Guide d’utilisation des alertes
Les possibilités de configuration des alertes sont nombreuses, en partie puisqu’elles se basent sans restriction sur l’utilisation des filtres disponibles depuis l’interface graphique.
L’objectif de ce guide est donc de présenter quelques cas d’usages pertinents des alertes pour répondre aux besoins de surveillance d’un SI. Il est bien sur possible de s’en inspirer pour configurer des alertes répondant plus finement au besoin en fonction des contextes.
À savoir que chaque utilisateur se voit attribuer une alerte indiquant les nouvelles vulnérabilités présentes sur les actifs et étant publiées dans les catalogues CISA KEV ou CERT-FR ALE.
Configurer une alerte pour détecter les nouvelles CVE critiques sur un groupe d’actifs
En gardant l’optique d’être tenu informé des évolutions rattachées aux vulnérabilités, il est possible de réutiliser le template d’intégration de l’alerte par défaut. La configuration d’une alerte nécessite dans ce cas seulement de compléter son formulaire de création.
La configuration suivante par exemple permet d’être alerté lorsqu’une nouvelle CVE critique est détectée sur un groupe d’actifs.
Configuration d'une alerte de détectant les nouvelles CVE critiques sur un groupe d'actifs
La configuration de cette alerte se base sur l’intégration SMTP - Informations de vulnérabilités
, présente par défaut sur Cyberwatch.
Champs à renseigner :
Nom
, avec par exemple la valeurNouvelles CVE critiques détectées sur le groupe <Nom du groupe>
Emplacement
, en choisissantEncyclopédie des vulnérabilités
Filtre
, en sélectionnant les filtresSévérité: Critique
,État: Vulnérabilité présente
,Groupe: <Nom du groupe>
Intégration
, en choisissantSMTP - Informations des vulnérabilités
Configurer une alerte pour détecter la publication de nouvelles CVE d’une technologie
En étendant davantage le filtrage, ce mécanisme peut aussi être utilisé afin d’être informé de la parution d’une nouvelle CVE sur une technologie cible. Cet exemple permet le suivi des publications concernant une technologie, qu’elle soit détectée ou non dans le SI.
Configuration d'une alerte détectant la publication de nouvelles CVE d'une technologie
La configuration de cette alerte se base sur l’intégration SMTP - Informations de vulnérabilités
, présente par défaut sur Cyberwatch.
Champs à renseigner :
Nom
, avec par exemple la valeurNouvelles CVE détectées sur la technologie <Nom de la technologie>
Emplacement
, en choisissantEncyclopédie des vulnérabilités
Filtre
, en sélectionnant le filtreTechnologie: <Nom de la technologie>
Intégration
, en choisissantSMTP - Informations des vulnérabilités
Configurer une alerte référençant les nouveaux actifs d’un groupe
Au delà du traitement des alertes rattachées à l’évolution de vulnérabilités, la modification des emplacements à l’origine du filtrage permet de bénéficier d’une surveillance de l’inventaire.
Cela peut notamment permettre d’avoir de la visibilité sur les actifs ajoutés au sein d’un groupe.
Configuration d'une alerte référençant les nouveaux actifs d'un groupe
La configuration de cette alerte sur base sur l’intégration SMTP - Informations d'actifs
, qu’il est possible de créer depuis la page Administration > Intégrations, en y renseignant :
Intégration SMTP
comme protocole d’intégrationSMTP - Informations d'actifs
comme nomAucun
en tant qu’emplacement du déclencheurAutomatique
comme destinataireOui
à l’Utilisation de la mise en page e-mail de CyberwatchInformations d'actifs
en tant que sujet de l’e-mailLe contenu de l’email ci-dessous :
<p>
Cet e-mail a été généré par l'alerte <i>{{ alert_name | escape }}</i> de l'instance <a href="{{ node_url | escape }}">{{ node_name | escape }}</a>.
Cliquer <a href="{{ manage_link }}">ici pour gérer l'alerte</a>.
</p>
{% assign item_limit = 5 %}
{% for asset in assets limit: item_limit %}
<strong><a href="{{ asset.url }}">{{ asset.name | default: 'Actif sans nom' | escape }}</a></strong><br />
{% if asset.description != blank %}
Description : {{ asset.description | truncate: 200 | escape }}<br />
{% endif %}
{% if asset.groups.size == 1 %}
Groupe : {{ asset.groups[0].name | escape }}<br />
{% elsif asset.groups.size > 0 %}
Groupes : {{ asset.groups | map: 'name' | join: ', ' | escape }}<br />
{% endif %}
Nombre de CVE : {{ asset.cve_announcements_count }}<br />
Nombre de CVE critiques : {{ asset.critical_cve_announcements_count }}<br />
{% if asset.compliance_rules_count != 0 %}
Nombre de règles de conformité : {{ asset.compliance_rules_count }}<br />
Nombre de règles de conformité réussies : {{ asset.compliance_rules_succeed_count }}<br />
Nombre de règles de conformité échouées : {{ asset.compliance_rules_failed_count }}<br />
Nombre de règles de conformité en anomalie : {{ asset.compliance_rules_anomalies_count }}<br />
{% endif %}
Nombre de défauts de sécurité : {{ asset.security_issues_count }}<br /><br />
{% endfor %}
{% assign diff = assets_total | minus: item_limit %}
{% if diff == 1 %}
et 1 autre.
{% elsif diff > 0 %}
et {{ diff }} autres.
{% endif %}<br />
Puis renseigner lors de la création de l’alerte les champs :
Nom
, avec par exemple la valeurNouveaux actifs détectés au sein du groupe <Nom du groupe>
Emplacement
, en choisissantInventaire des actifs
Filtre
, en sélectionnant le filtreGroupe: <Nom du groupe>
Intégration
, en choisissantSMTP - Informations d'actifs
Configurer une alerte référençant les actifs dont l’OS est en fin de vie
La modification des emplacements nous permet aussi de surveiller l’état des actifs de l’inventaire, par exemple grâce aux défauts de sécurité.
Il est alors possible d’être alerté lorsque l’OS ou l’une des applications d’un actif est en fin de vie. Cela requiert de filtrer respectivement sur les défauts de sécurité Obsolete-OS
ou Obsolete-Application
, comme indiqué ci-dessous.
Configuration d'une alerte référençant les actifs dont l'OS est en fin de vie
La configuration de cette alerte se base sur l’intégration SMTP - Informations d'actifs
, dont les étapes de création sont détaillées au sein de la section précédente Configuration d'une alerte référençant les nouveaux actifs d'un groupe
.
Champs à renseigner :
Nom
, avec par exemple la valeurNouveaux actifs dont l'OS est en fin de vie
Emplacement
, en choisissantInventaire des actifs
Filtre
, en sélectionnant le filtreDéfaut de sécurité: Obsolete-OS
Intégration
, en choisissantSMTP - Informations d'actifs
Configurer une alerte référençant les actifs dont le certificat TLS est expiré / va bientôt expirer
La modification des emplacements nous permet aussi de surveiller l’état des actifs de l’inventaire, par exemple grâce aux défauts de sécurité.
Il est alors possible d’être alerté lorsqu’un certificat TLS est expiré ou alors lorsqu’il est sur le point d’expirer. Cela requiert de filtrer sur le défaut de sécurité TLS_Certificate (about to expire)
ou alors TLS_Certificate (expired)
comme indiqué ci-dessous.
Configuration d'une alerte référençant les actifs dont le certificat TLS est expiré / va bientôt expirer
La configuration de cette alerte sur base sur l’intégration SMTP - Informations d'actifs
, qu’il est possible de créer depuis la page Administration > Intégrations, en y renseignant :
Intégration SMTP
comme protocole d’intégrationSMTP - Informations d'actifs
comme nomAucun
en tant qu’emplacement du déclencheurAutomatique
comme destinataireOui
à l’Utilisation de la mise en page e-mail de CyberwatchInformations d'actifs
en tant que sujet de l’e-mailLe contenu de l’email ci-dessous :
<p>
Cet e-mail a été généré par l'alerte <i>{{ alert_name | escape }}</i> de l'instance <a href="{{ node_url | escape }}">{{ node_name | escape }}</a>.
Cliquer <a href="{{ manage_link }}">ici pour gérer l'alerte</a>.
</p>
{% assign item_limit = 5 %}
{% for asset in assets limit: item_limit %}
<strong><a href="{{ asset.url }}">{{ asset.name | default: 'Actif sans nom' | escape }}</a></strong><br />
{% if asset.description != blank %}
Description : {{ asset.description | truncate: 200 | escape }}<br />
{% endif %}
{% if asset.groups.size == 1 %}
Groupe : {{ asset.groups[0].name | escape }}<br />
{% elsif asset.groups.size > 0 %}
Groupes : {{ asset.groups | map: 'name' | join: ', ' | escape }}<br />
{% endif %}
Nombre de CVE : {{ asset.cve_announcements_count }}<br />
Nombre de CVE critiques : {{ asset.critical_cve_announcements_count }}<br />
{% if asset.compliance_rules_count != 0 %}
Nombre de règles de conformité : {{ asset.compliance_rules_count }}<br />
Nombre de règles de conformité réussies : {{ asset.compliance_rules_succeed_count }}<br />
Nombre de règles de conformité échouées : {{ asset.compliance_rules_failed_count }}<br />
Nombre de règles de conformité en anomalie : {{ asset.compliance_rules_anomalies_count }}<br />
{% endif %}
Nombre de défauts de sécurité : {{ asset.security_issues_count }}<br /><br />
{% endfor %}
{% assign diff = assets_total | minus: item_limit %}
{% if diff == 1 %}
et 1 autre.
{% elsif diff > 0 %}
et {{ diff }} autres.
{% endif %}<br />
Puis renseigner lors de la création de l’alerte les champs :
Nom
, avec par exemple la valeurNouveaux actifs dont le certificat TLS est expiré / va bientôt expirer
Emplacement
, en choisissantInventaire des actifs
Filtre
, en sélectionnant le filtreDéfaut de sécurité: TLS_Certificate (expired/about to expire)
Intégration
, en choisissantSMTP - Informations d'actifs