S'applique À : ThreatSync
Certaines des fonctionnalités décrites dans cette rubrique sont uniquement proposées aux participants du programme ThreatSync Bêta. Si une fonctionnalité décrite dans cette rubrique n'est pas disponible dans votre version de WatchGuard Cloud, il s'agit d'une fonctionnalité proposée uniquement en version bêta.
ThreatSync est un service WatchGuard Cloud qui fournit la technologie eXtended Detection and Response (XDR) aux périphériques réseau WatchGuard (Firebox et points d'accès) et aux produits Endpoint Security. Ce service :
- Fournit une interface utilisateur principalement destinée aux Personnes Répondant aux Incidents.
- Affiche les détections d'éléments malveillants en tant qu'incidents.
- Corrèle les événements pour créer de nouvelles détections d'éléments malveillants.
- Permet aux personnes répondant aux incidents de répondre sur demande ou de configurer des réponses automatisées aux détections d'éléments malveillants et aux comportements anormaux.
ThreatSync+ NDR étend la fonctionnalité ThreatSync existante dans WatchGuard Cloud et offre une détection et une réponse réseau améliorées, une identification des périphériques réseau et une génération de rapports avancée pour les Fireboxes, les pare-feu tiers et l'infrastructure LAN. Pour en savoir plus, accédez à À Propos de ThreatSync+ NDR.
ThreatSync+ SaaS vous permet de surveiller, de détecter et de signaler l'activité des environnements SaaS et cloud tiers, tels que Microsoft 365. Pour en savoir plus, accédez à À Propos de l'Intégration ThreatSync+ SaaS — Microsoft 365.
Pour de plus amples informations concernant ThreatSync, consultez les sections suivantes :
- Licences ThreatSync
- Corrélation
- Niveaux de Risque et Indices de ThreatSync
- UI de Gestion de ThreatSync
- Résolution des Incidents
Licences ThreatSync
ThreatSync est une fonctionnalité de sécurité unifiée WatchGuard comprise dans les licences suivantes :
- Total Security Suite (TSS) d'un Firebox
- USP Wi-Fi Management d'un Point d'Accès
- WatchGuard EPDR
- WatchGuard EDR
- Advanced EPDR
- Authentification Multifacteur AuthPoint
- AuthPoint Total Identity Security
WatchGuard EDR Core est inclus dans Total Security Suite du Firebox. Pour de plus amples informations, accédez à Fonctionnalités de WatchGuard EDR Core.
Plus vous possédez de produits WatchGuard, plus vous bénéficiez d'une visibilité et de fonctionnalités XDR étendues.
Corrélation
ThreatSync fournit des capacités de détection avancées grâce à la corrélation des données des produits de sécurité WatchGuard suivants :
- Fireboxes — Pour envoyer des données à ThreatSync et recevoir des actions, les Fireboxes doivent exécuter Fireware v12.9 ou une version ultérieure et avoir été ajoutés à WatchGuard Cloud pour la journalisation et génération de rapports ou la gestion sur le cloud
- Points d'accès
- Pour envoyer des données à ThreatSync, les points d'accès doivent exécuter le microprogramme v2.0 ou une version ultérieure et avoir la Surveillance de l'Espace de Fréquences activée.
- Pour exécuter des actions de réponse contre des points d'accès malveillants lorsqu'ils sont intégrés à ThreatSync, les points d'accès doivent exécuter le microprogramme v2.7 ou une version ultérieure, et avoir activé la Surveillance de l'Espace de Fréquences.
- Un AP230W, AP330 ou AP430CR équipé d'une radio à balayage dédiée est nécessaire à la détection par voie hertzienne d'Evil Twin et aux actions de réponse ThreatSync permettant de bloquer les connexions client sans fil aux points d'accès malveillants.
- WatchGuard Endpoint Security (Advanced EPDR, EPDR, EDR et EDR Core)
- AuthPoint (Authentification Multifacteur AuthPoint et AuthPoint Total Identity Security)
ThreatSync utilise les événements suivants pour la corrélation :
- Menaces Persistantes Avancées (APT) détectées sur le réseau et sur un endpoint ou un Firebox
- Malwares détectés sur le réseau et sur un endpoint ou un Firebox
- Connexion réseau malveillante corrélée à un processus d'endpoint ou un Firebox
- Points d'accès malveillants (Rogue, Rogue Suspecté et Evil Twin) détectés par la Surveillance de l'Espace de Fréquences sur des points d'accès gérés par WatchGuard Cloud
- Événements Accès avec Informations d'Identification détectés par AuthPoint
L'UI de gestion de ThreatSync présente ces événements corrélés en tant qu'incidents afin que vous puissiez les examiner et les gérer.
Niveaux de Risque et Indices de ThreatSync
ThreatSync attribue automatiquement à chaque incident un indice de risque de l'incident figurant sur les pages Surveiller > Synthèse et Surveiller > Incidents, ainsi qu'un indice de risque d'endpoint figurant sur la page Surveiller > Endpoints.
Indice de Risque de l'Incident
L'indice de risque de l'incident identifie la gravité de l'incident.
Le niveau de risque est classé dans les catégories suivantes en fonction de l'indice de risque :
- Critique — Indice égal à 9 ou 10
- Élevé — Indice égal à 7 ou 8
- Moyen — Indice égal à 4, 5 ou 6
- Faible — Indice égal à 1, 2 ou 3
ThreatSync calcule l'indice de risque d'un incident en fonction d'un algorithme qui corrèle les données de différents produits et services WatchGuard.
Les différents indices de risque de chaque niveau de risque indiquent la gravité relative d'un incident et aident les Personnes Répondant aux Incidents à déterminer les incidents qu'elles doivent traiter en priorité. Par exemple, si ThreatSync attribue à un incident critique un indice de risque de 9, et à un autre incident critique un indice de risque de 10, nous vous recommandons d'examiner d'abord le 10, car il constitue un risque plus élevé.
Indice de Risque de l'Endpoint
Les Personnes Répondant aux Incidents peuvent utiliser les indices de risque des endpoints de manière à déterminer si un périphérique représente une menace pour le réseau. Les indices de risque figurent sous la forme d'une valeur numérique dans une icône carrée située en face de l'endpoint dans la liste des endpoints.
Le niveau de risque de l'endpoint est classé dans les catégories suivantes en fonction de l'indice de risque de l'endpoint :
- Critique — Indice égal à 9 ou 10
- Élevé — Indice égal à 7 ou 8
- Moyen — Indice égal à 4, 5 ou 6
- Faible — Indice égal à 1, 2 ou 3
ThreatSync détermine l'indice de risque d'un endpoint en fonction des indices de risque de l'incident associés à l'endpoint au cours des 30 derniers jours. La valeur de l'indice de risque de l'incident le plus élevé détecté sur l'endpoint au cours des 30 derniers jours est la valeur de l'indice de risque de l'endpoint. Par exemple, si un endpoint présente deux incidents ouverts au cours d'une période de 30 jours, l'un avec un indice de risque de l'incident de 9 et l'autre avec un indice de risque de 7, l'indice de risque de l'endpoint est de 9.
ThreatSync utilise uniquement les nouveaux incidents et les incidents lus pour déterminer les indices de risque des endpoints, et non les incidents clôturés. Lorsqu'un nouvel incident survient ou qu'un incident est clôturé, ThreatSync recalcule l'indice de risque de l'endpoint. Suite à la détection d'un nouvel incident, les indices de risque de l'endpoint recalculés peuvent mettre plusieurs secondes à s'afficher dans ThreatSync.
UI de Gestion de ThreatSync
Pour configurer et surveiller ThreatSync, vous utilisez l'interface de gestion ThreatSync dans WatchGuard Cloud. Pour vous connecter à WatchGuard Cloud, rendez-vous à l'adresse cloud.watchguard.com et connectez-vous avec les informations d'identification de votre compte.
Configurer ThreatSync
Pour configurer ThreatSync, sélectionnez Configurer > ThreatSync.
Les Subscribers peuvent utiliser ces pages pour configurer ThreatSync dans WatchGuard Cloud :
- Stratégies d'Automatisation — Dans la page Stratégies d'Automatisation, vous configurez les stratégies visant à exécuter automatiquement des actions en réponse à des incidents spécifiques. Pour de plus amples informations, accédez à À Propos des Stratégies d'Automatisation ThreatSync.
- Paramètres du Périphérique — Dans la page Paramètres du Périphérique, vous pouvez sélectionner les périphériques qui envoient les données des incidents à ThreatSync. Pour de plus amples informations, accédez à Configurer les Paramètres du Périphérique ThreatSync
- Éléments Bloqués par ThreatSync — Sur la page Éléments Bloqués par ThreatSync, dans l'onglet Firebox, vous pouvez débloquer les adresses IP. Dans l'onglet Point d'Accès, vous pouvez débloquer les adresses MAC des points d'accès qui ont été bloqués par une action ThreatSync. Pour de plus amples informations, accédez à Gérer les Éléments Bloqués par ThreatSync.
La vue Service Providers affiche une page vous permettant de configurer les modèles de stratégie d'automatisation. Pour de plus amples informations, accédez à Gérer les Modèles de Stratégie d'Automatisation ThreatSync (Service Providers).
Surveiller ThreatSync
Pour surveiller ThreatSync, sélectionnez Surveiller > Menaces. La page Synthèse s'ouvre par défaut pour les Service Providers et les Subscribers.
Utilisez ces pages pour surveiller ThreatSync dans WatchGuard Cloud :
- Page Synthèse — La page Synthèse fournit la synthèse d'activité des incidents de votre compte. Pour de plus amples informations, accédez à Synthèse des Incidents ThreatSync.
- Page Incidents — La page Incidents affiche la liste des incidents d'une période spécifique et vous permet d'exécuter des actions pour traiter des incidents. Pour de plus amples informations, accédez à Surveiller les Incidents ThreatSync.
- Page Endpoints — La page Endpoints offre une vue de l'activité des incidents liés aux endpoints au cours d'une période spécifiée et vous permet d'exécuter des actions visant résoudre les incidents sur un endpoint. Pour de plus amples informations, accédez à Surveiller les Endpoints ThreatSync
Résolution des Incidents
Lorsqu'un produit ou un service WatchGuard détecte une menace de sécurité, il peut effectuer une action de manière à la bloquer. Par exemple, un Firebox peut bloquer une adresse IP malveillante, ou un logiciel Endpoint Security peut isoler un périphérique. Dans l'UI de gestion de ThreatSync, les réponses automatiques à un incident figurent sur la page Détails de l'Incident. Pour de plus amples informations, accédez à Examiner les Détails de l'Incident.
Dans ThreatSync, il existe deux manières de traiter les incidents :
Actions Manuelles Effectuées par un Utilisateur dans ThreatSync
Lorsque vous surveillez les menaces détectées par ThreatSync et examinez les détails d'un incident, vous pouvez opter pour exécuter une action manuelle pour le traiter ou pour annuler une action effectuée automatiquement par un produit ou service WatchGuard. Par exemple, vous pouvez bloquer une adresse IP, supprimer un fichier malveillant, bloquer un point d'accès ou isoler un ordinateur.
Lorsque vous examinez un incident, vous pouvez exécuter manuellement des actions à partir de différents emplacements de l'UI de gestion de ThreatSync.
Pour de plus amples informations, accédez à Exécuter des Actions sur des Incidents ou des Endpoints.
Actions Effectuées Automatiquement par une Stratégie d'Automatisation
Vous pouvez configurer des stratégies d'automatisation de manière à exécuter des actions sur les incidents répondant aux conditions que vous avez définies. Par exemple, vous pouvez créer une stratégie d'automatisation visant à supprimer automatiquement les fichiers liés à un type d'incident spécifique présentant un indice de risque de 9 ou 10.
Les stratégies d'automatisation permettent aux Personnes Répondant aux Incidents de se concentrer sur l'analyse des incidents susceptibles de nécessiter un traitement manuel. Les Service Providers peuvent utiliser des modèles de stratégie d'automatisation pour attribuer plusieurs stratégies aux comptes ou groupes de comptes qu'ils gèrent.
Pour de plus amples informations, accédez à À Propos des Stratégies d'Automatisation ThreatSync.
Démarrage Rapide — Configurer ThreatSync