Réaliser des Actions pour Traiter les Incidents

Lorsque vous surveillez les menaces détectées par ThreatSync et consultez les détails d'un incident, vous pouvez opter pour exécuter une action pour le traiter ou pour annuler une action effectuée automatiquement par un produit ou service WatchGuard.

Pour envoyer des données à ThreatSync et recevoir des actions, les Fireboxes doivent exécuter Fireware v12.9 ou une version ultérieure et avoir été ajoutés à WatchGuard Cloud pour la journalisation et génération de rapports ou la gestion sur le cloud.

Vous pouvez effectuer les actions suivantes manuellement à partir de l'interface utilisateur de ThreatSync :

Bloquer l'IP/Débloquer l'IP — Bloque ou débloque l'adresse IP externe associée à l'incident. Lorsque vous sélectionnez cette action, tous les Fireboxes où ThreatSync a été activé sur le compte WatchGuard Cloud bloquent ou débloquent les connexions en provenance et à destination de l'adresse IP.
Les adresses IP bloquées par ThreatSync ne figurent pas dans la liste des Sites Bloqués du Firebox dans Fireware ou WatchGuard Cloud. Pour de plus amples informations, accédez à Gérer les Adresses IP Bloquées par ThreatSync.
Supprimer le Fichier/Restaurer le Fichier — Supprime le fichier marqué lié à l'incident ou restaure un fichier précédemment supprimé.
Isoler le Périphérique/Cesser d'Isoler le Périphérique — Isole l'ordinateur du réseau de manière à stopper la propagation de la menace et bloquer l'exfiltration de données confidentielles, ou cesse d'isoler un ordinateur précédemment isolé.
Terminer le Processus — Termine un processus ayant démontré un comportement malveillant lié à l'incident.

Toutes les actions ne s'appliquent pas à tous les types d'incidents.

Pour effectuer une action sur un ou plusieurs incidents, à partir de la page Incidents :

Sélectionnez Surveiller > Menaces > Incidents.
La page Incidents s'ouvre.
Dans la colonne de gauche, cochez la case correspondant à un ou plusieurs incidents.
Les menus Modifier l'État et Actions apparaissent.
Dans la liste déroulante Actions, sélectionnez l'action à éxécuter.

Screenshot of the Actions drop-down list in the Incidents page

Les recommandations concernant un incident sur la page Détails de l'Incident déterminent les actions disponibles dans la liste déroulante Actions de la page Incidents. Par exemple, si l'action recommandée pour un incident consiste à isoler un périphérique, l'option Isoler/Arrêter le Périphérique est activée dans la liste déroulante Actions.

Pour effectuer une action sur un incident, à partir de la page Détails de l'Incident :

Sélectionnez Surveiller > Menaces > Incidents.
La page Incidents s'ouvre.
Cliquez sur un incident dans la liste des incidents.
La page Détails de l'Incident s'ouvre.
Pour effectuer une action :
- Dans la section Détails de la Menace, cliquez sur une action.
- Dans les autres sections, cliquez sur l'icône éclair pour ouvrir le menu d'action puis sélectionnez une action.

Screenshot of the actions you can perform from the Incident Details page: isolate device, kill process, delete file

Si une erreur se produit et que ThreatSync ne parvient pas à effectuer une action, une icône point d'exclamation rouge ou un message d'erreur s'affiche. Pour de plus amples informations, accédez à Dépanner les Erreurs d'Incident.

Vous pouvez configurer des notifications de manière à générer des alertes lorsque des actions sont effectuées. Pour de plus amples informations, accédez à Configurer les Règles de Notification ThreatSync.

Arrêter ou Annuler une Action

Si nécessaire, vous pouvez arrêter ou annuler une action précédemment effectuée. Par exemple, si vous avez effectué une action visant à bloquer une adresse IP, vous pouvez débloquer l'adresse IP.

Pour arrêter ou annuler une action, à partir de la page Incidents :

Sélectionnez Surveiller > Menaces > Incidents.
La page Incidents s'ouvre.
Dans la colonne de gauche, cochez la case correspondant à un ou plusieurs incidents.
Les menus Modifier l'État et Actions apparaissent.
Dans la liste déroulante Actions, sélectionnez l'action à arrêter ou à annuler.

Pour arrêter ou annuler une action, à partir de la page Détails de l'Incident :

Sélectionnez Surveiller > Menaces > Incidents.
La page Incidents s'ouvre.
Cliquez sur un incident dans la liste des incidents.
La page Détails de l'Incident s'ouvre.
Dans la section Détails de la Menace, sélectionnez l'action à arrêter ou à annuler.

Screenshot of the Threat Details section showing the Stop button to stop a process or action

Pour débloquer une adresse IP, à partir de la page IP Bloquées par ThreatSync :

Sélectionnez Configurer > ThreatSync > IP Bloquées par ThreatSync.
La page IP Bloquées par ThreatSync s'ouvre.
Sélectionnez une ou plusieurs adresses IP bloquées.
Cliquez sur Débloquer.
Tous les Fireboxes éligibles cessent de bloquer le trafic provenant et à destination des adresses IP sélectionnées.

Rubriques Connexes

Consulter les Détails de l'Incident

Archiver ou Modifier l'État des Incidents

Gérer les Adresses IP Bloquées par ThreatSync

Dépanner les Erreurs d'Incident

Démarrage Rapide — Configurer ThreatSync

© 2024 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et dans d'autres pays. Les autres marques sont détenues par leurs propriétaires respectifs.