Configurer les paramètres de protection réseau

Vous pouvez spécifier les détections que vous souhaitez activer et afficher sur l'écran Évènements réseau, ainsi que les informations envoyées à la solution SIEM ou au serveur syslog. Vous pouvez également configurer Gateway pour afficher un message aux utilisateurs chaque fois que Gateway bloque une connexion à une destination potentiellement malveillante. Pour obtenir des informations sur les niveaux de risque disponibles, consultez la section Seuil de risque de réputation de destination. Lorsque vous configurez les paramètres de protection réseau, Gateway génèrera des alertes qui s'affichent dans la vue Alertes. Pour plus d'informations, reportez-vous à la section Gestion des alertes sur les services Aurora Endpoint Security.

Assurez-vous que l'option Vérifier les tentatives d'accès par rapport à la protection du réseau est sélectionnée pour chaque règle ACL. Pour plus d'informations sur les règles ACL, consultez Contrôle de l'accès réseau.
  1. Sur la barre de menus, cliquez sur Paramètres > Réseau.
  2. Cliquez sur l'onglet Protection du réseau.
  3. Effectuez l'une des opérations suivantes :

    Tâche

    Étapes

    Spécifiez les détections que vous souhaitez activer et indiquez si vous souhaitez avertir les utilisateurs lorsqu'elles sont bloquées en raison de détections.
    1. Cliquez sur l'onglet Protect.
    2. Si vous souhaitez afficher un message lorsque Gateway bloque une connexion, sélectionnez Afficher un message de notification de blocage sur les terminaux.
    3. Dans le champ Message, saisissez le message que vous voulez afficher aux utilisateurs.
    4. Pour activer la détection de signature, sélectionnez Activer la détection de signature.

      Lorsque cette option est activée, des alertes sont générées pour les détections de signature bloquées et s'affichent dans la vue Alertes. Lorsque cette option est désactivée, les alertes ne sont pas générées. Pour plus d'informations, reportez-vous à la section Gestion des alertes sur les services Cylance Endpoint Security.

    5. Pour activer la réputation de destination, sélectionnez Activer la réputation de destination et sélectionnez le niveau de risque minimal pour les adresses IP et les FQDN potentiellement malveillants à bloquer.

      Lorsque cette option est activée, les alertes sont générées et s'affichent dans la vue Alertes en fonction du niveau de risque que vous avez défini. Par exemple, si vous sélectionnez le niveau de risque « Moyen à élevé », les alertes présentant un risque moyen ou élevé s'affichent dans la vue Alertes. Lorsque cette option est désactivée, les alertes Gateway considérées comme présentant un risque élevé sont générées et s'affichent par défaut dans la vue Alertes.

    Spécifiez et contrôlez les détections à afficher dans l'écran Évènements réseau.

    Remarque : Si vous activez la confidentialité du trafic et que les tentatives d'accès au réseau répondent à la règle ACL, les tentatives d'accès au réseau ne s'affichent pas dans l'écran Évènements réseau.
    1. Cliquez sur l'onglet Rapport.
    2. Pour afficher les détections de signature pour les évènements réseau autorisés, activez l'option Afficher les évènements de détection de signature autorisés. Par défaut, les détections de signature bloquées automatiquement s'affichent dans l'écran Évènements réseau. 
    3. Pour afficher les détections de réputation de destination pour les évènements réseau autorisés, activez l'option Afficher les évènements de réputation de destination autorisés et sélectionnez le niveau de risque minimal des adresses IP potentiellement malveillantes à afficher. Si cette option est désactivée, les évènements de signature sont capturés comme trafic autorisé normal.
    4. Pour afficher les détections de tunnellisation DNS, activez l'option Afficher les détections de tunnellisation DNS et sélectionnez le niveau de risque minimal des menaces en fonction de l'analyse du trafic DNS entre le client et le serveur DNS. Par défaut, le niveau de risque est défini sur Moyen.
    5. Pour afficher les détections du jour zéro, activez l'option Afficher les détections du jour zéro et sélectionnez le niveau de risque minimal des destinations malveillantes nouvellement identifiées qui n'ont pas été identifiées précédemment. Par défaut, le niveau de risque est défini sur Moyen.

    Spécifiez et contrôlez les détections à afficher dans la vue Alertes et à envoyer à la solution SIEM ou au serveur syslog, si cette fonction est configurée.

    Remarque : Si vous activez la confidentialité du trafic et que les tentatives d'accès au réseau répondent à la règle ACL, les tentatives d'accès au réseau ne sont pas envoyées à la solution SIEM ou au serveur syslog.
    1. Cliquez sur l'onglet Partager.
    2. Pour envoyer des évènements réseau autorisés ou bloqués et des alertes qui ont des détections de signature, activez l'option Partager les évènements de détection de signature. Lorsque cette option est activée, par défaut les détections de signature bloquées sont affichées dans la vue Alertes et envoyées à la solution SIEM ou au serveur syslog. Vous pouvez également sélectionner l'option Évènements autorisés pour envoyer les évènements autorisés.
    3. Pour envoyer des évènements réseau et des alertes qui ont des détections de réputation de destination et qui ont été autorisés en fonction du niveau de risque minimal que vous avez défini ou bloqué, activez l'option Partager les évènements de réputation de destination. Lorsque cette option est activée, par défaut les évènements de réputation de destination bloqués sont affichés dans la vue Alertes et envoyés à la solution SIEM ou au serveur syslog. Vous pouvez également sélectionner l'option Évènements autorisés pour envoyer les évènements autorisés.
    4. Pour envoyer des évènements réseau et des alertes qui ont des détections de tunnellisation DNS en fonction du niveau de risque minimal que vous avez défini, sélectionnez l'option Partager les détections de tunnellisation DNS. Par défaut, le niveau de risque est défini sur Moyen.
    5. Pour envoyer des évènements réseau et des alertes qui ont des détections du jour zéro en fonction du niveau de risque minimal que vous avez défini, sélectionnez l'option Partager les détections du jour zéro. Par défaut, le niveau de risque est défini sur Moyen.
    6. Pour envoyer des évènements réseau bloqués par des règles ACL, activez l'option Partager les évènements d'ACL bloqués. Les évènements ACL bloqués et autorisés ne s'affichent pas dans la vue Alertes.
  4. Cliquez sur Enregistrer.