À Propos des Stratégies d'Automatisation ThreatSync

S'applique À : ThreatSync

Certaines des fonctionnalités décrites dans cette rubrique sont uniquement proposées aux participants du programme ThreatSync Bêta. Si une fonctionnalité décrite dans cette rubrique n'est pas disponible dans votre version de WatchGuard Cloud, il s'agit d'une fonctionnalité proposée uniquement en version bêta.

Les stratégies d'automatisation ThreatSync définissent les actions que ThreatSync entreprend automatiquement lorsqu'une menace est détectée.

Les stratégies d'automatisation permettent aux Personnes Répondant aux Incidents de répondre automatiquement à des types d'incident spécifiques de manière à cibler les incidents les plus importants susceptibles de nécessiter une enquête et une réponse manuelles. Par exemple, les stratégies d'automatisation par défaut clôturent automatiquement certains types d'incident présentant un indice de risque faible et exécutent des actions de réponse automatiques sur les incidents les plus critiques.

Vous pouvez répondre manuellement aux incidents non couverts par une stratégie d'automatisation. Pour de plus amples informations, accédez à Exécuter des Actions sur des Incidents ou des Endpoints.

Pour en savoir plus sur les stratégies d'automatisation, consultez les sections suivantes :

Types de Stratégies d'Automatisation ThreatSync
Stratégies d'Automatisation ThreatSync Par Défaut
Conditions et Actions de la Stratégie d'Automatisation ThreatSync
Priorité des Stratégies d'Automatisation ThreatSync
Modèles de Stratégie d'Automatisation ThreatSync

Nous vous recommandons de ne pas ajouter de stratégie d'automatisation autres que les stratégies d'automatisation par défaut décrites dans les Meilleures Pratiques de ThreatSync tant que vous ne vous êtes pas familiarisé avec les différents types d'incidents survenant dans votre environnement et les actions de réponse que vous pouvez exécuter.

Types de Stratégies d'Automatisation ThreatSync

Dans ThreatSync, vous pouvez configurer deux types de stratégies d'automatisation :

Stratégie Remediation (Traitement)

Une stratégie d'automatisation Traitement exécute les actions de résolution spécifiées pour les incidents répondant aux conditions de la stratégie.

Stratégie Close (Clôturer)

Une stratégie d'automatisation Clôturer fait passer les incidents répondant aux conditions de la stratégie à l'état Clôturé.

Stratégies d'Automatisation ThreatSync Par Défaut

Chaque compte ThreatSync dispose de deux stratégies d'automatisation par défaut. Ces stratégies d'automatisation par défaut permettent à ThreatSync d'exécuter une action automatique sur les incidents présentant les risques les plus élevés et les plus faibles afin que vous puissiez vous focaliser sur les incidents les plus importants susceptibles de nécessiter une enquête et une réponse manuelles.

Stratégie d'Automatisation Remediation (Traitement) Par Défaut

Pour faire en sorte que ThreatSync vous protège automatiquement contre les incidents à haut risque, nous vous recommandons d'activer la stratégie de traitement par défaut pour les incidents dont le niveau de risque est compris entre 7 et 10. Pour de plus amples informations concernant l'activation ou la désactivation des stratégies d'automatisation, consultez Activer ou Désactiver une Stratégie d'Automatisation.

stratégie Remediation (Traitement) par Défaut

Rang — 1
Type de Stratégie – Traitement
Plage de Risques — 7 à 10
Type de Périphérique — Endpoint, Firebox, Point d'Accès
Actions — Exécuter > Isoler le Périphérique

Cette stratégie permet d'isoler du réseau automatiquement tous les périphériques concernés par des incidents présentant un indice supérieur ou égal à 7 afin d'éviter la propagation de la menace. Vous pouvez ainsi analyser des périphériques isolés et enquêter sur les détails des incidents. Pour de plus amples informations, accédez à Examiner les Détails de l'Incident.

Stratégie d'Automatisation Close (Clôturer) Par Défaut

Pour réduire le nombre d'incidents à risque faible dans la liste des incidents de manière à vous focaliser sur les incidents à haut risque, nous vous recommandons d'activer la stratégie d'automatisation Clôturer par défaut qui s'applique aux incidents présentant un indice de risque de 1.

Stratégie Close (Clôturer) par Défaut

Type de Stratégie — Clôturer
Plage de Risques — 1
Type de Périphérique — Endpoint, Firebox, Point d'Accès
Actions — Exécuter > Clôturer

Cette stratégie clôture automatiquement les incidents présentant un indice de risque de 1. Nous vous recommandons d'examiner les incidents clôturés et de déterminer si d'autres actions sont nécessaires. Pour examiner votre liste des incidents clôturés, filtrez les incidents par état sur la page Incidents. Pour de plus amples informations, accédez à Surveiller les Incidents ThreatSync.

Si vous n'avez pas le temps d'enquêter sur chaque incident à faible risque, envisagez de modifier votre stratégie Clôturer de manière à augmenter la plage de risques à 1 à 3.

Conditions et Actions de la Stratégie d'Automatisation ThreatSync

Pour chaque stratégie d'automatisation ThreatSync, vous configurez des conditions et des actions.

Conditions

Les conditions définissent les situations lors desquelles ThreatSync exécute une stratégie. Si un incident répond aux conditions d'une stratégie, ThreatSync exécute les actions spécifiées.

Pour chaque stratégie, vous pouvez spécifier les conditions suivantes.

Plage de Risques — Spécifiez une plage de niveaux de risque d'incidents. Pour de plus amples informations, accédez à Niveaux de Risque et Indices de ThreatSync.
Type d'Incident — Sélectionnez un ou plusieurs types d'incidents.
Type de Périphérique — Sélectionnez Firebox, Endpoint ou Point d'Accès.
Actions Effectuées — Sélectionnez une ou plusieurs actions exécutées en réponse à un incident (stratégie Clôturer uniquement).

La condition Actions Effectuées est uniquement disponible pour le type de stratégie Clôturer. Les stratégies Traitement présentent une section distincte permettant de sélectionner les actions de résolution.

Actions

Les actions définissent ce que fait ThreatSync lorsque la stratégie s'exécute.

Pour chaque stratégie, vous devez spécifier si la stratégie exécute ou empêche des actions.

Perform (Exécuter) — ThreatSync exécute les actions spécifiées en réponse aux nouveaux incidents répondant aux conditions de la stratégie.
Prevent (Empêcher) — ThreatSync empêche les actions spécifiées. Pour créer une exception à une stratégie Perform (Exécuter) plus large, vous pouvez ajouter une stratégie contenant l'action Prevent (Empêcher) et la classer avant l'autre stratégie dans la liste des stratégies. Une stratégie avec l'action Empêcher n'empêche pas l'exécution manuelle d'une action par un opérateur.

Pour une stratégie Traitement, sélectionnez une ou plusieurs actions à exécuter :

Bloquer l'IP d'Origine de la Menace (IP externes uniquement) — Bloque l'adresse IP externe liée à l'incident. Lorsque vous sélectionnez cette action, tous les Fireboxes où ThreatSync a été activé sur le compte WatchGuard Cloud bloquent les connexions en provenance et à destination de l'adresse IP.
Supprimer le Fichier — Supprime le fichier signalé lié à l'incident.
Isoler le Périphérique — Isole l'ordinateur du réseau afin d'empêcher la propagation de la menace ou bloquer l'exfiltration de données confidentielles.
Bloquer le Point d'Accès — Bloque les connexions des clients sans fil aux points d'accès malveillants.
Terminer le Processus Malveillant — Termine un processus ayant démontré un comportement malveillant lié à l'incident.
Bloquer/Débloquer l'Utilisateur — Bloque ou débloque l'utilisateur associé à un incident d'Accès avec Informations d'Identification dans AuthPoint. Pour plus d'informations sur la façon de bloquer des utilisateurs ou d'activer des utilisateurs bloqués dans AuthPoint, accédez à Bloquer un Utilisateur ou un Jeton.

Pour une stratégie Clôturer, il n'existe qu'une seule action :

Clôturer l'Incident — Fait passer l'incident à l'état Clôturé. Cette action est sélectionnée automatiquement et vous ne pouvez pas la modifier.

Priorité des Stratégies d'Automatisation ThreatSync

Vous classez les stratégies ThreatSync par ordre de priorité relative de haut en bas. Si un incident correspond aux conditions configurées dans différentes stratégies, ThreatSync exécute l'action spécifiée dans la stratégie présentant la priorité la plus élevée qui s'applique.

Chaque action recommandée pour un incident est évaluée individuellement en fonction d'une stratégie. Si un incident ne présente pas d'action recommandée correspondant à l'action spécifiée dans la stratégie, cette stratégie est ignorée.

Screen shot of the Automation Policies page in ThreatSync

Les stratégies d'automatisation attribuées via un modèle figurent en tête de la liste des stratégies dans le compte Subscriber. Pour modifier l'ordre de vos stratégies d'automatisation et de vos modèles, accédez à Gérer les Stratégies d'Automatisation ThreatSync (Subscribers).

Exemple de Stratégie d'Automatisation

Dans cet exemple, vous possédez deux stratégies d'automatisation présentant les conditions suivantes :

Stratégie d'Automatisation 1

Rang — 1
Type de Stratégie – Traitement
Plage de Risques — 8 à 10
Type de Périphérique — Endpoint, Firebox
Actions — Exécuter > Terminer le Processus Malveillant

Stratégie d'Automatisation 2

Rang — 2
Type de Stratégie – Traitement
Plage de Risques — 8 à 10
Type de Périphérique — Endpoint, Firebox
Actions — Exécuter > Isoler le Périphérique, Terminer le Processus Malveillant

Un incident présentant les détails suivants se produit :

Type — IOA
Niveau de Risque — 8
Type de Périphérique — Endpoint
Actions Recommandées — Exécuter > Isoler le Périphérique, Terminer le Processus Malveillant, Supprimer le Fichier

Dans cet exemple :

La Stratégie d'Automatisation 2 est la stratégie présentant le rang le plus élevé s'appliquant à l'incident pour l'action recommandée Isoler le Périphérique.
La Stratégie d'Automatisation 1 est la stratégie présentant le rang le plus élevé s'appliquant à l'incident pour l'action recommandée Terminer le Processus Malveillant.
Aucune stratégie d'automatisation ne s'applique à l'incident pour l'action recommandée Supprimer le Fichier.

Résultat :

ThreatSync isole automatiquement le périphérique et termine le processus malveillant, mais ne tente pas de supprimer le fichier.

Modèles de Stratégie d'Automatisation ThreatSync

Vous pouvez créer des stratégies d'automatisation au niveau du compte Subscriber. Pour ajouter une stratégie d'automatisation à un compte Subscriber, accédez à Gérer les Stratégies d'Automatisation ThreatSync (Subscribers).

De plus, les Service Providers peuvent créer des modèles de stratégie d'automatisation comprenant différentes stratégies d'automatisation puis attribuer les modèles aux comptes ou aux groupes de comptes qu'ils gèrent. Les Service Providers peuvent ainsi appliquer les stratégies d'automatisation de manière homogène aux comptes gérés et gagner du temps lorsqu'ils configurent ThreatSync sur de nouveaux comptes.

Pour configurer des modèles de stratégie d'automatisation pour vos comptes gérés ou des groupes de comptes, accédez à Gérer les Modèles de Stratégie d'Automatisation ThreatSync (Service Providers).

Rubriques Connexes

Gérer les Stratégies d'Automatisation ThreatSync (Subscribers)

Gérer les Modèles de Stratégie d'Automatisation ThreatSync (Service Providers)

Configurer les Paramètres du Périphérique ThreatSync

Gérer les Éléments Bloqués par ThreatSync

Configurer ThreatSync

À Propos de ThreatSync

© 2025 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et dans d'autres pays. Les autres marques sont détenues par leurs propriétaires respectifs.