Configuration de la Politique IPS

Vue d'ensemble

Vous pouvez activer ou désactiver la protection contre les menaces provenant du trafic malveillant entrant, sortant à l'organisation et à travers son WAN. Vous pouvez également configurer le service pour bloquer le trafic ou surveiller sans blocage.

Le service IPS de Cato est composé de plusieurs couches de sécurité, y compris :

  • Analyse de Réputation : Protège contre la communication entrante/sortante avec des ressources compromises ou malveillantes.

  • Vulnérabilités connues : Protège contre les CVE connus, s'adaptant rapidement pour intégrer de nouveaux.

  • Anti-Bot : Protège contre le trafic sortant vers les serveurs C&C basé sur des flux de réputation, et l'analyse comportementale du réseau.

  • Analyse comportementale du réseau : Protège contre les scans de réseau entrants/sortants.

  • Validation du protocole : Protéger contre les paquets invalides (conformité au protocole), réduisant la surface d'attaque des exploits utilisant un trafic anormal.

  • Restriction géographique : Imposer une politique de restriction géographique personnalisée pour bloquer le trafic entrant, sortant ou tout le trafic vers des pays spécifiques.

  • Attaques de tunnel : Identifie et bloque les tentatives de dissimuler le trafic malveillant dans des protocoles légitimes (par exemple, HTTP, HTTPS, DNS) pour échapper aux contrôles de sécurité.

Remarque

Remarque : Nous vous recommandons d'activer l'inspection TLS afin que le service IPS fournisse une protection maximale à votre réseau.

La politique IPS est uniquement disponible avec une licence de protection contre les menaces. Pour plus d'informations, contactez votre représentant commercial.

Modules d'apprentissage automatique dans l'IPS de Cato

En plus des flux de menaces statiques, l'IPS Cato utilise des modules d'apprentissage automatique pour offrir une protection en temps réel contre certains types d'attaques. Le moteur IPS utilise des centaines de flux de menaces statiques qui prennent des modèles de vulnérabilité connus et les transforment en signatures qui sont ensuite intégrées dans le moteur. D'autre part, le module heuristique d'apprentissage automatique utilise un mélange de renseignements connus et inconnus pour déterminer si quelque chose est une menace et ne repose pas sur les flux statiques. Ces modèles d'apprentissage automatique identifient potentiellement des domaines inconnus malveillants générés par des techniques de DGA et de cybersquatting en temps réel.

Pourquoi utiliser des algorithmes d'apprentissage automatique ?

Le bénéfice d'utiliser le modèle d'apprentissage automatique pour la prévention des menaces est que DGA et le cybersquatting ne peuvent pas être arrêtés avec juste des listes noires statiques; les tactiques changent à intervalles aléatoires et de nouvelles méthodes de DGA et de cybersquatting sont utilisées chaque jour. Les algorithmes d'apprentissage automatique nous permettent de détecter des domaines potentiellement malveillants en temps réel. DGA détecte les domaines qui sont probablement générés par un algorithme (qui ne ressemblent pas à des mots du dictionnaire régulier). DGA est utilisé pour les communications de commande et de contrôle (C&C), et le cybersquatting peut être utilisé pour des attaques de phishing.

Une partie de l'algorithme d'apprentissage automatique de Cato est une liste de marques connues que nous surveillons pour la partie cybersquatting du moteur, mais les clients peuvent également avoir leur propre liste de domaines ajoutés pour la surveillance. Les modèles d'apprentissage automatique de DGA fonctionneront sur la protection DNS et le moteur IPS, mais le moteur de cybersquatting ne fonctionnera que sur l'IPS.

Lorsqu'un événement se produit, un ID de signature indiquera quel modèle a identifié la menace, mais ne sera pas identifiable à partir d'autres champs de l'événement.

Comprendre les catégories de menaces IPS

La section Catégories IPS fournit des explications sur les types de menaces identifiés par le moteur IPS. La section montre toutes les catégories de menaces IPS définies par Cato et le nombre d'événements déclenchés pour chaque type de menace au cours des sept derniers jours.

Vous pouvez cliquer sur un numéro pour ouvrir l'écran Événements préfiltré pour le type de menace.

Gestion des paramètres IPS

Cette section explique comment configurer la politique IPS pour protéger les réseaux de votre compte.

Politique_IPS.png

Activer et désactiver la protection IPS

Pour activer ou désactiver l'IPS pour votre compte :

  1. Depuis le menu de navigation, cliquez sur Sécurité > IPS.

  2. Cliquez sur le curseur pour activer (vert) ou désactiver (gris) la politique IPS pour le compte.

  3. Cliquez sur Sauvegarder.

Définir les paramètres IPS

Pour le trafic WAN, entrant et sortant, vous pouvez définir les actions déclenchées par la détection de menace et définir leurs alertes. Voici les actions disponibles :

  • Bloquer - Bloque le trafic malveillant pour qu'il n'atteigne pas sa destination. Le cas échéant, l'utilisateur est redirigé vers une page web de blocage dédiée.

  • Surveiller - Génère des événements (affichés dans Accueil > Événements) pour le trafic malveillant. Le trafic continue alors vers la destination.

Configuration des options de protection de fichiers

Pour configurer les actions de protection de fichiers pour la politique IPS :

  1. Dans le menu de navigation, cliquez sur Sécurité > IPS.

  2. Cliquez sur l'onglet Politique de Protection, et définissez les paramètres pour chaque Portée de Protection :

    1. Dans la colonne de portée de protection, cliquez sur le type de trafic. Le panneau Modifier s'ouvre.

    2. Dans la section Général, activez ou désactivez la Portée de Protection (vert c'est activé, gris c'est désactivé).

    3. Dans la section Action, définissez l'action pour le trafic qui correspond à une protection IPS.

    4. Dans la section Suivi, définissez les options de notification.

      Pour plus d'informations sur les notifications, voir l'article pertinent pour les Groupes d'Abonnement, Listes de Diffusion, et Intégrations d'Alerte dans la section Alertes.

    5. Cliquez sur Appliquer.

      Les paramètres pour la portée de protection sont ajoutés à la Politique IPS.

  3. Cliquez sur Sauvegarder. La Politique IPS est sauvegardée.

Configuration des options d'application IPS

Les Options d'application pour la politique IPS vous permettent d'ajouter un niveau supplémentaire de protection contre les menaces pour le trafic entrant et sortant.

Blocage des domaines nouvellement enregistrés

Pour le trafic sortant, vous pouvez configurer l'IPS pour bloquer automatiquement les domaines qui ont moins de 14 jours. Les logiciels malveillants utilisent souvent des domaines nouvellement enregistrés pour échapper à la protection contre les menaces. La majorité des domaines nouvellement enregistrés sont malveillants ou suspects.

Pour bloquer les domaines nouvellement enregistrés :

  1. Dans le menu de navigation, cliquez sur Sécurité > IPS.

  2. Depuis l'onglet Options d'Application, cliquez sur Trafic Sortant - Bloquer les domaines nouvellement enregistrés.

  3. Cliquez sur Sauvegarder.

Mise en quarantaine des adresses IP suspectes

La fonction de quarantaine des IP suspectes permet à l'IPS de bloquer temporairement les adresses IP entrantes suspectes qui scannent agressivement votre réseau. Cette fonctionnalité bloque le trafic de ces adresses IP suspectes pendant cinq minutes.

Pour mettre en quarantaine le trafic des adresses IP suspectes :

  1. Dans le menu de navigation, cliquez sur Sécurité > IPS.

  2. Depuis l'onglet Options d'application, cliquez sur Trafic Entrant - Quarantaine des IP suspectes.

  3. Cliquez sur Sauvegarder.

Définition des règles de restriction géographique

Vous pouvez définir des règles de restriction géographique IPS pour bloquer le trafic vers (sortant) ou depuis (entrant) des pays spécifiques, ou tout le trafic vers les pays définis dans la règle.

Remarque

Remarque : Si vous configurez une règle de restriction géographique pour le trafic entrant, cela s'applique également aux ressources RPF. Cependant, les règles de restriction géographique IPS ne s'appliquent pas au trafic des Clients SDP Cato. Pour bloquer les connexions Client de régions spécifiques, vous pouvez configurer des règles dans la Politique de Connectivité Client.

Pour définir une règle de restriction géographique :

  1. Dans le menu de navigation, cliquez sur Sécurité > IPS.

  2. Depuis l'onglet Restriction Géographique, cliquez sur Nouveau. Le panneau Ajouter s'ouvre.

  3. Dans la section Général, configurez les paramètres suivants :

    1. Entrez un Nom pour la règle.

    2. Assurez-vous que la règle est activée (vert signifie activé, gris signifie désactivé).

    3. Sélectionnez la direction du trafic pour cette règle : Sortant, Entrant ou Les Deux Directions.

  4. Dans la section Pays, définissez les pays pour cette règle de restriction géographique.

    1. Recherchez le pays, puis sélectionnez-le.

    2. Répétez l'étape précédente pour chaque pays que vous ajoutez à cette règle.

  5. Dans la section Actions, définissez les paramètres d'action et de suivi pour cette règle :

    1. Définissez l'action pour la règle : Bloquer, Surveiller ou Permettre (les actions Surveiller et Permettre génèrent des événements sans bloquer le trafic).

    2. Cliquez sur Événement, pour générer des événements pour le trafic correspondant à une protection IPS.

    3. Cliquez sur Envoyer Notification, et définissez la Fréquence d'envoi des notifications.

      Sélectionnez la Liste de Diffusion des administrateurs qui reçoivent les notifications.

  6. Cliquez sur Appliquer. La règle est ajoutée.

  7. Cliquez sur Sauvegarder.

Désactivation des règles de restriction géographique

Vous pouvez désactiver temporairement les règles de restriction géographique et ensuite les réactiver à l'avenir.

Pour désactiver une règle de restriction géographique :

  1. Dans le menu de navigation, cliquez sur Sécurité > IPS.

  2. Dans l'onglet Restriction Géographique, cliquez sur l'icône plus à l'extrémité droite de la règle et sélectionnez Désactiver.

  3. Cliquez sur Sauvegarder. La règle est désactivée.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 5 sur 6

0 commentaire