Workspace ONE Trust Network

Workspace ONE Trust Network intègre des données sur les menaces provenant de solutions de sécurité, notamment des solutions Endpoint Detection and Response (EDR), des solutions Mobile Threat Defense (MTD) et des Cloud Access Security Broker (CASB). Cette intégration fournit aux utilisateurs de Workspace ONE Intelligence des analyses sur les risques pesant sur les terminaux et les utilisateurs dans leur environnement. Découvrez comment enregistrer votre système Trust Network spécifique avec Intelligence.

Workspace ONE Intelligence affiche les données d'événement pour analyse dans le module Résumé des menaces du tableau de bord Risque de sécurité.

Éléments à prendre en compte pour FedRAMP

La Publication spéciale NIST 800-47 Rev. 1 : Gestion de la sécurité des échanges d'informations définit une interconnexion de système comme la connexion directe d'au moins deux systèmes informatiques dans le but de partager des données et d'autres ressources d'informations.

La connexion des systèmes informatiques est une capacité configurée par le client. Avant de connecter des systèmes informatiques dans Workspace ONE Intelligence, discutez des risques liés à la connexion de systèmes d'information non agréés par FedRAMP avec votre responsable de l'autorisation. Workspace ONE sur AWS GovCloud et, par extension, Workspace ONE Intelligence est un système d'information Modéré agréé par FedRAMP. Lorsque vous connectez des systèmes d'information à d'autres systèmes avec des exigences et des contrôles de sécurité différents, tenez compte des risques.

Contactez le support technique fédéral (877-869-2730, OPTION 2) ou envoyez une demande de support à l'aide de My Workspace ONE pour obtenir plus de détails et pour activer les connexions tierces contrôlées par le client à d'autres systèmes.

Comment intégrer un système ?

Pour intégrer votre système Trust Network, effectuez ces tâches générales.

Remarque : Si vous ne voyez aucune donnée identifiée dans le Résumé des menaces après avoir configuré le service dans Intégrations, cela ne signifie pas que la configuration est interrompue. Cela peut suggérer qu'aucun événement n'a été signalé par le service Trust Network.

  1. Dans Workspace ONE Intelligence, enregistrez le service Trust Network pris en charge dans Intégrations.
  2. Visualisez, analysez et travaillez avec les données du module Résumé des menaces du tableau de bord Risque de sécurité.
  3. Dans Workflows, créez un workflow à l'aide des déclencheurs Trust Network pour agir sur les données de renseignements sur les menaces à l'aide des actions disponibles.

Catégories de résumés des menaces pour Trust Network

Le module Résumé des menaces agrège et affiche les événements collectés auprès de vos services Trust Network. Vous pouvez trouver des données spécifiques par date, nombre d'événements et catégories de menaces. Workspace ONE Intelligence classe les menaces en plusieurs groupes afin de simplifier l'analyse et les mesures correctives.

Descriptions des catégories de menaces

Catégories de menaces Descriptions
Anomalie Menaces impliquant une application, un terminal ou un comportement réseau inhabituel, suspect ou anormal. Par exemple, les applications abandonnant un fichier exécutable ou une réaffectation de privilèges.
Information d'identification Menaces qui impliquent la tentative d'utiliser des informations d'identification compromises à des fins malveillantes. Par exemple, la lecture des informations d'identification d'un processus de sécurité et d'une application en cours d'exécution à l'aide d'informations d'identification système.
Terminal Menaces qui impliquent l'utilisation d'un terminal ou d'un autre composant de point de terminaison avec une intention malveillante. Par exemple, une application non autorisée accède à un microphone ou à un appareil photo.
Exfiltration Menaces qui impliquent une tentative de transfert non autorisé de données. Un tel transfert peut être manuel et effectué par une personne ayant un accès physique à un ordinateur. Elle peut également être automatisée et exécutée par programmation malveillante sur un réseau.
Faille Menaces qui consistent à tirer parti d'un bogue ou d'une vulnérabilité dans une application ou un système, provoquant un comportement involontaire de cette application ou de ce système. Les exemples incluent les injections de code et les outils facilitant le rootage.
Hôte Web malveillant Menaces impliquant une tentative d'accès à un site ou un domaine malveillant connu. Exemples : spam, hameçonnage, programmes malveillants et cryptojacking.
Programme malveillant Menaces impliquant un logiciel malveillant, conçu à dessein pour endommager un point de terminaison, un terminal ou un réseau. Les exemples incluent les logiciels d'extorsion, les enregistreurs de frappe et les logiciels espions.
Réseau Menaces qui impliquent une méthode ou un processus utilisé pour tenter de compromettre la sécurité du réseau. Les exemples incluent les attaques de l'homme du milieu, l'analyse des ports et les protocoles réseau inhabituels.
Autres Menaces qui n'entrent pas dans une catégorie.
Stratégie Menaces impliquant un terminal ou un point de terminaison qui enfreint une stratégie d'entreprise. Des exemples incluent l'installation d'une application non fiable et l'utilisation d'un terminal jailbroken ou rooté.

Workspace ONE Mobile Threat Defense

Intégrez votre service Workspace ONE Mobile Threat Defense à Workspace ONE Intelligence afin que Workspace ONE Intelligence puisse accéder aux données d’informations sur les menaces et les afficher à des fins d'analyse.

Pour enregistrer Workspace ONE Mobile Threat Defense dans Workspace ONE Intelligence, entrez la clé d'application générée à partir de votre console Workspace ONE Mobile Threat Defense.

Conditions prérequises

  • Utilisez la version requise de Workspace ONE UEM Console pour Workspace ONE Intelligence. Pour plus d'informations, reportez-vous à Version requise de Workspace ONE UEM Console.
  • Utilisez Workspace ONE Mobile Threat Defense avec les applications clientes Workspace ONE Intelligent Hub ou Lookout for Work prises en charge pour iOS ou Android.
  • Intégrez votre console Workspace ONE Mobile Threat Defense à Workspace ONE UEM. Pour plus d'informations sur cette intégration, reportez-vous à la section Intégrer Workspace ONE Mobile Threat Defense avec Workspace ONE UEM. Vous devez intégrer ces systèmes avant de pouvoir utiliser les données d’informations sur les menaces de la console Workspace ONE Mobile Threat Defense dans Workspace ONE Intelligence.

Procédure

  1. Connectez-vous à la console Workspace One Mobile Threat Defense pour générer une clé à utiliser dans Workspace ONE Intelligence.
    1. Accédez à Système > Clés d'application.
    2. Sélectionnez Générer une clé pour générer une clé d'application.
    3. Attribuez une étiquette à cette clé, puis copiez-la dans votre tableau de bord.
    4. Enregistrez la clé dans un endroit sûr, car vous devez entrer cette clé dans Workspace ONE Intelligence.
  2. Connectez-vous à Workspace ONE Intelligence pour l'autoriser à communiquer avec Workspace ONE Mobile Threat Defense.
    1. Accédez à Intégrations > Sources de données > Workspace One Mobile Threat Defense > Configurer > Démarrer.
      Pour accéder aux informations d'identification entrées précédemment, sélectionnez les trois points (…) en bas à droite de la carte et sélectionnez Modifier.
    2. Dans la zone Détails de l’autorisation, entrez les informations répertoriées pour une connexion réussie.
      • URL de base : entrez l'URL du point de terminaison d'API pour Workspace One Mobile Threat Defense, qui est https://api.lookout.com.
      • Clé d'application : entrez la Clé d'application que vous avez générée dans la console Workspace One Mobile Threat Defense. Cette valeur définit la communication entre Workspace ONE Intelligence et le service Workspace One Mobile Threat Defense.
    3. Pour terminer la configuration, sélectionnez Autoriser.

BETTER Mobile

L'intégration entre Workspace ONE Intelligence et BETTER Mobile implique de copier des données générées depuis Workspace ONE Intelligence console et de les ajouter à votre portail d'administrateur BETTER Mobile. Cette action permet à Workspace ONE Intelligence d'ingérer des informations sur les menaces de BETTER Mobile et de les afficher à des fins d'analyse.

Cette intégration fonctionne pour les plates-formes Android et iOS.

Conditions prérequises

Pour pouvoir enregistrer BETTER Mobile, intégrez vos environnements BETTER Mobile et Workspace ONE UEM. Pour plus d'informations, accédez au à la documentation Configurer l'intégration sur le site de documentation de la sécurité BETTER Mobile.

Utilisez la meilleure console Better MTD ou une version ultérieure pour cette intégration.

Procédure

  1. Dans Workspace ONE Intelligence console, accédez à Intégrations > Sources de données > BETTER Mobile > Configuration > Démarrer.
  2. Entrez une adresse e-mail dans l'onglet Détails de la configuration du partenaire réseau. S'il existe des problèmes de connexion entre Check Point et Workspace ONE Intelligence, le système envoie une notification à cette adresse e-mail.

  3. Dans l'onglet Informations d'identification du partenaire réseau, copiez les informations générées et ajoutez-les à votre portail d'administrateur BETTER Mobile.

    • Nom d'hôte
    • Port
    • Jeton d'intégration

  4. Pour terminer la configuration, sélectionnez Terminé.

Carbon Black

Entrez les données relatives à votre connecteur Carbon Black pour l'agent CB Defense afin que Workspace ONE Intelligence puisse accéder aux informations sur les menaces et les afficher pour analyse.

Pour enregistrer Carbon Black dans Workspace ONE Intelligence, entrez les clés et les ID de votre connecteur API Carbon Black et de votre connecteur SIEM Carbon Black.

Pour plus d'informations sur la génération de clés d'API, abonnez-vous aux notifications d'événements Carbon Black et à l'URL de point de terminaison d'API de votre instance Carbon Black, accédez à la rubrique Accès d'API sur le site Carbon Black / Developers.

Contrôles de confidentialité et régions géographiques

Carbon Black dispose de contrôles de confidentialité qui limitent le transfert des données en dehors de la région dans laquelle le locataire Carbon Black se situe. Pour que l'intégration à Workspace ONE Intelligence soit fonctionnelle, assurez-vous que le locataire Carbon Black et l'instance de Workspace ONE Intelligence se trouvent tous deux dans la même région géographique.

Les régions Workspace ONE Intelligence sont répertoriées sur Liste autorisée d’URL par région. Le tableau présente les régions Carbon Black mappées sur les régions Workspace ONE Intelligence.

URL du produit Cloud Carbon Black Nom de la région AWS Carbon Black Région AWS Carbon Black Région AWS Workspace ONE Intelligence
https://dashboard.confer.net

https://defense.conferdeploy.net

https://defense-prod05.conferdeploy.net		 Est des États-Unis (Virginie septentrionale) us-east-1 Les clients Carbon Black us-east-1 peuvent utiliser un mappage sur les régions Amérique du Nord de Workspace ONE Intelligence (NA1, Sandbox et CA1 par exemple).
https://defense-eu.conferdeploy.net Europe (Francfort) eu-central-1 Les clients Carbon Black eu-central-1 peuvent utiliser un mappage sur les régions européennes de Workspace ONE Intelligence (EU1 et EU2 par exemple).
https://ew2.carbonblackcloud.vmware.com Europe (Londres) eu-west-2 Les clients Carbon Black eu-west-2 peuvent être associés aux régions Workspace ONE Intelligence Londres (UK1 par exemple).
https://defense-prodnrt.conferdeploy.net Asie-Pacifique (Tokyo) ap-northwest-1 Les clients Carbon Black ap-northwest-1 peuvent être mappés à la région Asie-Pacifique Tokyo Workspace ONE Intelligence (AP1 par exemple).
https://defense-prodsyd.conferdeploy.net Asie-Pacifique (Sydney) ap-southeast-2 Les clients Carbon Black ap-southeast-2 peuvent être mappés à la région Asie-Pacifique Sydney Workspace ONE Intelligence (AU1 par exemple).

Exemples de contrôles de confidentialité

  • Un client accédant à la console Carbon Black de l'Est des États-Unis peut s'intégrer à des instances de Workspace ONE Intelligence situées dans les régions d’Amérique du Nord NA1, CA1 et Sandbox.
  • Les clients qui utilisent la console Carbon Black de Francfort peuvent s'intégrer aux instances de Workspace ONE Intelligence situées dans la région d’Europe centrale EU1 et EU2.
  • Les clients qui utilisent la console Carbon Black de Londres peuvent s'intégrer à l’instancede Workspace ONE Intelligence située dans la région d’Europe de l’ouest UK1.
  • Les clients qui utilisent la console Carbon Black de Tokyo peuvent s'intégrer à l’instance de Workspace ONE Intelligence située dans la région Asie-Pacifique AP1.
  • Les clients qui utilisent la console Carbon Black de Sydney peuvent s'intégrer à l'instance de Workspace ONE Intelligence situées dans la région Asie-Pacifique du sud-est AU1.
  • Les intégrations inter-régionales étant bloquées en raison des contrôles de confidentialité, un locataire Carbon Black situé dans la région eu-central-1 ne peut pas transmettre de données à une instance de Workspace ONE Intelligence située dans la région NA1.

Procédure

  1. Dans Workspace ONE Intelligence Console, accédez à Intégrations > Sources de données > Carbon Black > Configuration > Démarrer. Pour accéder aux informations d'identification entrées précédemment, sélectionnez Modifier Carbon Black.
  2. Dans la zone Fournir les informations d'identification, entrez les informations pour une connexion réussie.
    • URL de base : Entrez l'URL de point de terminaison API de votre instance de Carbon Black pour que Workspace ONE Intelligence puisse y accéder. Cette chaîne commence par https://.
    • Clé API : entrez la valeur qui autorise Workspace ONE Intelligence à s'authentifier sur votre instance de Carbon Black. Cette clé avec l'ID donne accès aux API de Carbon Black, à l'exception des API de notification.
    • Clé SIEM : entrez la valeur qui autorise Workspace ONE Intelligence à envoyer des notifications et des alertes aux terminaux appartenant aux systèmes SIEM. Cette clé donne accès à toutes les API de notification de Carbon Black.
    • ID du connecteur API : entrez la valeur qui fonctionne avec la clé API pour vous authentifier sur votre instance de Carbon Black. Cet ID avec la clé permet d'accéder aux API de Carbon Black, à l'exception des API de notification.
    • ID du connecteur SIEM : entrez la valeur qui fonctionne avec la clé SIEM pour donner à Workspace ONE Intelligence l'accès aux API Carbon Black pour les notifications.
  3. Pour terminer la configuration, sélectionnez Autoriser.

Check Point

L'intégration entre Workspace ONE Intelligence et Harmony Mobile, la solution de protection contre les menaces mobiles de Check Point, implique de copier des données générées depuis Workspace ONE Intelligence et de les ajouter à votre portail d'administrateur de Check Point. Cette action permet à Workspace ONE Intelligence d'ingérer les informations sur les menaces de Check Point et de les afficher à des fins d'analyse.

Cette intégration fonctionne pour les plates-formes Android et iOS.

Conditions prérequises

Avant de pouvoir utiliser cette intégration Trust Network, intégrez vos environnements Check Point Harmony Mobile et Workspace ONE UEM. Pour plus d'informations, accédez à Intégration avec Workspace ONE UEM.

Procédure

  1. Dans Workspace ONE Intelligence Console, accédez à Intégrations > Sources de données > Check Point > Configuration > Démarrer.
  2. Entrez une adresse e-mail dans l'onglet Détails de la configuration du partenaire réseau. S'il existe des problèmes de connexion entre Check Point et Workspace ONE Intelligence, le système envoie une notification à cette adresse e-mail.

  3. Dans l'onglet Informations d'identification du partenaire réseau, copiez les informations générées et ajoutez-les à votre portail d'administrateur Harmony Mobile dans Paramètres > Syslog > Workspace ONE Intelligence.

    • Nom d'hôte
    • Port
    • Jeton d'intégration

  4. Pour terminer la configuration, sélectionnez Terminé.

Lookout for Work

Entrez les données qui se rapportent à votre service Lookout for Work afin que Workspace ONE Intelligence puisse accéder aux informations sur les menaces et les afficher à des fins d'analyse.

Pour enregistrer Lookout for Work dans Workspace ONE Intelligence, entrez la clé d'application configurée dans votre console Lookout for Work.

Conditions prérequises

  • Utilisez la version requise de Workspace ONE UEM Console pour Workspace ONE Intelligence.
  • Utilisez la version 5.10.0 du client Lookout for Work ou une version plus récente pour iOS ou Android.

Intégrez Lookout for Work et Workspace ONE UEM pour que Workspace ONE UEM gère l'application Lookout for Work. Pour plus d'informations sur cette intégration, consultez le site Lookout Enterprise Support et accédez au guide Déployer Lookout avec VMware AirWatch.

Vous devez intégrer ces systèmes avant de pouvoir utiliser les informations sur les menaces de Lookout for Work dans Workspace ONE Intelligence.

Dans le cadre de l'intégration, vous ajoutez les paramètres de configuration de l'application à l'enregistrement de l'application Lookout for Work dans Workspace ONE UEM Console.

  • Clé de configuration : Obtenez cette valeur à partir des métadonnées de l'application.
  • Type de valeur : Sélectionnez Chaîne.
  • Valeur de configuration : Entrer les deux paramètres exactement. Si vous orthographiez mal un paramètre ou ajoutez un crochet supplémentaire, le paramètre ne fonctionne pas.
    • DeviceUniqueIdentifier
    • DeviceUUID}

Procédure

  1. Dans Workspace ONE Intelligence Console, accédez à Intégrations > Sources de données > Lookout > Configuration > Démarrer. Pour accéder aux informations d'identification entrées précédemment, sélectionnez Modifier Lookout for Work.
  2. Dans la zone Fournir les informations d'identification, entrez les informations pour une connexion réussie.
    • URL de base : entrez l'URL du point de terminaison d'API pour Lookout for Work, qui est https://api.lookout.com.
    • Clé d'application : entrez la valeur qui définit la communication entre Workspace ONE Intelligence et Lookout for Work.
  3. Pour terminer la configuration, sélectionnez Autoriser.

Netskope

Entrez les données qui se rapportent à votre instance de Netskope afin que Workspace ONE Intelligence puisse accéder aux informations sur les menaces pour la sécurité du Cloud et les afficher à des fins d'analyse.

Pour enregistrer Netskope dans Workspace ONE Intelligence, entrez la clé d'application Netskope définie dans la console Netskope.

Conditions prérequises

Intégrez Netskope et Workspace ONE UEM pour que Workspace ONE UEM gère l'application Netskope.

Procédure

  1. Dans Workspace ONE Intelligence Console, accédez à Intégrations > Sources de données > Netskope > Configuration > Démarrer. Pour accéder aux informations d'identification entrées précédemment, sélectionnez Modifier Netskope.
  2. Dans la zone Autorisations de connexion, affichez les données auxquelles Workspace ONE Intelligence souhaite accéder.
  3. Dans la zone Fournir les informations d'identification, entrez les informations pour une connexion réussie.
    • URL de base : entrez l'URL de Netskope pour que Workspace ONE Intelligence puisse y accéder. Cette chaîne commence par https://.
    • Clé d'application : entrez la valeur qui définit la communication entre Workspace ONE Intelligence et Netskope.
  4. Pour terminer la configuration, sélectionnez Autoriser.

Pradeo

L'intégration entre Workspace ONE Intelligence et Pradeo Security implique de copier des données générées depuis Workspace ONE Intelligence et de les ajouter à votre portail d'administrateur Pradeo. Cette action permet à Workspace ONE Intelligence d'ingérer des informations sur les menaces de Pradeo Security et de les afficher à des fins d'analyse.

Cette intégration fonctionne pour les plates-formes Android et iOS.

Conditions prérequises

Avant de pouvoir utiliser cette intégration Trust Network, effectuez l'intégration de vos environnements Pradeo et Workspace ONE UEM. Accédez à l'article Pradeo enriches VMware Workspace ONE with Mobile Threat Intelligence.

Procédure

  1. Dans Workspace ONE Intelligence Console, accédez à Intégrations > Sources de données > Pradeo > Configuration > Démarrer. Pour accéder aux informations d'identification entrées précédemment, sélectionnez Modifier Pradeo.
  2. Entrez une adresse e-mail dans l'onglet Détails de la configuration du partenaire réseau.

  3. Dans l'onglet Informations d'identification du partenaire réseau, copiez les informations générées et ajoutez-les à votre portail d'administrateur Pradeo Security.

    • Jeton d'intégration
    • Nom d'hôte
    • Port

  4. Pour terminer la configuration, sélectionnez Terminé.

Wandera

Pour intégrer Workspace ONE Intelligence au système Mobile Threat Defense de Wandera, vous devez copier des données générées depuis Workspace ONE Intelligence et les ajouter à votre portail administrateur Wandera.

Cette action permet à Workspace ONE Intelligence d'ingérer les informations sur les menaces de Wandera et de les afficher à des fins d'analyse.

Cette intégration fonctionne pour les plates-formes Android et iOS.

Conditions prérequises

Avant de pouvoir utiliser cette intégration Trust Network, effectuez l'intégration de vos environnements Wandera et Workspace ONE UEM. Pour en savoir plus, utilisez votre compte Wandera pour accéder aux articles répertoriés. - Intégration du flux d'événements de menace avec Workspace ONE Intelligence - Guide de configuration de Workspace ONE EMM Connect

Procédure

  1. Dans Workspace ONE Intelligence Console, accédez à Intégrations > Sources de données > Wandera > Configuration > Démarrer. Pour accéder aux informations d'identification entrées précédemment, sélectionnez Modifier Wandera.
  2. Entrez une adresse e-mail dans l'onglet Détails de la configuration du partenaire réseau.
  3. Dans l'onglet Informations d'identification du partenaire réseau , copiez les informations générées et ajoutez-les à votre portail administrateur Wandera.
    • Jeton d'intégration
    • Nom d'hôte
    • Port
  4. Pour terminer la configuration, sélectionnez Terminé.

Zimperium

L'intégration entre Workspace ONE Intelligence et Zimperium implique de copier des données générées depuis Workspace ONE Intelligence et de les ajouter à Zimperium zConsole. Cette action permet à Workspace ONE Intelligence d'ingérer les informations sur les menaces en provenance de Zimperium et de les afficher à des fins d'analyse.

Cette intégration fonctionne pour les plates-formes Android et iOS.

Conditions prérequises

  • Cette intégration fonctionne avec zConsole à partir de la version 4.28 et versions ultérieures.
  • Intégrez Zimperium et Workspace ONE UEM à l'aide de la documentation disponible sur le portail de support Zimperium. Utilisez vos informations d'identification sur le portail de support Zimperium pour accéder à la documentation.

Procédure

  1. Dans Workspace ONE Intelligence Console, accédez à Intégrations > Sources de données > Zimperium > Configuration > Démarrer. Pour accéder aux informations d'identification entrées précédemment, sélectionnez Modifier Zimperium.
  2. Entrez une adresse e-mail dans l'onglet Détails de la configuration du partenaire réseau.
  3. Dans l'onglet Informations d'identification du partenaire réseau, copiez les informations générées et ajoutez-les à Zimperium zConsole.
    • Jeton d'intégration
    • Nom d'hôte
    • Port
  4. Pour terminer la configuration, sélectionnez Terminé.
check-circle-line exclamation-circle-line close-line
Scroll to top icon