Aller au contenu
Avanet

Utiliser les catégories Web et les alertes instantanées de Sophos Firewall

Sophos Firewall

Les catégories Web sur Sophos Firewall sont plus qu’un simple filtre Web pour les sites indésirables. Bien utilisées, elles aident à limiter les comportements de navigation à risque, à enregistrer proprement les catégories et à réagir plus rapidement aux accès critiques.

Avec les alertes instantanées, le pare-feu peut envoyer des notifications par e-mail pour des catégories Web sélectionnées. Cela est particulièrement utile dans les écoles, les secteurs sensibles des entreprises ou les environnements où certains accès Web ne doivent pas seulement être remarqués dans le rapport mensuel.

Il est important de gérer les attentes : les catégories Web, les groupes d’URL, les politiques Web, l’inspection TLS, la gestion QUIC, la journalisation et les rapports doivent être cohérents. Si seule une catégorie est activée mais que la politique Web n’est pas utilisée dans une règle de pare-feu, rien ne se passe dans le trafic productif.

Pour la planification générale des politiques Web, commencez par Configurer la protection Web de Sophos Firewall avec des politiques Web. Pour la base des règles, consultez Comprendre et configurer correctement les règles de Sophos Firewall. Cet article se concentre sur la partie opérationnelle Web : catégories, groupes d’URL, alertes instantanées, évaluation et réaction.

Séparer clairement les termes

Sophos utilise plusieurs objets Web qui sont facilement confondus au quotidien.

TermeFonctionUtilisation typique
Catégorie WebCatégorie pour les domaines, URL ou mots-clés. De nombreuses catégories proviennent de Sophos, des catégories personnalisées sont possibles.Autoriser, bloquer, limiter ou signaler les accès Web selon le risque ou le contenu.
Groupe d’URLListe de domaines pouvant être utilisée dans les politiques Web ou les exceptions TLS.Listes d’autorisation ou de blocage explicites, lorsque des domaines spécifiques sont plus importants que les catégories.
Politique WebEnsemble de règles pour les utilisateurs, groupes, catégories, groupes d’URL, types de fichiers, filtres de contenu et actions.Contrôler les accès Web et les associer à une règle de pare-feu.
Alertes instantanéesNotification par e-mail pour les accès aux catégories surveillées.Notification rapide pour les catégories particulièrement sensibles ou à risque.
Visionneuse de journaux et rapportsÉvaluation de la décision réelle.Vérifier si la catégorie, la politique, l’utilisateur et la règle de pare-feu fonctionnent comme prévu.

Une politique Web n’a d’effet que si elle est sélectionnée dans une règle de pare-feu appropriée sous Security features > Web filtering. La politique Web seule n’est donc pas une règle productive.

Quand les catégories Web sont-elles utiles ?

Les catégories Web sont particulièrement utiles lorsque les accès Web ne doivent pas être simplement autorisés ou bloqués de manière générale. Scénarios typiques :

  • Bloquer les catégories de logiciels malveillants, de phishing et de fraude.
  • Restreindre les anonymiseurs, les proxys et les services de contournement.
  • Surveiller particulièrement les catégories de commande et de contrôle ou de logiciels espions.
  • Bloquer les catégories telles que le contenu pour adultes, les jeux d’argent ou les substances contrôlées selon le contexte.
  • Autoriser les applications cloud critiques pour l’entreprise, mais restreindre les services cloud privés ou de partage de fichiers.
  • Dans les écoles ou les environnements surveillés, surveiller les catégories particulièrement sensibles avec des alertes instantanées.
  • Limiter la bande passante pour certaines catégories Web via le modelage du trafic.

Les catégories ne doivent pas être mises sur blocage ou alerte de manière arbitraire. Sinon, de nombreux résultats apparaissent que personne ne peut examiner de manière significative. Il est préférable d’avoir un ensemble petit et clair avec un propriétaire, un chemin de réaction et une révision.

Prérequis

Avant la configuration, ces points doivent être clarifiés :

  • La protection Web ou un bundle Sophos Firewall approprié est sous licence.
  • Il existe une règle client ou utilisateur qui doit utiliser le filtrage Web.
  • Un appariement utilisateur ou groupe est prévu si les politiques doivent s’appliquer par utilisateur.
  • Log firewall traffic est activé dans la règle de pare-feu pertinente.
  • Les types de journaux appropriés sont activés sous System services > Log settings.
  • Les notifications par e-mail fonctionnent si les alertes instantanées doivent être utilisées.
  • Pour une évaluation à long terme, Sophos Central Firewall Reporting ou Syslog est prévu.
  • QUIC et l’inspection TLS sont décidés consciemment.

Pour une évaluation centrale, consultez Activer le Central Firewall Reporting. Si les journaux doivent être envoyés à un SIEM propre, Envoyer les journaux Syslog de Sophos Firewall à un SIEM est l’article de suivi approprié.

Planifier les catégories et les groupes d’URL

Pour les administrateurs, il est important de savoir quand une catégorie Web personnalisée et quand un groupe d’URL est plus approprié.

Une catégorie Web personnalisée est utile lorsque :

  • Les domaines ou mots-clés doivent être utilisés comme catégorie dans plusieurs politiques Web.
  • La catégorie doit être visible dans les rapports et les journaux.
  • Un concept de modelage du trafic par catégorie est prévu.
  • Une catégorie surveillée pour les alertes instantanées doit être créée.

Un groupe d’URL est généralement préférable lorsque :

  • Seuls des domaines spécifiques sont collectés.
  • Une petite liste d’autorisation ou de blocage est nécessaire.
  • La liste doit également être utilisée pour les exceptions TLS.
  • Le filtrage par mots-clés doit être évité.

Les groupes d’URL sont souvent plus performants et moins sujets aux faux positifs que les catégories avec mots-clés pour les correspondances de domaine pures. Les catégories de mots-clés doivent donc être utilisées avec parcimonie, en particulier pour les règles d’autorisation.

Bloquer, alerter ou simplement signaler ?

Toutes les catégories ne nécessitent pas le même traitement. Un bon design de protection Web sépare les décisions de sécurité strictes des indications et de l’évaluation pure.

TraitementAdapté pourRisque opérationnel
BloquerLogiciels malveillants, phishing, services de contournement connus, catégories clairement interditesun site légitime peut être bloqué si la catégorie est incorrecte
AvertirZones grises, environnements de formation, catégories consciemment autorisablesles utilisateurs s’habituent aux avertissements et cliquent de manière réflexe
Alerte instantanéequelques catégories avec une véritable obligation de réactiontrop d’alertes entraînent une fatigue d’alarme
Reporting uniquementAnalyse des tendances, rapports d’utilisation, signaux faiblesles résultats ne sont visibles que plus tard

Pour les environnements productifs, une petite sélection claire est souvent meilleure qu’un catalogue maximal. Si personne n’évalue une alerte, la catégorie ne doit pas être configurée comme alerte instantanée. Si une catégorie doit toujours être bloquée, une alerte supplémentaire n’est utile que si elle entraîne un suivi concret.

Créer ou ajuster une catégorie Web

Le chemin de menu est :

Web > Categories

Processus de base :

  1. Modifier une catégorie existante ou choisir Add.
  2. Attribuer un nom.
  3. Sélectionner la classification.
  4. Facultativement, sélectionner une politique de modelage du trafic.
  5. Choisir le type de configuration.
  6. Ajouter des domaines ou des mots-clés.
  7. Facultativement, activer les alertes instantanées.
  8. Enregistrer.

Pour les catégories personnalisées, le nom doit clairement décrire l’objectif. Des noms comme Custom1 ou Blocklist ne sont pas très utiles par la suite. Il est préférable d’utiliser des noms comme Alert_Self_Harm, Block_Proxy_Anonymizer ou Allow_Business_Cloud_Exceptions.

Les domaines sont vérifiés par rapport au nom de domaine dans l’URL et incluent automatiquement les sous-domaines. Les mots-clés, en revanche, sont vérifiés par rapport à l’URL complète, y compris le chemin et la requête. Cela peut être utile, mais génère plus facilement des faux positifs.

Si une base de données d’URL externe est utilisée, le pare-feu vérifie cette liste toutes les 48 heures pour les mises à jour. Cet intervalle ne peut pas être modifié. Pour les listes de blocage publiques, il est néanmoins conseillé de vérifier si Configurer et gérer en toute sécurité les flux de menaces de Sophos Firewall est plus approprié.

Configurer une politique Web

Le chemin de menu est :

Web > Policies

Une politique Web contient des règles pour les utilisateurs, groupes, activités, catégories, groupes d’URL, types de fichiers, filtres de contenu, actions et horaires.

Processus de base :

  1. Créer une nouvelle politique Web ou modifier une politique existante.
  2. Ajouter une règle.
  3. Sélectionner des utilisateurs ou groupes si la politique doit être basée sur l’utilisateur.
  4. Sélectionner des catégories ou groupes d’URL.
  5. Définir l’action pour HTTP.
  6. Vérifier l’action séparée pour HTTPS.
  7. Définir un horaire si nécessaire.
  8. Activer le statut de la règle.
  9. Vérifier la position de la règle.
  10. Enregistrer.

L’ordre au sein de la politique Web est crucial. Les règles sont évaluées de haut en bas. Une règle d’autorisation large au-dessus d’une règle de blocage spécifique peut empêcher la règle de blocage de s’appliquer.

Si des utilisateurs sont définis dans la règle de pare-feu et dans la politique Web, il est important de tester consciemment l’effet. Les utilisateurs dans les règles de pare-feu peuvent avoir la priorité sur les utilisateurs dans les politiques Web. En cas de résultats incertains, il est donc conseillé de vérifier non seulement la politique Web, mais aussi la règle de pare-feu.

Activer la politique Web dans la règle de pare-feu

Le chemin de menu est :

Rules and policies > Firewall rules > [Rule] > Security features > Web filtering

Processus de base :

  1. Ouvrir la règle client ou serveur pertinente.
  2. Vérifier la zone source, le réseau source, la zone de destination et les services.
  3. Activer Log firewall traffic.
  4. Sous Web filtering, sélectionner la politique Web souhaitée.
  5. Activer ou désactiver consciemment Block QUIC protocol.
  6. Vérifier les paramètres de scan des logiciels malveillants et de scan HTTPS.
  7. Enregistrer.
  8. Tester avec le testeur de politique, le visionneur de journaux et le trafic client réel.

QUIC est souvent un facteur perturbateur pour le filtrage Web. Lorsque les navigateurs communiquent via UDP 443, la logique et la visibilité ne correspondent pas toujours aux attentes du HTTPS classique via TCP. Pour plus de détails, consultez Bloquer correctement le protocole QUIC et HTTP/3 de Sophos Firewall.

Si les contenus HTTPS ou les chemins d’URL complets sont pertinents, la catégorisation Web seule ne suffit pas toujours. Dans ce cas, l’inspection TLS doit être planifiée. Cela ne doit pas être fait à la légère, car les certificats, les exceptions, la confidentialité, la performance et les processus de support sont concernés. Le déploiement est décrit dans Introduire correctement l’inspection TLS de Sophos Firewall.

Activer les alertes instantanées

Les alertes instantanées sont activées au niveau de la catégorie.

Le chemin de menu est :

Web > Categories

Processus de base :

  1. Modifier la catégorie.
  2. Sélectionner consciemment la catégorie pour la surveillance.
  3. Activer les alertes instantanées.
  4. Enregistrer.
  5. Ouvrir System services > Notifications list.
  6. Rechercher Web - Instant alerts.
  7. Activer la case à cocher sous Email.
  8. Vérifier l’envoi de mails et les destinataires.
  9. Générer un accès test et vérifier la notification.

Le pare-feu envoie des notifications par e-mail pour les catégories surveillées par lots toutes les cinq minutes. Cet intervalle ne peut pas être modifié. Une alerte n’est donc pas une alarme en temps réel à la seconde près, mais une notification par e-mail rapide par rapport aux rapports purement différés.

Les alertes instantanées ne doivent être activées que pour les catégories où un destinataire défini peut réellement réagir. Une grande liste d’alertes sans responsabilité conduit généralement à une fatigue d’alarme.

Confidentialité et responsabilité interne

Les alertes de catégorie Web peuvent contenir des informations sur l’utilisateur, l’IP source, le moment, la catégorie et, selon la visibilité, également des informations sur la cible. Cela est utile pour la sécurité et l’exploitation, mais peut soulever des questions de droit du travail ou de protection des données selon l’organisation.

Avant l’utilisation en production, il convient donc de clarifier :

  • Qui peut voir les alertes Web ?
  • Quels résultats sont uniquement vérifiés techniquement et lesquels sont traités comme des incidents de sécurité ?
  • Combien de temps les e-mails d’alerte, les rapports ou les événements SIEM sont-ils conservés ?
  • L’évaluation est-elle coordonnée avec les RH, la protection des données ou les politiques internes ?
  • Comment éviter que des résultats inoffensifs ne soient surinterprétés ?

Techniquement, le paramètre est rapidement activé. Opérationnellement, il doit cependant être traité comme un petit processus de surveillance : destinataire, objectif, chemin de réaction et conservation doivent être cohérents.

Définir la triage des alertes

Les alertes instantanées ne doivent pas toutes être traitées de la même manière. Un seul résultat de catégorie peut être un clic accidentel inoffensif, un service mal classé, un problème de politique ou un véritable incident de sécurité. Il convient donc de définir à l’avance quels résultats doivent être vérifiés immédiatement et lesquels doivent simplement être inclus dans la révision normale.

Une simple triage aide :

PrioritéCatégorie ou situation typiqueRéaction
ÉlevéeLogiciels malveillants, phishing, commande et contrôle, catégories d’exploit ou de logiciels espionsvérifier rapidement le visionneur de journaux, l’utilisateur, le statut de l’endpoint et d’autres journaux de sécurité
MoyenneAnonymiseur, proxy, partage de fichiers, stockage cloud privé ou contournement répété de la politiqueexaminer les modèles, clarifier le contexte utilisateur et affiner la politique
Faiblezones grises uniques sans répétitioninclure dans le reporting ou la révision hebdomadaire, ne pas escalader immédiatement
Faux positifsite nécessaire pour les affaires mal classéexaminer le groupe d’URL ciblé ou l’ajustement de la catégorie, ne pas définir de règle d’autorisation large

Cette classification ne doit pas seulement exister dans la tête d’un administrateur. Une courte note d’exploitation est utile : catégories surveillées, destinataires, temps de réaction, chemin d’escalade, exceptions autorisées et date de révision. Cela permet de savoir clairement si une alerte doit être simplement documentée, corrigée techniquement ou traitée comme un incident.

Tester et évaluer

Après chaque modification, il ne suffit pas de sauvegarder, il faut également vérifier l’effet.

Étapes de vérification utiles :

  1. Ouvrir Web > Policies > Policy tester.
  2. Tester l’utilisateur, l’URL et la politique.
  3. Sur un client de test, accéder à un site Web approprié.
  4. Ouvrir le visionneur de journaux.
  5. Vérifier les journaux de filtrage Web, de pare-feu, d’inspection SSL/TLS et de contrôle des applications.
  6. Dans la règle de pare-feu, vérifier si le résultat se trouve sur la règle attendue.
  7. Pour les alertes instantanées, vérifier la réception des e-mails.
  8. Dans Sophos Central ou SIEM, vérifier si les événements y sont enregistrés.

Le testeur de politique est utile, mais ne remplace pas un véritable flux de paquets. Si une règle ne correspond pas, si une route SD-WAN décide autrement ou si TLS/QUIC modifie le chemin, cela n’est souvent visible que dans le visionneur de journaux ou la capture de paquets. Pour de tels cas, consultez Tester une règle de pare-feu avec le visionneur de journaux, le testeur de politique et la capture de paquets.

Pour l’attribution des fichiers journaux, consultez Dépannage de Sophos Firewall : Services et journaux. Les fichiers awarrenhttp.log, webproxy.log et nSXLd.log y sont notamment classés pour les questions de Web et de catégorisation.

Erreurs typiques

SymptômeCause fréquenteVérification
La politique Web ne s’applique pasLa politique n’est pas sélectionnée dans la règle de pare-feuVérifier la règle de pare-feu sous Web filtering
La catégorie est autorisée alors qu’elle devrait être bloquéeUne règle d’autorisation large est au-dessus de la règle de blocageVérifier l’ordre dans la politique Web et les règles de pare-feu
Pas d’alerte instantanéeCatégorie non surveillée ou notification non activée par e-mailVérifier Web > Categories et System services > Notifications list
Pas d’information utilisateur dans le journalL’utilisateur n’est pas reconnu ou la règle ne correspond pas à l’utilisateurVérifier l’authentification, STAS, Captive Portal ou utilisateur sans client
HTTPS est autorisé de manière inattenduePas d’inspection TLS appropriée ou action HTTPSVérifier la politique Web, les règles d’inspection SSL/TLS et le décryptage
Le filtrage Web est incompletQUIC ou chemin de trafic incorrectVérifier Block QUIC protocol, les services et le visionneur de journaux
Trop d’alertesCatégories choisies trop largesRéduire la liste des alertes et définir un propriétaire
Domaine manquant dans le journal/rapportCatégorie particulièrement critique anonymiséeVérifier la catégorie et le comportement de Sophos

Sophos bloque les sites Web de la catégorie activité criminelle hautement répréhensible par défaut et masque le nom de domaine dans les journaux et les rapports. Si une entrée dans ce domaine apparaît anonymisée, cela peut être intentionnel.

Définir la réaction aux alertes instantanées

Une alerte instantanée n’est utile que si l’on sait ensuite ce qui doit se passer. Sinon, cela génère un trafic e-mail supplémentaire, mais pas une meilleure sécurité. Avant l’activation, un processus de réaction simple doit donc être défini.

Pour chaque type de catégorie surveillée, il doit être au moins clair :

QuestionPourquoi est-ce important ?
Qui reçoit l’alerte ?Évite les listes de diffusion sans responsabilité.
Quelle est la rapidité de réaction requise ?Sépare les résultats critiques du simple suivi.
Quels journaux sont vérifiés ?Le visionneur de journaux, le Central Reporting, le Syslog ou les journaux de service offrent des niveaux de détail différents.
Quand un résultat est-il un incident ?Tous les résultats de catégorie ne sont pas automatiquement des incidents de sécurité.
Qui peut approuver une exception ?Évite les règles d’autorisation larges et rapides sans évaluation des risques.
Quand la sélection des catégories est-elle revue ?Réduit la fatigue d’alarme due à des ensembles d’alertes trop larges.

Un processus pragmatique ressemble à ceci :

  1. Enregistrer l’alerte avec l’utilisateur, l’IP source, la catégorie, l’URL ou le domaine et le moment.
  2. Dans le visionneur de journaux, vérifier quelle règle de pare-feu et quelle politique Web ont été appliquées.
  3. Si disponible, utiliser le Central Reporting ou le SIEM pour le contexte temporel.
  4. Déterminer s’il s’agit d’un cas isolé, d’un modèle répété ou d’un faux positif.
  5. En cas de mauvaise catégorisation, travailler uniquement avec un groupe d’URL ciblé ou un ajustement de catégorie.
  6. En cas de modèle suspect, évaluer le contexte utilisateur, le statut de l’endpoint et d’autres journaux de sécurité.
  7. Documenter la décision : ignorer, observer, bloquer, exception, incident.

Pour une analyse technique détaillée, consultez Dépannage de Sophos Firewall : Services et journaux, Activer le Central Firewall Reporting et Envoyer les journaux Syslog de Sophos Firewall à un SIEM. Si vous n’êtes pas sûr que la bonne règle de pare-feu a été appliquée, consultez Tester une règle de pare-feu avec le visionneur de journaux, le testeur de politique et la capture de paquets.

Recommandation opérationnelle

Pour les environnements productifs, un modèle en trois étapes est judicieux :

  1. Bloquer : Bloquer les logiciels malveillants, le phishing, la fraude, la commande et le contrôle, les anonymiseurs et d’autres catégories clairement à risque.
  2. Surveiller : Associer quelques catégories sensibles à des alertes instantanées.
  3. Évaluer : Vérifier régulièrement les rapports Web, le Central Reporting ou le SIEM.

La limite la plus importante est organisationnelle : une alerte nécessite un destinataire, un délai de réaction et une décision sur ce qu’il advient des résultats. Sinon, les alertes instantanées ne deviennent que du bruit supplémentaire dans les e-mails.

Liste de contrôle

  • Licence de protection Web vérifiée.
  • Règle de pare-feu pertinente identifiée.
  • Politique Web créée ou ajustée.
  • Politique Web sélectionnée dans la règle de pare-feu.
  • Log firewall traffic activé dans la règle.
  • Block QUIC protocol décidé consciemment.
  • Inspection TLS planifiée consciemment ou non utilisée.
  • Catégories critiques définies.
  • Alertes instantanées activées uniquement pour quelques catégories claires.
  • System services > Notifications list > Web - Instant alerts activé par e-mail.
  • Test effectué avec le testeur de politique.
  • Test effectué avec un trafic client réel.
  • Visionneur de journaux vérifié.
  • Central Reporting ou Syslog vérifié, si une évaluation centrale est attendue.
  • Propriétaire et chemin de réaction pour les alertes documentés.

Questions fréquentes

Quelle est la différence entre une catégorie Web et un groupe d'URL ?

Une catégorie Web attribue des domaines, URL ou mots-clés à une catégorie et peut être utilisée dans les politiques Web, les rapports et les alertes instantanées. Un groupe d’URL est une liste de domaines explicite, particulièrement adaptée aux listes d’autorisation ou de blocage concrètes.

Pourquoi une politique Web ne s'applique-t-elle pas ?

Souvent, la politique Web n’est pas sélectionnée dans la règle de pare-feu appropriée, la règle ne correspond pas ou une règle plus générale est au-dessus. De plus, l’appariement des utilisateurs, les services, QUIC ou l’inspection TLS peuvent modifier l’effet attendu.

Les alertes instantanées sont-elles de véritables alarmes en temps réel ?

Pas à la seconde près. Les notifications par e-mail pour les catégories surveillées sont envoyées par lots toutes les cinq minutes. Pour de nombreux cas opérationnels, cela est suffisamment rapide, mais ne remplace pas un SIEM ou une surveillance SOC.

Faut-il associer toutes les catégories à risque à des alertes instantanées ?

Non. Trop d’alertes créent du bruit. Il est préférable d’avoir une petite sélection avec une responsabilité claire, par exemple des catégories particulièrement sensibles ou des catégories avec une grande valeur d’investigation.

A-t-on besoin de l'inspection TLS pour les catégories Web ?

Pas toujours. De nombreuses catégories fonctionnent via l’évaluation des URL ou des domaines. Pour les chemins d’URL complets, les contenus, les téléchargements et certaines fonctions de protection, l’inspection TLS peut cependant être cruciale. L’utilisation doit être planifiée et testée.