Meilleures Pratiques de ThreatSync+ NDR

S'applique À : ThreatSync+ NDR

Pour optimiser la collecte, l'identification et la détection des cyberattaques réseau, nous vous recommandons de suivre les meilleures pratiques suivantes pour installer et configurer ThreatSync+ NDR :

Avant de Commencer
Paramètres Recommandés du Firebox
Vérifier le Trafic du Firebox
Configurer les Collecteurs pour Collecter le Trafic Réseau
Recommandations concernant les Stratégies et les Zones
Examiner les Actifs Découverts et les Suggestions de Sous-réseaux
Règles de Notification et Alertes Recommandées
Configurer les Rapports Planifiés
Examiner les Smart Alerts et y Répondre
- Clôturer les Smart Alerts

Avant de Commencer

Avant d'installer et de configurer ThreatSync+ NDR, assurez-vous de respecter les conditions préalables spécifiées dans Démarrage Rapide — Configurer ThreatSync+ NDR.

Paramètres Recommandés du Firebox

Avant d'activer et d'utiliser ThreatSync+ NDR, vérifiez les points suivants :

Vous disposez d'un Firebox géré dans WatchGuard Cloud ou qui utilise WatchGuard Cloud pour la visibilité de la journalisation et des rapports.
Vous activez la case à cocher Envoyer un message de journal pour les rapports ou Envoyer un message de journal dans chaque stratégie de votre Firebox géré localement qui est configuré pour envoyer des données de journal à WatchGuard Cloud.
- Envoyer un message de journal pour les rapports — Pour une stratégie de filtre de paquets qui autorise les connexions, cette case à cocher apparaît dans les paramètres Journalisation. Dans les stratégies de proxy, ce paramètre se trouve dans l'action de proxy. Il s'appelle : Activer la journalisation pour les rapports.
- Envoyer un message de journal — Dans une stratégie de filtre de paquets ou de proxy, cette case à cocher figure dans les paramètres de Journalisation.
Vous mettez à niveau n'importe quel Firebox dans votre compte WatchGuard Cloud vers Fireware v.12.10.3 ou une version ultérieure. Pour obtenir les instructions de mise à niveau votre Firebox à partir de WatchGuard Cloud, accédez à Mettre à Niveau le Microprogramme dans WatchGuard Cloud.

Vérifier le Trafic du Firebox

Une fois que vous avez activé ThreatSync+ NDR, le service commence automatiquement à surveiller et à analyser les journaux de trafic de Firebox de tous les Fireboxes associés au compte qui sont gérés dans WatchGuard Cloud ou sont configurés pour envoyer des données de journal et de rapport à WatchGuard Cloud pour plus de visibilité.

ThreatSync+ NDR analyse les messages de journal de trafic par blocs de 30 minutes et utilise l'apprentissage automatique et d'autres analyses avancées pour identifier les menaces. Vous pouvez vous attendre à voir les données dans l'interface utilisateur ThreatSync+ (à partir du menu Surveiller) environ une heure après le début de votre essai.

Sur la page Synthèse du Réseau, assurez-vous que les widgets Nombre Total de Périphériques et Trafic Total affichent des valeurs non nulles.

Screenshot of the traffic on the Network Summary page in ThreatSync+ NDR

Configurer les Collecteurs pour Collecter le Trafic Réseau

Lorsque vous installez et configurez l'Agent de Collecte ThreatSync+ NDR (pour Windows ou Linux) et l'Agent de Journal Windows pour collecter les données des commutateurs et des pare-feu tiers, nous vous recommandons de suivre les meilleures pratiques suivantes :

Lorsque vous installez un agent, assurez-vous que vous êtes connecté à un ordinateur dédié avec un compte administrateur dédié. Pour les ordinateurs Windows, le compte administrateur que vous utilisez pour installer l'agent doit toujours demeurer connecté.
Assurez-vous que l'ordinateur dédié possède un logiciel antivirus en cours d'exécution.
Veillez à redémarrer l'ordinateur sur lequel les agents sont installés suite à une panne de courant ou de mise à jour automatique nécessitant un redémarrage.
Pour les ordinateurs Windows, veillez à configurer les périphériques de sorte qu'ils envoient les données sFlow et NetFlow à l'adresse IP Windows du collecteur et non à l'adresse IP du WSL (Windows Subsystem for Linux).

Pour de plus amples informations, accédez à À Propos des Collecteurs ThreatSync+ NDR.

Recommandations concernant les Stratégies et les Zones

Pour minimiser votre temps de réponse et maximiser votre protection réseau, nous vous recommandons de configurer et d'affiner vos stratégies de manière à :

Refléter les stratégies de sécurité de votre organisation.
Appliquer les stratégies uniquement aux sections de votre réseau régies par les stratégies de votre organisation.
Refléter le degré de gravité approprié de votre organisation.

Nous vous recommandons les meilleures pratiques suivantes en matière de configuration des stratégies et des zones :

Commencez par un petit ensemble de stratégies gérables. Nous vous recommandons de commencer par le sous-ensemble des 33 stratégies figurant dans le Rapport sur les Objectifs de Défense de Ransomware Prevention. Pour de plus amples informations, accédez à Stratégies Ransomware Prevention.
Affinez ces stratégies afin de ne recevoir que des alertes exploitables, c'est-à-dire des alertes auxquelles vous pouvez répondre et traiter afin que l'alerte ne se reproduise pas.
Désactivez les stratégies qui ne s'appliquent pas à votre réseau.
Utilisez les zones pour réduire par exemple le nombre d'adresses IP, d'organisations et de domaines visés par une stratégie afin de n'appliquer les règles qu'aux systèmes nécessaires. Par exemple, au lieu de la zone Toutes les Adresses IP Internes, vous pouvez créer une autre zone incluant uniquement les sous-réseaux pour lesquels vous souhaitez recevoir des alertes. Pour de plus amples informations, accédez à À Propos des Stratégies et des Zones ThreatSync+.
Créez des stratégies supplémentaires qui étendent la protection de votre réseau et affinez-les pour éviter trop d'alertes.

Pour de plus amples informations, accédez à Affinage d'une Stratégie.

Nous vous recommandons d'attendre deux à trois jours avant de configurer des stratégies afin que ThreatSync+ puisse surveiller et en savoir plus sur votre réseau.

Examiner les Actifs Découverts et les Suggestions de Sous-réseaux

Pour aider ThreatSync+ à prendre de meilleures décisions concernant la gravité des menaces, identifiez vos actifs importants. Il convient de réagir différemment à une attaque contre un actif critique ou un actif non critique. Lorsque vous définissez des actifs et leur attribuez un niveau d'importance, ThreatSync+ peut mieux hiérarchiser les alertes.

Au fil du temps, de nouveaux actifs rejoignent votre réseau et les actifs existants changent de rôle. La page Découvrir de l'UI de ThreatSync+ vous indique lorsque cela se produit afin que vous puissiez créer un nouvel actif ou mettre à jour un actif existant. Il est important d'examiner régulièrement les actifs non identifiés.

Les suggestions d'actifs recommandent l'un des trois types d'actions suivants :

Acceptez un nouvel actif qui n'a pas encore été configuré.
Ajoutez un rôle supplémentaire à un actif existant.
Supprimez un rôle d'un actif existant.

Nous recommandons d'adopter les meilleures pratiques suivantes pour les actifs découverts :

Nous vous recommandons d'accepter les actifs découverts. Mieux ThreatSync+ connaît sur les actifs critiques de votre réseau, plus il est efficace pour vous alerter quant aux menaces importantes.
Si vous ne reconnaissez pas un actif suggéré, il se peut qu'il ne soit pas autorisé. Nous vous recommandons de lui attribuer une marque et d'exécuter des mesures correctives immédiatement.
Étiquetez les sous-réseaux de manière à faciliter la reconnaissance des différentes sections de votre réseau. Par exemple, les adresses IP sont difficiles à suivre, car elles se ressemblent. Si vous appliquez des noms d'organisation et des marques à vos sous-réseaux internes, vous pouvez les étiqueter de manière à ce que ThreatSync+ puisse plus facilement comprendre les menaces potentielles contenues dans les Smart Alerts, les comportements et les alertes de stratégie. À l'instar des périphériques, les suggestions de sous-réseaux s'affichent sur la page Découvrir.

Pour de plus amples informations, accédez à Découverte d'Actifs ThreatSync+ NDR.

Règles de Notification et Alertes Recommandées

Une bonne pratique consiste à surveiller les alertes dans l'UI de ThreatSync au fur et à mesure qu'elles sont générées. Vous pouvez consulter la page Synthèse du Réseau pour obtenir une synthèse des tendances de votre réseau, notamment les informations détaillées concernant les Smart Alerts et les alertes de stratégie.

Afin de faciliter la réponse aux menaces de votre réseau, nous vous recommandons de configurer WatchGuard Cloud de manière à envoyer des notifications par e-mail lorsque ThreatSync+ détecte une menace ou une vulnérabilité. Pour configurer les notifications par e-mail, vous spécifiez les alertes de stratégie et les Smart Alerts qui génèrent une notification lorsqu'ils sont créées ou mises à jour.

Pour de plus amples informations concernant la configuration des règles de notification, accédez à Configurer les Alertes et les Règles de Notification ThreatSync+.

Configurer les Rapports Planifiés

Les rapports vous permettent de surveiller les menaces et d'identifier les vulnérabilités potentielles de votre réseau. Nous vous recommandons de planifier l'exécution des rapports de ThreatSync+ dans WatchGuard Cloud. Chaque rapport planifié peut contenir plusieurs rapports. WatchGuard Cloud envoie par e-mail les rapports planifiés sous forme de pièce jointe .PDF zippée aux destinataires que vous spécifiez.

Nous vous recommandons de planifier les deux rapports par défaut suivants :

Rapport de Synthèse Exécutive

Le rapport de Synthèse Exécutive de ThreatSync+ offre une synthèse des menaces et des vulnérabilités détectées par ThreatSync+. Ce rapport indique l'indice de menace global de votre réseau ainsi que des métriques détaillées vous permettant d'identifier les domaines à améliorer. Pour de plus amples informations, accédez à Rapport de Synthèse Exécutive de ThreatSync+ NDR.

Rapport sur les Objectifs de Défense de Ransomware Prevention

Le Rapport sur les Objectifs de Défense de Ransomware Prevention ThreatSync+ surveille votre réseau de manière à détecter les vulnérabilités susceptibles de rendre votre organisation plus vulnérable aux logiciels de rançon. Ce rapport est un élément clé vous permettant de prévenir les attaques par logiciel de rançon. Pour de plus amples informations, accédez à Rapport sur les Objectifs de Défense de Ransomware Prevention.

Pour de plus amples informations, accédez à Planifier les Rapports de ThreatSync+.

Examiner les Smart Alerts et y Répondre

Nous vous recommandons de commencer votre examen de la Smart Alert par la section Points à Rechercher afin d'en savoir plus sur le type de menace et examiner les suggestions de résolution. Une bonne pratique consiste à résoudre en premier les comportements survenus en dernier lors du processus de cyberattaque, notamment l'exfiltration, mais il s'avère également important de résoudre les premières menaces afin de détecter l'attaquant dans les meilleurs délais.

La section Points à Rechercher fournit des informations importantes concernant le type de la Smart Alert ainsi que des recommandations vous permettant d'examiner et de diagnostiquer la menace. Chaque Smart Alert comprend la section Points à Rechercher dans l'onglet Synthèse ainsi que dans l'onglet Type de Comportement qui décrit l'activité spécifique de la Smart Alert.

Screenshot of the What to look for section in Smart Alerts

Pour de plus amples informations, accédez à Examiner les Détails d'une Smart Alert.

Clôturer les Smart Alerts

Il est important de clôturer une Smart Alert après l'avoir examinée et résolue. Vous pouvez ainsi suivre les Smart Alerts ouvertes, tandis que ThreatSync+ peut assurer le suivi de la durée de votre processus d'examen et de résolution. Étant donné que ThreatSync+ apprend en permanence à connaître votre réseau, lorsque vous clôturez les Smart Alerts, vous fournissez des informations précieuses permettant à l'intelligence artificielle (IA) de ThreatSync+ à mieux comprendre votre réseau et interpréter les futures Smart Alerts.

Nous vous recommandons de mettre en place et de configurer le Rapport de Synthèse Exécutive de manière à afficher les métriques du nombre de Smart Alerts ouvertes durant une période spécifique et de leur durée de traitement par les opérateurs. Pour de plus amples informations, accédez à Rapport de Synthèse Exécutive de ThreatSync+ NDR.

Rubriques Connexes

À Propos de ThreatSync+ NDR

Démarrage Rapide — Configurer ThreatSync+ NDR

Meilleures pratiques de Configuration du Firebox

Meilleures Pratiques en matière de Stratégies de Pare-Feu

© 2025 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et dans d'autres pays. Les autres marques sont détenues par leurs propriétaires respectifs.