Access Gate surveille le trafic qu'il observe et génère une alerte dès qu'une anomalie est détectée — une règle déclenchée sur un flux d'enclave, un service inattendu sur une zone, un équipement qui cesse soudainement de communiquer. Vous n'avez pas à créer du contenu de détection de zéro : le produit est livré avec une bibliothèque de règles préconfigurées, adaptées aux réseaux industriels et hybrides.
Périmètre de la détection
Access Gate combine trois sources de signal :
| Source | Ce qu'elle détecte | Origine du signal |
|---|---|---|
| Règles de flux (Snort) | Charges utiles malveillantes connues et abus de protocole dans le trafic d'enclave | Inspection en direct des flux sur les interfaces overlay |
| Bibliothèque d'alertes | Mauvaises configurations opérationnelles courantes et problèmes d'hygiène de sécurité | Livrée avec le produit, activée par défaut |
| Zones réseau | Activité franchissant une limite de confiance sans y être autorisée | Zones définies dans les Paramètres |
Chaque signal arrive dans la même vue Alertes, avec suffisamment de contexte (équipement, utilisateur, enclave, flux) pour effectuer le triage sans basculer entre les outils.
Bibliothèque d'alertes intégrée
Le produit est livré avec une liste d'alertes par défaut. Elles couvrent les situations à surveiller dès le premier jour :
- Un nouvel équipement est apparu sur une zone surveillée.
- Un équipement qui communiquait auparavant a cessé de le faire (détection d'équipement manquant).
- Un service a commencé à écouter sur un port qu'il n'utilisait jamais auparavant.
- Un flux a franchi une limite de zone qui aurait dû rester isolée.
- Une session TLS a régressé vers un chiffrement faible.
Vous pouvez désactiver ou ajuster n'importe quelle alerte de la bibliothèque depuis la page Alertes.
Configurer les règles
Comment activer des règles spécifiques dans votre Access Gate
- Accédez à Règles
- Activez ou désactivez [Règle] selon vos besoins.
Les correspondances de règles apparaissent dans la chronologie d'activité de l'enclave et dans la vue globale Alertes.
Comment transférer les alertes vers un SIEM
- Accédez à Règles
- Cliquez sur Configurer le transfert en haut à droite
- Saisissez la combinaison ip:port qui recevra le flux rsyslog des alertes.
Zones réseau
Les zones permettent d'indiquer à Access Gate quelles parties du réseau doivent ou ne doivent pas communiquer entre elles. Une fois une zone définie, tout flux franchissant une limite est évalué et journalisé ; des règles peuvent se déclencher sur le franchissement lui-même, et pas uniquement sur la charge utile.
Consultez Zones réseau pour la détection pour savoir comment définir des zones et leur associer des politiques.