Meilleures Pratiques de ThreatSync

Pour optimiser la collecte et la corrélation des données issues de votre réseau et de vos périphériques d'endpoint afin de détecter les menaces et d'y répondre, nous vous recommandons de suivre les meilleures pratiques suivantes lors de l'implémentation et de la configuration de ThreatSync :

Avant de Commencer
Paramètres Recommandés du Firebox
Paramètres Recommandés d'Endpoint Security
Configurer les Paramètres du Périphérique
Meilleures Pratiques de Configuration d'une Stratégie d'Automatisation
- Stratégie d'Automatisation de Traitement Recommandée
- Stratégie d'Automatisation Archive Recommandée
Exceptions aux Sites Bloqués
Règles de Notification Recommandées

Avant de Commencer

Avant d'installer et de configurer ThreatSync, assurez-vous de respecter les conditions préalables du Firebox et d'Endpoint Security figurant dans Démarrage Rapide — Configurer ThreatSync.

Paramètres Recommandés du Firebox

Afin que votre Firebox envoie les données d'incident à ThreatSync :

Confirmez que les services de sécurité qui génèrent des incidents ThreatSync ont été activés et configurés sur le Firebox :
APT Blocker
Gateway AntiVirus
WebBlocker
IPS
Pour les Fireboxes gérés localement :
Activez l'inspection du contenu dans des actions de proxy HTTPS. Pour de plus amples informations, accédez à Proxy HTTPS : inspection du contenu.
Activez la journalisation dans toutes les stratégies et pour tous les services. Pour de plus amples informations, accédez à Définir les préférences de Journalisation et de Notification.
Pour les Fireboxes gérés sur le cloud, activez l'option Déchiffrer le Trafic HTTPS dans les stratégies de pare-feu sortantes du trafic web. Pour de plus amples informations, accédez à Configurer les Types de Trafic dans une Stratégie de Pare-feu.

Paramètres Recommandés d'Endpoint Security

Les paramètres varient pour WatchGuard Advanced EPDR, EPDR, EDR, EDR Core et EPP. Dans cette section, le terme Endpoint Security désigne de manière générale tous les produits. Si l'un des paramètres ne s'affiche pas dans l'interface de gestion d'Endpoint Security, il n'est pas pris en charge par votre produit.

Afin de garantir qu'Endpoint Security envoie toutes les données de télémétrie et des incidents nécessaires à ThreatSync, confirmez que les paramètres Endpoint Security suivants ont été activés :

Paramètres de Sécurité pour les Stations de Travail et Serveurs
- Protection Avancée
  - Mode de fonctionnement (Mode Verrouillage)
  - Protection Anti-Exploit
  - Antivirus
Indicateurs d'Attaque (IOA)

Pour de plus amples informations concernant les paramètres d'Endpoint Security, accédez à Gérer les Paramètres.

Configurer les Paramètres du Périphérique

Lorsque vous activez ThreatSync pour un compte, il est automatiquement activé sur les périphériques d'endpoint et les Fireboxes alloués à celui-ci. Ces périphériques envoient automatiquement des données à ThreatSync.

Nous vous recommandons d'activer ThreatSync sur tous les Fireboxes de votre compte. Afin que ThreatSync reçoive les données d'incident et les actions de tous les nouveaux Fireboxes ajoutés à votre compte, cochez la case Activer ThreatSync automatiquement sur les Fireboxes venant d'être ajoutés sur la page Paramètres du Périphérique.

Pour de plus amples informations, accédez à Configurer les Paramètres du Périphérique ThreatSync.

Meilleures Pratiques de Configuration d'une Stratégie d'Automatisation

Afin de vous permettre d'organiser et de contrôler vos stratégies d'automatisation, nous vous recommandons de commencer par les meilleures pratiques suivantes.

Personnaliser les Noms des Stratégies d'Automatisation

Afin de faciliter la compréhension et la maintenance de vos stratégies d'automatisation, octroyez un nom explicite à la stratégie en précisant son objectif, son champ d'application ainsi que toute autre caractéristique unique.

Par exemple, si vous souhaitez spécifier le type de stratégie, la plage de risque ou l'action effectuée dans le nom de votre stratégie, vous pouvez nommer votre stratégie Traitement_6-7_Isolement ou Archive_1-3.

Stratégie d'Automatisation de Traitement Recommandée

Afin que ThreatSync vous protège automatiquement contre les incidents à haut risque, nous vous recommandons de créer une stratégie d'automatisation pour les incidents dont la plage de risque est comprise entre 7 et 10.

Recommandation de la Stratégie Remediation

Rang — 1
Type de Stratégie – Traitement
Plage de Risque — 7-10
Type de Périphérique — Endpoint, Firebox
Actions — Réaliser > Isoler le Périphérique

Cette stratégie permet d'isoler du réseau automatiquement tous les périphériques concernés par des incidents présentant un indice supérieur ou égal à 7 afin d'éviter la propagation de la menace. Vous pouvez ainsi analyser des périphériques isolés et enquêter sur les détails des incidents. Pour de plus amples informations, accédez à Consulter les Détails de l'Incident.

Stratégie d'Automatisation Archive Recommandée

Afin de réduire le nombre d'incidents à faible risque dans la liste des incidents et vous concentrer sur les incidents présentant un risque élevé, nous vous recommandons de créer une stratégie Archive s'appliquant aux incidents présentant un indice de risque égal à 1.

Recommandation de la Stratégie Archive

Type de Stratégie — Archiver
Plage de Risque — 1
Type de Périphérique — Endpoint, Firebox
Actions — Effectuer > Archiver

Cette stratégie archive automatiquement les incidents présentant un indice de risque de 1. Nous vous recommandons de consulter les incidents archivés et de déterminer si d'autres actions sont nécessaires. Pour consulter votre liste des incidents archivés, filtrez les incidents par état sur la page Incidents. Pour de plus amples informations, accédez à Surveiller les Incidents ThreatSync.

Si vous n'avez pas le temps d'enquêter sur chaque incident à faible risque, envisagez de modifier votre stratégie Archive de manière à augmenter la plage de risque à 1 à 3.

Pour de plus amples informations concernant les stratégies d'automatisation, accédez à À propos des Stratégies d'Automatisation ThreatSync.

Exceptions aux Sites Bloqués

Si vous constatez que ThreatSync bloque des adresses IP critiques telles que l'adresse IP d'un serveur utilisé par votre équipe Marketing, nous vous recommandons de configurer une exception aux Sites Bloqués correspondant à cette adresse IP sur votre Firebox. Lorsque vous ajoutez une exception aux Sites Bloqués pour une adresse IP, le Firebox autorise toujours le trafic provenant et à destination de cette adresse IP, même si elle figure sur la liste des IP bloquées par ThreatSync via une action manuelle ou une stratégie d'automatisation.

Pour de plus amples informations concernant la création d'exceptions aux sites bloqués pour les Fireboxes gérés localement, consultez la section Créer des Exceptions aux Sites Bloqués.

Pour de plus amples informations concernant l'ajout d'exceptions pour les Fireboxes gérés sur le cloud, accédez à section Ajouter des Exceptions dans WatchGuard Cloud.

Règles de Notification Recommandées

Une bonne pratique consiste à surveiller les incidents dans l'interface utilisateur de ThreatSync au fur et à mesure de leur génération. Vous pouvez consulter la page Synthèse des Incidents ThreatSync pour obtenir un instantané de l'activité des incidents, et configurer des règles de notification dans WatchGuard Cloud de manière à générer des alertes et envoyer des notifications par e-mail indiquant les nouveaux incidents, les actions spécifiques effectuées ainsi que les incidents archivés.

Afin de faciliter votre réponse lors de l'apparition de menaces, nous vous recommandons de configurer une règle de notification pour les incidents présentant le risque le plus élevé.

Recommandation de la Règle de Notification

Type de Notification — Nouvel Incident
Plage de Risque — 7-10
Type d'Incident — Sélectionner Tous les Types d'Incident
Type de Périphérique — Sélectionner Tous les Types de Périphérique
Méthode d'Envoi — E-mail
Fréquence — Envoyer Toutes les Alertes

Cette règle de notification génère une alerte qui s'affiche sur la page Alertes dans WatchGuard Cloud et elle envoie un e-mail de notification aux destinataires spécifiés.

Pour de plus amples informations concernant la configuration des règles de notification, accédez à Configurer les Règles de Notification ThreatSync.

Rubriques Connexes

À propos de ThreatSync

Démarrage Rapide — Configurer ThreatSync

Meilleures pratiques de Configuration du Firebox

À propos de la Journalisation et des Notifications Firebox

Meilleures Pratiques en matière de Stratégies de Pare-Feu

Démarrer avec Watchguard Endpoint Security

© 2024 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et dans d'autres pays. Les autres marques sont détenues par leurs propriétaires respectifs.