Le concept de niveau de Cybercondition (Cybercon) joue un rôle central dans Threat Detection and Response. Le niveau Cybercon représente le degré de préparation d'une entreprise pour se défendre contre les attaques. Les niveaux Cybercon sont numérotés de 5 (le moins grave) à 1 (le plus grave). Le niveau Cybercon 5 indique une position favorisant le fonctionnement de l'entreprise par rapport aux précautions de sécurité perturbatrices. Le niveau Cybercon 1 indique une position autorisant des précautions de sécurité renforcées susceptibles de nuire au fonctionnement de l'entreprise. Dans le cadre des procédures de sécurité de votre réseau, vous définissez la signification de chaque niveau Cybercon pour votre organisation.
- Cybercon 5 — Aucun incident détecté
- Cybercon 4 — Niveau de menace faible, surveillance des incidents à venir
- Cybercon 3 — Niveau de menace modéré, niveau de réponse modéré
- Cybercon 2 — Niveau de menace élevé, niveau de réponse et de traitement élevé
- Cybercon 1 — Niveau de menace le plus élevé, niveau de réponse et de traitement le plus élevé
Après avoir défini les niveaux Cybercon, ceux-ci jouent le rôle de guide concernant les types de stratégie que vous créez pour chaque niveau. L'idée fondamentale est la suivante : lorsque votre organisation adopte un niveau Cybercon plus grave, vous permettez à Threat Detection and Response d'entreprendre davantage d'actions automatisées visant à minimiser les menaces.
Le niveau Cybercon actuel s'affiche en haut du volet de navigation.
Le niveau Cybercon ne change pas automatiquement en fonction des menaces détectées. Les Administrateurs peuvent modifier le niveau Cybercon.
Seuil Cybercon
Dans les Paramètres des Stratégies ThreatSync, vous configurez des stratégies qui définissent les actions que les Host Sensors peuvent entreprendre à différents niveaux Cybercon. Dans chaque stratégie, vous pouvez spécifier un Seuil Cybercon qui définit les niveaux Cybercon auxquels la stratégie s'applique. Une stratégie est active uniquement lorsque son seuil Cybercon est égal ou supérieur au niveau Cybercon. Par exemple, une stratégie présentant un Seuil de Cybercon de 3 est active uniquement aux niveaux Cybercon 1, 2 ou 3.
Pour des stratégies plus agressives, définissez un Seuil Cybercon faible. Pour des stratégies moins agressives, définissez un Seuil Cybercon élevé. Après avoir configuré les stratégies de chaque niveau Cybercon, vous pouvez modifier le niveau Cybercon pour activer rapidement un jeu de stratégies plus agressif pour répondre à une menace. Pour plus d'informations, consultez Configurer les Stratégies TDR.
Modifier le Niveau Cybercon
Un Administrateur peut modifier le niveau Cybercon. Les autres utilisateurs peuvent consulter le niveau Cybercon, mais pas le modifier.
Pour modifier le niveau Cybercon :
- Se Connecter à TDR.
- Sélectionnez Surveiller> Threat Detection.
- Pour augmenter ou diminuer le niveau Cybercon, cliquez sur les flèches haut ou bas à côté du niveau Cybercon.
Une boîte de dialogue de confirmation s'ouvre. - Cliquez sur OUI.
Toutes les stratégies présentant un seuil Sybercon inférieur ou égal au niveau Cybercon choisi sont actives. Par exemple, si le niveau Cybercon est de 4, toutes les stratégies présentant un Seuil Cybercon de 4 ou 5 sont actives.
À propos des Stratégies TDR Actives
Les stratégies actives dans votre compte TDR dépendent du niveau Cybercon ainsi que du Seuil Cybercon et du rang configurés dans vos stratégies TDR. Si des stratégies actives changent en raison d'une modification du niveau Cybercon ou de la configuration des stratégies, les stratégies actives s'appliquent immédiatement aux nouveaux indicateurs répondant aux critères des stratégies. Suite à une modification apportée aux stratégies ou au niveau Cybercon, TDR réévalue également les indicateurs existants présentant l'un de ces résultats préalables :
- Aucune Stratégie — aucune stratégie active n'était présente pour effectuer l'action de traitement demandée
- Bloqué par une stratégie — une stratégie de traitement a bloqué l'action de traitement demandée
Étant donné que vous pouvoir apporter plusieurs modifications aux stratégies TDR en peu de temps, TDR patiente cinq minutes suite à la dernière modification de stratégie ou de niveau Cybercon avant de réévaluer les indicateurs existants.
Les stratégies APT Blocker peuvent uniquement s'appliquer aux nouveaux indicateurs. TDR ne réévalue pas les indicateurs existants lorsque le niveau Cybercon ou les stratégies APT Blocker actives changent.