Passer la navigation

Configurer la protection réseau

Vous pouvez configurer la manière dont
CylanceGATEWAY
détecte les menaces et réagit à celles-ci de différentes manières. Lorsque vous configurez vos règles de liste de contrôle d‘accès (ACL) pour autoriser l‘accès aux destinations,
CylanceGATEWAY
peut toujours empêcher l‘utilisateur d‘accéder à la destination si une menace potentielle est identifiée. Vous pouvez également contrôler les informations pouvant s‘afficher sur l‘écran Évènements réseau ou la vue Alertes et celles envoyées à la solution SIEM ou au serveur syslog, si cette fonction est configurée. Pour activer la protection réseau supplémentaire, assurez-vous que le paramètre Vérifier les adresses par rapport à la protection réseau est également sélectionné pour chaque règle ACL. Ce paramètre est activé par défaut.
  • Détection de signature : vous pouvez utiliser la détection de signature pour activer la détection approfondie des menaces réseau à l‘aide des signatures de la connexion réseau. Lorsque la détection de signature est activée,
    CylanceGATEWAY
    bloque automatiquement les connexions qui présentent des menaces si la règle ACL correspond à la destination et vérifie la protection du réseau. Lorsque la détection de signature est désactivée, les menaces sont consignées, mais la connexion n‘est pas bloquée. Pour en savoir plus sur une liste de détections et leurs actions, consultez la section Affichage de l‘activité réseau. La détection de signature est activée par défaut.
  • Protection des destinations : vous pouvez utiliser la réputation de destination pour bloquer les adresses IP et les noms de domaine complets potentiellement malveillants qui correspondent au niveau de risque que vous spécifiez (faible, moyen ou élevé). Lorsque cette option est activée, le niveau de risque par défaut est élevé.
    CylanceGATEWAY
    consigne et bloque automatiquement les connexions aux destinations qui correspondent au niveau de risque défini lorsque la destination correspond à la règle ACL et vérifie la protection du réseau. Lorsque la protection de destination est désactivée, les menaces sont consignées, mais la connexion n‘est pas bloquée. Pour en savoir plus sur une liste de détections et leurs actions, consultez la section Affichage de l‘activité réseau. L‘option de réputation de destination est activée par défaut.
    Les niveaux de risque utilisent une combinaison de modèles d‘apprentissage automatique (ML) et de base de données statique de réputation d‘IP pour déterminer si une destination peut contenir des menaces potentielles.
    • Modèles ML : les modèles ML attribuent un niveau de confiance aux destinations auxquelles vos utilisateurs peuvent accéder. Les modèles ML apprennent en permanence si une destination peut contenir des menaces potentielles.
    • Bases de données de réputation IP : la base de données de réputation IP fournit un niveau de confiance aux adresses IP à partir de flux de réputation IP ouverts et commerciaux.
      CylanceGATEWAY
      fait référence aux flux de réputation pour déterminer le niveau de risque d‘une adresse IP.
      CylanceGATEWAY
      prend en compte le nombre de fournisseurs qui ont reconnu une destination spécifique et la fiabilité des sources avant d‘attribuer un niveau de risque (par exemple, si la majorité des sources et des moteurs de réputation IP identifient une destination pour contenir des menaces potentielles,
      CylanceGATEWAY
      attribue à la destination un niveau de risque élevé. Pour en savoir plus sur les niveaux de risque, consultez la section Seuil de risque de réputation de destination.
    CylanceGATEWAY
    applique automatiquement la catégorie Risque dynamique et une sous-catégorie aux détections de réputation IP qui ont été identifiées comme pouvant contenir des menaces malveillantes à l‘aide d‘une combinaison de modèles d‘apprentissage automatique (ML) et de base de données de réputation d‘IP. Les bases de données sont en permanence modifiées pour ajouter ou supprimer des entrées de destination. Vous pouvez afficher des métadonnées et des détails supplémentaires pour des évènements réseau catégorisés comme Risque dynamique sur l‘écran Évènements réseau. La catégorie Risque dynamique comprend les sous-catégories suivantes :
    • Balise
    • Commande et contrôle
    • Tunnel DNS
    • Logiciels malveillants
    • Hameçonnage
    • Potentiellement dangereux
    • Site Web suspect
    • Algorithme de génération de domaine (DGA)