Vos pares-feux regorgent d’informations précieuses sur votre réseau. Et si vous pouviez exploiter ces données pour renforcer votre périmètre de supervision dans Cyberwatch ? C’est justement ce que permettent les nouvelles fonctionnalités de découvertes intégrées à la dernière version de la plateforme Cyberwatch. Voyons comment les mettre en place en nous appuyant sur vos équipements FortiGate de Fortinet ou Stormshield Network Security (SNS).
Pourquoi utiliser ces découvertes ?
Les découvertes répertorient les actifs de votre parc informatique et permettent leur ajout massif et/ou automatique dans Cyberwatch.
Vous pouvez ainsi établir un périmètre de scan plus large incluant des segments réseaux (VLAN) qui ne sont pas forcément accessible par le scanneur Cyberwatch et l’actualiser régulièrement pour maintenir à jour la liste des actifs scannés de votre SI.
Ces deux nouvelles découvertes exploitent les données déjà présentes sur vos équipement réseaux pour centraliser et enrichir la supervision de vos actifs.
D’où proviennent les informations des actifs découverts ?
Lors de leur fonctionnement habituel (à condition d’activer la détection des appareils sur FortiGate), ces équipements vont collecter des données sur les actifs du réseau, dont notamment :
- leur hostname ;
- leur adresse IP ;
- leur système d’exploitation ;
- le VLAN associé ;
- et d’autres métadonnées accessibles via leur API.
Ces informations sont accessibles depuis l’API des équipements, c’est la méthode retenue par Cyberwatch pour les collecter.
Comment fonctionne la découverte Fortinet dans Cyberwatch ?
La plateforme Cyberwatch utilise l’API FortiGate pour pouvoir récupérer les données de votre réseau. La découverte se construira donc en deux parties : la création d’un identifiant dédié et le lancement de la découverte.
- Créer un identifiant Fortinet dédié
La première étape sera de créer un identifiant de type « Fortinet » pour cette découverte. Celui-ci se crée dans le menu Réglages > Identifiants enregistrés > Ajouter. L’identifiant à créer se présente sous cette forme et requiert l’url d’accès à l’équipement FortiGate ainsi que le jeton d’authentification nécessaire pour l’accès à son API.
- Créer et lancer la découverte Fortinet
Ensuite, dans la section des découvertes, la découverte Fortinet est présente ici :
Une fois sélectionnée, le formulaire de création de la découverte apparaît :
Pour lancer la découverte, il suffit alors de renseigner l’identifiant créé précédemment et de choisir le mode de découverte souhaitée (par adresse IP, Nom ou Hybride) qui déterminera la manière dont seront remontés les actifs.
Pensez à ajuster l’enregistrement automatique et la suppression des actifs dissociés avant de valider la découverte.
Dans l’exemple suivant, il est possible de retrouver les actifs enregistrés dans un FortiGate dans les résultats de la découverte. On peut voir ici la détection d’un actif Windows et un actif Ubuntu.
Les adresses IP, leur hostname ainsi que leur système d’exploitation sont détectés. Les informations présentent dans l’inventaire des appareils sur le FortiGate peuvent donc être retrouvées dans les résultats des découvertes, et les actifs retrouvés peuvent être ajoutés en scan facilement (sous réserve de la possibilité d’une telle connexion).
Et pour la découverte Stormshield SNS ?
De la même manière que pour la découverte Fortinet, la découverte Stormshield SNS utilisera l’API de l’équipement réseaux pour récupérer les actifs du périmètre.
- Création de l’identifiant Stormshield SNS
Afin de créer cet identifiant, il vous faudra aller dans le menu Réglages > Identifiants enregistrés et créer un identifiant de type « Stormshield SNS ».
Les éléments requis à renseigner sont un nom pour l’identifiant, l’url de l’instance SNS ainsi que les identifiants de connexion (nom d’utilisateur et mot de passe).
Il est aussi possible d’utiliser un certificat à la place des identifiants de connexion. Dans les deux cas, les méthodes d’authentification sont les mêmes que celles utilisée sur l’interface web de connexion au SNS.
- Lancement de la découverte Stormshield
Choisir ensuite l’icône Stormshield SNS dans le menu des découvertes :
Le formulaire de création de la découverte se présente sous cette forme :
Comme pour Fortinet, il suffit alors de renseigner l’identifiant créé précédemment et de choisir le mode de découverte souhaitée (par adresse IP, Nom ou Hybride) qui déterminera la manière dont seront remontés les actifs.
N’oubliez pas de modifier les paramètres d’enregistrement automatique et de suppression des actifs dissociés avant de cliquer sur Confirmer pour lancer la découverte.
Dans l’exemple suivant, on peut retrouver la liste des machines présentes dans les objets réseaux du SNS avec leur nom et leur IP :
Il est ensuite possible de les ajouter en scan via l’option des actions groupées.
Et ensuite ?
Le nombre d’actifs découverts mais non supervisés est un indicateur idéal pour identifier les actifs à ajouter, mais forme aussi une excellente métrique pour améliorer le taux de couverture du SI. Un filtre de recherche y est d’ailleurs dédié :
Prêt(e)s à renforcer votre supervision ? Branchez vos pares-feux, configurez votre découverte et prenez le contrôle de votre inventaire d’actifs dès maintenant !