IBM® Verify peut analyser et mettre en corrélation les tendances entre les différents locataires afin de détecter des indicateurs de menace, tels que les tentatives d'accès par force brute, les attaques par « credential stuffing » et les écarts par rapport aux habitudes d'utilisation habituelles. Ces alertes sont disponibles dans le flux d'événements d'audit et peuvent être utilisées pour prendre des mesures correctives proactives, telles que la désactivation des comptes utilisateurs ou des clients d'application compromis.
Avant de commencer
- Vous devez disposer des droits d'administration pour effectuer cette tâche.
- Connectez-vous à la IBM Verify console d'administration en tant qu'administrateur. Pour plus d'informations, consultez la page « Accéder à IBM Verify ».
A propos de cette tâche
Verify La détection et la correction des menaces permettent de détecter et de corriger certains types de trafic IP malveillant. Même si cela ne garantit pas la détection ou la neutralisation de 100 % des adresses IP malveillantes, cela renforce votre sécurité et réduit les risques liés à celle-ci.Les administrateurs peuvent configurer leur environnement Verify SaaS s pour qu'il émette des alertes et/ou bloque de manière proactive le trafic de connexion résultant d'attaques identifiées. Ces attaques peuvent provenir soit d'attaques visant spécifiquement votre environnement IBM VerifySaaS, soit d'attaques identifiées chez d'autres locataires VerifySaaS, pour lesquelles votre locataire peut prendre des mesures préventives.
IBM Verify détecte le trafic suspect présentant des indicateurs d'attaque afin de générer des événements de menace. Un administrateur peut consulter les événements à l'aide d'un rapport sur les événements de sécurité et prendre des mesures proactives manuelles, telles que le blocage d'un utilisateur.
Procédure
- Sélectionnez .
S'il n'existe aucune stratégie dans le tenant, cliquez sur le bouton « Créer une stratégie de détection des menaces » pour configurer une nouvelle stratégie de détection et de correction des menaces.
Pour les politiques existantes, l'écran affiche les enregistrements sous forme de tableau, classés par nom, statut, description, thème, date de création et date de dernière mise à jour.
Cliquez sur
l'icône ou
sur l'icône pour passer de l'affichage en grille à l'affichage en liste.
Cliquez sur
l'icône et sélectionnez « Activer » ou « Supprimer » pour la stratégie créée. Dans la vue Liste, lorsque vous passez la souris sur un enregistrement, l'icône
s'affiche.
- Cliquez sur le bouton « Créer une stratégie de lutte contre les menaces » pour créer une nouvelle stratégie de détection et de correction des menaces. Pour plus d'informations, consultez la section « Création d'une politique de menaces ».
- La stratégie de menaces créée peut être activée. Pour les règles activées, l 'état « Actif » s'affiche dans l'écran principal de détection des menaces. Pour plus d'informations, consultez la section « Activation de la politique de menaces ».
Remarque : une seule politique de détection des menaces peut être activée à la fois. L'activation d'une politique de détection des menaces alors qu'une autre est déjà active désactive la politique actuellement en vigueur
- Une fois la stratégie créée, il est possible de la vérifier et d'y apporter des modifications avant de l'activer. Pour plus d'informations, consultez la section « Modification de la politique de gestion des menaces ».