Gérer les Modèles de Stratégie d'Automatisation ThreatSync (Service Providers)

En tant que Service Provider WatchGuard, vous pouvez créer des modèles de stratégie d'automatisation ThreatSync qui incluent plusieurs stratégies d'automatisation, puis attribuer le modèle aux comptes Subscriber ou aux groupes de comptes que vous gérez.

Les modèles de stratégie d'automatisation vous permettent d'appliquer des stratégies d'automatisation de manière cohérente sur les comptes gérés et les groupes de comptes, et de gagner du temps lorsque vous configurez ThreatSync pour de nouveaux comptes.

Vous pouvez attribuer plusieurs comptes gérés au même modèle. Cependant, vous ne pouvez attribuer un compte Subscriber qu'à un seul modèle de stratégie d'automatisation.

  • Si vous attribuez un compte à un deuxième modèle, le nouveau modèle remplace le premier.
  • Si vous attribuez plusieurs comptes à un modèle et que certains de ces comptes sont déjà attribués à un modèle, vous devez opter pour conserver ou remplacer les modèles existants de ces comptes.

Lorsque vous attribuez des modèles de stratégie d'automatisation à des comptes, ces derniers peuvent afficher les stratégies des modèles dans la liste des Stratégies d'Automatisation, mais ils ne peuvent pas les modifier.

Sur la page Modèles de Stratégie d'Automatisation, vous pouvez :

Ajouter un Modèle de Stratégie d'Automatisation

Lorsque vous créez un modèle de stratégie d'automatisation, vous attribuez des comptes au modèle et ajoutez des stratégies d'automatisation. Lorsque vous ajoutez ou modifiez les stratégies d'un modèle, les comptes attribués obtiennent automatiquement les stratégies mises à jour.

Vous pouvez modifier l'ordre de priorité des stratégies d'automatisation d'un modèle de sorte de les classer de haut en bas. Si un incident répond aux conditions configurées dans plusieurs stratégies, ThreatSync exécute l'action spécifiée dans la stratégie la mieux classée qui s'applique. Chaque action recommandée pour un incident est évaluée individuellement en fonction d'une stratégie. Si un incident ne présente pas d'action recommandée correspondant à l'action spécifiée dans la stratégie, cette stratégie est ignorée. Pour de plus amples informations, accédez à Priorité des Stratégies d'Automatisation ThreatSync.

Les stratégies d'automatisation attribuées par un modèle s'affichent en premier dans la liste des stratégies du compte Subscriber.

Pour ajouter un modèle de stratégie d'automatisation :

  1. Dans le Gestionnaire de Comptes, sélectionnez le compte Service Provider.
    Pour sélectionner votre propre compte Service Provider, sélectionnez Vue d'Ensemble. Vous pouvez également sélectionner un compte Service Provider de Niveau 2.
  2. Sélectionnez Configurer > ThreatSync.
    La page Modèles de Stratégie d'Automatisation s'ouvre.

Screen shot of the Automation Policy Templates page for Service Providers

  1. Cliquez sur Ajouter un Modèle de Stratégie d'Automatisation.
    La page Ajouter un Modèle de Stratégie d'Automatisation s'ouvre.

Screen shot of the Add Automation Policy Template page for Service Providers

  1. Saisissez le Nom de votre modèle de stratégie d'automatisation.
  2. (Facultatif) Saisissez la Description de votre modèle de stratégie d'automatisation.
  3. Dans la zone de texte Attributions, cliquez sur Ajouter des Comptes.
    La boîte de dialogue Ajouter des Comptes s'ouvre.
  4. Sélectionnez le compte ou le groupe de comptes auquel vous souhaitez attribuer le modèle.
    Vous ne pouvez attribuer un compte qu'à un seul modèle. Si vous attribuez un compte à un deuxième modèle, le premier modèle est supprimé.
  5. Si vous tentez d'attribuer un modèle de stratégie d'automatisation à plusieurs comptes ou groupes de comptes et que certains de ces comptes possèdent déjà un modèle attribué, la boîte de dialogue Attribuer un Modèle de Stratégie s'ouvre. Sélectionnez l'une de ces options :
    • Conserver les Modèles Existants — Attribue le nouveau modèle uniquement aux comptes sélectionnés qui ne possèdent pas de modèle existant. Les comptes possédant des modèles existants les conservent.
    • Remplacer Tout par Ce Modèle — Attribue le nouveau modèle à tous les comptes sélectionnés.

Screen shot of the Assign Policy Template dialog box

  1. Cliquez sur Ajouter.
  2. Répétez les étapes 6 à 9 pour chaque compte que vous souhaitez ajouter.
  3. Ajoutez les stratégies d'automatisation que vous souhaitez inclure dans le modèle. Pour de plus amples informations, accédez à Ajouter une Stratégie d'Automatisation à un Modèle.
  4. Cliquez sur Enregistrer.

Ajouter une Stratégie d'Automatisation à un Modèle

Lorsque vous ajoutez une stratégie d'automatisation, vous spécifiez les conditions et les actions que ThreatSync exécute en réponse à un incident.

Pour ajouter une stratégie d'automatisation à un modèle :

  1. Ajoutez ou modifiez le modèle de stratégie d'automatisation.
  1. Cliquez sur Ajouter une Stratégie d'Automatisation.
    La page Ajouter une Stratégie s'ouvre.

Screen shot of the Add Policy page in ThreatSync

  1. Pour activer la nouvelle stratégie, cliquez sur l'option Activé.
  2. Saisissez le Nom de votre stratégie ainsi que d'éventuels commentaires.
  3. Dans la section Type de Stratégie, dans la liste déroulante Type, sélectionnez le type de stratégie que vous souhaitez créer :
    • Remediation(Traitement) — La stratégie d'automatisation effectue les actions de traitement spécifiées pour les incidents répondant aux conditions.
    • Archive (Archiver) — La stratégie d'automatisation met à jour l'état des incidents répondant aux conditions à l'état Archivé.

Screen shot of the Policy Type drop-down list on the Add Policy page

  1. Dans la section Conditions, spécifiez les conditions qu'un incident doit remplir de sorte que cette stratégie d'automatisation s'applique :

    Screen shot of the Risk Range drop-down list on the Add Policy page in ThreatSync

    • Type d'Incident — Sélectionnez un ou plusieurs types d'incident parmi les suivants :
      • Stratégie de Sécurité Avancée — Exécution de scripts malveillants et de programmes inconnus employant des techniques d'infection avancées.
      • Exploit — Attaques tentant d'injecter du code malveillant de manière à exploiter des processus vulnérables.
      • Tentative d'Intrusion — Événement de sécurité lors duquel un intrus tente d'accéder sans autorisation à un système.
      • IOA — Les Indicateurs d'Attaque (IOA) sont des indicateurs présentant une forte probabilité de constituer une attaque.
      • URL Malveillante — URL créée de manière à disséminer des malwares tels que les logiciels de rançon.
      • IP Malveillante — Adresse IP liée à une activité malveillante.
      • Malware — Logiciel malveillant conçu de manière à endommager, perturber et accéder sans autorisation à des systèmes informatiques.
      • PUP — Programmes potentiellement indésirables (PUP) susceptibles d'être installés lors de l'installation d'autres logiciels sur un ordinateur.
      • Virus — Code malveillant s'introduisant dans des systèmes informatiques.
      • Programme Inconnu — Le programme a été bloqué, car il n'a pas encore été classifié par WatchGuard Endpoint Security.

      Screen shot of the Select Incident Types dialog box on the Add Policy page

    • Type de Périphérique — Sélectionnez un ou plusieurs types de périphérique parmi les suivants :
      • Firebox
      • Endpoint

      • Screen shot of the Select Device Types dialog box on the Add Policy page

    • Actions Effectuées — Sélectionnez une ou plusieurs des actions suivantes effectuées sur un incident (type de stratégie Archive uniquement).
      • Connexion Bloquée — Connexion bloquée.
      • Processus Bloqué — Processus bloqué par un périphérique d'endpoint.
      • Périphérique Isolé — La communication avec le périphérique a été bloquée.
      • Fichier Supprimé — Le fichier a été classifié en tant que malware et supprimé.
      • IP Bloquée — Les connexions réseau à destination et en provenance de cette adresse IP ont été bloquées.
      • Processus Terminé — Processus terminé par un périphérique d'endpoint.

  2. Dans la section Actions, indiquez dans la liste déroulante si vous souhaitez effectuer ou bloquer les actions spécifiées.
    • Perform (Éxécuter) — ThreatSync exécute les actions spécifiées en réponse aux nouveaux incidents répondant aux conditions de la stratégie.
    • Prevent (Empêcher) — ThreatSync empêche les actions spécifiées. Pour créer une exception à une stratégie Perform (Éxécuter) plus large, vous pouvez ajouter une stratégie contenant l'action Prevent (Empêcher) et la classer avant l'autre stratégie dans la liste des stratégies. Une stratégie avec l’action Prevent n’empêche pas l’exécution manuelle d’une action par un opérateur.
  1. Sélectionnez une ou plusieurs actions à effectuer ou bloquer parmi les suivantes :
    • Bloquer l'IP d'Origine de la Menace (IP externes uniquement) — Bloque l'adresse IP externe liée à l'incident. Lorsque vous sélectionnez cette action, tous les Fireboxes où ThreatSync a été activé sur le compte WatchGuard Cloud bloquent les connexions en provenance et à destination de l'adresse IP.
    • Supprimer le Fichier — Supprime le fichier signalé lié à l'incident.
    • Isoler le Périphérique — Isole l'ordinateur du réseau afin d'empêcher la propagation de la menace ou bloquer l'exfiltration de données confidentielles.
    • Terminer le Processus Malveillant — Termine un processus ayant démontré un comportement malveillant lié à l'incident.
    • Archiver l'Incident — Met à jour l'état de l'incident vers Archivé (type de stratégie Archive uniquement).

    2. Si le type de stratégie est Archive, l'action Archiver l'Incident est sélectionnée automatiquement et vous ne pouvez pas sélectionner une autre action.

Screen shot of the Actions section on the Add Policy page in ThreatSync

  1. Cliquez sur Ajouter.
    La nouvelle stratégie est ajoutée à la liste des stratégies.

Désactiver une Stratégie d'Automatisation dans un Modèle

Sur la page Modifier le Modèle de Stratégie d'Automatisation, vous pouvez désactiver une ou plusieurs stratégies d'automatisation dans un modèle puis les activer ultérieurement.

Pour désactiver une stratégie d'automatisation dans un modèle :

  1. Dans le Gestionnaire de Comptes, sélectionnez le compte Service Provider. Pour sélectionner votre propre compte Service Provider, sélectionnez Vue d'Ensemble. Vous pouvez également sélectionner un compte Service Provider de Niveau 2.
  2. Sélectionnez Configurer > ThreatSync.
    La page Modèles de Stratégie d'Automatisation s'ouvre.
  3. Sélectionnez le modèle pour lequel vous souhaitez désactiver la stratégie d'automatisation.
    La page Modifier le Modèle de Stratégie d'Automatisation s'ouvre.
  4. Dans la ligne de la stratégie d'automatisation, désactivez l'option Activé.
  5. Cliquez sur Enregistrer.

Supprimer une Stratégie d'Automatisation d'un Modèle

Sur la page Modifier le Modèle de Stratégie d'Automatisation, vous pouvez supprimer une stratégie d'automatisation d'un modèle.

Pour supprimer une stratégie d'automatisation d'un modèle :

  1. Dans le Gestionnaire de Comptes, sélectionnez le compte Service Provider. Pour sélectionner votre propre compte Service Provider, sélectionnez Vue d'Ensemble. Vous pouvez également sélectionner un compte Service Provider de Niveau 2.
  2. Sélectionnez Configurer > ThreatSync.
    La page Modèles de Stratégie d'Automatisation s'ouvre.
  3. Sélectionnez le modèle dont vous souhaitez supprimer une stratégie d'automatisation.
  4. À côté du nom de la stratégie que vous souhaitez supprimer, cliquez sur L'icône d'options.. Cliquez sur Supprimer.
  5. Cliquez sur Supprimer.
  6. Cliquez sur Enregistrer.

Copier un Modèle de Stratégie d'Automatisation

Sur la page Modèles de Stratégie d'Automatisation, vous pouvez copier un modèle d'automatisation et l'utiliser comme point de départ pour un nouveau modèle.

Pour copier un modèle de stratégie d'automatisation :

  1. Dans le Gestionnaire de Comptes, sélectionnez le compte Service Provider. Pour sélectionner votre propre compte Service Provider, sélectionnez Vue d'Ensemble. Vous pouvez également sélectionner un compte Service Provider de Niveau 2.
  2. Sélectionnez Configurer > ThreatSync.
    La page Modèles de Stratégie d'Automatisation s'ouvre.
  3. Dans la ligne du modèle que vous souhaitez copier, cliquez sur .

  1. Sur la page Copier un Modèle de Stratégie d'Automatisation, saisissez un Nom pour le nouveau modèle.
  2. Apportez les modifications nécessaires au modèle, le cas échéant.
    • Ajouter des affectations
    • Ajouter ou supprimer des stratégies
    • Activer ou désactiver les stratégies
  3. Cliquez sur Enregistrer.

Supprimer un Modèle de Stratégie d'Automatisation

Sur la page Modèles de Stratégie d'Automatisation, vous pouvez supprimer un modèle d'automatisation s'il n'est attribué à aucun compte que vous gérez.

Pour supprimer un modèle de stratégie d'automatisation :

  1. Dans le Gestionnaire de Comptes, sélectionnez le compte Service Provider. Pour sélectionner votre propre compte Service Provider, sélectionnez Vue d'Ensemble. Vous pouvez également sélectionner un compte Service Provider de Niveau 2.
  2. Sélectionnez Configurer > ThreatSync.
    La page Modèles de Stratégie d'Automatisation s'ouvre.
  3. Sur la ligne du modèle que vous souhaitez supprimer, cliquez sur .

  1. Cliquez sur Supprimer.
  2. Cliquez sur Enregistrer.

Afficher les Comptes Gérés Possédant des Stratégies d'Automatisation au Niveau du Compte

Sur la page Modèles de Stratégie d'Automatisation, vous pouvez afficher une liste de vos comptes gérés avec des stratégies d'automatisation au niveau du compte et déployer toutes les modifications de la stratégie en attente.

Pour déployer les modifications de la stratégie en attente d'un ou plusieurs comptes gérés :

  1. À côté du compte géré dont les modifications de la stratégie sont en attente, cliquez sur Déployer.
  2. Pour déployer les modifications de la stratégie en attente de plusieurs comptes gérés, cliquez sur Déployer Toutes les Modifications En Attente.

Screenshot of the Accounts with Account-Level Automation Policies section

Les modifications sont déployées sur le moteur de décision ThreatSync, qui envoie ensuite des actions aux Firebox ou aux périphériques d'endpoint lorsque les incidents correspondent à la stratégie d'automatisation.

Rubriques Connexes

À propos des Stratégies d'Automatisation ThreatSync

Gérer les Stratégies d'Automatisation ThreatSync (Subscribers)

Gérer les Groupes de Comptes

Configurer les Paramètres du Périphérique ThreatSync

Configurer ThreatSync

À propos de ThreatSync