Editions ENI Livres | Vidéos | e-Formations
XDR (ThreatSync 2.0)
Introduction
Pourquoi ?
Ce chapitre se concentre sur la technologie Extended Detection and Response (XDR) proposée par WatchGuard. Gartner utilise la définition suivante : XDR est un terme de cybersécurité utilisé pour décrire une plateforme de sécurité unifiée qui combine plusieurs outils et technologies de sécurité pour offrir une détection exhaustive des menaces, des enquêtes et une réponse à travers différents environnements numériques.
Cette solution permet de détecter les menaces en croisant les informations provenant de différents dispositifs. La technologie WatchGuard est pour le moment seulement « native XDR » car elle couvre uniquement les produits et services du fabricant.
Cependant, il est évident que cela va évoluer dans les années à venir. WatchGuard vient tout juste d’acheter CyGlass afin de proposer à ses clients du Network Detection and Response (NDR) ainsi que de l’open Extended Detection and Response (open XDR).
Gartner parle du NDR de la façon suivante :
Network detection and response (NDR) products detect abnormal system behaviors by applying behavioral analytics to network traffic data. They continuously analyze raw network packets or traffic metadata between internal networks (east-west) and public networks (north-south). NDR can be delivered...
Déploiement ThreatSync (XDR)
Avant de commencer avec ThreatSync, vous devez avoir déjà réalisé les étapes suivantes :
-
Étape 1 : sur l’UTM, activer APT Blocker, GAV, WebBlocker, IPS + DPI SSL/TLS.
-
Étape 2 : sur l’UTM, activer les logs pour toutes les stratégies et tous les services.
-
Étape 3 : sur les EDR/EPDR, activer Lock Mode, Anti-Exploit et l’antivirus + IOA.
Maintenant, vous pouvez activer ThreatSync sur WatchGuard Cloud (WGC) :
Activez la solution XDR à partir de l’onglet Administration - Compte - Fonctionnalités Beta et cochez ThreatSync. Puis, dans l’onglet Configurer - ThreatSync, cochez Enable ThreatSync.
ThreatSync est maintenant activé. Par défaut, les appareils sont configurés pour communiquer avec ThreatSync. Cependant, vous pouvez vérifier et/ou configurer les appareils manuellement.
Pour cela, rendez-vous dans l’onglet Configurer - ThreatSync - Paramètres du périphérique.
Stratégies d’automatisation
Dans l’onglet Configurer - ThreatSync, choisissez Automation Policies.
Cliquez sur Ajouter une stratégie d’automatisation pour ajouter une stratégie.
Il y a deux types de stratégies :
-
Remédiation : permet de répondre automatiquement à la menace.
-
Archivage : permet l’archivage d’alerte de menace.
La stratégie s’enclenche sur les critères d’incident suivants :
-
Risk Range : du niveau 1 (faible) jusqu’au niveau 10 (critique).
-
Incident Type : Advanced Security Policy, Exploit, Intrusion, IOA, Malicious URL/IP, Malware, PUP, Virus.
-
Device Type : Firebox, Endpoint et demain Wi-Fi, MFA, etc.).
Vous pouvez choisir des actions à réaliser :
-
Block Threat Origin IP (only external IP)
-
Delete File
-
Isolate Device
-
Kill Malicious Process
Critère d’incident IOA
La stratégie Remédiation du XDR apporte une couche d’automatisation supplémentaire à l’EPDR avec le critère d’incident IOA. Ainsi, là où actuellement l’EPDR ne traite que manuellement les IOA (excepté pour les attaques RDP où il propose du blocage), le XDR peut automatiser la réponse et proposer de killer le processus, par exemple.
Exceptions aux sites bloqués
Si une adresse IP est bloquée de manière récurrente...
Supervision
Dans l’onglet Surveiller - Threats (menaces), vous pouvez consulter la corrélation d’incidents entre l’UTM et les endpoints. Dans l’exemple ci-dessous, des simulateurs de menaces ont été exécutés afin de tester XDR :
En plus de stratégies de remédiation automatique, il est possible d’appliquer des actions manuelles sur les menaces. Pour cela, il faut faire un clic droit sur l’incident et choisir l’action appropriée.
