Warehouse Analytics : Analyser un rapport sur les activités DNS suspectes

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique décrit le rapport Activité DNS suspecte. La figure suivante affiche la liste des rapports Activité DNS suspecte répertoriant tous les domaines suspects et le risque présenté par chacun de ces domaines.

La figure suivante affiche les différents panneaux contenus dans cette vue.

WA_SuspiciousDNSActivity_report1.png

Contexte

Le rapport Activité DNS suspecte présente les panneaux suivants :

  • Titre du domaine
  • Champs du domaine
  • Histogrammes du domaine

Panneau Titre du domaine

Le panneau Titre du domaine vous permet d'afficher le score de risque, le nom de domaine (par exemple, bitminter.com), l'heure à laquelle le rapport est généré, ainsi que les dates de début et de fin auxquelles le rapport est exécuté.

Remarque : Si le score de risque est supérieur ou égal à 50, le code couleur est rouge ; autrement, il est vert.

WA_SuspiciousDNSActivity_header.png

Panneau Champs du domaine

Le panneau Histogrammes du domaine affiche les champs suivants issus de la base de données Mongo DB.

domain_fields_panel.png

Remarque : Tous les champs remplis dans le panneau Champs de domaine affichent des valeurs basées sur l'exécution.

                                                     
ChampDescription :
Alertes Security AnalyticsNombre d'alertes Security Analytics par réponse.
Répétition IPNombre de paires distinctes pour l'adresse IP et la date, divisées par le nombre global d'adresses IP dans le domaine.
Score brutScore brut.
Nombre de réponsesNombre de réponses DNS (avec les requêtes ignorées).
Racine médiane sur adresse IPMédiane du nombre de racines distinctes par IP renvoyée.
Répétition ASNPourcentage d'ASN affichés quotidiennement sur le total d'adresses IP vues sur le domaine.
Nombre d'adresses IPNombre global d'adresses IP.
Médiane ASN par rép.Médiane du nombre d'ASN par réponse.
Total d'ASNNombre total d'ASN.
Médiane d'utilisateur IPMédiane des IP internes sur les IP du domaine.
Nombre d'IP internesNombre d'adresses IP source à partir desquelles le domaine a été adressé.

Panneau Histogrammes du domaine

Le panneau Histogrammes du domaine affiche l'Histogramme vertical qui décrit les ASN ou pays suspects en bleu foncé.

Histogramme vertical

domain_histograms_panel.png

Afficher un rapport Activité DNS suspecte

Pour afficher un rapport Activité DNS suspecte

  1. Dans le menu Security Analytics, cliquez sur Rapports.

    L'onglet Gérer s'affiche.

  2. Cliquez sur Warehouse Analytics.

    La vue Warehouse Analytics s'affiche.

    Deploy_screen.png

  3. Dans la barre d'outils Warehouse Analytics, cliquez sur Afficher toutes les tâches.

    La liste des tâches, ainsi que leurs nom et heure de planification s'affichent sous l'onglet Vue.

    Remarque : Si aucune liste ne s'affiche, sélectionnez une date dans le calendrier pour afficher la liste des tâches. 

  4. Double-cliquez sur une exécution basée sur l'Activité DNS suspecte. 
    Le rapport d'Activité DNS suspecte pour le domaine s'affiche.

Étapes suivantes 

Exécutez la tâche suivante : Cliquez sur le bouton Examiner pour réviser l'Activité DNS suspecte.

You are here
Table of Contents > Procédures requises > Étape 4. Analyser un rapport Warehouse Analytics > Analyser un rapport sur les activités DNS suspectes

Attachments

    Outcomes