Gérer les Stratégies d'Automatisation ThreatSync (Subscribers)

Les stratégies d'automatisation ThreatSync définissent les actions que ThreatSync entreprend automatiquement lorsqu'une menace est détectée. Lorsqu'un incident répond aux conditions que vous spécifiez dans la stratégie d'automatisation, ThreatSync effectue les actions spécifiées (par exemple, supprimer le fichier et isoler le périphérique). Lorsque plusieurs stratégies d'automatisation sont attribuées à un compte, ThreatSync applique les stratégies aux périphériques dans l'ordre indiqué sur la page Stratégies d'Automatisation.

Sur la page Stratégies d'Automatisation d'un compte Subscriber, vous pouvez :

Les Service Providers peuvent créer des modèles de stratégies d'automatisation comprenant différentes stratégies d'automatisation puis attribuer les modèles aux comptes qu'ils gèrent. Si vous êtes Subscriber, les stratégies d'automatisation attribuées à votre compte via un modèle figurent en tête de la liste des stratégies. Pour de plus amples informations, accédez à Gérer les Modèles de Stratégie d'Automatisation ThreatSync (Service Providers).

Ajouter une Stratégie d'Automatisation (Subscribers)

Lorsque vous ajoutez une stratégie d'automatisation, vous spécifiez les conditions et les actions que ThreatSync effectue pour répondre à un incident.

Pour ajouter une stratégie d'automatisation :

  1. Connectez-vous à votre compte WatchGuard Cloud.
  2. Pour les comptes Service Provider, dans le Gestionnaire de Comptes, sélectionnez Mon Compte.
  3. Sélectionnez Configurer > ThreatSync.
    La page Stratégies d'Automatisation s'ouvre.
  1. Cliquez sur Ajouter une Stratégie d'Automatisation.
    La page Ajouter une Stratégie s'ouvre.

Screen shot of the Add Policy page in ThreatSync

  1. Pour activer la nouvelle stratégie, cliquez sur l'option Activé.
  2. Saisissez le Nom de votre stratégie ainsi que d'éventuels commentaires.
  3. Dans la section Type de Stratégie, dans la liste déroulante Type, sélectionnez le type de stratégie que vous souhaitez créer :
    • Remediation(Traitement) — La stratégie d'automatisation effectue les actions de traitement spécifiées pour les incidents répondant aux conditions.
    • Archive (Archiver) — La stratégie d'automatisation met à jour l'état des incidents répondant aux conditions à l'état Archivé.

Screen shot of the Policy Type drop-down list on the Add Policy page

  1. Dans la section Conditions, spécifiez les conditions qu'un incident doit remplir de sorte que cette stratégie d'automatisation s'applique :

    Screen shot of the Risk Range drop-down list on the Add Policy page in ThreatSync

    • Type d'Incident — Sélectionnez un ou plusieurs types d'incident parmi les suivants :
      • Stratégie de Sécurité Avancée — Exécution de scripts malveillants et de programmes inconnus employant des techniques d'infection avancées.
      • Exploit — Attaques tentant d'injecter du code malveillant de manière à exploiter des processus vulnérables.
      • Tentative d'Intrusion — Événement de sécurité lors duquel un intrus tente d'accéder sans autorisation à un système.
      • IOA — Les Indicateurs d'Attaque (IOA) sont des indicateurs présentant une forte probabilité de constituer une attaque.
      • URL Malveillante — URL créée de manière à disséminer des malwares tels que les logiciels de rançon.
      • IP Malveillante — Adresse IP liée à une activité malveillante.
      • Malware — Logiciel malveillant conçu de manière à endommager, perturber et accéder sans autorisation à des systèmes informatiques.
      • PUP — Programmes potentiellement indésirables (PUP) susceptibles d'être installés lors de l'installation d'autres logiciels sur un ordinateur.
      • Virus — Code malveillant s'introduisant dans des systèmes informatiques.
      • Programme Inconnu — Le programme a été bloqué, car il n'a pas encore été classifié par WatchGuard Endpoint Security.

      Screen shot of the Select Incident Types dialog box on the Add Policy page

    • Type de Périphérique — Sélectionnez un ou plusieurs types de périphérique parmi les suivants :
      • Firebox
      • Endpoint

      • Screen shot of the Select Device Types dialog box on the Add Policy page

    • Actions Effectuées — Sélectionnez une ou plusieurs des actions suivantes effectuées sur un incident (type de stratégie Archive uniquement).
      • Connexion Bloquée — Connexion bloquée.
      • Processus Bloqué — Processus bloqué par un périphérique d'endpoint.
      • Périphérique Isolé — La communication avec le périphérique a été bloquée.
      • Fichier Supprimé — Le fichier a été classifié en tant que malware et supprimé.
      • IP Bloquée — Les connexions réseau à destination et en provenance de cette adresse IP ont été bloquées.
      • Processus Terminé — Processus terminé par un périphérique d'endpoint.

  2. Dans la section Actions, indiquez dans la liste déroulante si vous souhaitez effectuer ou bloquer les actions spécifiées.
    • Perform (Éxécuter) — ThreatSync exécute les actions spécifiées en réponse aux nouveaux incidents répondant aux conditions de la stratégie.
    • Prevent (Empêcher) — ThreatSync empêche les actions spécifiées. Pour créer une exception à une stratégie Perform (Éxécuter) plus large, vous pouvez ajouter une stratégie contenant l'action Prevent (Empêcher) et la classer avant l'autre stratégie dans la liste des stratégies. Une stratégie avec l’action Prevent n’empêche pas l’exécution manuelle d’une action par un opérateur.
  1. Sélectionnez une ou plusieurs actions à effectuer ou bloquer parmi les suivantes :
    • Bloquer l'IP d'Origine de la Menace (IP externes uniquement) — Bloque l'adresse IP externe liée à l'incident. Lorsque vous sélectionnez cette action, tous les Fireboxes où ThreatSync a été activé sur le compte WatchGuard Cloud bloquent les connexions en provenance et à destination de l'adresse IP.
    • Supprimer le Fichier — Supprime le fichier signalé lié à l'incident.
    • Isoler le Périphérique — Isole l'ordinateur du réseau afin d'empêcher la propagation de la menace ou bloquer l'exfiltration de données confidentielles.
    • Terminer le Processus Malveillant — Termine un processus ayant démontré un comportement malveillant lié à l'incident.
    • Archiver l'Incident — Met à jour l'état de l'incident vers Archivé (type de stratégie Archive uniquement).

    2. Si le type de stratégie est Archive, l'action Archiver l'Incident est sélectionnée automatiquement et vous ne pouvez pas sélectionner une autre action.

Screen shot of the Actions section on the Add Policy page in ThreatSync

  1. Cliquez sur Ajouter.
    La nouvelle stratégie est ajoutée à la liste des stratégies.

Activer ou Désactiver une Stratégie d'Automatisation

Dans la liste Stratégies d'Automatisation, vous pouvez activer ou désactiver des stratégies d'automatisation spécifiques dans un compte Subscriber. Par exemple, lors d'un événement de sécurité, vous souhaiterez peut-être désactiver les stratégies d'automatisation qui archivent les incidents afin de pouvoir examiner toutes les activités ThreatSync.

Si votre Service Provider a attribué une stratégie à votre compte via un modèle, la stratégie apparaît en premier dans la liste des stratégies d'automatisation, mais vous ne pouvez pas l'activer ou la désactiver.

Vous pouvez également activer ou désactiver une stratégie d'automatisation lorsque vous la modifiez.

Pour activer ou désactiver une stratégie d'automatisation :

  1. Sélectionnez Configurer > ThreatSync.
  2. Sur la page Stratégies d'Automatisation, cliquez sur le nom de la stratégie d'automatisation que vous souhaitez activer ou désactiver.
    La page Modifier une Stratégie s'ouvre.
  3. Cliquez sur l'option Activée pour activer ou désactiver la stratégie d'automatisation.
  4. Cliquez sur Enregistrer.

Modifier l'Ordre des Stratégies d'Automatisation

Sur la page Stratégies d'Automatisation, vous pouvez modifier l'ordre de priorité des stratégies d'automatisation pour les classer de haut en bas. Quand un incident correspond à des conditions configurées dans différentes stratégies, ThreatSync exécute l'action spécifiée dans la stratégie présentant la priorité la plus élevée qui s'applique.

Screen shot of the Automation Policies page in ThreatSync

Chaque action recommandée pour un incident est évaluée individuellement en fonction d'une stratégie. Si un incident ne présente pas d'action recommandée correspondant à l'action spécifiée dans la stratégie, cette stratégie est ignorée. Pour de plus amples informations, accédez à Priorité des Stratégies d'Automatisation ThreatSync.

Pour modifier l'ordre des stratégies d'automatisation dans la liste des stratégies :

  • Cliquez sur la poignée de déplacement de la stratégie d'automatisation que vous souhaitez déplacer et faites la glisser vers le haut ou vers le bas dans la liste.
  • Déployez vos modifications de la stratégie.

Déployer une Stratégie d'Automatisation

Après avoir ajouté, mis à jour, activé ou désactivé une stratégie d'automatisation, la page Stratégies d'Automatisation affiche une bannière de message indiquant que vous avez des modifications de la stratégie non déployées.

Screen shot of a banner message on the Automation Policies page that says "Policy changes have not yet been deployed."

Pour déployer une stratégie d'automatisation et appliquer vos modifications, cliquez sur Déployer.

Les modifications sont déployées dans le moteur de décision ThreatSync, qui envoie ensuite les actions aux Fireboxes ou aux périphériques d'endpoint lorsque des incidents correspondent à la stratégie.

Rubriques Connexes

À propos des Stratégies d'Automatisation ThreatSync

Gérer les Modèles de Stratégie d'Automatisation ThreatSync (Service Providers)

Gérer les Adresses IP Bloquées par ThreatSync

Configurer les Paramètres du Périphérique ThreatSync

Configurer ThreatSync

À propos de ThreatSync