vous recommandons de ne pas inclure de données exclusives ou confidentielles dans vos instructions.

Before you begin

  • Vous devez avoir accès au module NDR.
  • Votre système ExtraHop doit être connecté à ExtraHop Cloud Services.
  • L'assistant de recherche AI doit être activé par votre administrateur ExtraHop.
  1. Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
  2. En haut de la page, cliquez sur Actifs.
  3. Écrivez une invite dans le champ AI Search Assistant ou sélectionnez une invite de recherche suggérée, puis appuyez sur ENTER.
    La sortie de requête de l'assistant de recherche AI et la liste des résultats s'affichent.

  4. Facultatif : Dans la section Requête de l'assistant de recherche AI, cliquez sur l'icône de modification pour ouvrir la fenêtre Filtre avancé et affiner votre requête.
    1. Cliquez sur l'icône Ajouter un filtre et sélectionnez Ajouter un filtre ou Ajouter un groupe de filtres pour spécifier d'autres critères au niveau supérieur ou secondaire du filtre.
      Un nouveau groupe de filtres ajoute des critères au résultat du filtre d'origine. Par exemple, si vous recherchez des clients et des serveurs HTTP qui ont participé à la détection d'une suite de chiffrement faible, vous pouvez ajouter un groupe de filtres pour exclure les détections dont l'indice de risque est inférieur à 30.
    2. Cliquez Enregistrer.
  5. Facultatif : Cliquez Recherche standard et ajoutez des critères issus du filtre à trois champs pour appliquer les deux filtres à la recherche.

Que faire ensuite

  • Cliquez sur le nom d'un équipement pour afficher les propriétés et les statistiques de l'appareil sur le Page de présentation de l'appareil.
  • Cliquez sur le menu de commandes puis sélectionnez PDF ou CSV pour exporter la liste des équipements dans un fichier.

Trouvez des appareils par activité de détection

Vous pouvez rechercher des appareils en fonction des détections associées en ajoutant l'option Critères d' activité de détection à votre filtre de recherche, puis en affinant votre recherche à l'aide de critères tels que les catégories de détection, les scores de risque et les techniques MITRE.

  1. Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
  2. En haut de la page, cliquez sur Actifs puis cliquez sur Appareils actifs graphique.
  3. Facultatif : Cliquez Recherche standard si l'onglet est affiché.
  4. Dans le filtre à trois champs, cliquez sur Nom et sélectionnez Activité de détection.
  5. Cliquez Sélectionnez un article... et sélectionnez l'une des options suivantes :
    Option Description
    En tant que participant Filtre les appareils qui ont participé à une détection.
    En tant que délinquant Filtre les appareils qui n'ont participé à une détection qu'en tant que délinquant.
    En tant que victime Filtre les appareils qui n'ont participé à une détection qu'en tant que victime.
  6. Cliquez Ajouter un filtre.
  7. Facultatif : Pour spécifier des critères d'activité de détection supplémentaires, cliquez sur le filtre que vous venez d' ajouter.


    Le filtre avancé s'ouvre pour afficher les critères MATCH que vous avez ajoutés. Un opérateur WHERE est automatiquement ajouté au niveau secondaire du filtre pour les critères d'activité de détection.

  8. Cliquez Tapez et sélectionnez l'un des critères d' activité de détection suivants :
    Option Description
    État Filtre les détections par statut, par exemple si la détection a été confirmée ou fermée
    Tapez Filtre les détections par type, comme l'exfiltration de données ou les certificats de serveur SSL expirés.
    Catégorie Filtre les détections par catégorie, telle que les attaques, les opérations, le renforcement et les intrusions.
    Technique MITRE Filtre les détections par ID de technique MITRE. Le framework MITRE est une base de connaissances largement reconnue sur les attaques
    Cessionnaire Filtre les détections par l'utilisateur désigné.
    Score de risque Filtre les détections par indice de risque.
    Recommandé Filtre les détections recommandées pour le triage. (module NDR uniquement)
    Voir Filtrage des détections pour plus d'informations sur les critères d'activité de détection.
  9. Facultatif : Cliquez sur l'icône Ajouter un filtre et sélectionnez Ajouter un filtre ou Ajouter un groupe de filtres pour spécifier d'autres critères au niveau supérieur ou secondaire du filtre.
    Un nouveau groupe de filtres ajoute des critères au résultat du filtre d'origine. Par exemple, si vous recherchez des appareils qui ont agi en tant que contrevenant dans des détections de catégories d'exfiltration, vous pouvez ajouter un groupe de filtres pour exclure les détections dont le statut est fermé de ces résultats.
  10. Cliquez Enregistrer.

Que faire ensuite

  • Cliquez sur le nom d'un équipement pour afficher les propriétés et les statistiques de l'appareil sur le Page de présentation de l'appareil.
  • Cliquez sur le menu de commandes puis sélectionnez PDF ou CSV pour exporter la liste des équipements dans un fichier.

Trouvez des appareils par activité de protocole

La page Appareils affiche tous les protocoles qui communiquent activement sur le système ExtraHop pendant l'intervalle de temps sélectionné. Vous pouvez rapidement localiser un équipement associé à un protocole ou découvrir un équipement hors service qui communique toujours activement via un protocole.

Dans l'exemple suivant, nous vous montrons comment rechercher un serveur Web dans le groupe de serveurs HTTP.
  1. Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
  2. En haut de la page, cliquez sur Actifs.
  3. Dans le graphique d'activité des appareils par protocole, cliquez sur le nombre de serveurs HTTP, comme indiqué dans la figure suivante.
    Remarque :Si vous ne trouvez pas le protocole souhaité, il se peut que le système ExtraHop n'ait pas observé ce type de trafic de protocole sur le fil pendant l'intervalle de temps spécifié, ou que le protocole nécessite une licence de module. Pour plus d'informations, consultez le Je ne vois pas le trafic de protocole auquel je m'attendais ? section de la FAQ sur les licences.
    La page affiche les mesures de trafic et de protocole associées au groupe de serveurs HTTP.
  4. En haut de la page, cliquez sur Membres du groupe.
    La page affiche un tableau contenant tous les périphériques qui ont envoyé des réponses HTTP par câble pendant l'intervalle de temps sélectionné.
  5. Dans le tableau, cliquez sur le nom d'un équipement.
    La page affiche les mesures de trafic et de protocole associées à cet équipement, comme dans l'image suivante.

Trouvez les appareils auxquels un utilisateur spécifique a accédé

Sur la page Utilisateurs, vous pouvez voir les utilisateurs actifs et les appareils auxquels ils se sont connectés au système ExtraHop pendant l'intervalle de temps spécifié.

Conseil :Vous pouvez également rechercher des utilisateurs à partir du champ de recherche global en haut de la page.

Cette procédure vous montre comment effectuer une recherche à partir de la page Utilisateurs.

  1. Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
  2. En haut de la page, cliquez sur Actifs puis cliquez sur Utilisateurs graphique.
  3. Dans la barre de recherche, sélectionnez l'une des catégories suivantes dans la liste déroulante :
    Option Description
    Nom d'utilisateur Effectuez une recherche par nom d'utilisateur pour savoir à quels appareils l'utilisateur a accédé. Le nom d'utilisateur est extrait du protocole dauthentification, tel que LDAP ou Active Directory.
    Protocole Effectuez une recherche par protocole pour savoir quels utilisateurs ont accédé à des appareils communiquant via ce protocole.
    Nom de l'appareil Effectuez une recherche par nom d'équipement pour savoir quels utilisateurs ont accédé à l' appareil.
  4. Sélectionnez l'un des opérateurs suivants dans la liste déroulante :
    Option Description
    = Recherchez un nom ou un équipement correspondant exactement au champ de texte.
    Recherchez des noms ou des appareils qui ne correspondent pas exactement au champ de texte.
    ≈ (par défaut) Recherchez un nom ou un équipement qui inclut la valeur du champ de texte.
    ≈/ Recherchez un nom ou un équipement qui exclut la valeur du champ de texte.
  5. Dans le champ de texte, saisissez le nom de l'utilisateur ou de l'équipement que vous souhaitez associer ou exclure.
    La page Utilisateurs affiche une liste de résultats similaire à la figure suivante :

  6. Cliquez sur le nom d'un équipement pour ouvrir le Page de présentation de l'appareil et visualisez tous les utilisateurs qui ont accédé à l'équipement pendant l'intervalle de temps spécifié.

Trouvez des appareils homologues

Si vous voulez savoir quels appareils communiquent activement entre eux, vous pouvez effectuer une recherche par IP homologue depuis la page de protocole d'un appareil ou d'un groupe déquipements.

Quand tu explorer vers le bas par adresse IP homologue, vous pouvez consulter une liste de périphériques homologues, consulter les mesures de performance ou de débit associées aux périphériques homologues, puis cliquer sur le nom d'un équipement homologue pour afficher des mesures de protocole supplémentaires.
  1. Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
  2. En haut de la page, cliquez sur Actifs puis sélectionnez Appareil ou Groupe d'appareils dans le volet de gauche.
  3. Rechercher un équipement ou un groupe dproximatif d'équipements, puis cliquez sur le nom dans la liste des résultats.
  4. Sur la page de présentation de l'équipement ou du groupe dveloppement sélectionné, cliquez sur l'un des liens suivants :
    Option Description
    Pour appareils Cliquez Afficher plus d'adresses IP homologues, situé en bas du tableau des meilleurs pairs.

    Pour les groupes d'équipements Cliquez IP homologues, situé dans la section Détails dans le coin supérieur droit de la page.

    Une liste des appareils homologues s'affiche, ventilés par adresse IP. Vous pouvez examiner les informations relatives aux octets et aux paquets du réseau pour chaque équipement homologue, comme illustré dans la figure suivante.

Last modified 2024-06-04