Meilleures Pratiques de ThreatSync

S'applique À : ThreatSync

Certaines des fonctionnalités décrites dans cette rubrique sont uniquement proposées aux participants du programme ThreatSync Bêta. Si une fonctionnalité décrite dans cette rubrique n'est pas disponible dans votre version de WatchGuard Cloud, il s'agit d'une fonctionnalité proposée uniquement en version bêta.

Pour optimiser la collecte et la corrélation des données issues de votre réseau et de vos périphériques d'endpoint afin de détecter les menaces et d'y répondre, nous vous recommandons de suivre les meilleures pratiques suivantes lors de l'implémentation et de la configuration de ThreatSync :

Avant de Commencer
Paramètres Recommandés du Firebox
Paramètres Recommandés du Point d'Accès
Paramètres Recommandés d'Endpoint Security
Configurer les Paramètres du Périphérique
Meilleures Pratiques de Configuration d'une Stratégie d'Automatisation
- Stratégie d'Automatisation de Traitement Par Défaut
- Stratégie d'Automatisation Close (Clôturer) Par Défaut
Exceptions aux Sites Bloqués sur un Firebox
Points d'Accès Approuvés
Règles de Notification Recommandées

Avant de Commencer

Avant d'installer et de configurer ThreatSync, assurez-vous de respecter les conditions préalables du Firebox, du point d'accès et d'Endpoint Security figurant dans Démarrage Rapide — Configurer ThreatSync.

Paramètres Recommandés du Firebox

Afin que votre Firebox envoie les données d'incident à ThreatSync :

Confirmez que les services de sécurité qui génèrent des incidents ThreatSync ont été activés et configurés sur le Firebox :
APT Blocker
Gateway AntiVirus
WebBlocker
IPS
Pour les Fireboxes gérés localement :
Activez l'inspection du contenu dans des actions de proxy HTTPS. Pour de plus amples informations, accédez à Proxy HTTPS : inspection du contenu.
Activez la journalisation dans toutes les stratégies et pour tous les services. Pour de plus amples informations, accédez à Définir les préférences de Journalisation et de Notification.
Pour les Fireboxes gérés sur le cloud, activez l'option Déchiffrer le Trafic HTTPS dans les stratégies de pare-feu sortantes du trafic web. Pour de plus amples informations, accédez à Configurer les Types de Trafic dans une Stratégie de Pare-Feu.

Paramètres Recommandés du Point d'Accès

Pour faire en sorte que vos points d'accès gérés par WatchGuard Cloud puissent envoyer les données d'incident à ThreatSync et exécuter les actions de réponse, vérifiez les points suivants :

Les points d'accès possèdent une licence WatchGuard USP Wi-Fi Management
Les points d'accès possèdent le microprogramme v2.0 ou une version ultérieure pour envoyer des données à ThreatSync
Les points d'accès possèdent le microprogramme v2.7 ou une version ultérieure pour exécuter des actions de réponse contre les points d'accès menaçants lorsqu'ils sont intégrés à ThreatSync.
La Surveillance de l'Espace de Fréquences permet de détecter les points d'accès malveillants et d'exécuter des mesures de réponse. Pour de plus amples informations concernant les exigences et la manière d'activer cette fonctionnalité, accédez à Surveillance de l'Espace de Fréquences des Points d'Accès.
Vous avez déployé un AP230W, AP330 ou AP430CR avec une radio à balayage dédiée pour la détection par voie hertzienne d'Evil Twin et les actions de réponse ThreatSync.

Vous ne pouvez pas exécuter d'actions de réponse sans fil contre des points d'accès malveillants qui utilisent la sécurité WPA3 ou WPA2 avec l'option Trames de Gestion Protégées (802.11w) activée, ni contre les points d'accès malveillants qui diffusent sur un canal non situé dans le pays d'exploitation actuel du point d'accès qui les détecte.

Paramètres Recommandés d'Endpoint Security

Les paramètres varient pour WatchGuard Advanced EPDR, EPDR, EDR, EDR Core et EPP. Dans cette section, le terme Endpoint Security désigne de manière générale tous les produits. Si l'un des paramètres ne s'affiche pas dans l'UI de gestion d'Endpoint Security, il n'est pas pris en charge par votre produit.

Afin de garantir qu'Endpoint Security envoie toutes les données de télémétrie et des incidents nécessaires à ThreatSync, confirmez que les paramètres Endpoint Security suivants ont été activés :

Paramètres de Sécurité pour les Stations de Travail et Serveurs
- Protection Avancée
  - Mode de fonctionnement (Mode Verrouillage)
  - Protection Anti-Exploitation
  - Antivirus
Indicateurs d'Attaque (IOA)

Pour de plus amples informations concernant les paramètres d'Endpoint Security, accédez à Gérer les Paramètres.

Configurer les Paramètres du Périphérique

Lorsque vous activez ThreatSync pour un compte, il est automatiquement activé sur les périphériques d'endpoint, les Fireboxes et les points d'accès alloués au compte. Ces périphériques envoient automatiquement des données à ThreatSync.

Nous vous recommandons d'activer ThreatSync sur tous les périphériques de votre compte. Pour faire en sorte que ThreatSync reçoive les données d'incident et les actions de tous les nouveaux périphériques que vous ajoutez à votre compte, dans la section Sélectionner les types de périphériques qui activent automatiquement ThreatSync sur les nouveaux périphériques de la page Paramètres du Périphérique, cochez les cases Fireboxes et Points d'Accès.

Pour de plus amples informations, accédez à Configurer les Paramètres du Périphérique ThreatSync.

Meilleures Pratiques de Configuration d'une Stratégie d'Automatisation

Afin de vous permettre d'organiser et de contrôler vos stratégies d'automatisation, nous vous recommandons de commencer par les meilleures pratiques suivantes.

Personnaliser les Noms des Stratégies d'Automatisation

Afin de faciliter la compréhension et la maintenance de vos stratégies d'automatisation, octroyez un nom explicite à la stratégie en précisant son objectif, son champ d'application ainsi que toute autre caractéristique unique.

Par exemple, si vous souhaitez spécifier le type de stratégie, la plage de risque ou l'action effectuée dans le nom de votre stratégie, vous pouvez nommer votre stratégie Remediation_6-7_Isolate ou Close_1-3.

Stratégies d'Automatisation Par Défaut

Votre compte ThreatSync comprend des stratégies d'automatisation par défaut configurées avec les paramètres recommandés. Vous pouvez modifier les stratégies par défaut et configurer des stratégies d'automatisation ThreatSync supplémentaires en fonction des exigences de votre réseau.

Les stratégies d'automatisation par défaut de ThreatSync sont désactivées par défaut. Pour les nouveaux comptes, les stratégies d'automatisation par défaut apparaissent sur la page Stratégies d'Automatisation. Pour les comptes existants, vous devez cliquer sur Générer les Stratégies Par Défaut sur la page Stratégies d'Automatisation pour les afficher dans votre liste de stratégies d'automatisation. Nous vous recommandons d'activer les stratégies d'automatisation par défaut afin de pouvoir vous concentrer sur les incidents qui nécessitent une enquête et un traitement manuels.

Pour de plus amples informations concernant l'activation ou la désactivation des stratégies d'automatisation, consultez Activer ou Désactiver une Stratégie d'Automatisation.

Stratégie d'Automatisation de Traitement Par Défaut

Pour faire en sorte que ThreatSync vous protège automatiquement contre les incidents à haut risque, nous vous recommandons d'activer la stratégie de traitement par défaut pour les incidents dont le niveau de risque est compris entre 7 et 10.

stratégie Remediation (Traitement) par Défaut

Rang — 1
Type de Stratégie – Traitement
Plage de Risques — 7 à 10
Type de Périphérique — Endpoint, Firebox, Point d'Accès
Actions — Exécuter > Isoler le Périphérique

Cette stratégie permet d'isoler du réseau automatiquement tous les périphériques concernés par des incidents présentant un indice supérieur ou égal à 7 afin d'éviter la propagation de la menace. Vous pouvez ainsi analyser des périphériques isolés et enquêter sur les détails des incidents. Pour de plus amples informations, accédez à Examiner les Détails de l'Incident.

Stratégie d'Automatisation Close (Clôturer) Par Défaut

Pour réduire le nombre d'incidents à risque faible dans la liste des incidents de manière à vous focaliser sur les incidents à haut risque, nous vous recommandons d'activer la stratégie d'automatisation de clôture par défaut qui s'applique aux incidents présentant un indice de risque de 1.

Stratégie Close (Clôturer) par Défaut

Type de Stratégie — Clôturer
Plage de Risques — 1
Type de Périphérique — Endpoint, Firebox, Point d'Accès
Actions — Exécuter > Clôturer

Cette stratégie clôture automatiquement les incidents présentant un indice de risque de 1. Nous vous recommandons d'examiner les incidents clôturés et de déterminer si d'autres actions sont nécessaires. Pour examiner votre liste des incidents clôturés, filtrez les incidents par état sur la page Incidents. Pour de plus amples informations, accédez à Surveiller les Incidents ThreatSync.

Si vous n'avez pas le temps d'enquêter sur chaque incident à risque faible, envisagez de modifier votre stratégie de clôture de manière à augmenter la plage de risque à 1 à 3.

Pour de plus amples informations concernant les stratégies d'automatisation, accédez à À Propos des Stratégies d'Automatisation ThreatSync.

Exceptions aux Sites Bloqués sur un Firebox

Si vous constatez que ThreatSync bloque des adresses IP critiques telles que l'adresse IP d'un serveur utilisé par votre équipe Marketing, nous vous recommandons de configurer une exception aux Sites Bloqués correspondant à cette adresse IP sur votre Firebox. Lorsque vous ajoutez une exception aux Sites Bloqués pour une adresse IP, le Firebox autorise toujours le trafic provenant et à destination de cette adresse IP, même si elle figure sur la liste des IP bloquées par ThreatSync via une action manuelle ou une stratégie d'automatisation.

Pour de plus amples informations concernant la création d'exceptions aux sites bloqués pour les Fireboxes gérés localement, accédez à Créer des Exceptions aux Sites Bloqués.

Pour de plus amples informations concernant l'ajout d'exceptions pour les Fireboxes gérés sur le cloud, accédez à Ajouter des Exceptions dans WatchGuard Cloud.

Points d'Accès Approuvés

Si vous constatez que ThreatSync bloque les adresses MAC des points d'accès légitimes de votre déploiement, par exemple les points d'accès de test QA d'un fournisseur tiers ou les points d'accès WatchGuard Wi-Fi 5 gérés par WatchGuard Wi-Fi Cloud ou un Firebox, vous pouvez approuver ces périphériques de manière à éviter de recevoir les notifications d'incident ou les actions de réponse ultérieures d'une stratégie d'automatisation.

Les points d'accès WatchGuard et les Fireboxes sans fil d'compte WatchGuard Cloud donné sont automatiquement identifiés en tant que points d'accès approuvés par la fonctionnalité Surveillance de l'Espace de Fréquences et ne figureront pas dans la liste Points d'Accès Approuvés.

Pour de plus amples informations, accédez à Configurer les Points d'Accès Approuvés dans ThreatSync.

Règles de Notification Recommandées

Une bonne pratique consiste à surveiller les incidents dans l'UI de ThreatSync au fur et à mesure de leur génération. Vous pouvez consulter la page Synthèse des Incidents ThreatSync pour obtenir un instantané de l'activité des incidents. Vous pouvez également configurer des règles de notification dans WatchGuard Cloud de manière à générer des alertes et envoyer des notifications par e-mail indiquant les nouveaux incidents, les actions spécifiques exécutées ainsi que les incidents clôturés.

Afin de faciliter votre réponse lors de l'apparition de menaces, nous vous recommandons de configurer une règle de notification pour les incidents présentant le risque le plus élevé.

Recommandation de la Règle de Notification

Type de Notification — Nouvel Incident
Plage de Risques — 7 à 10
Type d'Incident — Sélectionner Tous les Types d'Incident
Type de Périphérique — Sélectionner Tous les Types de Périphérique
Méthode d'Envoi — E-mail
Fréquence — Envoyer Toutes les Alertes

Cette règle de notification génère une alerte qui s'affiche sur la page Alertes dans WatchGuard Cloud et elle envoie un e-mail de notification aux destinataires spécifiés.

Pour de plus amples informations concernant la configuration des règles de notification, accédez à Configurer les Règles de Notification ThreatSync.

Rubriques Connexes

À Propos de ThreatSync

Démarrage Rapide — Configurer ThreatSync

Meilleures pratiques de Configuration du Firebox

À propos de la Journalisation et des Notifications Firebox

Meilleures Pratiques en matière de Stratégies de Pare-Feu

Démarrer avec Watchguard Endpoint Security

© 2025 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et dans d'autres pays. Les autres marques sont détenues par leurs propriétaires respectifs.