Afin que TDR corrèle correctement les évènements réseau avec les évènements du Host Sensor, nous vous recommandons d'activer les stratégies de proxy et les services sur le Firebox.
Etant donné que le Firebox envoie des messages de journal concernant vos évènements réseau à votre compte TDR, il est important de configurer le Firebox de manière à envoyer un message de journal lorsqu'il bloque, abandonne ou refuse une connexion.
Lorsque vous activez Threat Detection and Response sur votre Firebox, nous vous recommandons de configurer des stratégies visant à :
- Inspecter le trafic réseau et ne pas autoriser le trafic considéré comme une menace
- Activer Gateway AntiVirus, IPS, APT Blocker, WebBlocker et Reputation Enabled Defense
- Générer des messages de journal pour les actions Refuser, Abandonner et Bloquer
Afin que le Firebox inspecte les connexions et entreprenne des actions lorsqu'une menace est identifiée, vous devez configurer les stratégies de proxy et les services. Lorsque vous configurez les actions de proxy, veillez à activer la journalisation et spécifier qu'un message de journal doit être généré pour toutes les actions Refuser, Bloquer ou Abandonner. Par exemple, pour examiner les connexions HTTP, SMTP et DNS sortantes, ajoutez les stratégies suivantes à la configuration de votre Firebox :
Proxy HTTP
Action de proxy — Client HTTP Standard ou Client HTTP Par Défaut
Activez Gateway AntiVirus, APT Blocker, WebBlocker et Reputation Enabled Defense dans l'action de proxy
Activez la journalisation pour les actions Refuser, Bloquer ou Abandonner de l'action de proxy
Proxy HTTPS
Action de proxy — Client HTTPS Standard ou Client HTTPS Par Défaut
Activez l'Inspection de Contenu avec l'action de proxy Client HTTP Standard ou Client HTTP Par Défaut
Activez Gateway AntiVirus, APT Blocker, WebBlocker et Reputation Enabled Defense dans l'action de proxy
Activez la journalisation pour les actions Refuser, Bloquer ou Abandonner de l'action de proxy
Proxy SMTP
Action de proxy — Client SMTP Standard
Activez Gateway AntiVirus et APT Blocker dans l'action de proxy
Activez la journalisation pour les actions Refuser, Bloquer ou Abandonner de l'action de proxy
Si votre Firebox autorise les connexions entrantes aux serveurs et aux autres ressources de votre réseau, veillez à configurer une stratégie de proxy de manière à inspecter le trafic entrant et activez les services et la journalisation pour les actions Refuser, Bloquer ou Abandonner de l'action de proxy.