S'applique À : ThreatSync+ NDR, ThreatSync+ SaaS
ThreatSync+ surveille votre réseau de manière à détecter les violations de stratégie de votre entreprise, qu'il s'agisse des stratégies par défaut ou des stratégies personnalisées que vous avez définies.
- Stratégies par défaut — ThreatSync+ comprend des stratégies par défaut que vous pouvez activer pour détecter le trafic vers les sites web dangereux, les applications et pays non autorisés, le trafic non autorisé tel que les sessions RDP (Remote Desktop Protocol) entrantes ou le trafic non autorisé entre les réseaux internes tels que vos environnements de développement et de production.
- Stratégies personnalisées — Vous pouvez utiliser plus de 70 filtres pour créer des stratégies et des zones personnalisées de manière à surveiller les flux de trafic et les événements anormaux détectés par ThreatSync+ NDR. Pour de plus amples informations concernant ces filtres, accédez à Filtres d'Activité de Stratégie.
Les pages et fonctionnalités disponibles varient et dépendent de votre type de licence. Tout au long de cette documentation, ThreatSync+ fait généralement référence à tous les produits. Si vous ne voyez pas une page ou une fonctionnalité dans l'UI de ThreatSync+, elle n'est pas prise en charge par votre produit.
Alertes de Stratégie
Les alertes de stratégie vous notifient en cas de violations de stratégie, associent les violations et vos actifs importants, et mettent en évidence les contrevenants les plus fréquents. Au fur et à mesure que ThreatSync+ ingère les journaux NetFlow et les données de votre réseau, il évalue vos stratégies et génère des alertes lorsque des violations surviennent.
Pour obtenir des informations concernant les alertes de stratégie, accédez à À Propos des Alertes de Stratégie.
Évaluation de la Stratégie
ThreatSync+ NDR assure l'évaluation de la stratégie sur des groupes de 30 minutes de trafic NetFlow et d'événements ingérés. Chaque stratégie évalue l'ensemble des journaux de trafic ou des événements entre une zone source et une zone de destination au cours d'une période de 30 minutes et génère une alerte lorsque les conditions de la stratégie sont satisfaites. Ces conditions sont des déclencheurs d'activité.
Les déclencheurs d'activité vous permettent de filtrer les données en fonction du contenu du journal. Lorsque vous filtrez le trafic NetFlow, les stratégies peuvent filtrer sur les ports, les types de protocole, le volume de trafic et d'autres propriétés du trafic. Lorsque vous filtrez en fonction d'événements, les stratégies peuvent filtrer en fonction des types d'événements, des ports et des autres propriétés que ThreatSync+ NDR génère lors de la création d'événements.
Les zones identifient un ensemble de sources et de destinations servant à filtrer le trafic. Une zone peut représenter un groupe d'adresses IP, d'actifs, d'organisations, de pays, de domaines ou de localités. Pour de plus amples informations, accédez à Gérer les Zones ThreatSync+.
Stratégies et Zones par Défaut
Dans ThreatSync+, les stratégies sont liées aux zones du réseau. ThreatSync+ fournit des stratégies et des zones par défaut afin que vous puissiez commencer à surveiller les menaces. Ces stratégies et ces zones par défaut fournissent un ensemble d'outils de surveillance de base ainsi que des exemples de création de stratégies et de zones personnalisées.
Les stratégies et les zones par défaut et personnalisées présentent un fonctionnement similaire. Il existe toutefois des différences lorsque vous modifiez des zones ou lorsque ThreatSync+ NDR met à jour la définition d'un objet de zone par défaut.
Stratégies
La plupart des stratégies par défaut sont désactivées par défaut, mais un sous-ensemble de stratégies possédant la marque de Niveau 1 sont activées par défaut et génèrent automatiquement des alertes. Dans ThreatSync+ NDR, environ 30 des 75 stratégies par défaut disponibles sont des stratégies de Niveau 1. Pour de plus amples informations, accédez à Stratégies ThreatSync+ NDR de Niveau 1.
Dans ThreatSync+ SaaS, les neuf stratégies disponibles sont des stratégies de Niveau 1. Pour de plus amples informations, accédez à Stratégies de Niveau 1 pour ThreatSync+ SaaS — Microsoft 365.
Lorsque vous activez une stratégie ou que vous apportez des modifications de configuration, une copie privée est enregistrée. Si vous supprimez cette copie, toutes les modifications que vous avez apportées à la définition de la stratégie sont annulées et la stratégie par défaut est rétablie. Si vous modifiez une stratégie par défaut, ses mises à jour de définition ne sont pas visibles jusqu'à ce que vous supprimiez la version modifiée et que la définition par défaut de la stratégie soit rétablie.
Zones
Une zone par défaut contient une liste d'objets. Si vous modifiez une zone par défaut, une copie privée est enregistrée avec vos modifications. Toutes les stratégies qui utilisent cette zone utiliseront votre copie privée. Lorsque vous supprimez la copie, les modifications apportées à la définition de la zone sont annulées, la définition par défaut de la zone est rétablie, et toutes les stratégies qui utilisaient votre copie utilisent désormais la zone par défaut.
Si vous modifiez une zone par défaut, les mises à jour que WatchGuard y apporte ne s'appliquent pas à votre compte jusqu'à ce que vous supprimiez votre copie modifiée et que la définition de la zone par défaut soit rétablie. Si vous ne modifiez pas une zone par défaut, toutes les mises à niveau qui modifient la définition de la zone s'appliquent automatiquement à votre compte.
Exemple
La zone par défaut Sites de Partage de Fichiers contient une liste de services de partage de fichiers sur Internet. WatchGuard gère cette liste de sites et la met à jour périodiquement.
- Si vous ne modifiez pas cette zone par défaut, tous les nouveaux sites que WatchGuard ajoute à la définition de la zone seront automatiquement inclus dans les évaluations des violations de stratégie.
- Si vous modifiez cette zone par défaut, une copie privée est effectuée et la liste des sites de partage de fichiers de votre copie n'inclut pas automatiquement les mises à jour réalisées par WatchGuard. Pour inclure les nouveaux sites ajoutés par WatchGuard, vous devez supprimer votre copie privée de la zone, rétablir la zone par défaut puis la modifier à nouveau de manière à refléter toutes les modifications apportées précédemment.
Stratégies et Zones Personnalisées
Dans ThreatSync+, vous pouvez créer des stratégies et des zones personnalisées propres à votre organisation.
Les zones peuvent être inclusives ou exclusives. Les zones inclusives peuvent inclure des listes statiques d'adresses IP, d'actifs, d'organisations, de pays, de domaines ou de localités. Les zones exclusives incluent tous les périphériques de votre réseau à l'exception de ceux que vous avez explicitement spécifiés dans la définition de la zone. Après avoir défini une zone, vous pouvez l'utiliser dans différentes stratégies.
Les zones constituées de pays, d'organisations, de domaines et de localités doivent correspondre aux noms utilisés dans les listes de métadonnées utilisées par ThreatSync+. WatchGuard met à jour périodiquement ces listes auprès de services tiers. Lorsque vous utilisez ces zones dans vos zones personnalisées, assurez-vous que les noms correspondent à ceux du trafic NetFlow et du détail des nœuds dans ThreatSync+ NDR.
Pour définir une stratégie personnalisée, vous configurez une zone source, une zone de destination et un filtre d'activité. Le filtre d'activité vous permet d'évaluer le trafic ou les journaux d'événements entre les zones sélectionnées, et de déclencher une alerte lorsque l'activité correspond au filtre d'activité.
Lorsque vous filtrez le trafic, les filtres d'activité peuvent correspondre aux éléments suivants :
- Les ports des flux de trafic.
- La classe de conversation — est une combinaison du type de protocole (TCP, UDP ou ICMP) et du type de conversation (par exemple : bidirectionnelle, analyse sans réponse ou malformée).
- Volume de données des flux de trafic.
Lorsque vous filtrez en fonction des événements, les filtres d'activité correspondre aux éléments suivants :
- Le type d'anomalie que représente l'événement.
- Les ports dans les journaux d'événements.
- La classe de conversation — est une combinaison du type de protocole (TCP, UDP ou ICMP) et du type de conversation (par exemple : bidirectionnelle, analyse sans réponse ou malformée).