Démarrage Rapide — Configurer TDR

Avant d'utiliser Threat Detection and Response (TDR), vous devez activer l'abonnement TDR d'un Firebox dans votre compte WatchGuard. Lorsque vous activez le premier abonnement TDR d'un Firebox dans votre compte, votre compte TDR est automatiquement créé et les licences Host Sensor sont ajoutées à votre compte TDR. Le nombre de licences Host Sensor comprises dans votre abonnement TDR dépend du modèle de Firebox. Vous pouvez acquérir des licences Host Sensor supplémentaires sous forme de mise à niveau.

Certaines opérations de configuration de TDR nécessitent de se connecter avec un rôle d'utilisateur spécifique. Le premier utilisateur d'un nouveau compte TDR a un rôle Administrator. Tous les autres utilisateurs ont le rôle d'Analyst par défaut. Les Administrateurs peuvent modifier les rôles attribués à n'importe quel compte d'utilisateur.

Pour commencer avec TDR, procédez comme suit :

Threat Detection and Response est inclus dans l'abonnement à Total Security Suite. Lorsque vous activez un abonnement à Total Security Suite, les licences Host Sensor sont ajoutées à votre compte TDR. Après avoir activé votre abonnement TDR, vous devez mettre à jour la clé de fonctionnalité sur votre Firebox.

Si vous avez déjà défini la région Cloud d'un autre service WatchGuard, cette région est utilisée pour le service TDR et vous n'êtes pas invité à sélectionner ou confirmer une région Cloud lorsque vous activez votre abonnement.

  1. Connectez-vous à la Web UI Fireware en tant qu'Administrateur de Périphérique.
  2. Sélectionnez Système > Clé de Fonctionnalité.
  3. Cliquez sur Obtenir une Clé de Fonctionnalité.
    La page Clé de Fonctionnalité s'ouvre.
  4. Vérifiez que la fonctionnalité Threat Detection & Response est activée sur la clé de fonctionnalité.
  1. Démarrez Firebox System Manager pour votre Firebox.
  2. Sélectionnez Outils > Synchroniser la Clé de Fonctionnalité.
  3. Saisissez les informations d'identification d'un utilisateur possédant le rôle Administrator du Périphérique.
  4. Sélectionnez Afficher > Clés de Fonctionnalité.
    La boîte de dialogue Clé de Fonctionnalité s'ouvre.
  5. Vérifiez que la fonctionnalité Threat Detection & Response est activée sur la clé de fonctionnalité.

Si vous n'êtes pas partenaire WatchGuard, ignorez cette étape et passez à l'Etape 3.

Si vous êtes Partenaire WatchGuard, votre compte TDR est un compte Service Provider. Vous devez ajouter un compte client séparé pour chacune des entreprises ou des organisations pour lesquelles vous gérez TDR dans votre compte Service Provider TDR. Pour configurer TDR de manière à l'exécuter sur votre propre réseau, vous devez également ajouter un compte client pour votre réseau interne. Vous configurez et gérez TDR séparément pour chaque compte client géré.

Pour créer un compte client géré dans votre compte de Service Provider TDR, consultez Ajouter un Compte Géré.

Vous devez assigner des licences Host Sensor à chaque compte client que vous gérez. Le nombre de licences Host Sensor que vous assignez à un compte client géré contrôle le nombre maximal de Host Sensors que vous pouvez installer sur les ordinateurs de ce client.

  1. Connectez-vous à votre compte de Service Provider dans WatchGuard Cloud.
  2. Sélectionnez Inventaire.
  3. Dans la section Host Sensor, sélectionnezLicenses.
    La page Synthèse s'ouvre.
  4. Dans la section Gestionnaire de Comptes, sélectionnez un compte géré.
  5. Dans le menu Inventaire, dans la section Host Sensor, sélectionnez Allocation.
    La page Host Sensors Non Alloués s'ouvre pour le compte sélectionné.

Capture d'écran de l'onglet Allocation pour attribuer des licences non allouées

  1. Dans la zone de texte Nombre de Host Sensors, saisissez le nombre de Host Sensors à assigner à ce compte.
  2. Dans la zone de texte Date d'Expiration, sélectionnez la date d'expiration.
  3. Cliquez sur Enregistrer.

Pour gérer TDR pour un client, vous devez sélectionner le compte client à gérer. En tant qu'opérateur Service Provider dans WatchGuard Cloud, le Gestionnaire de Comptes permet d'afficher vos comptes Service Provider et Subscriber gérés.

Dans la section Gestionnaire de Comptes, sélectionnez un compte Subscriber. Le compte sélectionné s'affiche sur la page Tableau de Bord. Vous pouvez gérer le compte et configurer ses services de sécurité.

Capture d'écran du tableau de bord d'un compte sélectionné dans la vue Service Provider

Après avoir sélectionné le compte client géré, les options disponibles dans le menu de navigation gauche dépendent du rôle d'utilisateur qui vous a été assigné dans le compte Service Provider. Votre compte d'utilisateur peut se voir assigner l'un et/ou l'autre des rôles suivants :

  • Si vous avez le rôle de Owner, vous avez un rôle d'Administrator dans vos comptes de clients gérés.
  • Si vous avez le rôle Helpdesk dans votre compte Service Provider, vous avez un rôle d'Analyst dans vos comptes de clients gérés.

Le premier utilisateur d'un compte Service Provider TDR a un rôle Owner. Tous les autres utilisateurs ont le rôle Helpdesk par défaut. Pour de plus amples informations concernant les comptes Service Provider et les rôles d'utilisateur, consultez Comptes Service Provider TDR.

Après avoir sélectionné un compte client géré, suivez les procédures pour configurer les Host Sensors et les Fireboxes de chaque client géré.

Si votre Firebox n'exécute pas Fireware v11.12, mettez-le à niveau avec le système d'exploitation Firebox v11.12 ou une version ultérieure.

Pour plus d'informations, consultez Mettre à Niveau le système d'exploitation Fireware OS ou WatchGuard System Manager.

Activez ensuite Threat Detection and Response sur votre Firebox. Pour activer TDR sur votre Firebox, vous devez obtenir l'UUID de votre compte TDR et l'ajouter à la configuration du Firebox.

  1. Se Connecter à TDR.
  2. Sélectionnez Surveiller> Threat Detection.
  3. Dans la section Périphériques/Utilisateurs, sélectionnez Firebox.
    L'UUID du Compte s'affiche en haut de la page.

Capture d'écran de l'UUID du Compte de la page Configuration du Firebox

  1. Copiez l'UUID du Compte.
  1. Ouvrez la configuration du Firebox dans Policy Manager ou Fireware Web UI.
    Pour plus d'informations sur la connexion à Fireware Web UI, consultez Se Connecter à Fireware Web UI.
  2. Sélectionnez Services d'Abonnement > Threat Detection.

Screen shot of the Threat Detection & Response page in Fireware Web UI

  1. Cochez la case Activer Threat Detection & Response.
  2. Dans les zones de texte UUID du Compte et Confirmer, collez le numéro d'UUID du Compte.
  3. Enregistrez la configuration sur le Firebox.
  • Pour afficher l'état de la connexion du Firebox à Threat Detection and Response dans Fireware Web UI, sélectionnez Tableau de Bord > Panneau Avant.

Capture d'écran du tableau de bord Panneau Avant dans Fireware Web UI

  • Pour afficher l'état de connexion du Firebox à Threat Detection and Response dans Firebox System Manager, sélectionnez l'onglet Rapport d'Etat et recherchez TDR.

Capture d'écran de l'onglet Rapport d'Etat de Firebox System Manager

  • Pour afficher l'état de la connexion du Firebox dans TDR, sélectionnez Surveiller > Threat Detection > Périphériques/Utilisateurs > Firebox et vérifiez que votre Firebox apparaît dans la liste Firebox.

Capture d'écran de la liste des Fireboxes dans TDR Web UI

Lorsque vous activez TDR sur votre Firebox, la configuration du Firebox doit inclure une stratégie visant à autoriser les Host Sensors de votre réseau à se connecter à votre compte TDR. Si votre Firebox exécute Fireware v11.12.1 ou une version ultérieure, la stratégie WatchGuard Threat Detection and Response visant à autoriser les connexions du Host Sensor est automatiquement ajoutée lorsque vous activez TDR.

Lorsque vous activez TDR sur Fireware v11.12.1 et les versions ultérieures, la stratégie WatchGuard Threat Detection and Response est automatiquement ajoutée à la configuration du Firebox.

Si votre Firebox exécute Fireware v11.12.0, vous devez manuellement ajouter une stratégie de filtrage des paquets HTTPS comprenant les paramètres suivants :

  • Les Connexions sont — Autorisées
  • De — Tout-Approuvé, Tout-Facultatif (ou les emplacements où les Host Sensors sont installés)
  • À — FQDNs tdr-hsc-na.watchguard.com, tdr-hsc-eu.watchguard.com, et tdr-hsc-ap.watchguard.com

Si la configuration de votre Firebox comprend une stratégie de proxy HTTPS dont l'inspection de contenu et la validation des certificats sont activées, ajoutez ces FQDN comme destinations dans la stratégie WatchGuard Threat Detection and Response ou dans la stratégie HTTPS que vous avez manuellement ajoutée :

tdr-frontline-eu.watchguard.com

tdr-frontline-na.watchguard.com

tdr-frontline-ap.watchguard.com

tdr-adhh-na.watchguard.com

tdr-adhh-eu.watchguard.com

tdr-adhh-ap.watchguard.com

Ces FDQN supplémentaires permettent aux Host Sensors de transmettre des fichiers à APT Blocker à des fins d'analyse et à Active Directory Helper de synchroniser les données avec votre compte TDR.

Installez ensuite un Host Sensor sur l'ordinateur à protéger. Les informations dont vous avez besoin pour installer le Host Sensor apparaissent sur la page Surveiller > Threat Detection > Périphériques/Utilisateurs > Firebox dans WatchGuard Cloud. Vous pouvez installer manuellement un Host Sensor Windows ou Red Hat Linux.

Pour de plus amples informations concernant la compatibilité de l'OS TDR Host Sensor, consultez les Notes de Version de Threat Detection & Response sur la page Notes de Version TDR.

Pour télécharger l'installateur Host Sensor depuis la page Périphériques/Utilisateurs >Hôtes dans WatchGuard Cloud :

  1. Sur l'hôte sur lequel vous souhaitez installer le Host Sensor, sélectionnez Périphériques/Utilisateurs > Hôtes.
  2. Cliquez sur Télécharger le Host Sensor.
    La boîte de dialogue Télécharger le Host Sensor s'ouvre.

Capture d'écran de la page Téléchargement du Host Sensor

  1. Dans la liste déroulante Système d'Exploitation, sélectionnez le système d'exploitation de l'hôte :
    • Microsoft Windows
    • Red Hat Linux
    • Mac
  2. Cliquez sur Télécharger.
    Le programme d'installation du Host Sensor est téléchargé.
  3. Copiez l'ID du Compte et l'Adresse du Contrôleur depuis cette page.
    Vous devez fournir ces informations lors de l'exécution du programme d'installation.

Les procédures de Démarrage Rapide décrivent les étapes de configuration du premier Firebox et Host Sensor de votre compte TDR. Pour terminer l'installation, nous vous recommandons d'effectuer les étapes supplémentaires indiquées dans les rubriques suivantes :

Voir Également

Bonnes Pratiques de Déploiement TDR

Guides d'Intégration TDR