Configurer les paramètres de protection réseau
Vous pouvez spécifier les détections que vous souhaitez activer et afficher sur l'écran Évènements réseau, ainsi que les informations envoyées à la solution SIEM ou au serveur syslog. Vous pouvez également configurer
CylanceGATEWAY
pour afficher un message aux utilisateurs chaque fois que CylanceGATEWAY
bloque une connexion à une destination potentiellement malveillante. Pour en savoir plus sur les niveaux de risque disponibles, consultez la section Seuil de risque de réputation de destination. Lorsque vous configurez les paramètres de protection réseau, CylanceGATEWAY
peut générer des alertes qui s'affichent dans la vue Alertes. Pour en savoir plus, consultez la section Gestion des alertes agrégées.Assurez-vous que l'option Vérifier les tentatives d'accès par rapport à la protection du réseau est sélectionnée pour chaque règle ACL. Pour plus d'informations sur les règles ACL, consultez Contrôle de l'accès réseau.
- Sur la barre de menus, cliquez surParamètres > Réseau.
- Cliquez sur l'ongletProtection du réseau.
- Effectuez l'une des opérations suivantes :TâcheÉtapesSpécifiez les détections que vous souhaitez activer et indiquez si vous souhaitez avertir les utilisateurs lorsqu'elles sont bloquées en raison de détections.
- Cliquez sur l'ongletProtect.
- Si vous souhaitez afficher un message lorsqueCylanceGATEWAYbloque une connexion, sélectionnezAfficher un message de notification de blocage sur les terminaux.
- Dans le champMessage, saisissez le message que vous voulez afficher aux utilisateurs.
- Pour activer la détection de signature, sélectionnezActiver la détection de signature.Lorsque cette option est activée, des alertes sont générées pour les détections de signature bloquées et s'affichent dans la vue Alertes. Lorsque cette option est désactivée, les alertes ne sont pas générées. Pour en savoir plus, consultez la section Gestion des alertes agrégées.
- Pour activer la réputation de destination, sélectionnezActiver la réputation de destinationet sélectionnez le niveau de risque minimal pour les adresses IP et les FQDN potentiellement malveillants à bloquer.Lorsque cette option est activée, les alertes sont générées et s'affichent dans la vue Alertes en fonction du niveau de risque que vous avez défini. Par exemple, si vous sélectionnez le niveau de risque « Moyen à élevé », les alertes présentant un risque moyen ou élevé s'affichent dans la vue Alertes. Lorsque cette option est désactivée, les alertesCylanceGATEWAYconsidérées comme présentant un risque élevé sont générées et s'affichent par défaut dans la vue Alertes.
Spécifiez et contrôlez les détections à afficher dans l'écran Évènements réseau.Si vous activez la confidentialité du trafic et que les tentatives d'accès au réseau répondent à la règle ACL, les tentatives d'accès au réseau ne s'affichent pas dans l'écran Évènements réseau.- Cliquez sur l'ongletRapport.
- Pour afficher les détections de signature pour les évènements réseau autorisés, activez l'optionAfficher les évènements de détection de signature autorisés. Par défaut, les détections de signature bloquées automatiquement s'affichent dans l'écran Évènements réseau.
- Pour afficher les détections de réputation de destination pour les évènements réseau autorisés, activez l'optionAfficher les évènements de réputation de destination autoriséset sélectionnez le niveau de risque minimal des adresses IP potentiellement malveillantes à afficher. Si cette option est désactivée, les évènements de signature sont capturés comme trafic autorisé normal.
- Pour afficher les détections de tunnellisation DNS, activez l'optionAfficher les détections de tunnellisation DNSet sélectionnez le niveau de risque minimal des menaces en fonction de l'analyse du trafic DNS entre le client et le serveur DNS. Par défaut, le niveau de risque est défini sur Moyen.
- Pour afficher les détections du jour zéro, activez l'optionAfficher les détections du jour zéroet sélectionnez le niveau de risque minimal des destinations malveillantes nouvellement identifiées qui n'ont pas été identifiées précédemment. Par défaut, le niveau de risque est défini sur Moyen.
Spécifiez et contrôlez les détections à envoyer à la solution SIEM ou au serveur syslog, si cette fonction est configurée.Si vous activez la confidentialité du trafic et que les tentatives d'accès au réseau répondent à la règle ACL, les tentatives d'accès au réseau ne sont pas envoyées à la solution SIEM ou au serveur syslog.- Cliquez sur l'ongletPartager.
- Pour envoyer des évènements réseau autorisés ou bloqués qui ont des détections de signature, activez l'optionPartager les évènements de détection de signature. Lorsque cette option est activée, les détections de signature bloquées sont envoyées par défaut à la solution SIEM ou au serveur syslog. Vous pouvez également sélectionner l'optionÉvènements autoriséspour envoyer les évènements autorisés.
- Pour envoyer des évènements réseau qui ont des détections de réputation de destination et qui ont été autorisés en fonction du niveau de risque minimal que vous avez défini ou bloqué, activez l'optionPartager les évènements de réputation de destination. Lorsque cette option est activée, les évènements de réputation de destination bloqués sont envoyés par défaut à la solution SIEM ou au serveur syslog. Vous pouvez également sélectionner l'optionÉvènements autoriséspour envoyer les évènements autorisés.
- Pour envoyer des évènements réseau qui ont des détections de tunnellisation DNS en fonction du niveau de risque minimal que vous avez défini, sélectionnez l'optionPartager les détections de tunnellisation DNS. Par défaut, le niveau de risque est défini sur Moyen.
- Pour envoyer des évènements réseau qui ont des détections du jour zéro en fonction du niveau de risque minimal que vous avez défini, sélectionnez l'optionPartager les détections du jour zéro. Par défaut, le niveau de risque est défini sur Moyen.
- Pour envoyer des évènements réseau bloqués par des règles ACL, activez l'optionPartager les évènements d'ACL bloqués.
- Cliquez surEnregistrer.