Démarrage Rapide — Configurer ThreatSync

S'applique À : ThreatSync

Certaines des fonctionnalités décrites dans cette rubrique sont uniquement proposées aux participants du programme ThreatSync Bêta. Si une fonctionnalité décrite dans cette rubrique n'est pas disponible dans votre version de WatchGuard Cloud, il s'agit d'une fonctionnalité proposée uniquement en version bêta.

Cette rubrique de démarrage rapide décrit les étapes générales d'installation et de configuration de ThreatSync dans WatchGuard Cloud :

ThreatSync+ NDR étend la fonctionnalité ThreatSync existante dans WatchGuard Cloud et offre une détection et une réponse réseau améliorées, une identification des périphériques réseau et une génération de rapports avancée pour les Fireboxes, les pare-feu tiers et l'infrastructure LAN. Pour en savoir plus, accédez à À Propos de ThreatSync+ NDR.

ThreatSync+ SaaS vous permet de surveiller, de détecter et de signaler l'activité des environnements SaaS et cloud tiers, tels que Microsoft 365. Pour en savoir plus, accédez à À Propos de l'Intégration ThreatSync+ SaaS — Microsoft 365.

Avant de Commencer

Il n'est pas nécessaire d'acheter une nouvelle licence pour activer et utiliser ThreatSync.

Avant d'utiliser ThreatSync, confirmez les points suivants :

  • Vous possédez un Firebox avec un abonnement Total Security Suite connecté à WatchGuard Cloud pour la journalisation et la génération de rapports, ou un point d'accès avec une licence USP Wi-Fi Management, ou une licence complète ou d'essai WatchGuard Endpoint Security (EPDR, Advanced EPDR ou EDR) installée sur un ou plusieurs périphériques d'endpoint.

WatchGuard EDR Core est inclus dans Total Security Suite du Firebox. Pour de plus amples informations, accédez à Fonctionnalités de WatchGuard EDR Core.

  • Vos Fireboxes exécutent Fireware v12.9 ou une version ultérieure.
  • Vos points d'accès exécutent le microprogramme v2.0 ou une version ultérieure et ont activé la Surveillance de l'Espace de Fréquences.
  • Pour exécuter des actions de réponse contre les points d'accès menaçants lorsqu'ils sont intégrés à ThreatSync, les points d'accès doivent exécuter le microprogramme v2.7 ou une version ultérieure et avoir activé la Surveillance de l'Espace de Fréquences.
  • Un AP230W, AP330 ou AP430CR équipé d'une radio à balayage dédiée est nécessaire à la détection par voie hertzienne d'Evil Twin et aux actions de réponse ThreatSync permettant de bloquer les connexions client sans fil aux points d'accès malveillants.
  • Votre logiciel Endpoint Security Windows présente la version v.8.00.21.0001 ou une version ultérieure.
  • Si vous possédez des licences Firebox et Endpoint Security, l'endpoint se trouve derrière le Firebox.

Plus vous possédez de produits WatchGuard, plus ThreatSync dispose d'informations lui permettant de corréler les événements.

Nous vous recommandons de patienter quelques minutes suite à l'activation de la licence avant d'activer ThreatSync.

Activer ThreatSync dans Votre Compte

Pour activer ThreatSync pour votre compte, dans WatchGuard Cloud :

  1. Dans le Gestionnaire de Comptes, sélectionnez votre compte.
  2. Sélectionnez Surveiller > Menaces ou Configurer > ThreatSync.

Screen shot of the Enable ThreatSync widget

  1. Dans la mosaïque ThreatSync, cliquez sur Activer ThreatSync.
    La boîte de dialogue Activer ThreatSync s'ouvre. ThreatSync est automatiquement activé sur tous les périphériques de votre compte.

Screen shot of the Enable ThreatSync dialog box

  1. Cliquez sur Fermer.
    La page Paramètres du Périphérique s'ouvre.

Configurer les Paramètres du Périphérique

Lorsque vous activez ThreatSync, il est automatiquement activé sur les Fireboxes, points d'accès et périphériques d'endpoint alloués à votre compte. Vous pouvez configurer l'envoi de données à ThreatSync par des périphériques d'endpoint, des Fireboxes ou des points d'accès spécifiques sur la page Paramètres du Périphérique.

Pour configurer les paramètres du périphérique ThreatSync :

  1. Sélectionnez Configurer > ThreatSync > Paramètres du Périphérique.
    La page Paramètres du Périphérique s'ouvre.
  2. Pour spécifier si les données d'incident de tous les périphériques d'endpoint doivent être envoyées à ThreatSync, cochez ou décochez l'option Endpoints.
  3. Pour activer automatiquement ThreatSync sur tous les nouveaux Fireboxes ou points d'accès que vous allouez au compte dans WatchGuard Cloud, cochez la case située en face du type de périphérique.
  4. Pour spécifier les Fireboxes ou les points d'accès qui envoient des données à ThreatSync et reçoivent des actions de la part de ThreatSync, décochez ou cochez les cases situées en face du nom des Fireboxes ou des points d'accès.

Screenshot of ThreatSync Device Settings page

  1. Cliquez sur Enregistrer.

Surveiller les Menaces

Le menu Surveiller > Menaces de l'UI de gestion de ThreatSync présente une synthèse de l'activité des incidents corrélés au cours d'une période spécifiée. Les pages suivantes sont disponibles à partir du menu :

Page Synthèse

La page Synthèse s'ouvre par défaut dans le menu Surveiller > Menaces pour les Service Providers et les Subscribers. Cette page présente la synthèse de l'activité des incidents de votre compte.

Les mosaïques indiquent le nombre d'incidents de chaque niveau de risque et présentant les différents états, ainsi qu'une chronologie des incidents. Cliquez sur le titre d'une mosaïque pour afficher les détails de ces incidents sur la page Incidents.

Pour de plus amples informations, accédez à Synthèse des Incidents ThreatSync.

Page Incidents

La page Incidents fournit la liste centralisée des incidents que les Personnes Répondant aux Incidents peuvent examiner et gérer. Vous pouvez filtrer la liste par date, type d'incident, action, risque ou état, et effectuer des actions sur un ou plusieurs incidents.

Screen shot of the Incidents page in ThreatSync

Par défaut, la liste est triée par niveau de risque et par ordre décroissant afin de faire figurer les menaces les plus critiques en tête de la liste des incidents et de prendre les éventuelles mesures nécessaires. Pour de plus amples informations, accédez à Surveiller les Incidents ThreatSync.

Pour afficher les informations détaillées d'un incident spécifique, cliquez sur l'incident dans la liste. Pour de plus amples informations, accédez à Examiner les Détails de l'Incident

Vous pouvez configurer des règles de notification dans WatchGuard Cloud de manière à envoyer des alertes concernant les événements ThreatSync. Pour de plus amples informations, accédez à Configurer les Règles de Notification ThreatSync.

Page Endpoints

La page Endpoints fournit la liste centralisée des endpoints et permet aux Personnes Répondant aux Incidents d'examiner et d'exécuter les actions de réponse des périphériques d'endpoint.

Par défaut, la liste des endpoints affiche les endpoints associés aux incidents pour la date actuelle. Vous pouvez modifier la plage de date de manière à afficher les endpoints de différentes dates. Pour de plus amples informations, accédez à Surveiller les Endpoints ThreatSync.

Exécuter des Actions de Réponse aux Incidents

Lorsque vous surveillez les menaces détectées par ThreatSync et examinez les détails de l'incident, vous pouvez opter pour exécuter l'une des actions suivantes pour répondre à l'incident :

  • Bloquer l'IP/Débloquer l'IP — Bloque ou débloque l'adresse IP externe associée à l'incident. Lorsque vous sélectionnez cette action, tous les Fireboxes où ThreatSync a été activé sur le compte WatchGuard Cloud bloquent ou débloquent les connexions en provenance et à destination de l'adresse IP.

    Les adresses IP bloquées par ThreatSync ne figurent pas dans la liste des Sites Bloqués du Firebox dans Fireware ou WatchGuard Cloud. Pour de plus amples informations, accédez à Gérer les Éléments Bloqués par ThreatSync.

  • Supprimer le Fichier/Restaurer le Fichier — Supprime le fichier marqué lié à l'incident ou restaure un fichier précédemment supprimé.
  • Isoler le Périphérique/Cesser d'Isoler le Périphérique — Isole l'ordinateur du réseau de manière à stopper la propagation de la menace et bloquer l'exfiltration de données confidentielles, ou cesse d'isoler un ordinateur précédemment isolé.
  • Bloquer le Point d'Accès/Cesser de Bloquer le Point d'Accès — Bloque les connexions des clients sans fil aux points d'accès malveillants.

    Le point d'accès WatchGuard qui détecte le périphérique malveillant doit disposer d'une radio à balayage dédiée pour exécuter les actions de réponse sans fil et bloquer les connexions client sans fil à un point d'accès malveillant.

  • Terminer le Processus — Termine un processus ayant démontré un comportement malveillant lié à l'incident.
  • Contrôle à Distance — Se connecte à distance à l'ordinateur Windows sélectionné sur votre réseau afin de vous permettre d'enquêter sur une potentielle attaque et de la résoudre. L'outil de contrôle à distance nécessite Advanced EPDR. Pour de plus amples informations, accédez à À Propos de l'Outil Contrôle à Distance.
  • Bloquer/Débloquer l'Utilisateur — Bloque ou débloque l'utilisateur associé à un incident d'Accès avec Informations d'Identification dans AuthPoint. Pour plus d'informations sur la façon de bloquer des utilisateurs ou d'activer des utilisateurs bloqués dans AuthPoint, accédez à Bloquer un Utilisateur ou un Jeton.

Toutes les actions ne s'appliquent pas à tous les types d'incidents.

Pour effectuer une action sur un ou plusieurs incidents, à partir de la page Incidents :

  1. Sélectionnez Surveiller > Menaces > Incidents.
    La page Incidents s'ouvre.
  2. Sélectionnez la case à cocher à côté d'un ou de plusieurs incidents.
    Les menus Modifier l'État et Actions apparaissent.
  3. Dans la liste déroulante Actions, sélectionnez l'action à éxécuter.

Screenshot of the Actions drop-down list in the Incidents page

Les recommandations concernant un incident sur la page Détails de l'Incident déterminent les actions disponibles dans la liste déroulante Actions de la page Incidents. Par exemple, si l'action recommandée pour un incident consiste à isoler un périphérique, l'option Isoler/Arrêter d'Isoler le Périphérique est activée dans la liste déroulante Actions.

Pour effectuer une action sur un incident, à partir de la page Détails de l'Incident :

  1. Sélectionnez Surveiller > Menaces > Incidents.
    La page Incidents s'ouvre.
  2. Cliquez sur un incident dans la liste des incidents.
    La page Détails de l'Incident s'ouvre.
  3. Pour effectuer une action :
    • Dans la section Détails de la Menace, cliquez sur une action.
    • Dans les autres sections, cliquez sur l'icône éclair Screen shot of bolt icon pour ouvrir le menu d'action puis sélectionnez une action.

Screenshot of the actions you can perform from the Incident Details page: isolate device, kill process, delete file

Pour exécuter une action pour un ou plusieurs endpoints, à partir de la page Endpoints :

  1. Sélectionnez Surveiller > Menaces > Endpoints.
    La page Endpoints s'ouvre.
  2. Cochez la case située en face d'un ou plusieurs endpoints.
    Le menu Actions apparaît.
  3. Dans la liste déroulante Actions, sélectionnez l'action à éxécuter.

Screenshot of the Actions menu on the Endpoints page

Pour de plus amples informations concernant les actions de réponse, accédez à Exécuter des Actions sur des Incidents ou des Endpoints.

Vous pouvez également clôturer les incidents ou modifier leur état après les avoir examinés. Pour de plus amples informations, accédez à Clôturer ou Modifier l'État des Incidents.

Ajouter des Stratégies d'Automatisation

Vous pouvez configurer des stratégies d'automatisation de manière à effectuer automatiquement les actions ThreatSync à votre place.

Nous vous recommandons de ne pas ajouter de stratégie d'automatisation autres que les stratégies d'automatisation par défaut décrites dans les Meilleures Pratiques de ThreatSync tant que vous ne vous êtes pas familiarisé avec les différents types d'incidents survenant dans votre environnement et les actions de réponse que vous pouvez exécuter.

Pour ajouter une stratégie d'automatisation (Comptes Subscriber) :

  1. Connectez-vous à votre compte WatchGuard Cloud.
  2. Si vous êtes un Service Provider et que vous souhaitez ajouter une stratégie d'automatisation à votre propre compte Subscriber, dans le Gestionnaire de Comptes, sélectionnez Mon Compte.
  3. Sélectionnez Configurer > ThreatSync.
    La page Stratégies d'Automatisation s'ouvre.
  4. Cliquez sur Ajouter une Stratégie d'Automatisation.
    La page Ajouter une Stratégie s'ouvre.

Screen shot of the Add Policy page in ThreatSync

  1. Pour activer la nouvelle stratégie, cliquez sur l'option Activé.
  2. Saisissez le Nom de votre stratégie ainsi que d'éventuels commentaires.
  3. Dans la section Type de Stratégie, dans la liste déroulante Type, sélectionnez le type de stratégie que vous souhaitez créer :
    • Traitement — La stratégie d'automatisation effectue les actions de traitement spécifiées pour les incidents répondant aux conditions.
    • Clôturer — La stratégie d'automatisation fait passer les incidents répondant aux conditions à l'état Clôturé.

Screen shot of the Policy Type drop-down list on the Add Policy page

  1. Dans la section Conditions, spécifiez les conditions qu'un incident doit remplir de sorte que cette stratégie d'automatisation s'applique :

    2. Screen shot of the Risk Range drop-down list on the Add Policy page in ThreatSync

    • Type d'Incident — Sélectionnez un ou plusieurs types d'incident parmi les suivants :
      • Stratégie de Sécurité Avancée — Exécution de scripts malveillants et de programmes inconnus employant des techniques d'infection avancées.
      • Exploit — Attaques tentant d'injecter du code malveillant de manière à exploiter des processus vulnérables.
      • Tentative d'Intrusion — Événement de sécurité lors duquel un intrus tente d'accéder sans autorisation à un système.
      • IOA — Les Indicateurs d'Attaque (IOA) sont des indicateurs présentant une forte probabilité de constituer une attaque.
      • URL Malveillante — URL créée de manière à disséminer des malwares tels que les logiciels de rançon.
      • IP Malveillante — Adresse IP liée à une activité malveillante.
      • Malware — Logiciel malveillant conçu pour endommager, perturber et accéder sans autorisation à des systèmes informatiques.
      • PUP — Programmes Potentiellement Indésirables (PPI) susceptibles d'être installés lors de l'installation d'autres logiciels sur un ordinateur.
      • Virus — Code malveillant s'introduisant dans des systèmes informatiques.
      • Accès avec Informations d'Identification — Incident AuthPoint indiquant une tentative de compromission des informations d'identification du compte.
      • Point d'Accès Malveillant — Point d'accès non autorisé connecté à votre réseau ou fonctionnant dans votre espace de fréquences.

      Screenshot of the Incident Types in the Add Automation Policy Wizard

    • Type de Périphérique — Sélectionnez un ou plusieurs types de périphériques parmi les suivants :
      • Firebox
      • Endpoint
      • AuthPoint
      • Point d'Accès

    Screenshot of the Select Device Types dialog box

  • Actions Effectuées — Sélectionnez une ou plusieurs actions exécutées en réponse à un incident (stratégie de type Clôturer uniquement).

    • Autorisé (Mode Audit) — Incident détecté mais aucune action exécutée, car le périphérique est en mode Audit.
    • Connexion Bloquée — Connexion bloquée.
    • Processus Bloqué — Processus bloqué par un périphérique d'endpoint.
    • Périphérique Isolé — La communication avec le périphérique a été bloquée.
    • Fichier Supprimé — Le fichier a été classifié en tant que malware et supprimé.
    • IP Bloquée — Les connexions réseau à destination et en provenance de cette adresse IP ont été bloquées.
    • Bloquer le Point d'Accès — Les connexions des clients sans fil à ce point d'accès malveillant sont bloquées.
    • Processus Terminé — Processus terminé par un périphérique d'endpoint.
    • Détecté — Incident détecté, mais aucune action n'a été exécutée.
    • Utilisateur Bloqué — Accès avec Informations d'Identification au cours duquel l'utilisateur a été bloqué dans AuthPoint.

    Screenshot of the Select Actions Performed dialog box on the Add Policy page

  1. Dans la section Actions, indiquez dans la liste déroulante si vous souhaitez effectuer ou bloquer les actions spécifiées.
    • Perform (Exécuter) — ThreatSync exécute les actions spécifiées en réponse aux nouveaux incidents répondant aux conditions de la stratégie.
    • Prevent (Empêcher) — ThreatSync empêche les actions spécifiées. Pour créer une exception à une stratégie Perform (Exécuter) plus large, vous pouvez ajouter une stratégie contenant l'action Prevent (Empêcher) et la classer avant l'autre stratégie dans la liste des stratégies. Une stratégie avec l'action Empêcher n'empêche pas l'exécution manuelle d'une action par un opérateur.
  2. Sélectionnez une ou plusieurs actions à effectuer ou bloquer parmi les suivantes :
    • Bloquer l'IP d'Origine de la Menace (IP externes uniquement) — Bloque l'adresse IP externe liée à l'incident. Lorsque vous sélectionnez cette action, tous les Fireboxes où ThreatSync a été activé sur le compte WatchGuard Cloud bloquent les connexions en provenance et à destination de l'adresse IP.
    • Supprimer le Fichier — Supprime le fichier signalé lié à l'incident.
    • Isoler le Périphérique — Isole l'ordinateur du réseau afin d'empêcher la propagation de la menace ou bloquer l'exfiltration de données confidentielles.
    • Bloquer le Point d'Accès — Bloque les connexions des clients sans fil au point d'accès malveillant.
    • Terminer le Processus Malveillant — Termine un processus ayant démontré un comportement malveillant lié à l'incident.
    • Bloquer/Débloquer l'Utilisateur — Bloque ou débloque l'utilisateur associé à un incident d'Accès avec Informations d'Identification dans AuthPoint. Pour plus d'informations sur la façon de bloquer des utilisateurs ou d'activer des utilisateurs bloqués dans AuthPoint, accédez à Bloquer un Utilisateur ou un Jeton.
    • Fermer l'Incident — Change l''état de l'incident à Fermé (type de stratégie Clôturer uniquement).

    3. Si le type de stratégie est Close (Clôturer), l'action Fermer l'Incident est sélectionnée automatiquement et vous ne pouvez pas sélectionner une autre action.

Screenshot of the Actions dialog box on the Add Policy page

  1. Cliquez sur Ajouter.
    La nouvelle stratégie est ajoutée à la liste des stratégies.

Les Service Providers peuvent créer des modèles de stratégie d'automatisation qui incluent plusieurs stratégies d'automatisation, puis les attribuer à leurs comptes gérés. Pour de plus amples informations, accédez à Gérer les Modèles de Stratégie d'Automatisation ThreatSync (Service Providers).

Rubriques Connexes

À Propos de ThreatSync

Meilleures Pratiques de ThreatSync

Configurer ThreatSync

Surveiller ThreatSync

À Propos des Stratégies d'Automatisation ThreatSync

Configurer les Règles de Notification ThreatSync