Créer une stratégie de détection comportementale
Lorsque vous créez une stratégie de détection comportementale, chaque technique MITRE de la stratégie possède une configuration par défaut conçue pour collecter des données utiles et générer des observations et des alertes pertinentes. Vous pouvez personnaliser et ajuster la configuration de la stratégie en fonction de la posture et des besoins de votre organisation en matière de sécurité.
- Dans la barre de menus de la console de gestion, cliquez sur Focus > Moteur de détection comportementale.
- Cliquez sur Ajouter une configuration de détection.
- Saisissez le nom et la description de la stratégie.
- Dans la liste déroulante Sévérité minimale pour une alerte, sélectionnez le niveau de détection pour lequel l'agent Aurora Focus générera des alertes. Pour toute détection dont la sévérité est inférieure au niveau sélectionné, l'agent peut collecter et analyser les données, mais ne génère pas d'alertes dans la console.
Par exemple, si vous sélectionnez un niveau Moyen ou supérieur, l'agent génère des alertes pour les détections avec un niveau de sévérité moyen ou élevé. Les détections avec un niveau de sévérité Info ou Faible ne génèrent pas d'alertes.
- Dans le champ Message de notification de détection, indiquez le message que l'agent doit afficher pour l'utilisateur du terminal lorsqu'une détection atteint le niveau de sévérité sélectionné.
- Cliquez sur Ajouter.
- Effectuez l'une des opérations suivantes :
- Si vous souhaitez associer la stratégie de détection comportementale à une stratégie de terminal ultérieurement après avoir configuré la stratégie, cliquez sur Pas maintenant.
- Si vous souhaitez associer la stratégie de détection comportementale à une stratégie de terminal maintenant, cliquez sur Oui. Cliquez sur Attribuer une stratégie de terminal, sélectionnez une ou plusieurs stratégies de terminal et un mode de fonctionnement, puis cliquez sur Attribuer.
- Dans l'onglet Stratégies de détection comportementale, cliquez sur la stratégie que vous avez créée.
La vue est organisée par catégories de tactiques MITRE (par exemple, Accès initial, Exécution, Persistance, etc.). Sous chaque catégorie de tactique MITRE se trouvent des cartes représentant les techniques MITRE. Chaque carte fournit les informations suivantes en un coup d'œil :
- Les icônes indiquent si les alertes, observations et notifications sont activées pour la technique.
- Une section Règles à code couleur indique le nombre de règles incluses dans la technique pour chaque niveau de sévérité. Le nombre rouge représente les règles à sévérité élevée, le nombre orange représente le niveau moyen, le nombre jaune le niveau faible et le nombre bleu le niveau Info.
- Le nombre en regard de l'icône en forme de foudre indique le nombre de réponses automatisées configurées pour cette technique, et une étiquette à code couleur (élevée, moyenne, faible, info) indique le niveau de sévérité minimum devant être atteint pour que ces réponses soient exécutées.
Lorsque vous cliquez sur la carte d'une technique MITRE, un menu contextuel fournit des détails sur la technique et ses règles de détection, une liste des sous-techniques MITRE associées, des liens vers les ressources MITRE pour plus d'informations et les paramètres de configuration de la technique.
- Dans l'onglet Détection et réponse, effectuez l'une des opérations suivantes :
Tâche
Étapes
Recherche d'une technique MITRE
Dans le champ de recherche, saisissez le nom d'une technique ou sous-technique MITRE. Les techniques qui correspondent au terme recherché s'affichent.
Filtrer la liste des techniques MITRE
Dans le volet de gauche, sélectionnez les critères de filtre souhaités. Les techniques qui correspondent aux critères de filtre s'affichent.
Réviser ou modifier la configuration d'une technique MITRE
Par défaut, pour toutes les techniques MITRE, les alertes et les observations sont activées et les réponses automatisées ne sont pas configurées. Surveillez et affinez la configuration de la stratégie de détection comportementale avant de configurer les réponses automatisées.
- Cliquez sur la carte d'une technique MITRE.
- Configurez l'une des options suivantes :
- Activer les alertes de détection : Activez cette option si vous souhaitez que Aurora Focus collecte des données de télémétrie et génère des alertes dans la console de gestion pour les détections qui répondent au niveau de sévérité minimal de la stratégie.
- Activer les observations : Activez cette option si vous souhaitez que Aurora Focus collecte, interprète et analyse les données de télémétrie pour toutes les détections, que les détections atteignent ou non le niveau de sévérité minimal de la stratégie et quelle que soit la configuration de l'alerte.
Si vous activez Activer les alertes de détection et que vous désactivez Activer les observations, Aurora Focus collecte et analyse les données de télémétrie et génère des alertes uniquement pour les détections qui atteignent la sévérité minimale de la stratégie. Si vous désactivez Activer les alertes de détection et que vous activez Activer les observations, Aurora Focus collecte et analyse les données de télémétrie pour toutes les détections, mais ne génère aucune alerte.
- Réponse automatisée : Sélectionnez le niveau de sévérité minimal qui doit être atteint pour que les détections déclenchent une réponse automatisée par l'agent. Cliquez sur Ajouter > Mesure corrective pour sélectionner une ou plusieurs réponses automatisées que l'agent doit exécuter.
Chaque type de réponse automatisée ne s'applique qu'à certains types de détection. Pour plus d'informations, reportez-vous à Réponses automatisées par type de détection.
- Si vous souhaitez attribuer la stratégie de détection comportementale à une stratégie de terminal à ce stade, procédez comme suit. Lorsque vous attribuez la stratégie de détection comportementale à une stratégie de terminal, si la source du moteur de détection de la stratégie de terminal était précédemment définie sur Jeu de règles de détection ou sur Aucun, elle sera automatiquement remplacée par Stratégie BDE. Les terminaux passeront par le moteur de détection comportementale lorsqu'ils recevront la stratégie de terminal mise à jour.
- Dans l'onglet Stratégies de terminal attribuées, cliquez sur Attribuer la stratégie de terminal.
- Dans la liste déroulante Stratégie de terminal, cliquez sur une ou plusieurs stratégies de terminal auxquelles vous souhaitez attribuer le jeu de règles de détection comportementale.
- Si vous ne souhaitez pas que l'agent exécute des réponses automatisées, sélectionnez Alerte uniquement.
- Si vous souhaitez que l'agent exécute des réponses automatisées, cliquez sur Application complète.
- Cliquez sur Attribuer.
- Cliquez sur Enregistrer.