S'applique À : ThreatSync+ NDR, ThreatSync+ SaaS
Les alertes de stratégie vous informent de l'activité sur votre réseau qui n'est pas autorisée ou qui est inattendue. Lorsque vous configurez les stratégies ThreatSync+ pour refléter les stratégies d'accès de votre organisation, chaque alerte de stratégie que vous recevez indique une violation de stratégie susceptible de constituer une menace pour votre organisation.
Stratégies Par Défaut de ThreatSync+ NDR
Lorsque vous configurez ThreatSync+ NDR pour la première fois, un sous-ensemble de stratégies est activé par défaut. Elles sont identifiées par la marque Niveau 1 et génèrent automatiquement des alertes de stratégie. Parmi plus de 75 stratégies disponibles, 30 sont incluses dans le Niveau 1. Ces alertes de stratégie par défaut reflètent les menaces et les vulnérabilités les plus courantes et les plus faciles à traiter. Pour de plus amples informations, accédez à Stratégies ThreatSync+ NDR de Niveau 1.
Stratégies Par Défaut de ThreatSync+ SaaS
Lorsque vous configurez pour la première fois une intégration ThreatSync+ SaaS avec Microsoft 365, sept stratégies sont activées par défaut. Elles sont identifiées par la marque Niveau 1 et génèrent automatiquement des alertes de stratégie. Pour de plus amples informations, accédez à Stratégies de Niveau 1 pour ThreatSync+ SaaS — Microsoft 365.
Pour les alertes de stratégie basées sur l'apprentissage machine, ThreatSync+ élabore une référence d'activité et génère une alerte de stratégie uniquement lorsque le trafic varie par rapport à cette référence. Si vous recevez trop d'alertes de stratégie ou si vous souhaitez modifier la sensibilité des menaces, vous pouvez affiner vos stratégies. Pour de plus amples informations, accédez à Affinage d'une Stratégie.
Surveiller les Alertes de Stratégie
Les alertes de stratégie s'affichent sur la page Alertes de Stratégie de ThreatSync+. La page Alertes de Stratégie de ThreatSync+ fournit la liste centralisée des Alertes de Stratégie que les opérateurs peuvent examiner et auxquelles ils peuvent répondre. Pour répondre aux alertes, vous pouvez bloquer manuellement les périphériques ou les accès non autorisés, et affiner vos stratégies de sorte qu'elles ignorent les activités futures escomptées.
Vous pouvez également configurer des notifications par e-mail pour la création d'alertes de stratégie. Pour de plus amples informations, accédez à Configurer les Alertes et les Règles de Notification ThreatSync+.
La page Alertes de Stratégie de ThreatSync+ présente les détails suivants :
- État — État de la stratégie. L'état peut être Active ou Non Active. Si vous cliquez sur Active, l'état devient Non Active et la stratégie est désactivée. Si vous cliquez sur Non Active, l'état devient Active et la stratégie est activée.
- Nom de la Stratégie — Nom de la stratégie. Cliquez sur le nom de la stratégie pour afficher la page Détails de l'Alerte de Stratégie.
- Marques — Marques que vous définissez et appliquez de manière à organiser vos périphériques, sous-réseaux et organisations.
- Indice de Menace — Indice de menace de l'alerte de stratégie. Par défaut, la liste des alertes de stratégie est triée en fonction de l'indice de menace le plus élevé.
- Alertes — Nombre d'alertes de stratégie liées à une stratégie spécifique. Cliquez sur le numéro de l'alerte pour afficher la page Détails de l'Alerte de Stratégie.
- Importance — Une note que vous attribuez pour indiquer la valeur de ce périphérique pour votre organisation. Le niveau d'importance doit refléter l'impact sur votre organisation si ce périphérique est endommagé ou perdu. Cette valeur permet de calculer le niveau de risque d'un actif en conjonction avec la détection avancée des menaces de ThreatSync+.
- Références ATT&CK® — Indique un type et un lien MITRE ATT&CK, le cas échéant.
- Description —Une description de l'alerte de stratégie.
Pour surveiller les alertes de stratégie :
- Sélectionnez Surveiller > ThreatSync+ > Alertes de Stratégie.
La page Alertes de Stratégie de ThreatSync+ s'ouvre. - Pour afficher des alertes de stratégie spécifiques :
- Pour afficher des alertes spécifiques, cliquez sur l'alerte de stratégie concernée. Pour de plus amples informations, accédez à Afficher les Détails de l'Alerte de Stratégie.
Modifier la Plage de Dates
Par défaut, la liste des alertes de stratégie indique les alertes de stratégie des sept derniers jours. Vous pouvez modifier la date de manière à afficher les alertes de stratégie correspondant à d'autres dates.
Pour filtrer la liste des alertes de stratégie par date :
- Cliquez sur une date dans le widget de date pour l'une des périodes suivantes :
- 24 heures
- 7 jours
- 30 jours
- 90 jours
- Personnalisé
- Si vous sélectionnez Personnalisé, spécifiez une date et une heure de début ainsi qu'une date et une heure de fin pour la période personnalisée.
Trier et Filtrer la Liste des Alertes de Stratégie
Par défaut, la liste des alertes de stratégie affiche les alertes de stratégie présentant l'indice de menace le plus élevé, triées par ordre décroissant, de sorte que les alertes de stratégie les plus critiques figurent en tête de liste.
Pour personnaliser les alertes de stratégie affichées, vous pouvez filtrer la liste des stratégies par type d'état, marque ou recherche par mot-clé.
Pour trier la liste des alertes de stratégie, cliquez sur le nom d'une colonne pour trier la liste des alertes de stratégie en fonction de cette colonne.
Pour filtrer la liste des alertes de stratégie :
- Dans la liste déroulante Types d'état, indiquez si vous souhaitez filtrer la liste des alertes de stratégie en fonction de l'état Active ou Non Active, ou les deux.
- Dans la liste déroulante Marques, sélectionnez les marques que vous souhaitez inclure dans les résultats filtrés.
- Dans la zone de texte Filtrer les Alertes de Stratégie, saisissez un mot-clé pour filtrer les résultats.
Afficher les Détails de l'Alerte de Stratégie
Pour afficher de plus amples détails concernant une alerte de stratégie spécifique, cliquez sur le nom de la stratégie.
La page Détails de l'Alerte de Stratégie contient les détails suivants :
- Informations sur les zones source et de destination
- Description de l'alerte de stratégie
- Fonctionnement de l'alerte de stratégie
- Comment affiner l'alerte de stratégie
- Importance
- Indice de menace
- Marques liées à la stratégie
Vous pouvez modifier les détails de configuration de la stratégie à partir de la liste déroulante Affiner les Options de Stratégie :
- Affiner les Déclencheurs d'Activité
- Affiner les Zones Sources
- Affiner les Zones de Destination
Pour de plus amples informations, accédez à Configurer les Stratégies ThreatSync+.
Trois onglets indiquent les informations détaillées des alertes de stratégie :
- Graphiques de Stratégie — Affiche des graphiques qui varient selon le type d'alerte de stratégie. Les détails peuvent inclure la répartition des alertes de stratégie par source, heure, destination et port d'application. Pointez sur le graphique pour afficher les détails et exécuter des actions. Par exemple, cliquez sur Exclure De La Stratégie pour exclure un périphérique d'une stratégie, ou sur Afficher les Détails du Trafic pour afficher les informations du trafic anormal.
- Alertes — Affiche les détails de la zone et de l'indice de menace de l'alerte de stratégie. Vous pouvez filtrer l'onglet de manière à afficher les graphiques de la Zone Source ou de la Zone de Destination, ou filtrer la liste par indice de menace. Cliquez sur le nom de la zone source pour afficher les détails et l'activité du périphérique.
- Commentaires — Affiche l'historique des commentaires liés à l'alerte de stratégie. Cliquez sur Commentaire pour ajouter un commentaire à une alerte de stratégie.
Désactiver une Stratégie
Pour désactiver une stratégie directement à partir de la page Alertes de Stratégie, cliquez sur Active en face du nom de la stratégie de manière à faire passer son état à Non Active.
Configurer les Stratégies ThreatSync+
À Propos des Stratégies et des Zones ThreatSync+