Exécuter des Actions sur des Incidents ou des Endpoints

S'applique À : ThreatSync

Certaines des fonctionnalités décrites dans cette rubrique sont uniquement proposées aux participants du programme ThreatSync Bêta. Si une fonctionnalité décrite dans cette rubrique n'est pas disponible dans votre version de WatchGuard Cloud, il s'agit d'une fonctionnalité proposée uniquement en version bêta.

Lorsque vous surveillez les menaces détectées par ThreatSync et examinez les détails d'un incident ou d'un endpoint, il convient parfois d'exécuter une action pour le résoudre ou d'annuler une action exécutée automatiquement par un produit ou un service WatchGuard.

  • Pour envoyer des données à ThreatSync et recevoir des actions, les Fireboxes doivent exécuter Fireware v12.9 ou une version ultérieure et avoir été ajoutés à WatchGuard Cloud pour la journalisation et génération de rapports ou la gestion sur le cloud.
  • Pour envoyer des données à ThreatSync, les points d'accès doivent exécuter le microprogramme v2.0 ou une version ultérieure et avoir la Surveillance de l'Espace de Fréquences activée.
  • Pour exécuter des actions de réponse contre les points d'accès menaçants lorsqu'ils sont intégrés à ThreatSync, les points d'accès doivent exécuter le microprogramme v2.7 ou une version ultérieure, et avoir la Surveillance de l'Espace de Fréquences activé.
  • Un AP230W, AP330 ou AP430CR équipé d'une radio à balayage dédiée est nécessaire à la détection par voie hertzienne d'Evil Twin et aux actions de réponse ThreatSync permettant de bloquer les connexions client sans fil aux points d'accès malveillants.
  • Vous ne pouvez pas effectuer d'actions de réponse par voie hertzienne contre des points d'accès malveillants qui utilisent la sécurité WPA3 ou la sécurité WPA2 avec les Trames de Gestion Protégées activées (802.11w).
  • Vous ne pouvez pas effectuer d'actions de réponse par voie hertzienne contre des points d'accès malveillants qui diffusent sur un canal qui ne se trouve pas dans le pays d'exploitation actuel du point d'accès de détection.

Vous pouvez effectuer les actions suivantes manuellement à partir de l'UI de ThreatSync :

  • Bloquer l'IP/Débloquer l'IP — Bloque ou débloque l'adresse IP externe associée à l'incident. Lorsque vous sélectionnez cette action, tous les Fireboxes où ThreatSync a été activé sur le compte WatchGuard Cloud bloquent ou débloquent les connexions en provenance et à destination de l'adresse IP.

    Les adresses IP bloquées par ThreatSync ne figurent pas dans la liste des Sites Bloqués du Firebox dans Fireware ou WatchGuard Cloud. Pour de plus amples informations, accédez à Gérer les Éléments Bloqués par ThreatSync.

  • Supprimer le Fichier/Restaurer le Fichier — Supprime le fichier marqué lié à l'incident ou restaure un fichier précédemment supprimé.
  • Isoler le Périphérique/Cesser d'Isoler le Périphérique — Isole l'ordinateur du réseau de manière à stopper la propagation de la menace et bloquer l'exfiltration de données confidentielles, ou cesse d'isoler un ordinateur précédemment isolé.
  • Bloquer le Point d'Accès/Cesser de Bloquer le Point d'Accès — Bloque les connexions des clients sans fil aux points d'accès malveillants.

    Le point d'accès WatchGuard qui détecte le périphérique malveillant doit disposer d'une radio à balayage dédiée pour exécuter les actions de réponse sans fil et bloquer les connexions client sans fil à un point d'accès malveillant.

  • Terminer le Processus — Termine un processus ayant démontré un comportement malveillant lié à l'incident.
  • Contrôle à Distance — Se connecte à distance à l'ordinateur Windows sélectionné sur votre réseau afin de vous permettre d'enquêter sur une potentielle attaque et de la résoudre. L'outil de contrôle à distance nécessite Advanced EPDR. Pour de plus amples informations, accédez à À Propos de l'Outil Contrôle à Distance.
  • Bloquer/Débloquer l'Utilisateur — Bloque ou débloque l'utilisateur associé à un incident d'Accès avec Informations d'Identification dans AuthPoint. Pour plus d'informations sur la façon de bloquer des utilisateurs ou d'activer des utilisateurs bloqués dans AuthPoint, accédez à Bloquer un Utilisateur ou un Jeton.

Toutes les actions ne s'appliquent pas à tous les types d'incidents.

Lorsque vous modifiez l'état d'un incident ou exécutez une action sur celui-ci, une boîte de dialogue s'ouvre avec une zone de texte vous permettant d'ajouter un commentaire facultatif. Ces commentaires s'affichent dans le volet Commentaires de la page Détails de l'Incident. Pour de plus amples informations, accédez à Examiner les Détails de l'Incident.

Exécuter une Action

Vous pouvez effectuer des actions à partir de la page Incidents, de la page Détails de l'Incident et de la page Endpoints.

Pour effectuer une action sur un ou plusieurs incidents, à partir de la page Incidents :

  1. Sélectionnez Surveiller > Menaces > Incidents.
    La page Incidents s'ouvre.
  2. Sélectionnez la case à cocher à côté d'un ou de plusieurs incidents.
    Les menus Modifier l'État et Actions apparaissent.
  3. Dans la liste déroulante Actions, sélectionnez l'action à éxécuter.

Screenshot of the Actions drop-down list in the Incidents page

Les recommandations concernant un incident sur la page Détails de l'Incident déterminent les actions disponibles dans la liste déroulante Actions de la page Incidents. Par exemple, si l'action recommandée pour un incident consiste à isoler un périphérique, l'option Isoler/Arrêter d'Isoler le Périphérique est activée dans la liste déroulante Actions.

Pour effectuer une action sur un incident, à partir de la page Détails de l'Incident :

  1. Sélectionnez Surveiller > Menaces > Incidents.
    La page Incidents s'ouvre.
  2. Cliquez sur un incident dans la liste des incidents.
    La page Détails de l'Incident s'ouvre.
  3. Pour effectuer une action :
    • Dans la section Détails de la Menace, cliquez sur une action.
    • Dans les autres sections, cliquez sur l'icône éclair Screen shot of bolt icon pour ouvrir le menu d'action puis sélectionnez une action.

Screenshot of the actions you can perform from the Incident Details page: isolate device, kill process, delete file

Pour exécuter une action pour un ou plusieurs endpoints, à partir de la page Endpoints :

  1. Sélectionnez Surveiller > Menaces > Endpoints.
    La page Endpoints s'ouvre.
  2. Cochez la case située en face d'un ou plusieurs endpoints.
    Le menu Actions apparaît.
  3. Dans la liste déroulante Actions, sélectionnez l'action à éxécuter.

Screenshot of the Actions menu on the Endpoints page

Si une erreur se produit et que ThreatSync ne parvient pas à effectuer une action, une icône point d'exclamation rouge ou un message d'erreur s'affiche. Pour de plus amples informations, accédez à Dépanner les Erreurs d'Incident.

Vous pouvez configurer des notifications de manière à générer des alertes lorsque des actions sont effectuées. Pour de plus amples informations, accédez à Configurer les Règles de Notification ThreatSync.

Arrêter ou Annuler une Action

Si nécessaire, vous pouvez arrêter ou annuler une action précédemment effectuée. Par exemple, si vous avez effectué une action visant à bloquer une adresse IP, vous pouvez débloquer l'adresse IP.

  1. Sélectionnez Surveiller > Menaces > Incidents.
    La page Incidents s'ouvre.
  2. Dans la colonne de gauche, cochez la case correspondant à un ou plusieurs incidents.
    Les menus Modifier l'État et Actions apparaissent.
  3. Dans la liste déroulante Actions, sélectionnez l'action à arrêter ou à annuler.
  1. Sélectionnez Surveiller > Menaces > Incidents.
    La page Incidents s'ouvre.
  2. Cliquez sur un incident dans la liste des incidents.
    La page Détails de l'Incident s'ouvre.
  3. Dans la section Détails de la Menace, sélectionnez l'action à arrêter ou à annuler.

Screenshot of the Threat Details section showing the Stop button to stop a process or action

  1. Sélectionnez Surveiller > Menaces > Endpoints.
    La page Endpoints s'ouvre.
  2. Cochez la case située en face d'un ou plusieurs endpoints.
    Le menu Actions apparaît.
  3. Dans la liste déroulante Actions, sélectionnez Cesser d'Isoler.
  1. Sélectionnez Configurer > ThreatSync > Éléments Bloqués.
    La page Éléments Bloqués par ThreatSync s'ouvre.
  2. Sélectionnez l'onglet Firebox.
  3. Sélectionnez une ou plusieurs adresses IP bloquées.
  4. Cliquez sur Débloquer.
    Tous les Fireboxes éligibles cessent de bloquer le trafic provenant et à destination des adresses IP sélectionnées.
  1. Sélectionnez Configurer > ThreatSync > Éléments Bloqués.
    La page Éléments Bloqués par ThreatSync s'ouvre.
  2. Sélectionnez l'onglet Points d'Accès.
  3. Sélectionnez une ou plusieurs adresses MAC de points d'accès bloqués.
  4. Cliquez sur Débloquer.
    Tous les points d'accès sélectionnés ne sont plus bloqués.

Rubriques Connexes

Examiner les Détails de l'Incident

Clôturer ou Modifier l'État des Incidents

Surveiller les Endpoints ThreatSync

Gérer les Éléments Bloqués par ThreatSync

Dépanner les Erreurs d'Incident

Démarrage Rapide — Configurer ThreatSync

À Propos de l'Outil Contrôle à Distance