Vous pouvez créer et gérer vos règles de détection dans le sous-onglet Règles de détection de SecurityCoach. Les règles de détection identifient les activités risquées que vous souhaitez suivre à l’aide des données fournies par vos fournisseurs intégrés. Par exemple, vous souhaitez peut-être détecter lorsque vos utilisateurs visitent des sites Web risqués ou interdits, lorsqu’ils téléchargent des pièces jointes malveillantes ou lorsqu’ils cliquent sur des liens d’hameçonnage.

Nous fournissons des règles de détection système qui correspondent aux stratégies par défaut des fournisseurs intégrés. Ces règles sont activées par défaut et ne nécessitent aucune configuration supplémentaire. Pour connaître les règles de détection système disponibles, consultez notre article Règles de détection système par fournisseur. Vous pouvez également créer des règles de détection personnalisées pour correspondre aux stratégies personnalisées que vous avez configurées sur les plateformes de vos fournisseurs.

Si un utilisateur déclenche une règle de détection, un événement s’affichera sur le calendrier de l’utilisateur. Vous pouvez également utiliser les règles de détection pour créer des campagnes de coaching en temps réel.

Pour des informations générales au sujet de SecurityCoach, consultez le Manuel du produit SecurityCoach.

Préparation pour les règles de détection

Avant de commencer à travailler avec les règles de détection, nous vous recommandons de suivre les étapes ci-dessous :

1. Intégrez vos fournisseurs tiers avec SecurityCoach. Pour plus d’informations, consultez notre section Configuration des intégrations.
2. Ajoutez une méthode de distribution pour vos SecurityTips. Pour obtenir plus d’informations, consultez nos guides d’intégration de fournisseurs ci-dessous :
   • Guide d’intégration de Microsoft Teams pour SecurityCoach
   • Guide d’intégration de Slack Teams pour SecurityCoach
   • Guide d’intégration de Google Chat pour SecurityCoach

Création d’une règle de détection personnalisée

Pour utiliser les règles de détection personnalisées dans SecurityCoach, configurez d’abord une stratégie personnalisée correspondante sur la plateforme du fournisseur de sécurité. Pour assurer leur bon fonctionnement, les règles de détection personnalisées doivent correspondre aux politiques personnalisées du fournisseur de sécurité.

Pour créer une règle de détection personnalisée, suivez les instructions ci-dessous :

1. Connectez-vous à votre console de Formation sur la sensibilisation à la sécurité KnowBe4 (KSAT) et accédez à l’onglet SecurityCoach > Règles de détection.
2. Cliquez sur le bouton + Créer une nouvelle règle de détection situé dans le coin supérieur droit de la page.
3. Remplissez les champs de la page Créer une nouvelle règle de détection. Pour plus d’informations sur ces champs, consultez la capture d’écran et la liste ci-dessous :
   
   1. Nom : Entrez un nom pour votre règle de détection.
   2. Activer la règle de détection : Cochez cette case pour activer la règle dès sa création. Les règles de détection doivent être activées pour pouvoir ajouter des événements au calendrier des utilisateurs et pour être utilisées dans des campagnes de coaching en temps réel.

   3. Fournisseur : Entrez un fournisseur pour votre règle de détection.

      Remarque :Vous devez préalablement intégrer les fournisseurs avec SecurityCoach pour qu’ils s’affichent dans ce menu déroulant. Le fournisseur KSAT y apparaît par défaut. Pour plus d’informations au sujet de l’intégration des fournisseurs, consultez notre section Configuration des intégrations.
   4. Catégorie : Entrez une catégorie pour votre règle de détection.
   5. Niveau de risque : Sélectionnez un niveau de risque pour votre règle de détection.
   6. Description : Entrez une description de votre règle de détection. Par exemple, vous pourriez décrire l’objectif de la règle ou inscrire des informations au sujet de cette règle que les autres administrateurs pourraient avoir besoin de connaître.
   7. Nouveau critère : Utilisez les trois menus déroulants pour créer un critère pour votre règle de détection. Puis, cliquez sur Ajouter le critère pour ajouter le critère à votre règle de détection. Vous pouvez répéter ce processus autant de fois que vous le souhaitez pour ajouter des critères supplémentaires à votre règle de détection. Pour plus d’informations sur les opérateurs que vous pouvez utiliser avec le critère, consultez la section Opérateurs de la règle de détection ci-dessous.
   8. Déclencher cette règle chaque fois qu’un utilisateur a un événement déclencheur : Sélectionnez cette option pour déclencher cette règle chaque fois qu’un événement correspond aux critères définis.

   9. Déclencher cette règle quand l’utilisateur cumule un nombre minimum d’événements déclencheurs pendant la durée définie (jours) : Sélectionnez cette option pour déclencher cette règle de détection seulement lorsque les critères ont été remplis un certain nombre de fois pendant un nombre défini de jours. Par exemple, vous pouvez utiliser ce paramètre pour déclencher la règle de détection pour tout utilisateur qui cumule trois événements déclencheurs au cours d’une période de 30 jours.

      Pour plus d’informations au sujet des champs Nombre minimum et Durée (jours), consultez ce qui suit :

      • Nombre minimum : Entrez le nombre minimum d’événements déclencheurs qu’un utilisateur doit cumuler pour déclencher cette règle.
      • Durée (jours) : Entrez le nombre de jours pendant lesquels un utilisateur doit atteindre le nombre minimum afin de déclencher cette règle.
   10. Créer la règle : Confirmez vos paramètres et créez la nouvelle règle de détection.
   11. Annuler : Annulez la création de la règle de détection et retournez à la page précédente.
4. Cliquez sur Créer une règle.

Opérateurs de la règle de détection

Vous pouvez utiliser les opérateurs suivant lors de la création d’un critère pour une règle de détection.

Gestion et modification des règles de détection

Pour gérer et modifier les règles de détection, accédez au sous-onglet SecurityCoach > Règles de détection.

Pour en apprendre davantage sur les options du sous-onglet Règles de détection, reportez-vous à la capture d’écran et à la liste ci-dessous :

1. Statut : Cliquez sur ce menu déroulant pour filtrer les règles de détection par statut. Vous pouvez sélectionner Toutes, Actives, Inactives ou En maintenance.
2. Type : Cliquez sur ce menu déroulant pour filtrer les règles de détection par type. Vous pouvez sélectionner Toutes, Personnalisées ou Système.
3. Fournisseurs : Cliquez sur ce menu déroulant pour filtrer les règles de détection par fournisseur.
4. Catégorie : Cliquez sur ce menu déroulant pour filtrer les règles de détection par catégorie.
5. Rechercher : Entrez des mots clés dans ce champ pour rechercher une règle de détection en particulier.
6. Tableau : Ce tableau répertorie vos règles de détection. Pour chaque règle de détection, vous pouvez voir son Nom, sa Description, son Type, son Fournisseur, sa Catégorie, sa Date de modification ainsi que les Actions disponibles.
7. Commutateur : Utilisez ce commutateur pour activer et désactiver une règle de détection. Si le commutateur est éteint, la règle de détection est désactivée. Si le commutateur est allumé, la règle de détection est activée.
8. Icône de l’œil : Cliquez sur cette icône pour afficher la règle de détection système. Lorsque vous cliquez sur cette icône, vous êtes redirigé vers la page Afficher la règle de détection où vous pouvez voir les détails de la règle de détection système.
9. Icône Plus : Cliquez sur cette icône pour créer une campagne de coaching en temps réel pour la règle de détection. Lorsque vous cliquez sur cette icône, vous êtes redirigé vers la page Créer une nouvelle campagne de coaching en temps réel. Pour plus d’informations au sujet des campagnes de coaching en temps réel, consultez notre Guide des campagnes de coaching en temps réel.
10. Icône des trois points : Cliquez sur cette icône pour ouvrir un menu déroulant contenant les options suivantes :
    

    • Modifier : Cliquez sur cette icône pour ouvrir la page Modifier la règle de détection. Sur cette page, vous pouvez modifier une règle de détection personnalisée selon vos besoins. Les options grisées ne peuvent pas être modifiées. Puis, cliquez sur le bouton Enregistrer situé dans le coin inférieur gauche de la page pour enregistrer vos modifications.

      Remarque :Si la règle de détection a été clonée à partir d’une règle de détection système, vous pouvez également cliquer sur le bouton Réinitialiser les paramètres par défaut pour que la règle reprenne ses paramètres par défaut.
    • Cloner : Cliquez sur cette icône pour cloner une règle de détection système. Lorsque vous cliquez sur cette icône, vous êtes redirigé vers la page Cloner la règle de détection. Sur cette page, vous pourrez modifier la règle et l’enregistrer en tant que règle personnalisée.
    • Supprimer : Cliquez sur cette icône pour supprimer une règle de détection personnalisée.
11. + Créer une règle de détection : Cliquez sur ce bouton pour créer une nouvelle règle de détection.

Exemple de règle de détection

Consultez la capture d’écran ci-dessous pour voir un exemple de règle de détection.

Dans cet exemple, les critères suivants ont été ajoutés à la règle de détection :

• Catégorie de menace a la valeur Transfert en lot par l’utilisateur.
• Catégorie de menace a la valeur Activité de transfert de courriel suspecte.

Cette règle de détection est déclenchée lorsque l’un ou l’autre des critères est rempli. Pour déclencher la règle avec cette configuration, il faut qu’un utilisateur ait une activité de transfert de courriel suspecte, ou qu’il ait transféré des courriels en lot.