Configurer les Stratégies ThreatSync+

S'applique À : ThreatSync+ NDR, ThreatSync+ SaaS

Les stratégies ThreatSync+ surveillent en permanence votre réseau afin de détecter les activités qui violent les stratégies de votre organisation. Les stratégies détectent les vulnérabilités et les menaces de votre réseau et génèrent des alertes en cas d'activité non autorisée.

Pour minimiser votre temps de réponse et maximiser votre protection, il est important de configurer et d'affiner vos stratégies de manière à :

  • Refléter les stratégies de sécurité de votre organisation.
  • Appliquer les stratégies uniquement aux sections de votre réseau régies par les stratégies de votre organisation.
  • Refléter le degré de gravité approprié de votre organisation.

Pour commencer à utiliser les stratégies ThreatSync+, nous vous recommandons de suivre les étapes suivantes :

  • Commencez par un petit ensemble de stratégies gérables.
  • Affinez ces stratégies afin de ne recevoir que des alertes exploitables, c'est-à-dire des alertes auxquelles vous pouvez répondre et traiter afin que l'alerte ne se reproduise pas.
  • Créez des stratégies supplémentaires qui étendent la protection de votre réseau et affinez-les pour éviter trop d'alertes.

Pour obtenir des recommandations concernant l'affinage de vos stratégies, accédez à Affinage d'une Stratégie.

Nous vous recommandons d'attendre deux à trois jours avant de configurer des stratégies afin que ThreatSync+ puisse surveiller et en savoir plus sur votre réseau.

Activer les Stratégies ThreatSync+ Par Défaut

ThreatSync+ NDR inclut plus de 100 stratégies par défaut que vous pouvez activer. Étant donné que certaines stratégies par défaut peuvent ne pas être adaptées à votre réseau ou à vos stratégies de sécurité, la plupart des stratégies par défaut sont désactivées par défaut. Seul un sous-ensemble de stratégies de Niveau 1 sont activées par défaut et génèrent automatiquement des alertes. Pour obtenir la liste des stratégies par défaut, accédez à Stratégies et Zones par Défaut.

Les stratégies par défaut disponibles dépendent de votre licence. Pour de plus amples informations concernant les stratégies ThreatSync+ SaaS, accédez à Stratégies de Niveau 1 pour ThreatSync+ SaaS — Microsoft 365.

Si vous activez un grand nombre de stratégies par défaut, vous risquez de recevoir plus d'alertes que vous ne pouvez en traiter. Si vous activez trop peu de stratégies, vous risquez de ne pas recevoir les alertes importantes concernant des menaces potentielles ciblant votre réseau.

Pour activer une stratégie ThreatSync+ par défaut :

  1. Connectez-vous à votre compte WatchGuard Cloud.
  2. Sélectionnez Configurer > ThreatSync+ > Stratégies.
  3. En face de la stratégie par défaut que vous souhaitez activer, cliquez sur Non Active.
    L'état de la stratégie passe à Active.

Screenshot of the Manage Policies page in ThreatSync+ NDR

Ajouter des Stratégies ThreatSync+ Personnalisées — ThreatSync+ NDR

Vous pouvez créer une nouvelle stratégie ThreatSync+ et personnaliser les définitions de stratégie pour votre réseau. Chaque stratégie évalue tous les journaux de trafic ou d'événements entre une zone source et une zone de destination puis déclenche une alerte lorsque des conditions spécifiques sont satisfaites. Ces conditions sont des déclencheurs d'activité.

Pour de plus amples informations, accédez à Évaluation de la Stratégie.

Pour ajouter une stratégie ThreatSync+ NDR personnalisée :

  1. Connectez-vous à votre compte WatchGuard Cloud.
  2. Sélectionnez Configurer > ThreatSync+ > Stratégies.
  3. Sur la page Gérer les Stratégies ThreatSync+, cliquez sur Nouvelle Stratégie.
    La page Créer une Nouvelle Stratégie s'ouvre.

Screenshot of the Create a New Policy page in ThreatSync+ NDR

  1. (Facultatif) Dans la zone de texte Identifiant de Stratégie, saisissez un Identifiant de stratégie.

L'Identifiant de stratégie identifie de manière unique la stratégie. Si vous créez un rapport sur les objectifs de défense personnalisé avec la licence Compliance Reporting, vous souhaiterez peut-être référencer une stratégie personnalisée dans l'un des contrôles définis dans l'objectif de défense. Utilisez cet Identifiant de stratégie pour identifier de manière unique la stratégie. Si vous n'entrez pas d'Identifiant de stratégie, ThreatSync+ vous l'attribue. Pour de plus amples informations concernant les rapports de conformité, accédez à À Propos de WatchGuard Compliance Reporting.

  1. Dans la zone de texte Nom de la Stratégie, saisissez le nom de la nouvelle stratégie.
  2. (Facultatif) Saisissez une description.
  3. Dans la zone de texte Marques, sélectionnez ou créez les marques à appliquer à votre stratégie.
  4. Cliquez sur Déclencheurs d'Activité.
    La section Déclencheurs d'Activité s'agrandit.
  5. Dans la section Déclencheurs d'Activité, sélectionnez le type d'activité pour lequel vous souhaitez définir l'alerte : Trafic, Anomalies ou Événements de Service.
  6. Dans la liste déroulante Importance, sélectionnez l'importance à attribuer à votre activité : Très Faible, Faible, Moyen, Élevé ou Très Élevé.
  7. Si vous souhaitez recevoir des alertes uniquement en cas de trafic spécifique, sélectionnez Alerte en cas de Trafic Spécifique et spécifiez les conditions d'alerte.
  8. Si vous souhaitez recevoir des alertes uniquement en cas d'anomalies spécifiques, sélectionnez Alerte en cas d'Anomalies Spécifiques et spécifiez les conditions d'alerte.
  9. Si vous souhaitez recevoir des alertes uniquement en cas d'événements de service spécifiques, sélectionnez Alerte en cas d'Événements de Service Spécifiques et spécifiez les conditions d'alerte.
  10. Cliquez sur Résolution.
    La section Résolution s'agrandit.

Screenshot of the Remediation section for a ThreatSync+ NDR policy

  1. Cochez la case Si cette stratégie est violée, bloquer automatiquement les IP externes impliquées si vous souhaitez activer la résolution automatique.

Pour activer ou désactiver la résolution automatique d'une Stratégie ThreatSync+ NDR existante, cliquez sur L'icône Modifier en face de la stratégie et, dans la section Résolution, cochez ou décochez la case Si cette stratégie est violée, bloquer automatiquement les IP externes impliquées.

  1. Cliquez sur Flux de Trafic.
    La section Flux de Trafic est développée.
  2. Configurez les paramètres des flux de trafic source et de destination. Si vous souhaitez créer une nouvelle zone, cliquez sur Créer une Zone pour accéder à la page Zones. Pour de plus amples informations, accédez à Gérer les Zones ThreatSync+.
  3. Examinez les détails de votre stratégie.
  4. Activez votre stratégie ou enregistrez-la en tant que brouillon pour l'examiner ultérieurement.

Ajouter des Stratégies ThreatSync+ Personnalisées — ThreatSync+ SaaS

Vous pouvez créer une nouvelle stratégie ThreatSync+ et personnaliser les définitions de stratégie pour votre réseau. Chaque stratégie évalue les événements de l'utilisateur et déclenche une alerte lorsque des conditions spécifiques sont satisfaites. Ces conditions sont des déclencheurs d'activité.

Pour ajouter une stratégie ThreatSync+ SaaS personnalisée :

  1. Connectez-vous à votre compte WatchGuard Cloud.
  2. Sélectionnez Configurer > ThreatSync+ > Stratégies.
  3. Sur la page Gérer les Stratégies ThreatSync+, cliquez sur Nouvelle Stratégie.

    La page Créer une Nouvelle Stratégie s'ouvre.

Screenshot of the Create a New Policy page for a ThreatSync+ SaaS policy

  1. (Facultatif) Dans la zone de texte Identifiant de Stratégie, saisissez un Identifiant de stratégie.

L'Identifiant de stratégie identifie de manière unique la stratégie. Si vous créez un rapport sur les objectifs de défense personnalisé avec la licence Compliance Reporting, vous souhaiterez peut-être référencer une stratégie personnalisée dans l'un des contrôles définis dans l'objectif de défense. Utilisez cet Identifiant de stratégie pour identifier de manière unique la stratégie. Si vous n'entrez pas d'Identifiant de stratégie, ThreatSync+ vous l'attribue. Pour de plus amples informations concernant les rapports de conformité, accédez à À Propos de WatchGuard Compliance Reporting.

  1. Dans la zone de texte Nom de la Stratégie, saisissez le nom de la nouvelle stratégie.
  2. Saisissez une description.
  3. Dans la zone de texte Marques, sélectionnez la marque Office 365 ou créez les marques à appliquer à votre stratégie.
  4. Cliquez sur Déclencheurs d'Activité.
    La section Déclencheurs d'Activité s'agrandit.
  5. Dans la section Déclencheurs d'Activité, sélectionnez Événements d'Utilisateur.
  6. Dans la liste déroulante Importance, sélectionnez l'importance à attribuer à votre activité : Très Faible, Faible, Moyen, Élevé ou Très Élevé.
  7. Si vous souhaitez recevoir des alertes pour tous les événements d'utilisateur, sélectionnez Alerter pour n'importe quel événement d'utilisateur.
  8. Si vous souhaitez recevoir des alertes uniquement en cas d'événements d'utilisateur spécifiques, sélectionnez Alerte en cas d'événements d'utilisateur spécifiques et spécifiez les conditions d'alerte.
  9. Cliquez sur Zone de l'Utilisateur.
    La section Zone de l'Utilisateur est développée.

Screenshot of the User Zone section for a SaaS policy

  1. Configurez les paramètres de la Zone de l'Utilisateur. Si vous souhaitez créer une nouvelle zone, cliquez sur Créer une Zone pour accéder à la page Zones. Pour de plus amples informations, accédez à Gérer les Zones ThreatSync+.
  1. Cliquez sur Résolution.
    La section Résolution s'agrandit.

Screenshot of the Remediation section for a SaaS policy

  1. Cochez la case Si cette stratégie est violée, désactiver automatiquement les utilisateurs de la zone associée si vous souhaitez activer la résolution automatique.

Pour activer ou désactiver la résolution automatique d'une stratégie ThreatSync+ SaaS existante, cliquez sur L'icône Modifier en face de la stratégie et, dans la section Résolution, cochez ou décochez la case Si cette stratégie est violée, désactiver automatiquement les utilisateurs de la zone associée.

  1. Examinez les détails de votre stratégie.
  2. Activez votre stratégie ou enregistrez-la en tant que brouillon pour l'examiner ultérieurement.

Activer ou Désactiver des Stratégies ThreatSync+

Sur la page Gérer les Stratégies, vous pouvez activer ou désactiver une ou plusieurs stratégies. Lorsque vous activez une stratégie, ThreatSync+ détecte les violations de stratégie d'accès de votre organisation et génère des alertes pour vous prévenir de ces violations de stratégie.

Les stratégies par défaut sont similaires aux modèles. Lorsque vous activez ou modifiez une stratégie par défaut, ThreatSync+ enregistre automatiquement une copie de la stratégie. Si vous supprimez votre copie, toutes les modifications que vous avez apportées à la définition de la stratégie sont annulées et sa définition par défaut est rétablie. Pour de plus amples informations, accédez à À Propos des Stratégies et des Zones ThreatSync+.

Pour activer ou désactiver une Stratégie ThreatSync+, sur la page Gérer les Stratégies :

  1. Sélectionnez une ou plusieurs stratégies à modifier.
  2. Cliquez sur Icône de Menu Plus.
  3. Sélectionnez Activer la Sélection ou Désactiver la Sélection.

Screenshot of the More Menu on the Manage Policies page

  1. Vous pouvez également cliquer sur Active dans la colonne État pour désactiver la stratégie et remplacer son état par Non Active, ou cliquer sur Non Active pour activer la stratégie et remplacer son état par Active.

Modifier l'Échelle de Gravité des Alertes de Stratégie

Pour les alertes de stratégie basées sur l'apprentissage machine, ThreatSync+ élabore une référence d'activité et génère des alertes uniquement lorsque le trafic varie par rapport à cette référence. Par exemple, un volume important et inattendu de données envoyées sur Internet génère une alerte, car il s'écarte considérablement de l'activité de la référence.

Si vous souhaitez générer moins d'alertes, vous pouvez ajuster la sensibilité de l'alerte afin de rendre la détection moins sensible.

Screenshot of the Policy Alert Sensitivity Scale

Pour modifier l'Échelle de Gravité des Alertes d'une stratégie ThreatSync+ spécifique :

  1. Sur la page Gérer les Stratégies ThreatSync+, cliquez sur L'icône Modifier en face de la stratégie à modifier.
    La page Détails de la Stratégie s'ouvre.
  2. Dans la section Déclencheurs d'Activité, en face d'Échelle de Gravité des Alertes, cliquez sur L'icône Modifier.
    La boîte de dialogue Modifier l'Échelle de Gravité des Alertes s'ouvre.

Screenshot of the Edit Alert Severity Scale dialog box

  1. Pour modifier l'Échelle de Gravité des Alertes, faites glisser le curseur vers une nouvelle valeur. Pour générer moins d'alertes, sélectionnez une valeur supérieure. Pour générer plus d'alertes, sélectionnez une valeur inférieure.
  2. Cliquez sur Enregistrer.

Vous pouvez également modifier l'Échelle de Gravité des Alertes sur la page Trafic lorsque des types d'anomalies spécifiques sont sélectionnés avec la Source de Données Événements. Pour de plus amples informations, accédez à Enquêter sur le Trafic ThreatSync+.

Rubriques Connexes

À Propos des Stratégies et des Zones ThreatSync+

À Propos des Alertes de Stratégie

Configurer ThreatSync+