Gestion des règles de détection

Partager

Cet article est-il utile ?

Dernière mise à jour :

Guide relatif aux règles de détection

Dans le sous-onglet Règles de détection de SecurityCoach, vous pouvez créer et gérer vos règles de détection. Les règles de détection déterminent les activités à risque que vous souhaitez surveiller en utilisant les données provenant de vos fournisseurs intégrés. Par exemple, vous souhaitez peut-être savoir quand vos utilisateurs visitent des sites Web risqués ou interdits, téléchargent des pièces jointes malveillantes ou cliquent sur des liens d’hameçonnage.

Nous proposons des règles de détection système basées sur les politiques par défaut de vos fournisseurs intégrés. Ces règles sont activées par défaut et ne nécessitent aucune configuration supplémentaire. Pour consulter les règles de détection système disponibles, consultez notre article System Detection Rules by Vendor (Règles de détection système par fournisseur). Vous pouvez également créer des règles de détection personnalisées pour les politiques personnalisées que vous avez configurées sur les plateformes de vos fournisseurs.

Si un utilisateur déclenche une règle de détection, un événement s’affiche dans son calendrier. Vous pouvez également utiliser les règles de détection pour créer des campagnes de coaching en temps réel.

Pour obtenir des informations générales sur SecurityCoach, consultez notre Manuel de produit SecurityCoach.

Préparation des règles de détection

Avant de commencer à travailler avec vos règles de détection, nous vous recommandons de suivre les étapes ci-dessous :

  1. Intégrez vos fournisseurs tiers dans SecurityCoach. Pour en savoir plus, consultez notre section Configuration des intégrations.
  2. Ajoutez une méthode de livraison pour vos SecurityTips. Pour en savoir plus, consultez nos guides d’intégration du fournisseur répertoriés ci-dessous :

Création d’une règle de détection personnalisée

Pour utiliser des règles de détection personnalisées dans SecurityCoach, commencez par configurer une politique personnalisée correspondante dans la plateforme d’un fournisseur de sécurité. Pour fonctionner correctement, les règles de détection personnalisées doivent correspondre aux politiques personnalisées du fournisseur de sécurité.

Remarque : la prise en charge des règles de détection personnalisées par KnowBe4 est limitée et n’inclut pas la création de règles personnalisées.

Pour créer une règle de détection personnalisée, suivez les étapes ci-dessous :

  1. Connectez-vous à votre console KSAT KnowBe4 et accédez à l’onglet SecurityCoach, puis au sous-onglet Règles de détection.
  2. Cliquez sur le bouton + Créer une règle de détection dans le coin supérieur droit de la page.
  3. Renseignez les champs de la page Créer une nouvelle règle de détection. Pour en savoir plus sur ces champs, consultez la capture d’écran et la liste ci-dessous :
    1. Nom : saisissez un nom pour votre règle de détection.
    2. Activer la règle de détection : cochez cette case pour activer cette règle lorsqu’elle est créée. Les règles de détection doivent être activées pour l’ajout d’événements aux calendriers des utilisateurs et pour une utilisation pour des campagnes de coaching en temps réel.

    3. Fournisseur : saisissez un fournisseur pour votre règle de détection.

      Remarque : vous devez intégrer les fournisseurs à SecurityCoach afin de pouvoir les afficher dans ce menu déroulant. Le fournisseur KSAT est intégré par défaut. Pour en savoir plus sur l’intégration des fournisseurs, consultez notre section Configuration des intégrations.
    4. Catégorie : sélectionnez une catégorie pour votre règle de détection.
    5. Niveau de risque : sélectionnez un niveau de risque pour votre règle de détection.
    6. Description : saisissez une description pour votre règle de détection. Par exemple, vous pouvez décrire l’objectif de la règle ou inclure des informations que d’autres administrateurs pourraient avoir besoin de connaître sur celle-ci.
    7. Nouveau critère : créez un critère pour votre règle de détection à l’aide des trois listes déroulantes. Cliquez ensuite sur Ajouter un critère pour ajouter le critère à votre règle de détection. Si vous le souhaitez, vous pouvez répéter ce processus pour ajouter des critères supplémentaires à votre règle de détection. Pour plus d’informations sur les opérateurs que vous utilisez pour un critère, consultez ci-dessous la section Opérateurs des règles de détection.
    8. Déclencher cette règle à chaque fois qu’un utilisateur présente un événement éligible : sélectionnez cette option pour déclencher cette règle chaque fois qu’un événement répond aux critères définis.

    9. Déclencher cette règle lorsqu’un utilisateur atteint le nombre minimal d’événements éligibles pendant la durée définie (jours) : sélectionnez cette option pour déclencher cette règle de détection uniquement lorsque les critères ont été rempli un nombre de fois défini sur un nombre de jours défini. Par exemple, vous pouvez utiliser ce paramètre afin de déclencher la règle de détection pour tous les utilisateurs qui présentent trois événements éligibles en 30 jours.

      Vous trouverez plus d’informations sur les champs Nombre minimal et Durée (en jours) ci-après :

      • Nombre minimal : saisissez le nombre minimal d’événements éligibles qu’un utilisateur doit avoir pour déclencher cette règle.
      • Durée (en jours) : saisissez le nombre de jours qu’un utilisateur doit avoir pour atteindre le nombre minimal afin de déclencher cette règle.
    10. Créer une règle : confirmez vos réglages et créez la nouvelle règle de détection.
    11. Annuler : annulez la création de la règle de détection et retournez à la page précédente.
  4. Cliquez sur Créer une règle.

Opérateurs des règles de détection

Utilisez les opérateurs suivants pour créer un critère pour une règle de détection.

Opérateur Description
Est Cet opérateur vérifie si le contenu du champ correspond à la valeur. Vous ne pouvez saisir qu’une seule valeur lorsque vous utilisez cet opérateur.
N’est pas Cet opérateur vérifie si le contenu du champ ne correspond pas à la valeur. Vous ne pouvez saisir qu’une seule valeur lorsque vous utilisez cet opérateur.
Contient Cet opérateur vérifie si le champ contient la valeur. Vous ne pouvez saisir qu’une seule valeur lorsque vous utilisez cet opérateur.
Ne contient pas Cet opérateur vérifie si le champ ne contient pas la valeur. Vous ne pouvez saisir qu’une seule valeur lorsque vous utilisez cet opérateur.
Commence par Cet opérateur vérifie si le contenu du champ commence par la valeur. Vous ne pouvez saisir qu’une seule valeur lorsque vous utilisez cet opérateur.
Se termine par Cet opérateur vérifie si le contenu du champ se termine par la valeur. Vous ne pouvez saisir qu’une seule valeur lorsque vous utilisez cet opérateur.
Commence par n’importe quelle valeur parmi Cet opérateur vérifie si le contenu du champ commence par l’une des valeurs saisies.
Se termine par n’importe quelle valeur parmi Cet opérateur vérifie si le contenu du champ se termine par l’une des valeurs saisies.
Contient n’importe quelle valeur parmi Cet opérateur vérifie si le champ contient l’une des valeurs saisies.
Ne contient aucune valeur parmi Cet opérateur vérifie si le champ ne contient aucune des valeurs saisies.
Est n’importe quelle valeur parmi Cet opérateur vérifie si le contenu du champ correspond à l’une des valeurs saisies.
N’est aucune valeur parmi Cet opérateur vérifie si le contenu du champ ne correspond à aucune des valeurs saisies.

Gestion et modification des règles de détection

Pour gérer et modifier vos règles de détection, accédez à l’onglet SecurityCoach, puis au sous-onglet Règles de détection.

Pour en savoir plus sur les options du sous-onglet Règles de détection, consultez la capture d’écran et la liste ci-dessous :

  1. Statut : cliquez sur ce menu déroulant pour filtrer les règles de détection par statut. Vous pouvez sélectionner Tout, Actif, Inactif ou Maintenance.
  2. Type : cliquez sur ce menu déroulant pour filtrer les règles de détection par type. Vous pouvez sélectionner Tout, Personnalisé ou Système.
  3. Fournisseurs : Cliquez sur ce menu déroulant pour filtrer les règles de détection par fournisseur.
  4. Catégorie : Cliquez sur ce menu déroulant pour filtrer les règles de détection par catégorie.
  5. Rechercher : saisissez des mots-clés dans ce champ pour rechercher une règle de détection spécifique.
  6. Tableau : ce tableau comprend une liste de vos règles de détection. Pour chaque règle de détection, vous pouvez voir les éléments Nom, Description de la règle, Type, Fournisseur, Catégorie, Date de modification, ainsi que les Actions que vous pouvez effectuer.
  7. Commutateur : utilisez ce commutateur pour activer ou désactiver une règle de détection. Si le bouton bascule est désactivé, la règle de détection est désactivée. Si le bouton bascule est activé, la règle de détection est activée.
  8. Icône en forme d’œil : cliquez sur cette icône pour consulter une règle de détection système. Lorsque vous cliquez sur cette icône, vous accédez à la page Afficher la règle de détection, qui vous permet de consulter les informations détaillées d’une règle de détection système.
  9. Icône en forme de signe Plus : cliquez sur cette icône pour créer une campagne de coaching en temps réel pour la règle de détection. Lorsque vous cliquez sur cette icône, vous accédez à la page Créer une nouvelle campagne de coaching en temps réel. Pour en savoir plus sur les campagnes de coaching en temps réel, consultez notre Guide relatif aux campagnes de coaching en temps réel.
  10. Icône représentant trois points : cliquez sur cette icône pour ouvrir un menu déroulant comportant les options suivantes :

    • Modifier : cliquez sur cette icône pour ouvrir la page Modifier la règle de détection. Sur cette page, vous pouvez modifier une règle de détection selon vos besoins. Les options grisées ne peuvent pas être modifiées. Cliquez ensuite sur le bouton Enregistrer dans l’angle inférieur gauche de la page pour enregistrer vos modifications.

      Remarque : si la règle de détection a été clonée à partir d’une règle de détection système, vous pouvez également cliquer sur le bouton Restaurer les paramètres par défaut pour rétablir les paramètres par défaut de la règle.
    • Cloner : cliquez sur cette icône pour cloner une règle de détection système. Lorsque vous cliquez sur cette icône, vous accédez à la page Cloner la règle de détection. Cette page vous permet d’apporter des modifications à la règle et de l’enregistrer sous forme de règle personnalisée.
    • Supprimer : cliquez sur cette icône pour supprimer une règle de détection personnalisée.
  11. + Créer une règle de détection : cliquez sur ce bouton pour créer une nouvelle règle de détection.

Exemple de règle de détection

La capture d’écran ci-dessous présente un exemple de règle de détection :

Dans cet exemple, les critères suivants ont été ajoutés à la règle de détection :

  • Catégorie de menace est Transfert en volume par l’utilisateur.
  • Catégorie de menace est Activité de transfert d’e-mail suspecte.

Cette règle de détection se déclenchera lorsque l’un des critères sera rempli. Avec cette configuration, un utilisateur doit soit avoir une activité de transfert d’e-mails suspecte, soit transférer des e-mails en volume pour déclencher cette règle.

Avez-vous trouvé cet article utile ?

Utilisateurs qui ont trouvé cela utile : 4 sur 5

Vous ne trouvez pas ce que vous cherchez ?

Contacter l’assistance