Configurer les Alertes et les Règles de Notification ThreatSync+

S'applique À : ThreatSync+ NDR, ThreatSync+ SaaS Cette rubrique s'applique à ThreatSync et ThreatSync+ NDR.

Vous pouvez configurer WatchGuard Cloud pour envoyer des notifications par e-mail lorsque ThreatSync+ détecte une menace ou une vulnérabilité. Pour configurer les notifications par e-mail, vous spécifiez les collecteurs SaaS, les alertes de stratégie et les Smart Alerts qui génèrent une notification lorsqu'ils sont créés ou mis à jour.

Configurer les Alertes dans ThreatSync+

Sur la page Alertes, vous pouvez spécifier les collecteurs, les actions de résolution, les collecteurs SaaS, les stratégies et types de Smart Alerts inclus dans les règles de notification que vous configurez pour générer des alertes et envoyer des notifications par e-mail à partir de WatchGuard Cloud.

Les alertes disponibles dans la section Résolution dépendent de votre type de licence. Bloquer l'Adresse IP est disponible avec une licence ThreatSync+ NDR, tandis que Bloquer l'Utilisateur est disponible avec une licence ThreatSync+ SaaS.

La section Collecteurs SaaS est uniquement disponible avec une licence ThreatSync+ SaaS. Pour de plus amples informations, accédez à À Propos des Licences ThreatSync+ SaaS.

Pour configurer les Alertes ThreatSync+, depuis WatchGuard Cloud :

1. Sélectionnez Configurer > ThreatSync+ > Alertes.
   La page Alertes s'ouvre.

2. Dans la section Collecteurs, sélectionnez les options de collecteur que vous souhaitez inclure dans vos alertes.
   • Journaux DHCP Reçus par Adresse IP Source
     • Opérationnel — Cochez cette case pour envoyer une notification lorsque le collecteur se rétablit d'un événement de dysfonctionnement et a envoyé avec succès les données à ThreatSync+.
     • Dysfonctionnement — Cochez cette case pour envoyer une notification en cas d'événement de dysfonctionnement. Un événement de dysfonctionnement se produit lorsque le collecteur n'envoie pas de données à ThreatSync+ pendant 120 minutes.
       • Heure de Suppression — ThreatSync+ continue à générer des événements de dysfonctionnement toutes les 120 minutes jusqu'à ce que le collecteur distant se rétablisse et reprenne le chargement des données. Pour spécifier le délai entre les notifications de dysfonctionnement successives, configurez l'heure de suppression.
   • Pulsation du Collecteur Distant
     • Opérationnel — Sélectionnez cette option pour envoyer une notification lorsque le collecteur distant se rétablit suite à un événement de dysfonctionnement. Cette notification indique que le collecteur distant est à nouveau en ligne et fonctionne.
     • Échec — Sélectionnez cette option pour envoyer une notification lorsqu'un événement de dysfonctionnement se produit. ThreatSync+ génère un événement de dysfonctionnement lorsqu'aucun message de pulsation n'est reçu pendant 20 minutes.
       • Heure de Suppression — ThreatSync+ continue à générer des événements de dysfonctionnement toutes les 20 minutes jusqu'à ce que le collecteur distant se rétablisse et qu'un message de pulsation soit reçu. Pour spécifier le délai entre les notifications de dysfonctionnement successives, configurez l'heure de suppression.
       • Alerter si la pulsation s'interrompt pendant — Pour spécifier la durée devant s'écouler avant qu'une notification doive être générée suite à l'interruption d'une pulsation, configurez la durée.
   • Journaux NetFlow Reçus
     • Opérationnel — Sélectionnez cette option pour envoyer une notification lorsque le collecteur distant se rétablit d'un événement de dysfonctionnement et que les journaux NetFlow sont reçus.
     • Échec — Sélectionnez cette option pour envoyer une notification lorsqu'un événement de dysfonctionnement se produit. ThreatSync+ génère une notification de dysfonctionnement lorsqu'aucun journal NetFlow n'est reçu pendant 20 minutes.
       • Heure de Suppression — ThreatSync+ continue à générer des événements de dysfonctionnement toutes les 20 minutes jusqu'à ce que le collecteur se rétablisse et que les journaux NetFlow soient reçus. Pour spécifier le délai entre les notifications de dysfonctionnement successives, configurez l'heure de suppression.
   • Journaux NetFlow Reçus par Adresse IP Source
     • Opérationnel — Sélectionnez cette option pour envoyer une notification lorsque le collecteur se rétablit d'un événement de dysfonctionnement et envoie avec succès les données à ThreatSync+.
     • Échec — Sélectionnez cette option pour envoyer une notification lorsqu'un événement de dysfonctionnement se produit. ThreatSync+ génère une notification de dysfonctionnement lorsque le collecteur n'a pas envoyé de données à ThreatSync+ pendant 20 minutes.
       • Heure de Suppression — ThreatSync+ continue à générer des événements de dysfonctionnement toutes les 20 minutes jusqu'à ce que le collecteur distant se rétablisse et reprenne le chargement des données. Pour spécifier le délai entre les notifications de dysfonctionnement successives, configurez l'heure de suppression.
3. Dans la section Collecteurs SaaS, sélectionnez les options de Pulsation de Microsoft 365 que vous souhaitez inclure dans vos alertes.
   • Opérationnel — Cochez cette case pour envoyer une notification lorsque le Collecteur SaaS se rétablit suite à un événement de dysfonctionnement. Cette notification indique que le collecteur SaaS est à nouveau en ligne et fonctionne correctement.
   • Échec — Sélectionnez cette option pour envoyer une notification lorsqu'un événement de dysfonctionnement se produit. ThreatSync+ SaaS génère une notification de dysfonctionnement lorsqu'aucun message de pulsation n'est reçu de la part du collecteur SaaS pendant 120 minutes.
     • Heure de Suppression — ThreatSync+ continue à générer des événements de dysfonctionnement toutes les 120 minutes jusqu'à ce que le collecteur SaaS se rétablisse. Pour spécifier le délai entre les notifications de dysfonctionnement successives, configurez l'heure de suppression.
4. Dans la section Résolution, cochez les cases en regard des actions de blocage que vous souhaitez inclure dans vos alertes.
   • Bloquer l'Adresse IP
     • L'adresse IP est bloquée automatiquement
     • L'adresse IP est bloquée manuellement
     • L'adresse IP est débloquée manuellement
   • Bloquer l'Utilisateur
     • L'utilisateur est bloqué automatiquement
     • L'utilisateur est bloqué manuellement
     • L'utilisateur est débloqué manuellement
5. Dans la section Stratégies, cochez les cases en face des stratégies que vous souhaitez inclure dans vos alertes. Pour recevoir des alertes, assurez-vous que l'état de la stratégie est Active. Pour regrouper vos alertes, sélectionnez l'une de ces options dans la liste déroulante Par Défaut (Stratégie et Source) :
   • Stratégie — Toutes les notifications sont regroupées avec la même stratégie.
   • Stratégie et Source — Toutes les notifications sont regroupées si le nom de la stratégie et de la source sont identiques.
   • Stratégie, Source et Destination — Toutes les notifications sont regroupées si le nom de la stratégie, la source et la destination sont identiques.
     • Dans la section Durée, sélectionnez une durée comprise entre une heure et 12 heures pour la durée des alertes groupées. La valeur par défaut est d'une heure.

L'option de regroupement des alertes Stratégie, Source et Destination n'est pas disponible pour les alertes de stratégie de ThreatSync+ SaaS.

6. Dans la section Smart Alerts, pour chaque type de Smart Alert que vous souhaitez inclure dans vos alertes, cochez les cases Créé et/ou Mis à jour.

Configurer les Règles de Notification dans WatchGuard Cloud — ThreatSync+ NDR

Dans WatchGuard Cloud, vous pouvez configurer des règles de notification pour générer des alertes et envoyer des notifications par e-mail pour l'activité ThreatSync+. Les règles de notification vous permettent de répondre plus facilement aux menaces émergentes sur votre réseau.

Sur la page Règles, vous pouvez consulter toutes les règles créées pour votre compte. Par défaut, il existe plusieurs règles prédéfinies. Vous pouvez modifier le nom, la description et la méthode d'envoi des règles par défaut. Si vous sélectionnez E-mail comme méthode d'envoi, vous pouvez également modifier la fréquence des alertes. Certaines règles système par défaut ne peuvent pas être supprimées.

Types de Notification de ThreatSync+ NDR

Chaque règle de notification dans WatchGuard Cloud utilise un Type de Notification qui spécifie l'action ou l'événement qui provoque la génération d'une alerte par la règle.

Alerte de Stratégie

Génère une alerte lorsqu'une nouvelle alerte de stratégie est générée pour votre compte.

Smart Alert Créée

Génère une alerte lorsqu'une Smart Alert est créée.

Smart Alert Mise à Jour

Génère une alerte lorsqu'une Smart Alert est mise à jour.

Aucun Journal DHCP Reçu d'une Source

Génère une alerte lorsqu'aucun journal DHCP n'est reçu d'une source pendant 120 minutes.

Journaux DHCP Reçus d'une Source

Génère une alerte lorsque des journaux DHCP sont reçus d'une source.

Aucune Pulsation du Collecteur NDR Détectée

Génère une alerte lorsqu'aucun message de pulsation n'est reçu d'un collecteur ThreatSync+ NDR pendant 20 minutes.

Pulsation du Collecteur NDR Détectée

Génère une alerte lorsqu'un message de pulsation est reçu d'un collecteur ThreatSync+ NDR après un dysfonctionnement de collecteur.

Aucun Journal NetFlow Reçu

Génère une alerte lorsqu'aucun journal NetFlow n'est reçu par les périphériques réseaux ThreatSync+ NDR pendant 20 minutes.

Journaux NetFlow Reçus

Génère une alerte lorsque les journaux NetFlow sont reçus.

Aucun Journal NetFlow Reçu d'une Source

Génère une alerte lorsqu'aucun journal NetFlow n'est reçu d'une source pendant 20 minutes.

Journaux NetFlow Reçus d'une Source

Génère une alerte lorsque des journaux NetFlow sont reçus d'une source.

Des Adresses IP sont Automatiquement Bloquées

Génère une alerte lorsque des adresses IP sont automatiquement bloquées par une stratégie ThreatSync+ NDR.

Des Adresses IP sont Bloquées Manuellement

Génère une alerte lorsque des adresses IP sont bloquées manuellement.

Des Adresses IP sont Débloquées Manuellement

Génère une alerte lorsque des adresses IP sont débloquées manuellement.

Ajouter une Règle de Notification pour ThreatSync+ NDR

Votre rôle d'opérateur détermine ce que vous pouvez afficher et faire dans WatchGuard Cloud. Votre rôle doit disposer de la permission Configurer les Règles de Notification pour afficher ou configurer cette fonctionnalité. Pour de plus amples informations, accédez à Gérer les Opérateurs et Rôles de WatchGuard Cloud.

Pour ajouter une nouvelle règle de notification, à partir de WatchGuard Cloud :

1. Sélectionnez Administration > Notifications.
2. Sélectionnez l'onglet Règles.

3. Cliquez sur Ajouter une Règle.
4. Sur la page Ajouter une Règle, dans la zone de texte Nom, saisissez le nom de votre règle afin de pouvoir l'identifier.
5. Dans la liste déroulante Source de Notification, sélectionnez ThreatSync+ NDR.
6. Dans la liste déroulante Type de Notification, sélectionnez l'action ou l'événement qui déclenche la génération d'une alerte par cette règle.
7. (Facultatif) Saisissez une description de votre règle.
8. Dans la liste déroulante Méthodes d'Envoi, choisissez l'une de ces options :
   • Aucun — La règle génère une alerte qui s'affiche sur la page Alertes dans WatchGuard Cloud.
   • E-mail — La règle génère une alerte qui s'affiche sur la page Alertes dans WatchGuard Cloud et elle envoie un e-mail de notification aux destinataires spécifiés.
9. Si vous sélectionnez E-mail comme méthode d'envoi :
   1. Dans la liste déroulante Fréquence, configurez le nombre de messages d'e-mail que la règle peut envoyer par jour :
      • Pour envoyer un message d'e-mail pour chaque alerte générée par la règle, sélectionnez Envoyer Toutes les Alertes.
      • Pour limiter le nombre de messages d'e-mail envoyés chaque jour par la règle, sélectionnez Envoyer au Maximum. Dans la zone de texte Alertes par Jour, saisissez le nombre maximal de messages d'e-mail pouvant être envoyés chaque jour par cette règle. Vous pouvez spécifier une valeur allant jusqu'à 20 000 alertes par jour.
   2. Dans la zone de texte Objet, saisissez la ligne d'objet de message d'e-mail envoyé par cette règle lorsqu'elle génère une alerte. Vous pouvez saisir 78 caractères au maximum.
   3. Dans la zone de texte Destinataires, saisissez l'adresse de message d'e-mail de chaque personne à laquelle vous souhaitez envoyer un message d'e-mail lorsque cette règle génère une alerte. Vous pouvez saisir plusieurs adresses e-mail. Appuyez sur Entrée après chaque adresse e-mail ou séparez les adresses e-mail par un espace, une virgule ou un point-virgule. Cochez la case JSON si vous souhaitez recevoir des notifications par e-mail au format JSON.

   

10. Cliquez sur Ajouter une Règle.

Pour supprimer une règle de notification, cliquez sur dans la ligne de la règle que vous voulez supprimer.

Pour de plus amples informations concernant la gestion des alertes, accédez à Gérer les Alertes de WatchGuard Cloud.

Configurer les Règles de Notification dans WatchGuard Cloud — ThreatSync+ SaaS

Dans WatchGuard Cloud, vous pouvez configurer des règles de notification pour générer des alertes et envoyer des notifications par e-mail pour l'activité ThreatSync+. Les règles de notification vous permettent de répondre plus facilement aux menaces émergentes sur votre réseau.

Sur la page Règles, vous pouvez consulter toutes les règles créées pour votre compte. Par défaut, il existe plusieurs règles prédéfinies. Vous pouvez modifier le nom, la description et la méthode d'envoi des règles par défaut. Si vous sélectionnez E-mail comme méthode d'envoi, vous pouvez également modifier la fréquence des alertes. Certaines règles système par défaut ne peuvent pas être supprimées.

Types de Notification de ThreatSync+ SaaS

Chaque règle de notification dans WatchGuard Cloud utilise un Type de Notification qui spécifie l'action ou l'événement qui provoque la génération d'une alerte par la règle.

Alerte de Stratégie SaaS

Génère une alerte lorsque ThreatSync+ SaaS génère une nouvelle alerte de stratégie pour votre compte.

Pulsation Détectée

Génère une alerte lorsque ThreatSync+ SaaS détecte une pulsation à partir de votre intégration SaaS. Les collecteurs SaaS communiquent avec Microsoft 365 toutes les 30 minutes pour confirmer que l'intégration fonctionne correctement.

Aucune Pulsation Détectée

Génère une alerte lorsque ThreatSync+ SaaS ne détecte pas de pulsation à partir de votre intégration SaaS pendant 120 minutes.

Des Comptes d'Utilisateur sont Automatiquement Désactivés

Génère une alerte lorsqu'un compte d'utilisateur Microsoft 365 est automatiquement désactivé par une stratégie ThreatSync+ SaaS.

Des Comptes d'Utilisateur sont Désactivés Manuellement

Génère une alerte lorsqu'un compte d'utilisateur Microsoft 365 est désactivé manuellement.

Des Comptes d'Utilisateur sont Activés Manuellement

Génère une alerte lorsqu'un compte d'utilisateur Microsoft 365 est activé manuellement.

Ajouter une Règle de Notification pour ThreatSync+ SaaS

Votre rôle d'opérateur détermine ce que vous pouvez afficher et faire dans WatchGuard Cloud. Votre rôle doit disposer de la permission Configurer les Règles de Notification pour afficher ou configurer cette fonctionnalité. Pour de plus amples informations, accédez à Gérer les Opérateurs et Rôles de WatchGuard Cloud.

Pour ajouter une nouvelle règle de notification, à partir de WatchGuard Cloud :

1. Sélectionnez Administration > Notifications.
2. Sélectionnez l'onglet Règles.

3. Cliquez sur Ajouter une Règle.
4. Sur la page Ajouter une Règle, dans la zone de texte Nom, saisissez le nom de votre règle afin de pouvoir l'identifier.
5. Dans la liste déroulante Source de Notification, sélectionnez ThreatSync+ SaaS.
   
6. Dans la liste déroulante Type de Notification, sélectionnez l'action ou l'événement qui déclenche la génération d'une alerte par cette règle.
7. (Facultatif) Saisissez une description de votre règle.
8. Dans la liste déroulante Méthodes d'Envoi, choisissez l'une de ces options :
   • Aucun — La règle génère une alerte qui s'affiche sur la page Alertes dans WatchGuard Cloud.
   • E-mail — La règle génère une alerte qui s'affiche sur la page Alertes dans WatchGuard Cloud et elle envoie un e-mail de notification aux destinataires spécifiés.
9. Si vous sélectionnez E-mail comme méthode d'envoi :
   1. Dans la liste déroulante Fréquence, configurez le nombre de messages d'e-mail que la règle peut envoyer par jour :
      • Pour envoyer un message d'e-mail pour chaque alerte générée par la règle, sélectionnez Envoyer Toutes les Alertes.
      • Pour limiter le nombre de messages d'e-mail envoyés chaque jour par la règle, sélectionnez Envoyer au Maximum. Dans la zone de texte Alertes par Jour, saisissez le nombre maximal de messages d'e-mail pouvant être envoyés chaque jour par cette règle. Vous pouvez spécifier une valeur allant jusqu'à 20 000 alertes par jour.
   2. Dans la zone de texte Objet, saisissez la ligne d'objet de message d'e-mail envoyé par cette règle lorsqu'elle génère une alerte. Vous pouvez saisir 78 caractères au maximum.
   3. Dans la zone de texte Destinataires, saisissez l'adresse de message d'e-mail de chaque personne à laquelle vous souhaitez envoyer un message d'e-mail lorsque cette règle génère une alerte. Vous pouvez saisir plusieurs adresses e-mail. Appuyez sur Entrée après chaque adresse e-mail ou séparez les adresses e-mail par un espace, une virgule ou un point-virgule. Cochez la case JSON si vous souhaitez recevoir des notifications par e-mail au format JSON.

   

10. Cliquez sur Ajouter une Règle.

Pour supprimer une règle de notification, cliquez sur dans la ligne de la règle que vous voulez supprimer.

Pour de plus amples informations concernant la gestion des alertes, accédez à Gérer les Alertes de WatchGuard Cloud.

Rubriques Connexes

Gérer les Alertes de WatchGuard Cloud

Afficher les Journaux d'Audit

Configurer ThreatSync+