S'applique À : ThreatSync+ NDR
ThreatSync+ NDR comprend des stratégies et des zones par défaut que vous pouvez activer et personnaliser.
Lorsque vous activez une stratégie par défaut ou que vous modifiez une stratégie ou une zone par défaut, ThreatSync+ NDR en effectue automatiquement une copie privée. Les mises à jour apportées par WatchGuard à la définition d'une stratégie par défaut que vous avez activée ne modifient pas votre copie. Si vous souhaitez rétablir la définition de la stratégie par défaut, supprimez votre copie de la stratégie. Pour de plus amples informations, accédez à À Propos des Stratégies et des Zones ThreatSync+.
Stratégies par Défaut
ThreatSync+ inclut les stratégies par défaut suivantes :
| Nom de la Stratégie | Catégorie | À partir de la Zone | À destination de la Zone | Description |
|---|---|---|---|---|
| Activité vers les Sites de Réseaux Sociaux | Sites Interdits | Interne | Sites de Réseaux Sociaux | Détecte les communications avec un site de réseaux sociaux interdit. |
| Détecter le trafic Interne en provenance ou à destination de Facebook | Sites Interdits | Interne | Domaines Facebook | Détecte les communications avec Facebook. |
| Active Directory vers Externe | Fuite de Données | Active Directory | Externe | Détecte lorsque les serveurs Active Directory communiquent de manière inappropriée avec le monde extérieur via des ports autres que 53, 80 ou 443. |
| Actif Critique en provenance ou à destination de Facebook | Sites Interdits | Actifs Critiques | Domaines Facebook | Détecte lorsqu'un actif critique communique avec Facebook. |
| Activité entre le Développement et la Production | Actifs Critiques | Développement | Production | Détecte si des systèmes de développement non autorisés communiquent avec des systèmes de production. |
| Activité à destination des Pays Bloqués | Pays Interdits | Interne | Pays Interdits | Détecte le trafic vers les pays de la zone Pays Interdits. |
| Activité Anormale en provenance ou à destination de Pays Bloqués | Pays Interdits | Interne | Pays Interdits | Détecte lorsqu'un événement anormal est détecté alors qu'il communique avec les pays de la zone Pays Interdits. |
| Trafic Telnet Interne à destination d'Actifs Critiques | Actifs Critiques | Interne | Actifs Critiques | Détecte le trafic Telnet non chiffré sur vos systèmes critiques. |
| Détecter les Grands Volumes vers les sites de Partage de Fichiers | Sites Interdits | Interne | Sites de Partage de Fichiers | Détecte l'envoi de plus de 40 K octets à un site de partage de fichiers publics. |
|
Bloquer l'Exfiltration via les Ports Communs |
Actifs Critiques | Externe | Test MITRE ATT&CK | Détecte lorsqu'un actif critique communique avec l'extérieur via des ports communs qui devraient être bloqués par une stratégie. |
|
Bloquer l'Exfiltration via Supprimer les Ports de la Couche de Service |
Actifs Critiques | Externe | Test MITRE ATT&CK | Détecte lorsqu'un actif critique communique avec l'extérieur via des ports de services d'application qui devraient être bloqués par une stratégie. |
|
Trafic Externe vers Externe Imprévu |
Externe | Externe | Trafic Non Autorisé | Détecte la présence de trafic public sur le réseau interne. |
|
RDP d'Externe vers Interne |
Externe | Interne | Périmètre Sécurisé | Détecte l'existence de connexions RDP (Remote Desktop Protocol) entrantes provenant d'une adresse IP externe. |
|
Nouveau RDP d'Externe vers Interne |
Interne | Externe | Périmètre Sécurisé | Détecte les nouvelles connexions RDP entrantes provenant d'une adresse IP externe. Cette stratégie n'est déclenchée que lorsqu'une connexion RDP entrante est détectée à partir d'un système externe récemment découvert. Utilisez cette stratégie au lieu de la stratégie existante RDP d'Externe vers Interne lorsqu'il existe des connexions RDP entrantes périodiques provenant d'un emplacement externe approuvé. |
|
Changement Inhabituel de l'Activité de Conversation |
Toutes les Adresses IP Internes | Tous les Domaines Externes | Activité Inhabituelle | Un changement inhabituel a été détecté dans le profil de l'activité de conversation, comme l'indique le rapport moyen entre le trafic entrant et le trafic sortant. Cela pourrait indiquer qu'un système est utilisé à des fins différentes, intentionnellement ou de manière malveillante. |
|
Connexion à un Nouveau Domaine en provenance d'un Actif Critique |
Actif Critique | Tous les Domaines Externes | Nouvelle Connexion | Un Actif Critique de votre réseau s'est connecté à un domaine pour la première fois. Il peut être inhabituel pour un actif critique d'interagir avec un domaine externe avec lequel il n'a jamais communiqué auparavant. |
|
Durée Inhabituelle de Connexion Sortante |
Toutes les Adresses IP Internes | Toutes les Adresses IP Externes | Trafic Non Autorisé | Une connexion sortante d'une durée anormalement longue a été détectée sur votre réseau. Les connexions longues peuvent indiquer une activité automatisée non autorisée qui pourrait constituer une menace. |
|
Trafic Entrant de Serveur Web à partir d'Internet |
Tous les Domaines Externes | Toutes les Adresses IP Internes | Trafic Non Autorisé | Connexions entrantes détectées sur les ports couramment utilisés par les serveurs web. Il est inhabituel qu'un serveur web fonctionne dans les organisations et sous-réseaux internes configurés. |
|
Changement inhabituel de composition du trafic |
Toutes les Adresses IP Internes | Tous les Domaines Externes | Activité Inhabituelle | Un changement inhabituel a été détecté dans le profil de l'activité du trafic, comme l'indique la taille moyenne des paquets du trafic dans les deux sens. Cela pourrait indiquer qu'un système est utilisé à des fins différentes, intentionnellement ou de manière malveillante. |
|
SSH Sortant Non Autorisé |
Toutes les Adresses IP Internes | Tous les Domaines Externes | Trafic Non Autorisé | Une connexion SSH non autorisée a été détectée entre un périphérique interne et un domaine externe. |
|
Nombre inhabituel de connexions d'Interne vers Externe |
Toutes les Adresses IP Internes | Toutes les Adresses IP Internes | Trafic Non Autorisé | Le nombre de connexions d'une adresse IP interne vers un domaine externe varie considérablement par rapport à l'activité habituelle. Cela pourrait indiquer une activité non autorisée vers une destination inhabituelle. |
| Connexion d'un Nouveau Domaine Externe à Interne | Tous les Domaines Externes | Toutes les Adresses IP Internes | Nouvelle Connexion | Un domaine distant s'est connecté pour la première fois à un périphérique de votre réseau. Il peut être inhabituel que des connexions soient initiées à partir d'un domaine externe, en particulier à partir de périphériques qui ne se sont jamais connectés auparavant. |
| Balisage Via API Web | Toutes les Adresses IP Internes | Toutes les Adresses IP Externes | Commande et Contrôle | Une possible activité de balisage automatisée via un service web tiers a été détectée entre une adresse IP de votre réseau et un emplacement distant. Ce scénario peut indiquer une activité de commande et contrôle non autorisée. |
| Nombre inhabituel de connexions à partir d'Actifs Critiques vers Externe | Actif Critique | Tous les Domaines Externes | Trafic Non Autorisé | Le nombre de connexions d'un Actif Critique vers un domaine externe varie considérablement par rapport à l'activité habituelle. Cela pourrait indiquer une activité non autorisée vers une destination inhabituelle. |
| Durée Inhabituelle de Connexion Entrante | Toutes les Adresses IP Internes | Toutes les Adresses IP Externes | Trafic Non Autorisé | Une connexion entrante d'une durée inhabituellement longue a été détectée à partir d'une adresse IP externe vers un périphérique de votre réseau. Les connexions longues peuvent indiquer une activité automatisée non autorisée qui pourrait constituer une menace. |
| Activité Inhabituellement Élevée d'Actifs Critiques vers Externe | Actif Critique | Tous les Domaines Externes | Fuite de Données | Un volume ou une répartition d'activité anormalement élevé(e) a été détecté(e) entre un Actif Critique et un domaine externe. |
|
Tentatives RDP d'Interne vers Interne |
Toutes les Adresses IP Internes | Toutes les Adresses IP Internes | Activité Inhabituelle | Détecte les tentatives infructueuses d'établissement de sessions RDP au sein de votre réseau entre deux adresses IP internes. |
|
Tentatives RDP d'Externe vers Interne |
Toutes les Adresses IP Externes | Toutes les Adresses IP Internes | Activité Inhabituelle | Détecte les tentatives infructueuses d'établissement de sessions RDP vers votre réseau à partir d'une adresse IP externe. |
| Tentatives SSH d'Interne vers Interne | Toutes les Adresses IP Internes | Toutes les Adresses IP Internes | Activité Inhabituelle | Détecte les tentatives infructueuses d'établissement de sessions SSH au sein de votre réseau entre deux adresses IP internes. |
| Tentatives SSH d'Externe vers Interne | Toutes les Adresses IP Externes | Toutes les Adresses IP Internes | Activité Inhabituelle | Détecte les tentatives infructueuses d'établissement de sessions SSH vers votre réseau à partir d'une adresse IP externe. |
|
Perturbation d'un Service de Sécurité |
Tous les Actifs Internes | Toutes les Organisations Externes | Continuité du Service | Un service de sécurité employé par l'un des nœuds internes a été interrompu. Cette stratégie se déclenche lors de l'événement Perturbation Détectée de l'État d'Activité d'un Service de Sécurité. |
Zones par Défaut
Les zones sont classifiées comme internes ou externes.
Les zones internes comprennent :
- Tous les nœuds internes
- Actifs
- Organisations
- Adresses IP
Les zones externes comprennent :
- Tous les nœuds externes
- Pays
- Localités
- Organisations
- Domaines
- Adresses IP
ThreatSync+ inclut les zones internes suivantes par défaut :
| Nom de la Zone Interne | Type de Zone | Détails | Description |
|---|---|---|---|
| Développement | Actif | La marque est Développement | Tous les actifs auxquels est attribuée la marque Développement. |
| Active Directory | Actif | Le rôle est Active Directory | Tous les actifs auxquels est attribué le rôle ACTIVE_DIRECTORY. |
| Toutes les Adresses IP Internes | Tout | Tous les nœuds identifiés comme Internes. | |
| Actifs Critiques | Actif | La marque est Actif Critique | Tous les actifs auxquels la marque Actif Critique est attribuée. |
| Production | Tout | Tous les actifs auxquels est attribuée la marque Production. | |
| Tous les Actifs Internes | Actif | Tous les actifs définis. |
ThreatSync+ inclut les zones externes suivantes par défaut :
| Nom de la Zone Externe | Type de Zone | Détails | Description |
|---|---|---|---|
| Tous les Domaines Externes | Tout |
Tous les domaines sont considérés comme Externes. |
|
| Toutes les Adresses IP Externes | Tout | Toutes les adresses IP identifiées comme Externes. | |
| Sites de Partage de Fichiers | Domaine | Une liste statique de domaines de partage de fichiers | Une liste de noms de domaine. Pour être détectés, ces noms doivent être valides dans le flux IP2Location utilisé par ThreatSync+. |
| Pays Interdits | Pays | Une liste statique de noms de pays | Une liste de noms de pays. Pour être détectés, ces noms doivent être valides dans le flux IP2Location utilisé par ThreatSync+. |
| Sites de Réseaux Sociaux | Domaine | Une liste statique des domaines des sites de réseaux sociaux | Une liste de noms de domaine. Pour être détectés, ces noms doivent être valides dans le flux IP2Location utilisé par ThreatSync+. |
| Domaine Facebook | Domaine | Une liste statique des domaines appartenant à Facebook | Une liste de noms de domaine. Pour être détectés, ces noms doivent être valides dans le flux IP2Location utilisé par ThreatSync+. |
| Toutes les Organisations Externes | Organisation | Tous les noms d'organisations externes. |