Guide d’utilisation des alertes

Les possibilités de configuration des alertes sont nombreuses, en partie puisqu’elles se basent sans restriction sur l’utilisation des filtres disponibles depuis l’interface graphique.

L’objectif de ce guide est donc de présenter quelques cas d’usages pertinents des alertes pour répondre aux besoins de surveillance d’un SI. Il est bien sur possible de s’en inspirer pour configurer des alertes répondant plus finement au besoin en fonction des contextes.

À savoir que chaque utilisateur se voit attribuer une alerte indiquant les nouvelles vulnérabilités présentes sur les actifs et étant publiées dans les catalogues CISA KEV ou CERT-FR ALE.

Configurer une alerte pour détecter les nouvelles CVE critiques sur un groupe d’actifs

En gardant l’optique d’être tenu informé des évolutions rattachées aux vulnérabilités, il est possible de réutiliser le template d’intégration de l’alerte par défaut. La configuration d’une alerte nécessite dans ce cas seulement de compléter son formulaire de création.

La configuration suivante par exemple permet d’être alerté lorsqu’une nouvelle CVE critique est détectée sur un groupe d’actifs.

Configuration d'une alerte de détectant les nouvelles CVE critiques sur un groupe d'actifs

La configuration de cette alerte se base sur l’intégration SMTP - Informations de vulnérabilités, présente par défaut sur Cyberwatch.

Champs à renseigner :

  • Nom, avec par exemple la valeur Nouvelles CVE critiques détectées sur le groupe <Nom du groupe>

  • Emplacement, en choisissant Encyclopédie des vulnérabilités

  • Filtre, en sélectionnant les filtres Sévérité: Critique, État: Vulnérabilité présente, Groupe: <Nom du groupe>

  • Intégration, en choisissant SMTP - Informations des vulnérabilités

Configurer une alerte pour détecter la publication de nouvelles CVE d’une technologie

En étendant davantage le filtrage, ce mécanisme peut aussi être utilisé afin d’être informé de la parution d’une nouvelle CVE sur une technologie cible. Cet exemple permet le suivi des publications concernant une technologie, qu’elle soit détectée ou non dans le SI.

Configuration d'une alerte détectant la publication de nouvelles CVE d'une technologie

La configuration de cette alerte se base sur l’intégration SMTP - Informations de vulnérabilités, présente par défaut sur Cyberwatch.

Champs à renseigner :

  • Nom, avec par exemple la valeur Nouvelles CVE détectées sur la technologie <Nom de la technologie>

  • Emplacement, en choisissant Encyclopédie des vulnérabilités

  • Filtre, en sélectionnant le filtre Technologie: <Nom de la technologie>

  • Intégration, en choisissant SMTP - Informations des vulnérabilités

Configurer une alerte référençant les nouveaux actifs d’un groupe

Au delà du traitement des alertes rattachées à l’évolution de vulnérabilités, la modification des emplacements à l’origine du filtrage permet de bénéficier d’une surveillance de l’inventaire.

Cela peut notamment permettre d’avoir de la visibilité sur les actifs ajoutés au sein d’un groupe.

Configuration d'une alerte référençant les nouveaux actifs d'un groupe

La configuration de cette alerte sur base sur l’intégration SMTP - Informations d'actifs, qu’il est possible de créer depuis la page Administration > Intégrations, en y renseignant :

  • Intégration SMTP comme protocole d’intégration

  • SMTP - Informations d'actifs comme nom

  • Aucun en tant qu’emplacement du déclencheur

  • Automatique comme destinataire

  • Oui à l’Utilisation de la mise en page e-mail de Cyberwatch

  • Informations d'actifs en tant que sujet de l’e-mail

  • Le contenu de l’email ci-dessous :

<p>
  Cet e-mail a été généré par l'alerte <i>{{ alert_name | escape }}</i> de l'instance <a href="{{ node_url | escape }}">{{ node_name | escape }}</a>.
  Cliquer <a href="{{ manage_link }}">ici pour gérer l'alerte</a>.
</p>

{% assign item_limit = 5 %}
{% for asset in assets limit: item_limit %}
  <strong><a href="{{ asset.url }}">{{ asset.name | default: 'Actif sans nom' | escape }}</a></strong><br />
  {% if asset.description != blank %}
    Description : {{ asset.description | truncate: 200 | escape }}<br />
  {% endif %}
  {% if asset.groups.size == 1 %}
    Groupe : {{ asset.groups[0].name | escape }}<br />
  {% elsif asset.groups.size > 0 %}
    Groupes : {{ asset.groups | map: 'name' | join: ', ' | escape }}<br />
  {% endif %}
  Nombre de CVE : {{ asset.cve_announcements_count }}<br />
  Nombre de CVE critiques : {{ asset.critical_cve_announcements_count }}<br />
  {% if asset.compliance_rules_count != 0 %}
    Nombre de règles de conformité : {{ asset.compliance_rules_count }}<br />
    Nombre de règles de conformité réussies : {{ asset.compliance_rules_succeed_count }}<br />
    Nombre de règles de conformité échouées : {{ asset.compliance_rules_failed_count }}<br />
    Nombre de règles de conformité en anomalie : {{ asset.compliance_rules_anomalies_count }}<br />
  {% endif %}
  Nombre de défauts de sécurité : {{ asset.security_issues_count }}<br /><br />
{% endfor %}
{% assign diff = assets_total | minus: item_limit %}
{% if diff == 1 %}
  et 1 autre.
{% elsif diff > 0 %}
  et {{ diff }} autres.
{% endif %}<br />

Puis renseigner lors de la création de l’alerte les champs :

  • Nom, avec par exemple la valeur Nouveaux actifs détectés au sein du groupe <Nom du groupe>

  • Emplacement, en choisissant Inventaire des actifs

  • Filtre, en sélectionnant le filtre Groupe: <Nom du groupe>

  • Intégration, en choisissant SMTP - Informations d'actifs

Configurer une alerte référençant les actifs dont l’OS est en fin de vie

La modification des emplacements nous permet aussi de surveiller l’état des actifs de l’inventaire, par exemple grâce aux défauts de sécurité.

Il est alors possible d’être alerté lorsque l’OS ou l’une des applications d’un actif est en fin de vie. Cela requiert de filtrer respectivement sur les défauts de sécurité Obsolete-OS ou Obsolete-Application, comme indiqué ci-dessous.

Configuration d'une alerte référençant les actifs dont l'OS est en fin de vie

La configuration de cette alerte se base sur l’intégration SMTP - Informations d'actifs, dont les étapes de création sont détaillées au sein de la section précédente Configuration d'une alerte référençant les nouveaux actifs d'un groupe.

Champs à renseigner :

  • Nom, avec par exemple la valeur Nouveaux actifs dont l'OS est en fin de vie

  • Emplacement, en choisissant Inventaire des actifs

  • Filtre, en sélectionnant le filtre Défaut de sécurité: Obsolete-OS

  • Intégration, en choisissant SMTP - Informations d'actifs

Configurer une alerte référençant les actifs dont le certificat TLS est expiré / va bientôt expirer

La modification des emplacements nous permet aussi de surveiller l’état des actifs de l’inventaire, par exemple grâce aux défauts de sécurité.

Il est alors possible d’être alerté lorsqu’un certificat TLS est expiré ou alors lorsqu’il est sur le point d’expirer. Cela requiert de filtrer sur le défaut de sécurité TLS_Certificate (about to expire) ou alors TLS_Certificate (expired)comme indiqué ci-dessous.

Configuration d'une alerte référençant les actifs dont le certificat TLS est expiré / va bientôt expirer

La configuration de cette alerte sur base sur l’intégration SMTP - Informations d'actifs, qu’il est possible de créer depuis la page Administration > Intégrations, en y renseignant :

  • Intégration SMTP comme protocole d’intégration

  • SMTP - Informations d'actifs comme nom

  • Aucun en tant qu’emplacement du déclencheur

  • Automatique comme destinataire

  • Oui à l’Utilisation de la mise en page e-mail de Cyberwatch

  • Informations d'actifs en tant que sujet de l’e-mail

  • Le contenu de l’email ci-dessous :

<p>
  Cet e-mail a été généré par l'alerte <i>{{ alert_name | escape }}</i> de l'instance <a href="{{ node_url | escape }}">{{ node_name | escape }}</a>.
  Cliquer <a href="{{ manage_link }}">ici pour gérer l'alerte</a>.
</p>

{% assign item_limit = 5 %}
{% for asset in assets limit: item_limit %}
  <strong><a href="{{ asset.url }}">{{ asset.name | default: 'Actif sans nom' | escape }}</a></strong><br />
  {% if asset.description != blank %}
    Description : {{ asset.description | truncate: 200 | escape }}<br />
  {% endif %}
  {% if asset.groups.size == 1 %}
    Groupe : {{ asset.groups[0].name | escape }}<br />
  {% elsif asset.groups.size > 0 %}
    Groupes : {{ asset.groups | map: 'name' | join: ', ' | escape }}<br />
  {% endif %}
  Nombre de CVE : {{ asset.cve_announcements_count }}<br />
  Nombre de CVE critiques : {{ asset.critical_cve_announcements_count }}<br />
  {% if asset.compliance_rules_count != 0 %}
    Nombre de règles de conformité : {{ asset.compliance_rules_count }}<br />
    Nombre de règles de conformité réussies : {{ asset.compliance_rules_succeed_count }}<br />
    Nombre de règles de conformité échouées : {{ asset.compliance_rules_failed_count }}<br />
    Nombre de règles de conformité en anomalie : {{ asset.compliance_rules_anomalies_count }}<br />
  {% endif %}
  Nombre de défauts de sécurité : {{ asset.security_issues_count }}<br /><br />
{% endfor %}
{% assign diff = assets_total | minus: item_limit %}
{% if diff == 1 %}
  et 1 autre.
{% elsif diff > 0 %}
  et {{ diff }} autres.
{% endif %}<br />

Puis renseigner lors de la création de l’alerte les champs :

  • Nom, avec par exemple la valeur Nouveaux actifs dont le certificat TLS est expiré / va bientôt expirer

  • Emplacement, en choisissant Inventaire des actifs

  • Filtre, en sélectionnant le filtre Défaut de sécurité: TLS_Certificate (expired/about to expire)

  • Intégration, en choisissant SMTP - Informations d'actifs


Retour en haut