Stratégies ThreatSync+ NDR de Niveau 1

S'applique À : ThreatSync+ NDR

ThreatSync+ NDR inclut plus de 100 stratégies par défaut que vous pouvez activer. Étant donné que certaines stratégies par défaut peuvent ne pas être adaptées à votre réseau ou à vos stratégies de sécurité, la plupart des stratégies par défaut sont désactivées par défaut. Seul un sous-ensemble de stratégies de Niveau 1 sont activées par défaut et génèrent automatiquement des alertes.

Nous vous recommandons de commencer par ces stratégies de Niveau 1 lorsque vous surveillez votre réseau afin de détecter les menaces.

Chaque section de cette rubrique comprend :

  • Description d'une stratégie de Niveau 1
  • Comment la stratégie fonctionne-t-elle pour détecter les menaces ?
  • Comment vous pouvez affiner la stratégie pour qu'elle fonctionne plus efficacement dans votre réseau

Pour de plus amples détails concernant la stratégie de Niveau 1, consultez les sections suivantes :

AA21-356A — Détecter les Attaques Log4Shell Potentielles Ciblant de Nouvelles Organisations Via LDAP ou RMI

Comme le recommande l'Alerte CISA AA21-356A, cette stratégie identifie les activités LDAP et RMI vers des sites qui n'ont jamais été contactés auparavant.

Fonctionnement

La vulnérabilité Log4j, également connue sous le nom de Log4Shell, est une vulnérabilité critique d'exécution de code distant (RCE) touchant certaines versions de la bibliothèque Java Apache Log4j 2. Cette vulnérabilité permet aux attaquants de prendre le contrôle total des systèmes concernés, notamment :

  • Voler des mots de passe et des identifiants
  • Extraire des données
  • Infecter les réseaux avec des logiciels malveillants
  • Lancer un logiciel de rançon

La vulnérabilité est due à une faille liée la méthode de résolution des variables de l'interface Java Naming and Directory Interface (JNDI). Les attaquants peuvent exploiter cette vulnérabilité en soumettant une requête spécialement conçue à un système vulnérable, qui entraîne l'exécution d'un code arbitraire par le système.

Cette requête spécialement conçue établit une connexion shell inversée vers la machine de l'attaquant. Il s'agit de cette connexion que ThreatSync+ NDR surveille lorsque le trafic envoyé sur les ports LDAP ou RMI est destiné à un domaine Internet public avec lequel l'adresse source n'a jamais communiqué auparavant. Ce trafic doit être sortant. La définition de la stratégie inclut tous les ports LDAP et RMI courants (ports 389, 636, 1636, 1099, 1389, 3268 et 3269).

Comment Affiner

Cette alerte peut être un faux positif si vous disposez d'un serveur LDAP ou d'un serveur de Domaine Active Directory dans le cloud public. Si ce scénario est confirmé, vous pouvez exclure ces adresses IP publiques de la stratégie en les ajoutant à la liste d'exclusion de la Zone de Destination. Pour de plus amples informations, accédez à Configurer les Stratégies ThreatSync+.

AA21-356A — Détecter les Attaques Log4Shell Potentielles via LDAP ou RMI

Comme le recommande l'Alerte CISA AA21-356A, cette stratégie identifie les activités LDAP et RMI vers des adresses IP malveillantes connues.

Fonctionnement

Cette stratégie génère une alerte lorsque le trafic envoyé sur les ports LDAP ou RMI (ports 389, 636, 1636, 1099, 1389, 3268 et 3269) est transmis à une adresse IP figurant sur la liste des adresses IP malveillantes de ThreatSync+ NDR. Cette liste est une collection de flux de menaces d'adresses Internet publiques signalées comme malveillantes.

Comment Affiner

Cette stratégie ne nécessite pas d'affinage.

AA21-356A — Détecter un Volume Inhabituel d'activités DNS, LDAP ou RMI En Raison d'Attaques Log4Shell Potentielles

Comme le recommande l'Alerte CISA AA21-356A, cette stratégie permet d'identifier les volumes importants d'activités LDAP et RMI.

Fonctionnement

Cette stratégie génère une alerte lorsqu'un volume excessif de trafic DNS, LDAP ou RMI (ports 53, 389, 636, 1636, 1099, 1389, 3268 ou 3269) quitte le réseau. Ce scénario peut indiquer une attaque Log4J.

Comment Affiner

Cette alerte peut être un faux positif si vous disposez d'un serveur LDAP ou d'un serveur de Domaine Active Directory dans le cloud public. Si ce scénario est confirmé, vous pouvez exclure ces adresses IP publiques de la stratégie. Pour ce faire, ajoutez-les à la liste d'exclusion de la Zone de Destination. Pour de plus amples informations, accédez à Configurer les Stratégies ThreatSync+.

Active Directory vers Externe

Cette stratégie génère des alertes lorsque les serveurs Active Directory communiquent de manière inappropriée avec le monde extérieur via des ports autres que 53, 80, 123 ou 443.

Les Contrôleurs de Domaine Microsoft Active Directory constituent des ressources critiques qui ne doivent pas être utilisées pour les activités générales des utilisateurs. Leur utilisation doit se limiter aux seules activités autorisées connues. Toute activité qui s'en écarte doit générer une alerte.

Fonctionnement

Cette stratégie est configurée de manière à surveiller l'activité sortante via les ports qui ne sont pas couramment utilisés par les fonctions escomptées du Contrôleur de Domaine Microsoft Active Directory. Elle a été conçue pour générer une alerte lorsque des applications rogue sont installées, que des utilisateurs exécutent des applications non autorisées sur la console ou qu'un attaquant a pris le contrôle.

Comment Affiner

De fausses alertes peuvent survenir si une activité autorisée sur le serveur ne correspond pas à la liste des ports de ThreatSync+ NDR. Si vous souhaitez autoriser une application spécifique, vous pouvez l'ajouter à la définition de la stratégie. Si la définition contient un port que vous ne prévoyez pas d'utiliser dans votre environnement, vous pouvez le supprimer de la liste.

Activité entre le Développement et la Production

Cette stratégie génère des alertes lorsque des systèmes de développement non autorisés communiquent avec les systèmes de production. Il s'agit d'un contrôle classique de la Séparation des Tâches qui garantit que les utilisateurs travaillant dans un environnement de développement ne travaillent pas simultanément dans l'environnement de production.

Fonctionnement

La stratégie exige que les zones intégrées Production et Développement soient configurées de sorte de référencer les zones de votre réseau interne hébergeant respectivement les périphériques de développement et de production.

Pour inclure des périphériques dans la Zone Production, appliquez-leur la marque Production. Pour la Zone de Développement, employez la marque Développement.

Si vous n'appliquez pas de marque aux périphériques, cette stratégie ne déclenchera aucune violation. Si la liste de vos périphériques de production et de développement est statique, vous pouvez définir manuellement ces marques ou lors d'une importation en masse des configurations de périphérique.

Comment Affiner

Si vous séparez les environnements de développement et de production au moyen de sous-réseaux distincts, voici ce que nous vous recommandons :

  • Vous configurez ces sous-réseaux en tant qu'organisations internes dans les Paramètres de Configuration des Sous-réseaux et Organisations
  • Vous appliquez les marques Production et Développement à ces organisations
  • Vous modifiez les configurations de la zone de manière à inclure tous les périphériques des organisations qui possèdent ces marques

Pour de plus amples informations, accédez à Configurer les Sous-réseaux et Organisations.

Activité Provenant de Pays à Haut Risque

Cette stratégie génère des alertes pour le trafic en provenance de pays à haut risque à destination des périphériques internes.

Fonctionnement

Cette stratégie génère des alertes lorsque ThreatSync+ NDR détecte une activité de trafic provenant des pays définis dans la zone Pays Interdits et destinée à un périphérique interne.

La zone Pays Interdits contient une liste initiale de pays historiquement à haut risque. Il s'agit notamment de la Chine, de la Russie et d'autres nations que certains gouvernements ont qualifiées de pays soutenant le terrorisme. Les pays à haut risque pour votre environnement peuvent varier. Pour ajouter ou supprimer des pays supplémentaires dans la liste Pays Interdits, modifiez la zone.

Comment Affiner

Cette zone est référencée par plusieurs stratégies. C'est pourquoi si votre liste de pays à haut risque est distincte pour le trafic entrant et sortant, vous pouvez créer une zone distincte pour chacun d'eux et définir la liste des pays interdits avec les définitions de la stratégie.

Pour de plus amples informations, accédez à Gérer les Zones ThreatSync+.

Activité Impliquant des Adresses IP de la Liste de Blocage

Cette stratégie génère des alertes pour le trafic en provenance ou à destination des adresses IP de la liste de blocage.

Fonctionnement

ThreatSync+ NDR gère une liste de blocage des adresses IP publiques à haut risque. Cette liste est mise à jour périodiquement. Cette stratégie compare en permanence les adresses IP de l'ensemble du trafic à la liste de blocage.

Cette stratégie génère des alertes lorsque ThreatSync+ NDR détecte un trafic en provenance ou à destination des adresses IP de la liste de blocage. Cette stratégie surveille l'ensemble du trafic du réseau interne (la zone des périphériques internes) destiné à n'importe quelle adresse IP publique (la zone de tous les domaines externes).

Comment Affiner

S'il existe des sections de votre réseau, par exemple un réseau d'invités ou un accès public, pour lesquelles vous ne souhaitez pas surveiller ce type d'activité, vous pouvez exclure ces sous-réseaux ou ces organisations internes de la zone source.

Étant donné que le flux d'adresses IP de la liste de blocage est géré par ThreatSync+ NDR, vous ne pouvez pas le modifier ou le remplacer directement, mais vous pouvez définir des exceptions dans la stratégie et définir une liste contenant vos propres adresses IP à haut risque, que vous ajouterez ensuite à la zone de destination.

Vous pouvez également créer une stratégie distincte similaire pour votre propre liste de blocage. Pour de plus amples informations, accédez à Gérer les Zones ThreatSync+.

Activité À Destination de Pays à Haut Risque

Cette stratégie génère des alertes pour le trafic provenant de périphériques internes vers les pays à haut risque.

Fonctionnement

Cette stratégie génère des alertes lorsque ThreatSync+ NDR détecte une activité de trafic initiée à partir de votre réseau interne vers des pays définis dans la zone Pays Interdits.

La zone Pays Interdits contient une liste initiale de pays historiquement à haut risque. Il s'agit notamment de la Chine, de la Russie et d'autres nations que certains gouvernements ont qualifiées de pays soutenant le terrorisme.

Comment Affiner

Les pays à haut risque pour votre environnement peuvent varier. Pour ajouter ou supprimer des pays supplémentaires dans la liste Pays Interdits, modifiez la zone.

Cette zone est référencée par plusieurs stratégies. C'est pourquoi si votre liste de pays à haut risque est distincte pour le trafic entrant et sortant, vous pouvez créer une zone distincte pour chacun d'eux et définir la liste des pays Interdits avec les définitions de la stratégie.

Pour de plus amples informations, accédez à Gérer les Zones ThreatSync+.

Activité vers les Sites de Réseaux Sociaux

Cette stratégie génère des alertes lorsqu'une personne communique avec un site de réseau social interdit.

Fonctionnement

Cette stratégie génère des alertes lorsque ThreatSync+ NDR détecte un trafic provenant de votre réseau Interne (zone Tous les Périphériques Internes) à destination d'un domaine de sites web défini dans la zone Sites de Réseaux Sociaux.

Comment Affiner

Si votre organisation n'a pas mis en place de restrictions d'accès aux sites de réseaux sociaux, nous vous recommandons de désactiver cette stratégie.

Si la liste des sites de réseaux sociaux de la zone prédéfinie Sites de Réseaux Sociaux ne correspond pas à votre liste de sites restreints, modifiez la zone de sorte qu'elle corresponde à la liste des domaines non autorisés de votre stratégie d'accès Réseaux Sociaux. Nous vous recommandons également de bloquer ces sites au niveau de votre pare-feu.

Si certaines sections de votre réseau sont autorisées à se connecter à ces sites de réseaux sociaux, vous pouvez exclure ces sous-réseaux de la zone source afin de ne pas générer d'alertes liées à l'activité de ces sous-réseaux.

Si vous avez mis en place différentes stratégies d'accès aux réseaux sociaux pour différentes sections de votre réseau, vous devrez parfois définir plusieurs stratégies de manière à configurer entièrement les combinaisons nécessaires de sous-réseaux et de domaines de destination.

Activité Anormale provenant de Pays à Haut Risque

Cette stratégie génère des alertes en cas d'événements anormaux liés à des communications en provenance de pays à haut risque.

Cette stratégie est distincte de la stratégie liée aux Activités provenant de Pays à Haut Risque. Outre la vérification que le trafic provient de ces pays à haut risque, cette stratégie exige qu'une activité anormale soit détectée dans ce trafic.

Fonctionnement

ThreatSync+ NDR génère des alertes en cas d'événements anormaux, notamment et sans s'y limiter, une durée inhabituelle de connexion entrante et un taux élevé de paquets entrants en provenance de pays à haut risque définis dans la zone Pays Interdits.

Comment Affiner

Vous pouvez ajouter ou supprimer des pays supplémentaires dans la zone Pays Interdits. Vous pouvez également ajouter des exceptions pour de fausses alertes spécifiques. Pour ce faire, ajoutez des règles de flux de trafic qui incluent ou excluent des adresses IP, des pays, des localités ou des domaines spécifiques.

C'est pourquoi si la liste de pays à haut risque est distincte pour les pays entrants et sortants, vous pouvez créer une zone distincte pour chacun d'eux et définir la liste des pays à haut risque avec la définition de la stratégie.

Activité Anormale À Destination de Pays à Haut Risque

Cette stratégie génère des alertes en cas d'événements anormaux dans les communications à destination des pays à haut risque.

Cette stratégie est distincte de la stratégie Activité À Destination de Pays à Haut Risque. Outre la vérification que le trafic est destiné à ces pays à haut risque, cette stratégie exige qu'une activité anormale soit détectée dans ce trafic.

Fonctionnement

ThreatSync+ NDR cherche pour événements anormaux, notamment et sans s'y limiter, une durée inhabituelle de connexion sortante et un taux élevé de paquets sortants en provenance de pays à haut risque définis dans la zone Pays Interdits. Des alertes sont générées en cas de détection.

Comment Affiner

Vous pouvez ajouter ou supprimer des pays supplémentaires dans la zone Pays Interdits. Vous pouvez également ajouter des exceptions pour de fausses alertes spécifiques. Pour ce faire, ajoutez des règles de flux de trafic qui incluent ou excluent des adresses IP, des pays, des localités ou des domaines spécifiques.

C'est pourquoi si la liste de pays à haut risque est distincte pour les pays entrants et sortants, vous pouvez créer une zone distincte pour chacun d'eux et définir la liste des pays à haut risque avec la définition de la stratégie.

Balisage Via l'API Web

Cette stratégie génère des alertes en cas de possible activité de balisage automatisée via un service web tiers entre une adresse IP de votre réseau et un emplacement distant. Ce scénario peut indiquer une activité de Commande et Contrôle non autorisée.

Fonctionnement

Cette stratégie génère des alertes lorsque ThreatSync+ NDR détecte une balise ou une charge utile dans un exécutable ou un programme qui communique avec le serveur de Commande et Contrôle de l'attaquant via un canal de communication HTTPS initié par une source interne.

Comment Affiner

Si vous autorisez certains emplacements distants à établir des connexions API éthiques avec des emplacements externes, même ce comportement authentique peut déclencher des alertes de stratégie. Vous pouvez ajouter des exceptions pour de fausses alertes spécifiques. Pour ce faire, ajoutez une règle de flux de trafic de manière à inclure les emplacements distants approuvés dans votre environnement.

Communication avec des Adresses IP AA21-062A Suspectes

Cette stratégie génère des alertes en cas de communications provenant d'un ensemble d'adresses IP connues pour être utilisées par des attaquants pour mener des attaques Log4J. Bien que ces adresses soient liées à des serveurs virtuels privés (VPS) et à des réseaux virtuels privés (VPN), les personnes répondant aux incidents doivent enquêter sur ces adresses IP sur leurs réseaux.

Fonctionnement

Cette stratégie génère des alertes lorsque ThreatSync+ NDR détecte une connexion entrante destinée à un Microsoft exchange non corrigé à partir d'adresses IP AA21-062A Suspectes dans le but d'exploiter les vulnérabilités RCE CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065 autorisant l'exécution de code à distance.

Comment Affiner

Cette stratégie ne peut pas être affinée, car les adresses IP Suspectes AA21-062A sont des adresses IP malveillantes certifiées.

Détection de Volume Important vers les Sites de Partage de Fichiers

Cette stratégie génère des alertes lorsqu'un volume important de données est envoyé à un site web de partage de fichiers.

Fonctionnement

Cette stratégie génère des alertes lorsque plus de 40 K octets sont envoyés au cours d'une période de 30 minutes vers un domaine de partage de fichiers web figurant dans la zone de destination. Ce scénario peut indiquer que des données non autorisées sont exfiltrées vers un site de partage de fichiers public par des attaquants non autorisés ou des menaces internes.

Comment Affiner

Cette stratégie permet de prévenir les fuites de données et de surveiller l'exfiltration. Vous pouvez ajouter ou supprimer des sites de partage de fichiers supplémentaires dans la zone de destination de la stratégie.

Vous pouvez accroître le seuil du volume de données dans la configuration du déclencheur de la stratégie si vous souhaitez intensifier sa sensibilité.

Trafic LLMNR Interne

Cette stratégie génère des alertes lorsqu'un trafic LLMNR (Link-Local Multicast Name Resolution) (sur le port UDP 5355) transite entre deux endpoints internes. Il s'agit d'une Activité de Port Inutile ou Inattendue, qui doit être bloquée pour éviter les attaques par logiciel de rançon.

Fonctionnement

Cette stratégie permet d'identifier les attaques par empoisonnement LLMNR et génère des alertes lorsque ThreatSync+ NDR détecte un trafic interne supérieur à 1 octet sur le port UDP 5355. Lors des attaques par empoisonnement LLMNR, le trafic escompté entre le client et la machine de l'attaquant est supérieur à 1 octet.

LLMNR est le successeur de NetBIOS. NetBIOS (Network Basic Input/Output System) est un protocole plus ancien qui était utilisé dans les premières versions de la mise en réseau Windows. NBT-NS est un composant de NetBIOS over TCP/IP (NBT) chargé de l'enregistrement et de la résolution des noms. À l'instar de LLMNR, NBT-NS est un protocole de secours en cas d'échec de la résolution DNS. Il permet la résolution de noms locaux au sein d'un réseau local. Ainsi, lorsque vous désactivez cette fonctionnalité dans un environnement Active Directory, cela atténue les alertes. Cependant, si une application est autorisée à utiliser les ports LLMNR, vous pouvez exclure les serveurs d'application autorisés de la zone de destination.

Comment Affiner

Si des applications sont autorisées à utiliser les ports LLMNR, vous devez exclure les serveurs d'application autorisés de la zone de destination.

Trafic mDNS Interne

Cette stratégie génère des alertes lorsqu'un trafic du service mDNS (Multicast Domain Name) (port UDP 5353) est détecté entre deux endpoints internes. Il s'agit d'une Activité de Port Inutile ou Inattendue, qui doit être bloquée pour éviter les attaques par logiciel de rançon.

Fonctionnement

Cette stratégie permet d'identifier les attaques par empoisonnement mDNS et génère des alertes lorsque ThreatSync+ NDR détecte un trafic interne supérieur à 1 octet sur le port UDP 5353. Lors des attaques par empoisonnement mDNS, le trafic escompté entre le client et la machine de l'attaquant est supérieur à 1 octet.

Comment Affiner

Aucune action d'affinage n'est recommandée pour cette stratégie.

Trafic WUDO Interne

Cette stratégie détecte le trafic WUDO (Windows Update Delivery Optimization) entre les périphériques de votre réseau. WUDO est le protocole utilisé par Microsoft pour mettre à jour le système d'exploitation Windows à partir d'ordinateurs pairs.

Fonctionnement

Microsoft Windows emploie le protocole WUDO pour répartir le processus de mise à jour du système d'exploitation aux périphériques Windows pairs afin de distribuer les mises à jour via un réseau de pair à pair non contrôlé.

Si vous contrôlez les mises à jour du système d'exploitation au moyen d'un outil de distribution d'entreprise, WUDO offre aux utilisateurs la possibilité d'installer de manière non régulée des mises à jour non autorisées, non testées, voire malveillantes.

Cette stratégie génère des alertes lorsque ThreatSync+ NDR identifie une activité sur le port 7680 entre des périphériques de votre réseau privé. La stratégie est configurée de manière à générer des alertes en présence de n'importe quel trafic 7680. Ainsi, si l'utilisation de WUDO est autorisée au sein de votre réseau, des alertes seront souvent générées.

Comment Affiner

La stratégie est activée par défaut, car nous recommandons de ne pas utiliser WUDO dans votre entreprise. Si vous utilisez WUDO en tant que méthode autorisée de distribution de logiciels Windows, désactivez cette stratégie.

Si vous autorisez WUDO sur des réseaux spécifiques, par exemple des réseaux d'invités isolés ou des zones spécifiques de l'organisation, vous pouvez affiner les zones source et de destination de manière à exclure les sous-réseaux autorisés.

Trafic LLMNR Franchissant la Périphérie du Réseau

Cette stratégie génère des alertes en cas de détection de trafic LLMNR (Link-Local Multicast Name Resolution) (port UDP 5355) franchissant la périphérie du réseau. Il s'agit d'une activité inutile ou inattendue, qui doit être bloquée pour éviter les attaques par logiciel de rançon.

Fonctionnement

Cette stratégie génère des alertes lorsque ThreatSync+ NDR détecte un trafic provenant d'une source interne vers le port 5355 qui sort ou se soustrait du réseau de périphérie.

Le trafic LLMNR (Link-Local Multicast Name Resolution) ne doit pas être autorisé à quitter un réseau d'entreprise. LLMNR est un protocole permettant aux hôtes de résoudre les noms des autres hôtes sur le même réseau local. Il fonctionne via UDP sur le port 5355.

LLMNR est susceptible d'être attaqué, car il ne possède pas de mécanisme d'authentification, de sorte que n'importe quelle personne peut répondre à une requête LLMNR. Voici différentes attaques pouvant être menées via LLMNR :

  • Attaques par collision de noms
  • Empoisonnement LLMNR

Comment Affiner

LLMNR est le successeur de NetBIOS. NetBIOS (Network Basic Input/Output System) est un protocole plus ancien qui était utilisé dans les premières versions de la mise en réseau Windows. NBT-NS est un composant de NetBIOS over TCP/IP (NBT) chargé de l'enregistrement et de la résolution des noms. À l'instar de LLMNR, NBT-NS est un protocole de secours en cas d'échec de la résolution DNS. Il permet la résolution de noms locaux au sein d'un réseau local. Ainsi, lorsque vous désactivez cette fonctionnalité dans un environnement Active Directory, cela atténue les alertes. Cependant, s'il est recommandé qu'une application utilise les ports LLMNR, vous pouvez exclure les serveurs d'application autorisés de la zone de destination.

Trafic NetBIOS-NS Franchissant la Périphérie du Réseau

Cette stratégie génère des alertes en cas de détection de trafic NetBIOS-NS (port 137 UDP) franchissant la périphérie du réseau. Il s'agit d'une activité de port inutile ou inattendue, qui doit être bloquée pour éviter les attaques par logiciel de rançon.

Fonctionnement

Cette stratégie reçoit une alerte lorsque ThreatSync+ NDR détecte un trafic sur le port 137 de l'hôte interne vers le réseau externe. À l'instar d'une attaque par empoisonnement LLMNR, NTB-NS est utilisé sans réponse appropriée du serveur DNS. Cela signifie qu'une tentative est déployée afin de trouver une réponse dans le réseau local. Cette situation se produit généralement lorsque l'utilisateur fait une faute de frappe lors de la recherche d'une ressource réseau, ne se trouve pas dans le réseau correct, n'a pas configuré de serveur DNS ou, par exemple, a oublié de se connecter au VPN et ne peut pas atteindre la ressource réseau souhaitée.

Dans ce cas, si l'attaquant connaît l'adresse IP de la ressource réseau, il peut envoyer au client une adresse IP différente en réponse. Cette adresse IP atteint un serveur hébergé par l'attaquant.

Comment Affiner

NetBIOS. NetBIOS (Network Basic Input/Output System) est un protocole plus ancien qui était utilisé dans les premières versions de la mise en réseau Windows. NBT-NS est un composant de NetBIOS over TCP/IP (NBT) chargé de l'enregistrement et de la résolution des noms. À l'instar de LLMNR, NBT-NS est un protocole de secours en cas d'échec de la résolution DNS. Il permet la résolution de noms locaux au sein d'un réseau local. Ainsi, lorsque vous désactivez cette fonctionnalité dans un environnement Active Directory, cela atténue les alertes. Cependant, s'il est recommandé qu'une application utilise les ports NBT-NS, vous pouvez exclure les sites autorisés de la zone de destination.

Tentatives RDP d'Externe vers Interne

Cette stratégie génère des alertes lorsque des sessions RDP (Remote Desktop Protocol) tentent d'être établies dans votre réseau à partir d'une adresse IP Externe, mais que celles-ci échouent.

Fonctionnement

Le trafic RDP sur votre réseau doit se limiter à un faible nombre de points d'entrée de manière à pouvoir contrôler et surveiller l'accès depuis l'extérieur de votre entreprise. Cette stratégie génère une alerte lorsque des sessions RDP infructueuses, c'est-à-dire trop courtes pour indiquer que l'authentification a réussi, sont détectées à partir d'une source réseau externe.

Cette stratégie est initialement configurée de manière à générer une alerte en cas d'échec d'une connexion RDP. Elle convient aux organisations qui n'autorisent pas les connexions RDP vers l'entreprise.

Comment Affiner

Si vous autorisez le trafic RDP à accéder à votre réseau via un ensemble spécifique de serveurs de votre Zone Démilitarisée (DMZ), excluez ces serveurs de la zone de destination. Utilisez cette stratégie pour identifier les situations lors desquelles les serveurs RDP non autorisés sont accessibles.

Connexion RDP d'un Nouvel Hôte Externe

Cette stratégie génère des alertes pour les connexions RDP entrantes en provenance d'Internet lorsque l'adresse IP source externe se connecte à une adresse IP interne pour la première fois.

Fonctionnement

Lorsque les connexions RDP entrantes sont autorisées, il existe généralement un ensemble limité et connu d'utilisateurs qui se connectent activement. Cette stratégie vous alerte lorsque de nouveaux emplacements se connectent afin de savoir quand de nouveaux utilisateurs RDP se connectent.

Comment Affiner

Si vous recevez trop d'alertes pour cette stratégie, car les domaines externes ou les Fournisseurs d'Accès Internet changent constamment leurs adresses IP, vous pouvez modifier la stratégie de manière à utiliser l'un des autres événements anormaux, par exemple Connexion provenant d'un Nouveau Domaine, Connexion provenant d'une Nouvelle Organisation ou Connexion provenant d'une Nouvelle Localité au lieu de Connexion provenant d'une Nouvelle IP.

Vous pouvez également exclure des domaines, des organisations ou des pays spécifiques de la zone source de manière à ce qu'ils ne génèrent pas d'alertes à partir de ces zones.

RDP d'Externe vers Interne

Cette stratégie génère des alertes pour les connexions RDP entrantes provenant d'une adresse IP externe.

Cette stratégie diffère de la stratégie Tentatives RDP d'Externe vers Interne, dans le sens où elle ne génère des alertes que lorsqu'une activité suffisante est détectée dans la session pour indiquer que l'utilisateur s'est connecté avec succès et a saisi les informations d'identification correctes.

Fonctionnement

Le trafic RDP sur votre réseau doit se limiter à un faible nombre de points d'entrée de manière à pouvoir contrôler et surveiller l'accès depuis l'extérieur de votre entreprise. Cette stratégie génère des alertes chaque fois que ThreatSync+ NDR détecte une session RDP contenant plus de 5 KO de données provenant d'une source réseau externe.

Comment Affiner

Si vous autorisez le trafic RDP à accéder à votre réseau via un ensemble spécifique de serveurs de votre Zone Démilitarisée (DMZ), excluez ces serveurs de la zone de destination. Utilisez cette stratégie pour identifier les situations lors desquelles les serveurs RDP non autorisés sont accessibles.

Tentatives SSH d'Externe vers Interne

Cette stratégie génère des alertes en cas de détection de tentatives infructueuses d'établissement de sessions SSH vers votre réseau à partir d'une adresse IP externe.

Fonctionnement

Le trafic SSH autorisé sur votre réseau constitue une occurrence rare et doit se limiter à un faible nombre de points d'entrée de manière à pouvoir contrôler et surveiller l'accès depuis l'extérieur de votre entreprise. Cette stratégie génère des alertes lorsque ThreatSync+ NDR détecte un trafic SSH provenant d'une source réseau externe.

Cette stratégie est initialement configurée de manière à générer des alertes lors de la détection d'une connexion SSH. Elle convient aux organisations qui n'autorisent pas les connexions SSH vers l'entreprise.

Comment Affiner

Si vous autorisez SSH à accéder à votre réseau via un ensemble spécifique de serveurs de votre Zone Démilitarisée (DMZ), excluez ces serveurs de la zone de destination. Utilisez cette stratégie pour identifier les situations lors desquelles les serveurs SSH non autorisés sont accessibles.

Exfiltration de Données Suspectée via DNS

Cette stratégie génère une alerte lorsqu'un volume anormalement élevé de trafic transite par des endpoints internes vers des emplacements externes via le protocole DNS. Ce scénario peut indiquer une exfiltration de données au moyen d'un Tunneling DNS, une activité courante de Commande et Contrôle liée aux logiciels de rançon.

Fonctionnement

ThreatSync+ NDR surveille le trafic DNS afin d'identifier les sessions dont les charges utiles sont plus importantes qu'escomptées, et génère une alerte lorsqu'il détecte un tunnel DNS entre une adresse IP interne et une adresse IP externe.

Comment Affiner

Il est possible que l'activité DNS normale franchisse occasionnellement les limites utilisées par la détection. Pour y remédier, la destination de cette stratégie est définie comme adresse IP externe non membre d'un service DNS connu.

Si vous disposez de services DNS courants et réputés n'appartenant pas à cette zone de destination, vous pouvez modifier cette dernière pour y inclure les domaines de vos services DNS externes supplémentaires.

Serveur de Résolution DNS Inattendu

Cette stratégie génère des alertes lorsqu'un trafic provenant d'endpoints internes transite par des serveurs de résolution DNS externes inattendus. Ce scénario peut indiquer que le protocole DNS est utilisé pour des activités de Commande et Contrôle liées à des logiciels de rançon.

Fonctionnement

Cette stratégie génère des alertes lorsqu'un trafic DNS (port 53) se connecte à un nouveau domaine où le trafic n'a jamais été transmis auparavant.

Il s'agit d'une stratégie puissante dans la mesure où elle apprend d'elle-même. Elle ne se déclenche qu'une seule fois pour chaque nouveau domaine. Si le domaine n'est pas autorisé, veillez à le bloquer au niveau de votre pare-feu.

Comment Affiner

La seule affinage que vous pouvez effectuer pour cette stratégie consiste à exclure les sous-réseaux internes de votre zone source pour lesquels vous ne souhaitez pas recevoir d'alertes. Par exemple : un réseau d'invités.

Trafic FTP/TFTP Entrant Non Sécurisé

Cette stratégie génère des alertes lorsqu'un trafic FTP ou TFTP est transmis par des sources externes à des périphériques internes. Si vous autorisez l'activité sur des ports d'application non chiffrés à entrer dans votre organisation à partir d'Internet, cela peut rendre votre organisation vulnérable aux attaques telles que les logiciels de rançon.

Fonctionnement

Cette stratégie génère des alertes lorsque des conversations bidirectionnelles employant le trafic FTP sur le port 21 ou le trafic TFTP sur le port 69 accèdent au réseau interne.

FTP et TFTP étant des protocoles non chiffrés, l'accès à votre réseau par leur biais doit être strictement contrôlé. Si vous ne pouvez pas migrer le trafic FTP vers un autre protocole chiffré ou l'encapsuler dans un VPN chiffré, il est important de contrôler les points d'entrée de ces données.

Comment Affiner

Si vous avez besoin d'utiliser FTP ou TFTP, vous devez identifier dans votre DMZ l'ensemble limité de serveurs de saut autorisés à accepter des connexions FTP ou TFTP et créer des exceptions pour ces serveurs dans cette stratégie.

Ajoutez-les en tant qu'exclusions à la zone de destination dans la stratégie.

Trafic IRC Entrant Non Sécurisé

Cette stratégie génère des alertes lorsqu'un trafic IRC est transmis par des sources externes à des périphériques internes. Si vous autorisez l'activité sur des ports d'application non chiffrés à entrer dans votre organisation à partir d'Internet, cela peut rendre votre organisation vulnérable aux attaques telles que les logiciels de rançon.

Fonctionnement

Cette stratégie génère des alertes lorsque des conversations bidirectionnelles utilisant IRC accèdent au réseau interne.

IRC étant un protocole non chiffré, l'accès à votre réseau par l'intermédiaire de ce protocole doit être strictement contrôlé. Si vous ne pouvez pas migrer le trafic IRC vers un autre protocole chiffré ou l'encapsuler dans un VPN chiffré, il est important de contrôler les points d'entrée de ces données.

Comment Affiner

Si vous avez besoin d'utiliser IRC, vous devez identifier dans votre DMZ l'ensemble limité de serveurs de saut autorisés à accepter des connexions IRC et créer des exceptions pour ces serveurs dans cette stratégie.

Ajoutez-les en tant qu'exclusions à la zone de destination dans la stratégie.

Trafic Telnet Entrant Non Sécurisé

Cette stratégie génère des alertes lorsqu'un trafic Telnet (port 23 TCP) est transmis par des sources externes à des périphériques internes. Si vous autorisez l'activité sur des ports d'application non chiffrés à entrer dans votre organisation à partir d'Internet, cela peut rendre votre organisation vulnérable aux attaques telles que les logiciels de rançon.

Fonctionnement

Cette stratégie génère des alertes lorsque des conversations bidirectionnelles utilisant Telnet accèdent au réseau interne.

Telnet étant un protocole non chiffré, l'accès à votre réseau par l'intermédiaire de ce protocole doit être strictement contrôlé. Si vous ne pouvez pas migrer le trafic Telnet vers un autre protocole chiffré tel que SSH ou l'encapsuler dans un VPN chiffré, il est important de contrôler les points d'entrée de ces données.

Comment Affiner

Si vous avez besoin d'utiliser Telnet, identifiez l'ensemble limité de serveurs de saut dans votre DMZ qui sont autorisés à accepter des connexions Telnet et créez des exceptions dans cette stratégie pour ces serveurs.

Ajoutez-les en tant qu'exclusions à la zone de destination dans la stratégie.

Activité de Serveur Web Entrante Non Sécurisée

Cette stratégie génère des alertes lorsqu'un trafic non sécurisé de serveur web HTTP (port 80 TCP) est transmis par des sources externes à des périphériques internes. Si vous autorisez l'activité sur des ports d'application non chiffrés à entrer dans votre organisation à partir d'Internet, cela peut rendre votre organisation vulnérable aux attaques telles que les logiciels de rançon.

Fonctionnement

Cette stratégie génère des alertes lorsque des conversations bidirectionnelles utilisant HTTP accèdent au réseau interne.

HTTP étant un protocole non chiffré, l'accès à votre réseau par l'intermédiaire de ce protocole doit être strictement contrôlé. Si vous ne pouvez pas migrer le trafic HTTP vers un autre protocole chiffré tel que HTTPS ou l'encapsuler dans un VPN chiffré, il est important de contrôler les points d'entrée de ces données.

Comment Affiner

Si vous avez besoin d'utiliser HTTP, vous devez identifier dans votre DMZ l'ensemble limité de serveurs de saut autorisés à accepter des connexions HTTP et créer des exceptions pour ces serveurs dans cette stratégie.

Ajoutez-les en tant qu'exclusions à la zone de destination dans la stratégie.

Trafic Telnet Interne Non Sécurisé

Cette stratégie génère des alertes lorsqu'un trafic Telnet (port 23 TCP) transite entre des périphériques internes. Si vous autorisez l'activité sur des ports d'application non chiffrés à entrer dans votre organisation à partir d'Internet, cela peut rendre votre organisation vulnérable aux attaques telles que les logiciels de rançon.

Fonctionnement

Cette stratégie génère des alertes lorsque des conversations bidirectionnelles utilisant Telnet accèdent au réseau interne.

Telnet étant un protocole non chiffré, son utilisation doit être strictement contrôlée. Si vous ne pouvez pas migrer le trafic Telnet vers un autre protocole chiffré tel que SSH ou l'encapsuler dans un VPN chiffré, il est important d'encadrer strictement son utilisation.

Comment Affiner

Si vous avez besoin d'utiliser Telnet, identifiez l'ensemble limité de serveurs de votre réseau qui sont autorisés à accepter des connexions Telnet et créez des exceptions dans cette stratégie pour ces serveurs.

Ajoutez-les en tant qu'exclusions à la zone de destination dans la stratégie.

Trafic WUDO Franchissant la Périphérie du Réseau

Cette stratégie génère des alertes lorsqu'un trafic WUDO (Windows Update Delivery Optimization) transite entre des périphériques de votre réseau et Internet public. Cette stratégie est axée sur le trafic WUDO sortant.

Microsoft Windows emploie le protocole WUDO pour distribuer le processus de mise à jour du système d'exploitation aux périphériques Windows afin de distribuer les mises à jour via un réseau de pair à pair non contrôlé.

Si vous contrôlez les mises à jour du système d'exploitation au moyen d'un outil de distribution d'entreprise, WUDO offre aux utilisateurs la possibilité d'installer des mises à jour non autorisées, non testées, voire malveillantes.

Fonctionnement

Cette stratégie génère des alertes lorsque ThreatSync+ NDR détecte une activité sur le port 7680 entre des périphériques de votre réseau privé et des adresses IP publiques d'Internet.

Même si vous autorisez les utilisateurs à utiliser WUDO au sein de votre organisation, il arrive que vous ne souhaitiez pas qu'ils utilisent ce protocole à l'extérieur pour installer des mises à jour à partir d'emplacements non approuvés sur Internet.

Comment Affiner

Cette stratégie est configurée de manière à générer des alertes en présence de n'importe quel trafic 7680. Ainsi, si l'utilisation de WUDO est autorisée au sein de votre réseau, des alertes seront souvent générées.

La stratégie est activée par défaut, car nous recommandons de ne pas utiliser de mises à jour WUDO externes dans votre entreprise. Nous vous recommandons de recourir à votre service de distribution de logiciels pour contrôler la nature des mises à jour autorisées à être installées.

Toutefois, si vous autorisez les mises à jour WUDO externes en tant que méthode de distribution logicielle du système d'exploitation Windows, vous devez désactiver cette stratégie.

Si vous autorisez les mises à jour WUDO externes sur des réseaux spécifiques, par exemple des réseaux d'invités isolés ou des zones spécifiques de l'organisation, vous pouvez affiner la zone source de manière à exclure les sous-réseaux autorisés.

Si vous autorisez l'utilisation de WUDO sur un nombre limité de domaines externes, vous pouvez configurer ces domaines dans la zone de destination.

Rubriques Connexes

Configurer les Stratégies ThreatSync+

Affinage d'une Stratégie

Gérer les Zones ThreatSync+

Cybersecurity and Infrastructure Security Agency