Synthèse du Service Géré WatchGuard MDR

S'applique À : WatchGuard Core MDR, WatchGuard Core MDR for Microsoft

WatchGuard MDR est un service géré fourni par WatchGuard aux partenaires éligibles. Pour en savoir plus quant à la manière dont l'équipe du SOC WatchGuard travaille avec les partenaires pour fournir les services MDR, consultez les sections suivantes :

Responsabilités

Afin de fournir les services MDR aux clients, les partenaires et l'équipe du SOC WatchGuard travaillent conjointement. Avant de commencer à exploiter WatchGuard MDR, il s'avère utile de comprendre les rôles et les responsabilités des deux partenaires et de l'équipe du SOC WatchGuard.

Partenaire

Les responsabilités du partenaire pour WatchGuard MDR sont les suivantes :

Déterminer l'Éligibilité et Lancer l'Intégration du Partenaire

Vous devez rencontrer votre gestionnaire de comptes WatchGuard afin de confirmer les conditions d'éligibilité et lancer le processus d'intégration du partenaire. Pour de plus amples informations, accédez à Éligibilité et Intégration du Partenaire.

Acheter et Allouer des Licences

Chaque fois que vous achetez une nouvelle licence MDR, vous activez la licence puis allouez le service MDR aux endpoints du client dans WatchGuard Cloud. Pour de plus amples informations, accédez à À Propos des Licences des Services Gérés.

Inscrire Votre Client

Pour chaque nouveau client, effectuez les étapes d'intégration du client et de configuration de son environnement.

Licences WatchGuard Core MDR et WatchGuard Endpoint Security

Licences WatchGuard Core MDR for Microsoft et Microsoft Defender for Endpoints

Suivre les Directives de Résolution

En cas d'incident, assurez-vous que vous ou votre client pouvez suivre les recommandations de l'équipe du SOC WatchGuard afin de résoudre l'incident et que votre client puisse poursuivre ses activités habituelles dès que possible. Pour de plus amples informations, accédez à Réponses aux Incidents.

Équipe du SOC WatchGuard

Les responsabilités de l'Équipe du SOC WatchGuard pour WatchGuard MDR sont les suivantes :

Surveiller, Analyser et Trier

WatchGuard surveille et analyse proactivement les données télémétriques des endpoints de votre client de manière à identifier, agréger et hiérarchiser les indicateurs et les alertes.

Enquêter

WatchGuard détermine si une activité anormale est malveillante et nécessite une réponse.

Fournir une Réponse aux Menaces

Une réponse aux menaces comprend les alertes comprenant les détails de l'enquête, la liste des endpoints concernés et les directives de résolution de la menace. Lorsque vous intégrez un client WatchGuard Core MDR, vous pouvez spécifier si vous souhaitez autoriser le SOC WatchGuard à isoler les endpoints concernés en réponse à une menace.

Rechercher les Menaces

Les analystes de détection des menaces de WatchGuard recherchent les menaces susceptibles d'avoir échappé aux contrôles de détection existants sur la base des renseignements sur les menaces et des indicateurs de compromission (IOC) pertinents relevés au fil du temps. Si l'activité d'analyse de détection des menaces révèle des indicateurs d'activité malveillante, les analystes de détection des menaces mènent une enquête. En outre, WatchGuard crée de nouveaux indicateurs d'attaque (IOA) et de compromission (IOC) de manière à renforcer l'efficacité et l'efficience du service.

Fournir des Rapports

WatchGuard MDR fournit automatiquement des rapports périodiques concernant l'état de santé et l'activité des services. Pour de plus amples informations, accédez à Rapports MDR.

Fournir des Conseils de Résolution

Le SOC WatchGuard fournit des conseils de résolution pour toutes les menaces détectées. Pour de plus amples informations, accédez à Atténuation et Résolution des Incidents.

Éligibilité et Intégration du Partenaire

Afin de proposer le service WatchGuard MDR à vos clients, nous vous recommandons de posséder de l'expérience dans les domaines de l'installation, de l'assistance et du dépannage de WatchGuard EDR, EPDR, Advanced EPDR, Panda AD360, Microsoft Defender ou Microsoft Office 365.

Vos employés doivent également avoir accès à l'environnement du client ou octroyer la permission correspondante à l'équipe du SOC afin qu'elle puisse travailler directement avec le client lorsque le service MDR détecte une tentative de compromission.

En outre, vous devez participer à une session initiale d'intégration du partenaire.

Éligibilité

Afin de proposer les services MDR, vous devez disposer au minimum d'une personne disponible 8 heures par jour, 5 jours par semaine, ou 24 heures par jour, 7 jours par semaine (en fonction du modèle que vous sélectionnez lors du processus d'intégration), dans l'éventualité où l'équipe du SOC WatchGuard aurait besoin de vous contacter. Par exemple, nous pourrions avoir besoin de votre aide pour déterminer si l'activité que nous détectons sur le réseau du client est approuvée par vous ou par votre client, ou si elle indique une potentielle menace de sécurité.

Nous vous recommandons également les points suivants :

  • Vous avez mis en place un plan opérationnel évolutif capable de soutenir la croissance du service MDR.
  • Pour un client WatchGuard Core MDR, vous possédez au minimum un membre du personnel possédant une certification technique WatchGuard Endpoint Security à jour.

Processus d'Intégration

Lorsque vous remplissez les conditions d'éligibilité, vous travaillez avec WatchGuard pour effectuer le processus d'intégration :

  1. Contactez votre gestionnaire de comptes pour exprimer votre intérêt envers WatchGuard MDR.
  2. Une fois que votre gestionnaire de comptes détermine que votre organisation est éligible, il transmet la demande à l'équipe d'intégration.
  3. L'équipe d'intégration s'entretient avec vous ou votre équipe de manière à obtenir les données essentielles et examiner vos responsabilités.
  4. Signez l'accord de Conditions de Service.
  5. Remplissez les formulaires suivants (fournis par l'équipe d'intégration) :
    • Formulaire d'Intégration MDR
    • Formulaire d'Intégration MDR O365
    • Formulaire de Délégation du Client MDR
    • Formulaire d'Intégration MDR Microsoft Defender for Endpoint

Réponses aux Incidents

La résolution et l'optimisation des incidents ne font pas activement partie du service WatchGuard MDR. Lorsque l'équipe du SOC WatchGuard vous contacte ou contacte votre équipe de sécurité à propos d'un incident, vous devez suivre les directives que nous vous fournissons afin d'y répondre.

Notifications d'Alerte en Cas d'Incident

Si un client WatchGuard MDR subit un incident de sécurité, un membre de l'équipe du SOC vous contacte par e-mail ou par téléphone en fonction du parcours d'escalade que vous avez sélectionné lors de l'intégration du partenaire.

WatchGuard vous contacte concernant les incidents présentant les niveaux de gravité suivants :

Niveau de Gravité Description Notification
Critique Un piratage ou un accès non autorisé à un système avéré et présentant un danger imminent pour les actifs du client, notamment les attaquants actifs, le chiffrement ou la destruction de données et l'exfiltration de données.
  • WatchGuard Core MDR — Un membre du SOC WatchGuard envoie un e-mail précisant les informations de l'incident puis appelle la liste des numéros de téléphone d'alerte que vous avez spécifiée lors du processus d'intégration.
  • WatchGuard Core MDR for Microsoft — WatchGuard MDR hérite des classifications de gravité des incidents de Microsoft Defender for Endpoint. Étant donné que Microsoft Defender for Endpoint ne possède pas de niveau de gravité Critique par défaut, les incidents ne présentent pas initialement un niveau de gravité Critique dans WatchGuard MDR.
Élevé Indicateurs d'attaques ciblées susceptibles de découler sur un piratage ou un accès non autorisé à un système avéré et constituant une menace imminente pour les actifs du client.
  • WatchGuard Core MDR — L'équipe du SOC WatchGuard envoie un e-mail d'alerte de gravité Élevée à l'adresse que vous avez communiquée lors du processus d'intégration.
  • WatchGuard Core MDR for Microsoft — Pour les alertes de gravité Élevée de Microsoft Defender for Endpoint, un membre de l'équipe du SOC WatchGuard envoie une notification par e-mail contenant les détails de l'incident, suivie d'appels téléphoniques à la liste de contacts d'alerte fournie lors de l'intégration. Bien que le niveau Critique ne constitue pas un niveau de gravité par défaut des détections individuelles de Microsoft Defender, l'équipe du SOC peut examiner une alerte spécifique ou une combinaison d'alertes puis escalader le problème au niveau de gravité critique en fonction de son impact potentiel.

Atténuation et Résolution des Incidents

Lorsque vous utilisez WatchGuard Endpoint Security et configurez les paramètres WatchGuard Core MDR d'un client dans WatchGuard Cloud, vous pouvez opter pour autoriser l'équipe du SOC à isoler automatiquement les ordinateurs du réseau du client lorsqu'un incident se produit. Pour de plus amples informations concernant la modification des paramètres WatchGuard Core MDR, accédez à Configurer les Paramètres de WatchGuard Core MDR.

Lorsqu'un incident se produit, à moins que vous n'ayez autorisé l'équipe du SOC à travailler directement avec le client, vous êtes chargé de la résolution ou des activités post-incident. L'équipe du SOC fournit au client des directives portant sur la méthode d'exécution de la résolution. Nous pouvons également être amenés à formuler des recommandations quant à la manière d'améliorer la posture de sécurité du client de manière à éviter toute compromission par des auteurs de menaces qui emploieraient les mêmes techniques ultérieurement.

Rubriques Connexes

À Propos de WatchGuard MDR

À Propos du Portail des Services Gérés