Advanced Endpoint Protection Administrator`s Guide Version 3.2
Transcription
Advanced Endpoint Protection Administrator`s Guide Version 3.2
Palo Alto Networks® Advanced Endpoint Protection – Guide de l'administrateur Version 3.2 Informations de contact Siège social : Palo Alto Networks 4401 Great America Parkway Santa Clara, CA 95054 http://www.paloaltonetworks.com/contact/contact/ À propos de ce guide Ce guide décrit l'installation initiale et la configuration de base des composants de Palo Alto Networks Advanced Endpoint Protection qui incluent Endpoint Security Manager (ESM) et Traps. Les sujets abordés incluent les configurations requises, les meilleures pratiques et les procédures pour l'installation et la gestion de Traps sur les points de terminaison de votre organisation. Pour plus d'informations, consultez les sources suivantes : https://paloaltonetworks.com/documentation— Site de documentation de publication techniques. https://live.paloaltonetworks.com— Pour l'accès à la base de connaissances, à l'ensemble de la documentation complète, aux forums de discussion et aux vidéos. https://support.paloaltonetworks.com— Pour contacter l'assistance, pour plus d'informations sur les programmes d'assistance ou pour gérer votre compte ou vos machines. https://support.paloaltonetworks.com/Updates/SoftwareUpdates— Pour les dernières notes de publication, accédez à la page Software Updates sur Pour nous communiquer vos remarques sur la documentation, écrivez-nous à l'adresse : [email protected] Palo Alto Networks, Inc. www.paloaltonetworks.com © 2015 Palo Alto Networks. Tous droits réservés. Palo Alto Networks et PAN-OS sont des marques commerciales de Palo Alto Networks, Inc. Date de révision : mai 29, 2015 Sommaire Vue d'ensemble d'Advanced Endpoint Protection . . . . . . . . . . . . . . . . . . . . . .1 Vue d'ensemble d'Advanced Endpoint Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Prévention d'attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Prévention contre les logiciels malveillants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Composants d'Advanced Endpoint Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Console Endpoint Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Serveur Endpoint Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Base de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Points de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Plate-forme de journalisation externe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Dossier d'investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Scénarios de déploiement pour Advanced Endpoint Protection . . . . . . . . . . 11 Déploiement autonome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Composants du déploiement autonome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Exigences du déploiement autonome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Petits déploiements. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Déploiement sur petit site individuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Déploiement sur petit site multiple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Grands déploiements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Déploiement sur grand site individuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Grand déploiement sur site multiple avec un Endpoint Security Manager . . . . . . . . . . . . . . . . . . . . . . 18 Grand déploiement sur site multiple avec plusieurs Endpoint Security Manager . . . . . . . . . . . . . . . . . 19 Grand déploiement de site multiple avec agents itinérants (sans VPN). . . . . . . . . . . . . . . . . . . . . . . . . 20 Grand déploiement de site multiple avec agents itinérants (avec VPN) . . . . . . . . . . . . . . . . . . . . . . . . 22 Configuration requise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 Configuration requise pour installer le serveur ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Configuration requise pour installer Traps sur un point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Configuration de l'infrastructure Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Configuration de l'infrastructure du point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Mettre à niveau l'infrastructure du point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Configurer Endpoint Security Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Considérations pour l'installation de l'infrastructure du point de terminaison . . . . . . . . . . . . . . . . . . . 32 Activer les services web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Configurer SSL sur la console ESM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 Configurer la base de données du serveur MS-SQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 Installer le logiciel du serveur Endpoint Security Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Installer le logiciel de la console Endpoint Security Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Advanced Endpoint Protection – Guide de l'administrateur iii Charger les stratégies de sécurité de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Configuration des points de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Étapes du déploiement de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Considérations pour l'installation de Traps. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installer Traps sur le point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installer Traps sur le point de terminaison en utilisant Msiexec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 44 45 45 46 Vérifier une installation réussie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Vérifier la connectivité à partir du point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Vérifier la connectivité à partir de la console ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Administrer le serveur ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Gérer plusieurs serveurs ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Exigences du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gérer les serveurs ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 52 52 53 Gérer les licences Endpoint Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Gérer les licences Endpoint Security Manager en utilisant la console ESM . . . . . . . . . . . . . . . . . . . . . 54 Gérer les licences Endpoint Security Manager en utilisant l'outil de configuration de base de données. 55 Configurer un accès administratif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Configuration de l'accès administrateur à Endpoint Security Manager en utilisant la console ESM . . 56 Configuration de l'accès administrateur à Endpoint Security Manager en utilisant l'outil de configuration de base de données57 Modifier le mot de passe du mode ninja en utilisant l'outil de configuration de base de données . . . 58 Exporter et importer les fichiers de stratégie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Prise en main des règles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Vue d'ensemble des règles de stratégie du point de terminaison. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 Types de règle de stratégie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 Application de la stratégie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Composants et actions communs des règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Conditions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Objets cibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nommer ou renommer une règle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Enregistrer les règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gérer les règles enregistrées. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Désactiver ou activer toutes les règles de protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 64 65 66 66 67 67 Prévention d'attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 Gérer les processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Protection des processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ajouter un processus Protégé, Provisoire ou Non protégé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Importer ou exporter un processus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Afficher, modifier ou supprimer un processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Afficher les processus actuellement protégés par Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 71 72 73 73 74 Gérer les règles de prévention d'attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Règles de prévention d'attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 iv Advanced Endpoint Protection – Guide de l'administrateur Stratégie de prévention d'attaque par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Créer une règle de prévention d'attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Exclure un point de terminaison d'une règle de prévention d'attaque . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Prévention contre les logiciels malveillants . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Flux de prévention contre les logiciels malveillants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Phase 1 : Évaluation des stratégies de restriction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Phase 2 : Évaluation des verdicts d'empreinte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Phase 3 : Évaluation des stratégies de prévention contre les logiciels malveillants . . . . . . . . . . . . . . . . 89 Phase 4 : Gestion de verdict . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Gérer les restrictions sur les exécutables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 Règles de restriction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 Ajouter une nouvelle règle de restriction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Gérer les listes blanches globales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 Dossiers locaux en liste noire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Dossiers réseau en liste blanche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Définir les restrictions et exemptions pour les supports externes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 Définir les restrictions et exemptions pour les processus enfants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 Définir les restrictions et exemptions pour Java . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 Définir les restrictions et exemptions pour les exécutables sans signature . . . . . . . . . . . . . . . . . . . . . 101 Gérer les règles et paramètres WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Activation de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Règles WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Configurer une règle WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Gérer les empreintes d'exécutable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Consulter et rechercher les empreintes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Exporter et importer des empreintes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Affichage des rapports WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Substituer une décision de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Révoquer une décision de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Charger un fichier sur WildFire pour l'analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Gérer les règles de prévention contre les logiciels malveillants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Règles de prévention contre les logiciels malveillants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Configurer la protection d'injection de thread. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 Configurer la protection de surveillance de suspension . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Gérer les points de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119 Gérer les règles d'action Traps. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 Règles d'action Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 Ajouter une nouvelle règle d'action . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 Gérer les données collectées par Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 Éteindre ou suspendre la protection EPM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 Désinstaller ou mettre à niveau Traps sur le point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 Mettre à jour ou révoquer la licence Traps sur le point de terminaison. . . . . . . . . . . . . . . . . . . . . . . . 126 Gérer les règles de paramètres d'agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 Règles de paramètres d'agent Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 Ajouter une nouvelle règle de paramètres d'agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 Définir les préférences de journalisation d'évènement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 Advanced Endpoint Protection – Guide de l'administrateur v Masquer ou limiter l'accès à la console Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Définir les paramètres de communication entre le point de terminaison et le serveur ESM . . . . . . . Collecter les informations sur les nouveaux processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gérer la protection de service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Modifier le mot de passe de désinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Créer un message de prévention personnalisé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Créer un message de notification personnalisé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 133 134 135 137 138 139 Investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 Aperçu de l'investigation numérique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 Flux d'investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 Types de données d'investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 Gérer les règles et paramètres d'investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Règles d'investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Modifier le dossier d'investigation numérique par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Créer une règle d'investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Définir les préférences de vidage mémoire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Définir les préférence de collecte d'investigation numérique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Récupérer les données concernant un évènement de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 145 145 147 149 150 151 Activer la collecte d'URI dans Chrome. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 Installer l'extension Chrome sur le point de terminaison. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 Installer l'extension Chrome en utilisant GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 Rapports et journalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 Entretien des points de terminaison et de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 Utilisez le tableau de bord Endpoint Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 Surveillance des évènement de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 Utiliser le tableau de bord Security Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 Affichage de l'historique d'évènement de sécurité sur un point de terminaison . . . . . . . . . . . . . . . . . 164 Surveiller la santé des points de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Afficher les détails de santé du point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Afficher les détails d'état de Traps. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Affichage de l'historique des règles sur un point de terminaison. . . . . . . . . . . . . . . . . . . . . . . . . . . . . Afficher les modifications à la stratégie de sécurité du point de terminaison . . . . . . . . . . . . . . . . . . . Affichage de l'historique d'état du service sur un point de terminaison . . . . . . . . . . . . . . . . . . . . . . . Supprimer un point de terminaison de la page Health . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 166 167 168 169 170 170 Surveiller les règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 Affichage du récapitulatif de la règle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 Afficher les détails des règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 Surveiller l'extraction d'investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 Surveiller les notifications de l'agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 Afficher les notifications sur les modification d'état de l'agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 Afficher les détails sur le journal de l'agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 Surveiller les notifications du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 Afficher les notifications concernant le serveur ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 Afficher les détails des journaux du serveur ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 Gérer les préférences de création de rapport et de journalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 vi Advanced Endpoint Protection – Guide de l'administrateur Activer la création de rapport externe en utilisant la console ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 Activer la création de rapport externe en utilisant l'outil de configuration de base de données . . . . . 179 Définir les paramètres de communication en utilisant la console ESM . . . . . . . . . . . . . . . . . . . . . . . . 180 Définir les paramètres de communication en utilisant l'outil de configuration de base de données . 181 Dépannage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 Ressources de dépannage pour Advanced Endpoint Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 Outil de configuration de base de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 Accéder à l'outil de configuration de base de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 Cytool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 Accéder à Cytool. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 Afficher les processus actuellement protégés par Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 Gérer les paramètres de protection sur le point de terminaison. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 Gérer les pilotes et services Traps sur le point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 Afficher et comparer les stratégies de sécurité sur un point de terminaison . . . . . . . . . . . . . . . . . . . . 197 Résoudre les problèmes de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 Pourquoi ne puis-je pas installer Traps ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 Pourquoi ne puis-je pas mettre à niveau ou désinstaller Traps ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 Pourquoi Traps ne parvient pas à se connecter au serveur ESM ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 Comment puis-je résoudre une erreur de certification du serveur Traps ? . . . . . . . . . . . . . . . . . . . . . 205 Résoudre les problèmes de la console ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 Pourquoi m'est-il impossible d'ouvrir une session sur la console ESM ?. . . . . . . . . . . . . . . . . . . . . . . 206 Pourquoi est-que j'obtiens une erreur du serveur au lancement de la console ESM ? . . . . . . . . . . . . 207 Pourquoi tous les points de terminaison apparaissent déconnectés dans la console ESM ?. . . . . . . . 208 Advanced Endpoint Protection – Guide de l'administrateur vii viii Advanced Endpoint Protection – Guide de l'administrateur Vue d'ensemble d'Advanced Endpoint Protection Advanced Endpoint Protection est une solution qui empêche les menaces persistantes avancées (APTs) et les attaques au jour zéro et permet la protection de vos points de terminaison en bloquant les vecteurs d'attaque avant tout lancement de logiciel malveillant. Pour obtenir la documentation la plus récente sur Advanced Endpoint Protection version 3.2, visitez la page Advanced Endpoint Protection Documentation sur le portail de documentation technique. Les sujets suivants décrivent plus en détails Advanced Endpoint Protection : Vue d'ensemble d'Advanced Endpoint Protection Composants d'Advanced Endpoint Protection Advanced Endpoint Protection – Guide de l'administrateur 1 Vue d'ensemble d'Advanced Endpoint Protection Vue d'ensemble d'Advanced Endpoint Protection Vue d'ensemble d'Advanced Endpoint Protection Les cyber-attaques sont des attaques effectuées sur des réseaux ou points de terminaison pour infliger des dommages, voler des informations ou parvenir à d'autres fins qui impliquent la prise de contrôle sur des systèmes informatiques qui appartiennent à d'autres personnes. Les adversaires perpètrent les cyber-attaques soit en causant l'exécution involontaire d'un exécutable malicieux par un utilisateur, soit en exploitant une faille dans un exécutable légitime afin d'exécuter un code malicieux en arrière-plan sans que l'utilisateur n'en soit conscient. L'une des manière d'éviter ces attaques est d'identifier les exécutables, les bibliothèques de liens dynamiques (DLL) ou d'autres éléments de code en tant qu'éléments malicieux, puis d'empêcher leur exécution en testant chaque module dont le code est potentiellement malicieux avec une liste spécifique de signatures de menaces connues. Le point faible de cette méthode est que les solutions basées sur signature mettent du temps à identifier les nouvelles menaces connues uniquement du pirate (également appelée attaques au jour zéro ou exploitations) et à les ajouter aux listes des menaces connues, laissant le point de terminaison vulnérable jusqu'à la mise à jour des signatures. La solution Advanced Endpoint Protection, qui comprend un logiciel centralisé Endpoint Security Manager et un logiciel de protection de point de terminaison appelé Traps, rend plus efficace l'approche pour prévenir les attaques. Au lieu de tenter de suivre le rythme d'une liste de menaces connues en croissance perpétuelle, Traps établit une série de barrages routiers qui empêchent les attaques dès leurs points d'entrée initiaux, lorsque les exécutables légitimes sont sur le point de laisser inconsciemment un accès malicieux au système. Traps cible les vulnérabilités des logiciels dans les processus qui ouvrent des fichiers non exécutables en utilisant les techniques de prévention d'attaque. Traps utilise également des techniques de prévention contre les logiciels malveillants pour empêcher l'exécution de fichiers exécutables malicieux. En utilisant cette double approche, la solution Advanced Endpoint Protection peut empêcher tous les types d'attaques, qu'il s'agisse de menaces connues ou inconnues. Tous les aspects des paramètres de sécurité du point de terminaison — les points de terminaison et groupes auxquels ils sont appliqués, les applications qu'ils protègent, les règles définies, les restrictions et les actions — peuvent être configurés de manière approfondie. Cela permet à chaque organisation d'adapter Traps à ces exigences afin qu'il fournisse la meilleure protection avec le moins de perturbation possible des activités quotidiennes. Prévention d'attaque Prévention contre les logiciels malveillants Prévention d'attaque Une attaque est une séquence de commandes qui profite d'un bogue ou d'une vulnérabilité dans une application logicielle ou un processus. Les pirates utilisent les attaques comme moyen d'accès et utilisent un système à leur avantage. Pour prendre le contrôle d'un système, le pirate doit contourner une chaîne de vulnérabilités au sein du système. Le blocage de toute tentative d'exploiter une vulnérabilité dans la chaîne bloquera totalement la tentation d'attaque. Dans un scénario d'attaque type, un pirate tente de prendre le contrôle d'un système en essayant d'abord de corrompre ou de contourner l'allocation mémoire ou les gestionnaires. L'utilisation de techniques de corruption de mémoire comme les dépassements de tampon et la corruption du tas, le pirate peut ensuite déclencher un 2 Advanced Endpoint Protection – Guide de l'administrateur Vue d'ensemble d'Advanced Endpoint Protection Vue d'ensemble d'Advanced Endpoint Protection bogue dans un logiciel ou exploiter une vulnérabilité dans un processus. Le pirate doit ensuite manipuler un programme pour exécuter le code fourni ou spécifié par le pirate et échapper à la détection. Si le pirate obtient l'accès au système d'exploitation, il peut ensuite charge des chevaux de Troie, des logiciels malveillants contenant des exécutables malicieux, ou utiliser d'une autre manière le système à son avantage. Traps empêche ces tentatives d'attaque en employant des barrages routiers ou trappes à chaque étape de la tentative d'exploitation. Lorsqu'un utilisateur ouvre un fichier non exécutable, comme un PDF ou un document Word, l'agent Traps injecte de manière transparente des pilotes dans le logiciel qui ouvre le fichier. Les pilotes sont injectés le plus tôt possible avant le chargement en mémoire de tout fichier appartenant au processus. Si le processus qui ouvre le fichier est protégé, Traps un module de code appelé une module de prévention d'attaque (EPM) dans le processus. L'EPM cible une technique d'exploitation spécifique et il est conçu pour éviter les attaques sur les vulnérabilités du programme basées sur la corruption de mémoire ou des failles logiques. Les exemples d'attaques que les EPM peuvent prévenir incluent le détournement de bibliothèque de liens dynamiques (DLL) (remplacement d'une DLL par une DLL malicieuse du même nom), le détournement du flux de contrôle d'un programme, et l'introduction de code malicieux en tant que gestionnaire d'exception. En plus de la protection automatique des processus contre ces attaques, Traps signale tous les évènements de prévention à Endpoint Security Manager et effectue des actions supplémentaires en fonction des paramètres des règles de stratégie. Les actions courantes qu'effectue Traps incluent la collecte de données d'investigation numérique et l'avertissement de l'utilisateur à propos de l'évènement. Traps n'effectue aucune action d'analyse ou de surveillance supplémentaire. La stratégie de sécurité par défaut du point de terminaison protège les applications les plus vulnérables et les plus couramment utilisées, mais vous pouvez aussi ajouter d'autres applications de tiers et propriétaires à la liste des processus protégés. Pour plus d'informations, consultez la section Ajouter un processus Protégé, Provisoire ou Non protégé. Pour plus d'informations, consultez la section Règles de prévention d'attaque. Prévention contre les logiciels malveillants Les fichiers exécutables malicieux, appelés logiciels malveillants, sont souvent déguisés ou intégrés dans des fichiers non malicieux. Ces fichiers, parfois appelés chevaux de Troie, peuvent nuire aux ordinateurs en tenant d'obtenir le contrôle, de rassembler des informations sensibles ou de perturber les opérations normales du système. Advanced Endpoint Protection – Guide de l'administrateur 3 Vue d'ensemble d'Advanced Endpoint Protection Vue d'ensemble d'Advanced Endpoint Protection Pour protéger les points de terminaison contre les fichiers exécutables malicieux, Traps emploie le moteur de prévention contre les logiciels malveillants comme autre type de barrage routier de sécurité. Le moteur de prévention contre les logiciels malveillants utilise une combinaison de restrictions basées sur la stratégie, de modules de prévention contre les logiciels malveillants et d'analyse WildFire pour limiter la surface d'une attaque et contrôler la source d'installation du fichier, par exemple à partir d'un support externe. Le moteur de prévention contre les logiciels malveillants utilise également des mitigations basées sur la technique qui limitent ou bloquent les processus enfants, les processus Java lancé dans les navigateurs web, la création de threads et processus distants et l'exécution des processus sans signature. Lorsqu'un évènement de sécurité se produit, les actions courantes effectuées par Traps incluent la prévention de l'exécution du fichier, la collecte de données d'investigation numérique et la notification de l'utilisateur à propos de l'évènement. Traps n'effectue aucune action d'analyse ou de surveillance supplémentaire. Pour plus d'informations, voir Flux de prévention contre les logiciels malveillants. 4 Advanced Endpoint Protection – Guide de l'administrateur Vue d'ensemble d'Advanced Endpoint Protection Composants d'Advanced Endpoint Protection Composants d'Advanced Endpoint Protection La solution Advanced Endpoint Protection utilise un Endpoint Security Manager centralisé (ESM) comprenant une console ESM, une base de données et un serveur ESM pour gérer les règles de stratégie et distribuer la stratégie de sécurité aux points de terminaison dans votre organisation. Les composants Endpoint Security Manager communiquent avec le logiciel de protection, appelé Traps, qui est installé sur chaque point de terminaison de votre organisation. Le diagramme suivant présente les composants d'Advanced Endpoint Protection. Les sujets suivants décrivent les éléments plus en détails. Console Endpoint Security Manager Serveur Endpoint Security Manager Base de données Points de terminaison Traps Plate-forme de journalisation externe WildFire Dossier d'investigation numérique Advanced Endpoint Protection – Guide de l'administrateur 5 Composants d'Advanced Endpoint Protection Vue d'ensemble d'Advanced Endpoint Protection Console Endpoint Security Manager La console Endpoint Security Manager (ESM) est une interface web qui fournit un tableau de bord d'administration pour la gestion des évènements de sécurité, de la santé des points de terminaison et des règles de stratégie. Vous pouvez installer l'interface web sur le même serveur que le serveur ESM, sur un serveur à part ou sur un serveur sur le nuage. La console ESM communique avec la base de données indépendamment du serveur ESM. Serveur Endpoint Security Manager Chaque serveur Endpoint Security Manager (ESM) fait office de serveur de connexion qui relaie les informations entre les composants ESM, Traps et WildFire. Chaque serveur ESM prend en charge jusqu'à 50 000 agents Traps. Le serveur ESM récupère régulièrement la stratégie de sécurité dans la base de données et la distribue à tous les agents Traps. Chaque agent Traps relaie les informations liées aux évènements de sécurité au serveur ESM. Le tableau suivant affiche les types de messages que l'agent Traps envoie au serveur ESM : Type de message Description État de Traps L'agent Traps envoie périodiquement des messages au serveur ESM pour indiquer qu'il est opérationnel et pour demander la dernière stratégie de sécurité. Les pages Notification et Health dans Endpoint Security Manager affichent l'état de chaque point de terminaison. Par défaut, la durée entre les messages, appelée période de pulsation, est de cinq minutes ; la période de pulsation peut être configurée. Notifications L'agent Traps envoie des messages de notification concernant les modifications dans l'agent, comme le démarrage ou l'arrêt d'un service, au serveur ESM. Le serveur inscrit ces notifications dans le journal de la base de données. Vous pouvez consulter les notifications dans Endpoint Security Manager. Par défaut, Traps envoie des notifications toutes les deux heures. Messages de mise à jour Un utilisateur final peut demander une mise à jour immédiate de la stratégie en cliquant sur le bouton Check-in now de la console Traps. L'agent Traps est ainsi forcé de demander la dernière stratégie de sécurité au serveur ESM sans attendre la fin de la période de pulsation. Rapports de prévention Si un évènement de prévention se produit sur un point de terminaison où l'agent Traps est installé, l'agent Traps signale toutes les informations relatives à l'évènement au serveur ESM en temps réel. Base de données La base de données stocke les informations d'administration, les règles de stratégie de sécurité, l'historique du point de terminaison et d'autres informations relatives aux évènements de sécurité. La base de données est gérée sur la plate-forme MS-SQL. Chaque base de données exige une licence et peut communiquer avec un ou plusieurs serveur ESM. La base de données peut être installée sur le même serveur que la console ESM et le serveur ESM, comme dans un environnement autonome, ou peut être installée sur un serveur dédié. 6 Advanced Endpoint Protection – Guide de l'administrateur Vue d'ensemble d'Advanced Endpoint Protection Composants d'Advanced Endpoint Protection Durant la page de preuve de concept, la base de données SQLite est également prise en charge. Points de terminaison Un point de terminaison est un ordinateur sous Windows, un serveur, une machine virtuelle ou un dispositif mobile exécutant l'application de protection côté client appelée Traps. Pour la configuration requise, voir Configuration requise pour installer Traps sur un point de terminaison. Traps Traps comprend une console qui fournit une application d'interface utilisateur, un agent qui protège le point de terminaison et communiquer avec le serveur ESM, et le service qui collecte les données d'investigation numérique. L'agent Traps protège le point de terminaison en implémentant la stratégie de sécurité définie pour l'organisation dans Endpoint Security Manager. Lorsqu'un utilisateur créé ou ouvre un processus protégé sur le point de terminaison, l'agent Traps injecte ses pilotes dans le processus le plus tôt possible, avant le chargement en mémoire des fichiers du processus. L'agent protège également le logiciel Traps contre la désactivation ou la désinstallation. Si l'agent Traps rencontre un évènement de prévention, le service Traps collecte les informations d'investigation numérique et transmet les données liées à l'évènement à Endpoint Security Manager. Le service Traps est aussi responsable de la communication régulière des informations d'état relatives au point de terminaison. La console Traps affiche des informations sur les processus protégés, l'historique des évènements et la stratégie de sécurité actuelle. Habituellement, les utilisateurs n'ont pas besoin d'exécuter la console Traps, mais les informations peuvent être utiles lors de l'enquête sur un évènement lié à la sécurité. Vous pouvez choisir de masquer l'icône de la zone de notification qui permet de lancer la console ou d'empêcher totalement les utilisateurs de la lancer. Pour plus d'informations, consultez la section Masquer ou limiter l'accès à la console Traps. Advanced Endpoint Protection – Guide de l'administrateur 7 Composants d'Advanced Endpoint Protection Vue d'ensemble d'Advanced Endpoint Protection Plate-forme de journalisation externe La spécification d'une plate-forme de journalisation externe permet un affichage agrégé des journaux de tous les serveurs ESM. Endpoint Security Manager peut écrire les journaux sur une plate-forme de journalisation externe, comme la gestion d'informations et d'évènements de sécurité (SIEM), les contrôles d'organisation de service (SOC) ou le journal système (syslog), en plus du stockage interne de ses journaux. Vous pouvez aussi intégrer votre serveur syslog à des outils de suivi tiers comme Splunk pour analyser les données du journal. Téléchargez l'application Splunk pour Palo Alto Networks à l'adresse https://apps.splunk.com/app/491/. Pour ajouter une plate-forme de journalisation externe, voir Activer la création de rapport externe en utilisant la console ESM. WildFire L'agent Traps est conçu pour bloquer les attaques avant l'exécution de tout code malicieux sur le point de terminaison. Tandis que cette approche garantit la sécurité des données et de l'infrastructure, elle permet la collecte des preuves d'investigation numérique au moment de la prévention. Ainsi, elle ne peut pas révéler complètement le but de l'attaque ni son flux complet. Le service WildFire est un système d'analyse post-prévention en option qui effectue l'analyse d'investigation numérique des fichiers malicieux. L'activation de l'intégration WildFire permet à Traps de créer une empreinte de fichier à partir d'un fichier exécutable et de la contrôler avec le nuage WildFire ou une machine WildFire locale. Si WildFire confirme que le fichier est un logiciel malveillant connu, l'agent Traps bloque le fichier pour les futures expositions et et avertit Endpoint Security Manager. Lorsque WildFire détecte un nouveau logiciel malveillant, il génère une nouvelle signature dans l'heure qui suit. Les pare-feu Palo Alto Networks de future génération dotés d'un abonnement WildFire peuvent recevoir les nouvelles signatures dans un délai de 15 minutes ; les pare-feu qui sont seulement dotés de l'abonnement à la prévention des menaces peuvent recevoir les nouvelles signatures lors de la mise à jour suivante de la signature antivirus, soit dans un délai de 24-48 heures. Si l'intégration WildFire est activée dans la console ESM, la page Status de la console Traps affiche à côté de Forensic Data Collection. Si WildFire n'est pas activé, la console Traps affiche à côté de Forensic Data Collection. Pour plus d'informations, voir Activation de WildFire et Flux de prévention contre les logiciels malveillants. 8 Advanced Endpoint Protection – Guide de l'administrateur Vue d'ensemble d'Advanced Endpoint Protection Composants d'Advanced Endpoint Protection Dossier d'investigation numérique Lorsque Traps rencontre un évènement lié à la sécurité, comme l'exécution d'un fichier, l'interférence avec le service Traps ou une attaque par exploitation, il inscrit en temps réel dans le journal les détails d'investigation numérique relatifs à l'évènement sur le point de terminaison. Les données d'investigation numérique incluent l'historique d'évènement, le vidage mémoire et d'autres informations associées à l'évènement. Vous pouvez récupérer les données d'investigation numérique en créant une règle d'action pour collecter les données à partir du point de terminaison. Lorsque le point de terminaison a reçu la stratégie de sécurité qui inclut la règle d'action, l'agent Traps envoie toutes les informations d'investigation numérique au dossier d'investigation numérique, qui est parfois appelé dossier de quarantaine. Durant l'installation initiale, vous spécifiez le chemin du dossier d'investigation numérique que Endpoint Security Manager utilise pour stocker les informations d'investigation numérique qu'il récupère des points de terminaison. Endpoint Security Manager prend en charge plusieurs dossiers d'investigation numérique dans Advanced Endpoint Protection 3.2 ou supérieur et active le service de transfert intelligent en arrière-plan (BITS) (BITS) sur le dossier durant l'installation. Si le dossier d'investigation numérique spécifié durant l'installation n'est pas accessible, Traps utilise par défaut le dossier d'investigation numérique spécifié dans la console ESM. Vous pouvez modifier le dossier par défaut à tout moment en utilisant Endpoint Security Manager. Advanced Endpoint Protection – Guide de l'administrateur 9 Composants d'Advanced Endpoint Protection 10 Vue d'ensemble d'Advanced Endpoint Protection Advanced Endpoint Protection – Guide de l'administrateur Scénarios de déploiement pour Advanced Endpoint Protection Vous pouvez déployer la solution Advanced Endpoint Protection dans une vaste gamme d'environnements. Les sujets suivants décrivent les scénarios types de déploiement qui tiennent compte du nombre d'agents et de sites : Déploiement autonome Petits déploiements Grands déploiements Pour les configurations requises et les considérations d'installation, voir Configuration requise. Advanced Endpoint Protection – Guide de l'administrateur 11 Déploiement autonome Scénarios de déploiement pour Advanced Endpoint Protection Déploiement autonome Composants du déploiement autonome Exigences du déploiement autonome Composants du déploiement autonome Pour une preuve de concept (POC) initiale ou un petit site avec moins de 250 agents Traps, utilisez un déploiement autonome pour installer les composants Endpoint Security Manager (ESM) suivants sur un serveur individuel ou une machine virtuelle : Serveur ESM Console ESM Dossier d'investigation numérique (quarantaine) Base de données Équilibreur de charge (en option) pour la répartition du trafic sur les serveurs ESM Plateforme de journalisation externe, par ex. SIEM ou syslog Intégration WildFire (en option) Pour les meilleures pratiques sur l'utilisation d'une approche par phases pour l'installation de Traps sur les points de terminaison, voir Étapes du déploiement de Traps. Exigences du déploiement autonome Le tableau suivant indique les exigences pour le serveur autonome. 12 Advanced Endpoint Protection – Guide de l'administrateur Scénarios de déploiement pour Advanced Endpoint Protection Configuration requise Valeur Processeur Pentium 4 et supérieur Mémoire 512 Mo de RAM Espace disque 100 Mo Application base de données SQLite (POC uniquement) ou MS-SQL Déploiement autonome Pour les exigences de Traps, voir Configuration requise pour installer Traps sur un point de terminaison. Advanced Endpoint Protection – Guide de l'administrateur 13 Petits déploiements Scénarios de déploiement pour Advanced Endpoint Protection Petits déploiements Déploiement sur petit site individuel Déploiement sur petit site multiple Déploiement sur petit site individuel Ce scénario de développement prend en charge jusqu'à 50 000 agents Traps au sein d'un environnement de site individuel et comprend les composants suivants : Un serveur de base de données dédié Une console Endpoint Security Manager (ESM) exécutant 3.2 pour la gestion de la stratégie de sécurité et des agents Traps Deux serveurs ESM exécutant le noyau ESM 3.2, un primaire et un de secours, sur le même segment réseau que le serveur de base de données et la console Un dossier d'investigation numérique accessible par tous les points de terminaison pour le stockage des détails d'investigation numérique en temps réel concernant les évènements de sécurité Équilibreur de charge (en option) pour la répartition du trafic sur les serveurs ESM Plateforme de journalisation externe, par ex. SIEM ou syslog 14 Advanced Endpoint Protection – Guide de l'administrateur Scénarios de déploiement pour Advanced Endpoint Protection Petits déploiements Intégration WildFire (en option) Dans ce scénario de déploiement, un site individuel contient la base de données, la console ESM pour la gestion des stratégies locales et des points de terminaison, et des serveurs ESM redondants. Dans le cas où le serveur ESM primaire serait inaccessible, les agents Traps se connectent à Endpoint Security Manager en utilisant le serveur de secours. Les deux serveurs obtiennent la stratégie de sécurité de la part de la base de données et distribuent la stratégie aux agents. Déploiement sur petit site multiple Ce scénario de développement prend en charge jusqu'à 100 000 agents Traps (50 000 par site) au sein d'un environnement de site multiple et comprend les composants suivants : Un serveur de base de données dédié dans l'un des sites Une console Endpoint Security Manager (ESM) exécutant 3.2 au même emplacement que la base de données pour la gestion de la stratégie de sécurité et des agents Traps Un serveur ESM par site ou deux serveurs ESM par site pour la redondance, exécutant chacun le noyau ESM 3.2. Un dossier d'investigation numérique accessible par tous les points de terminaison pour le stockage des détails d'investigation numérique en temps réel concernant les évènements de sécurité Advanced Endpoint Protection – Guide de l'administrateur 15 Petits déploiements Scénarios de déploiement pour Advanced Endpoint Protection Équilibreur de charge (en option) pour la répartition du trafic sur les serveurs ESM Plateforme de journalisation externe, par ex. SIEM ou syslog Intégration WildFire (en option) Dans ce scénario de déploiement, le site A contient un serveur ESM, une base de données et une console ESM pour la gestion des stratégies locales et des points de terminaison. Le site B contient un deuxième serveur ESM qui peut prendre en charge jusqu'à 50 000 agents supplémentaires (100 000 agents Traps au total). Les deux serveurs obtiennent la stratégie de sécurité de la part de la base de données situé sur le site A et distribuent la stratégie aux agents. Les agents se connectent au serveur ESM primaire sur leur site tandis que le serveur ESM de l'autre site fait office de serveur secondaire de secours. 16 Advanced Endpoint Protection – Guide de l'administrateur Scénarios de déploiement pour Advanced Endpoint Protection Grands déploiements Grands déploiements Déploiement sur grand site individuel Grand déploiement sur site multiple avec un Endpoint Security Manager Grand déploiement sur site multiple avec plusieurs Endpoint Security Manager Grand déploiement de site multiple avec agents itinérants (sans VPN) Grand déploiement de site multiple avec agents itinérants (avec VPN) Déploiement sur grand site individuel Ce scénario de développement prend en charge jusqu'à 200 000 agents Traps (50 000 par site) au sein d'un environnement de site individuel et comprend les composants suivants : Un serveur de base de données dédié Une console Endpoint Security Manager (ESM) exécutant 3.2 au même emplacement que la base de données pour la gestion de la stratégie de sécurité et des agents Traps Advanced Endpoint Protection – Guide de l'administrateur 17 Grands déploiements Scénarios de déploiement pour Advanced Endpoint Protection Des serveurs ESM, un tous les 50 000 agents Traps, exécutant chacun le noyau ESM 3.2. Un dossier d'investigation numérique par serveur ESM, accessible par tous les points de terminaison pour le stockage des détails d'investigation numérique en temps réel concernant les évènements de sécurité Équilibreur de charge (en option) pour la répartition du trafic sur les serveurs ESM Plateforme de journalisation externe, par ex. SIEM ou syslog Intégration WildFire (en option) Dans cet exemple, 200 000 agents Traps au maximum peuvent se connecter à Endpoint Security Manager. Pour soutenir ce scénario, les points de terminaison se connectent à quatre serveurs ESM par l'intermédiaire d'un équilibreur de charge en option. Chaque serveur ESM se connecte à une base de données centrale qui est gérée par une console ESM dédiée. Grand déploiement sur site multiple avec un Endpoint Security Manager Ce scénario de développement prend en charge jusqu'à 200 000 agents Traps (50 000 par site) au sein d'un environnement de site multiple qui comprend les composants suivants : Un serveur de base de données dédié Une console Endpoint Security Manager (ESM) exécutant 3.2 au même emplacement que la base de données pour la gestion de la stratégie de sécurité et des agents Traps Des serveurs ESM, un tous les 50 000 agents Traps sur chaque site, exécutant chacun le noyau ESM 3.2. Un dossier d'investigation numérique accessible par tous les points de terminaison pour le stockage des détails d'investigation numérique en temps réel concernant les évènements de sécurité Équilibreur de charge (en option) pour la répartition du trafic sur les serveurs ESM 18 Advanced Endpoint Protection – Guide de l'administrateur Scénarios de déploiement pour Advanced Endpoint Protection Plateforme de journalisation externe, par ex. SIEM ou syslog Intégration WildFire (en option) Grands déploiements Dans cet exemple, nous supposons que les sites A, B, C et D nécessitent chacun de 50 000 agents Traps. Pour soutenir ce scénario, chaque site contient un serveur ESM qui récupère la stratégie de sécurité dans la base de données située sur le site A. Les agents se connectent à Endpoint Security Manager en utilisant leurs serveurs ESM locaux comme serveur primaire et utilisent les serveurs ESM des autres sites comme serveurs secondaires. Grand déploiement sur site multiple avec plusieurs Endpoint Security Manager Ce scénario de développement prend en charge jusqu'à 200 000 agents Traps (50 000 par site) au sein d'un environnement de site multiple qui comprend les composants suivants : Un Endpoint Security Manager (ESM) par site : – Une base de données dédiée (avec licence) – Une console ESM exécutant 3.2 au même emplacement que la base de données pour la gestion de la stratégie de sécurité et des agents Traps – Des serveurs ESM, un tous les 50 000 agents Traps sur chaque site, exécutant chacun le noyau ESM 3.2. Un dossier d'investigation numérique accessible par tous les points de terminaison pour le stockage des détails d'investigation numérique en temps réel concernant les évènements de sécurité Équilibreur de charge (en option) pour la répartition du trafic sur les serveurs ESM Plateforme de journalisation externe, par ex. SIEM ou syslog Advanced Endpoint Protection – Guide de l'administrateur 19 Grands déploiements Scénarios de déploiement pour Advanced Endpoint Protection Intégration WildFire (en option) Dans cet exemple, nous supposons que les sites A, B, C et D nécessitent chacun de 50 000 agents Traps. Pour soutenir ce scénario, chaque site gérer les stratégies de sécurité de manière indépendante des autres sites en utilisant un Endpoint Security Manager local qui comprend un serveur ESM, une base de données et une console ESM. Les agents se connectent à Endpoint Security Manager en utilisant leurs serveurs ESM locaux comme serveur primaire et utilisent les serveurs ESM des autres sites comme serveurs secondaires. L'utilisation d'une solution de base de données en cluster complet n'est pas recommandée en raison du potentiel de collisions de base de données. Dans les cas où la solution de base de données est déjà en place, configurez le agents Traps pour qu'ils utilisent une adresse IP virtuelle (VIP) individuelle pour accéder au cluster de base de données. Grand déploiement de site multiple avec agents itinérants (sans VPN) Ce scénario de développement prend en charge jusqu'à 200 000 agents Traps (50 000 par site) au sein d'un environnement de site multiple et comprend les composants suivants : 20 Un serveur de base de données dédié Advanced Endpoint Protection – Guide de l'administrateur Scénarios de déploiement pour Advanced Endpoint Protection Grands déploiements Une console Endpoint Security Manager (ESM) exécutant 3.2 au même emplacement que la base de données pour la gestion de la stratégie de sécurité et des agents Traps Des serveurs ESM, un tous les 50 000 agents Traps sur chaque site, exécutant chacun le noyau ESM 3.2. Une serveur ESM avec un enregistrement DNS destiné au public qui accepte les connexions provenant des agents Traps, soit : – Un serveur ESM avec un port configuré pour accepter les connexions provenant des réseaux externes – Un serveur ESM installé dans une DMZ avec une connexion au serveur de base de données interne. Ce serveur peut aussi faire office de serveur secondaire de secours. Un dossier d'investigation numérique accessible par tous les points de terminaison pour le stockage des détails d'investigation numérique en temps réel concernant les évènements de sécurité Équilibreur de charge (en option) pour la répartition du trafic sur les serveurs ESM Plateforme de journalisation externe, par ex. SIEM ou syslog Intégration WildFire (en option) Dans cet exemple, nous supposons que les sites A, B et C nécessitent chacun de 50 000 agents Traps et que 50 000 points de terminaison supplémentaires sont en itinérance. Pour soutenir ce scénario, chaque site contient un serveur ESM qui récupère la stratégie de sécurité dans la base de données située sur le site A. Les points de terminaison internes se connectent à Endpoint Security Manager en utilisant leurs serveurs ESM locaux. Les points de terminaison externes se connectent par l'intermédiaire d'un serveur ESM disponible au public situé dans une DMZ ou par l'intermédiaire d'un port qui est configuré pour permettre le trafic en provenance des réseaux externes. Si un point de terminaison est en itinérance et ne peut pas se connecter au serveur ESM, Traps collecte les données de prévention en local jusqu'à ce que l'agent puisse établir une connexion au dossier d'investigation numérique. Advanced Endpoint Protection – Guide de l'administrateur 21 Grands déploiements Scénarios de déploiement pour Advanced Endpoint Protection Grand déploiement de site multiple avec agents itinérants (avec VPN) Ce scénario de déploiement prend en charge jusqu'à 200 000 agents Traps (50 000 par site) qui peuvent se connecter par l'intermédiaire de sites locaux et à partir d'emplacements hors site par l'intermédiaire d'un tunnel VPN. Cet environnement de site multiple comprend les composants suivants : Un serveur de base de données dédié Une console Endpoint Security Manager (ESM) exécutant 3.2 au même emplacement que la base de données pour la gestion de la stratégie de sécurité et des agents Traps Des serveurs ESM, un tous les 50 000 agents Traps sur chaque site, exécutant chacun le noyau ESM 3.2. Une connexion VPN pour fournir aux utilisateurs itinérants une adresse IP interne pour la connexion au serveur ESM. Un dossier d'investigation numérique accessible par tous les points de terminaison pour le stockage des détails d'investigation numérique en temps réel concernant les évènements de sécurité Équilibreur de charge (en option) pour la répartition du trafic sur les serveurs ESM Plateforme de journalisation externe, par ex. SIEM ou syslog Intégration WildFire (en option) Dans cet exemple, nous supposons que les sites A, B, C et D nécessitent chacun de 50 000 agents Traps et que certains de ces agents peuvent être situés hors site. Pour soutenir ce scénario, chaque site contient un serveur ESM qui récupère la stratégie de sécurité dans la base de données située sur le site A. Les points de terminaison internes se connectent à Endpoint Security Manager en utilisant leurs serveurs ESM locaux. Les points de terminaison externes se connectent par l'intermédiaire d'un tunnel VPN qui fournit au point de terminaison une 22 Advanced Endpoint Protection – Guide de l'administrateur Scénarios de déploiement pour Advanced Endpoint Protection Grands déploiements adresse IP interne pour la connexion au site. Si un point de terminaison est en itinérance et ne peut pas se connecter par VPN, Traps collecte les données de prévention en local jusqu'à ce que l'agent puisse établir une connexion au dossier d'investigation numérique. Advanced Endpoint Protection – Guide de l'administrateur 23 Grands déploiements 24 Scénarios de déploiement pour Advanced Endpoint Protection Advanced Endpoint Protection – Guide de l'administrateur Configuration requise Les sujets suivants décrivent la configuration requise pour l'installation de l'infrastructure Traps : Configuration requise pour installer le serveur ESM Configuration requise pour installer Traps sur un point de terminaison Advanced Endpoint Protection – Guide de l'administrateur 25 Configuration requise pour installer le serveur ESM Configuration requise Configuration requise pour installer le serveur ESM Avant d'installer le logiciel Advanced Endpoint Protection 3.2 sur le serveur ESM, assurez-vous que le serveur possède la configuration requise suivante : Noyau ESM et console ESM exécutant la même version d'Advanced Endpoint Protection 2 Go de RAM ; 4 Go de RAM recommandés 300 Mo d'espace disque plus espace supplémentaire pour le dossier d'investigation numérique ; un espace disque de 60 Go est recommandé Serveur Windows physique ou virtuel. Utilisez l'un des choix suivants : – Windows Server 2008 R2 – Windows Server 2012 – Windows Server 2012 R2 Internet Information Services (IIS) 7.0 ou supérieur avec ASP.NET et composants Static Content Compressions .NET Framework : – Windows Server 2008 R2 : .NET Framework 4 avec correctif KB2468871 – Windows Server 2012 : .NET Framework 3.5 et 4.5 Applications de base de données — Les applications côté serveur exigent une base de données SQL qui peut être soit une base de données locale installée sur le même serveur que Endpoint Security Manager, soit une base de données externe installées sur une autre machine. Utilisez l'une des applications de base de données suivante : – SQLite 1.0.82.0 ou supérieur pour la phase d'évaluation. Trouvez le fichier d'installation de SQLite dans le dossier Tools de votre package d'installation du point de terminaison, ou téléchargez-le à partir d'Internet. – MS-SQL 2008 – MS-SQL 2012 – MS-SQL 2014 Consultez l'équipe d'assistance Palo Alto Networks si l'intégration avec une base de données existante est requise. Certificat SSL provenant d'une autorité de certification de confiance (CA) avec authentification de serveur et authentification de client (recommandé). Autorisez la communication sur le port TCP entre les clients et le serveur (le port par défaut est le port 2125). Dossier d'investigation numérique avec BITS activé. Voir aussi : Configuration requise pour installer Traps sur un point de terminaison. 26 Advanced Endpoint Protection – Guide de l'administrateur Configuration requise Configuration requise pour installer Traps sur un point de terminaison Configuration requise pour installer Traps sur un point de terminaison Avant d'installer Traps 3.2, assurez-vous que le point de terminaison cible possède la configuration requise suivante : Noyau ESM et console exécutant la même version d'Advanced Endpoint Protection que Traps ou une version supérieure 200 Mo d'espace disque ; 20 Go d'espace disque recommandés 512 Mo de mémoire ; 2 Go de mémoire recommandés Système d'exploitation : – Windows XP (32-bit, SP3 ou supérieur) – Windows 7 (32-bit, 64-bit, RTM et SP1 ; toutes les éditions sauf Home) – Windows 8 (32-bit, 64-bit) – Windows 8.1 (32-bit, 64-bit) – Windows Server 2003 (32-bit, SP2 ou supérieur) – Windows Server 2003 R2 (32-bit, SP2 ou supérieur) – Windows Server 2008 (32-bit, 64-bit) – Windows Server 2012 (toutes les éditions) – Windows Server 2012 R2 (toutes les éditions) – Windows Vista (32-bit, 64-bit et SP2) Environnement virtuels : – VDI : Pour les considérations d'octroi de licence, contactez l'assistance ou votre ingénieur commercial. – Citrix – VM – ESX – VirtualBox/Parallels Plates-formes physiques : – SCADA – Tablettes Windows .NET 3.5 SP1 Autorisez la communication sur le port 2125 TCP entre les clients et le serveur. Advanced Endpoint Protection – Guide de l'administrateur 27 Configuration requise pour installer Traps sur un point de terminaison 28 Configuration requise Advanced Endpoint Protection – Guide de l'administrateur Configuration de l'infrastructure Traps Les sujets suivants décrivent comment configurer les composants de l'infrastructure Traps : Configuration de l'infrastructure du point de terminaison Mettre à niveau l'infrastructure du point de terminaison Configurer Endpoint Security Manager Configuration des points de terminaison Vérifier une installation réussie Advanced Endpoint Protection – Guide de l'administrateur 29 Configuration de l'infrastructure du point de terminaison Configuration de l'infrastructure Traps Configuration de l'infrastructure du point de terminaison Utilisez le flux de travail suivant pour configurer l'infrastructure du point de terminaison ou utilisez le flux de travail décrit dans Mettre à niveau l'infrastructure du point de terminaison pour mettre à niveau l'infrastructure existante de votre point de terminaison : Tâche Pour plus d'informations Étape 1 Examinez la configuration requise pour le logiciel. Considérations pour l'installation de l'infrastructure du point de terminaison Configuration requise pour installer le serveur ESM Configuration requise pour installer Traps sur un point de terminaison Étape 2 Examinez les étapes d'implémentation recommandées. Étapes du déploiement de Traps Étape 3 (En option) Configurez les services d'information Internet (IIS) avec les services .NET. Activer les services web Étape 4 (En option) Configurez le serveur MS-SQL. Configurer la base de données du serveur MS-SQL Étape 5 Installez le logiciel du serveur ESM. Installer le logiciel du serveur Endpoint Security Manager Étape 6 Installez le logiciel de la console ESM. Installer le logiciel de la console Endpoint Security Manager Étape 7 Installez la stratégie de sécurité de base. Charger les stratégies de sécurité de base Étape 8 Installez Traps sur les points de terminaison. Installer Traps sur le point de terminaison Étape 9 Vérifiez que l'installation est réussie. Vérifier une installation réussie 30 Configurer SSL sur la console ESM Installer Traps sur le point de terminaison en utilisant Msiexec Advanced Endpoint Protection – Guide de l'administrateur Configuration de l'infrastructure Traps Mettre à niveau l'infrastructure du point de terminaison Mettre à niveau l'infrastructure du point de terminaison Utilisez le flux de travail suivant pour configurer l'infrastructure du point de terminaison : Tâche Pour plus d'informations Étape 1 Examinez la configuration requise pour le logiciel. Considérations pour l'installation de l'infrastructure du point de terminaison Configuration requise pour installer le serveur ESM Configuration requise pour installer Traps sur un point de terminaison Étape 2 Installez le logiciel du serveur ESM. Installer le logiciel du serveur Endpoint Security Manager Étape 3 Installez le logiciel de la console ESM. Installer le logiciel de la console Endpoint Security Manager Étape 4 Installez la stratégie de sécurité de base. Charger les stratégies de sécurité de base Étape 5 Installez Traps sur les points de terminaison. Installer Traps sur le point de terminaison Étape 6 Vérifiez que l'installation est réussie. Vérifier une installation réussie Advanced Endpoint Protection – Guide de l'administrateur 31 Configurer Endpoint Security Manager Configuration de l'infrastructure Traps Configurer Endpoint Security Manager Considérations pour l'installation de l'infrastructure du point de terminaison Activer les services web Configurer SSL sur la console ESM Configurer la base de données du serveur MS-SQL Installer le logiciel du serveur Endpoint Security Manager Installer le logiciel de la console Endpoint Security Manager Charger les stratégies de sécurité de base Considérations pour l'installation de l'infrastructure du point de terminaison Pour installer ou mettre à niveau les composants ESM, tenez compte des points suivants : Le serveur ESM et la console ESM doivent être de la même version. Le serveur ESM et la console ESM prennent en charge différentes versions de Traps et sont également rétrocompatibles avec les versions antérieures. Par exemple, un serveur ESM et une console ESM en version 3.2 peuvent prendre en charge des points de terminaison qui exécutent un mélange d'agents Traps en version 3.1 et 3.2. Pour la configuration requise pour l'installation, voir Configuration requise pour installer le serveur ESM et Configuration requise pour installer Traps sur un point de terminaison. Activer les services web Pour exécuter les services web sur ESM, vous devez activer le rôle des services d'information Internet (IIS) et .NET sur un serveur Windows. IIS vous permet de partager des informations avec les utilisateurs sur Internet, sur un intranet ou sur un extranet. Les serveurs Windows avec IIS 7.5 fournissent une plate-forme web unifiée qui intègre IIS, ASP.NET et WCF (Windows Communication Foundation). Pour accéder à Endpoint Security Manager sur le web, activez IIS avec .NET. Activer les services web sur Windows Server 2008 R2 Activer les services web sur Windows Server 2012 Activer les services web sur Windows Server 2008 R2 Pour activer les services web sur Windows Server 2008 R2, vous devez installer .NET Framework 4 avec le correctif KB2468871. 32 Advanced Endpoint Protection – Guide de l'administrateur Configuration de l'infrastructure Traps Configurer Endpoint Security Manager Activer les services web sur Windows Server 2008 Étape 1 Ouvrez le gestionnaire de serveur sur le serveur Windows. Sélectionnez Gestionnaire de serveur dans le menu Démarrer. Étape 2 Ajoutez un nouveau rôle. 1. Sélectionnez Rôles > Ajouter des rôles puis cliquez sur Suivant. 2. Sélectionnez l'option Serveur Web (IIS) puis cliquez sur Suivant. 3. Sélectionnez Services de rôle dans le menu à gauche. Étape 3 Définissez les services de rôle. Étape 4 Confirmez l'installation des services. 1. Sélectionnez l'option Développement d'applications. 2. Laisser les options restantes à leurs réglages par défaut. 3. Cliquez sur Suivant. 1. Vérifiez que les services Développement d'application apparaissent dans la liste des Sélections pour l'installation puis cliquez sur Installer. 2. Fermez l'assistant. Activer les services web sur Windows Server 2012 Pour activer les services web sur Windows Server 2012, vous devez installer .NET Framework 3,5 et 4.5. Activer les services web sur Windows Server 2012 Étape 1 Ouvrez le gestionnaire de serveur sur le serveur Windows. Étape 2 Sélectionnez le type d'installation. 1. Sélectionnez Gestionnaire de serveur dans le menu Démarrer. 2. Sélectionnez Ajouter des rôles et fonctionnalités puis cliquez sur Suivant. Sélectionnez Installation basée sur un rôle ou une fonctionnalité puis cliquez sur Suivant. Advanced Endpoint Protection – Guide de l'administrateur 33 Configurer Endpoint Security Manager Configuration de l'infrastructure Traps Activer les services web sur Windows Server 2012 (Suite) Étape 3 Spécifiez le serveur. Sélectionnez le serveur dans le Pool de serveurs puis cliquez sur Suivant. Étape 4 Ajoutez le rôle et les fonctionnalités des services web. 1. Sélectionnez l'option Serveur Web (IIS). 2. Cliquez sur Ajouter des fonctionnalités. 3. Cliquez sur Suivant. 4. Sélectionnez Fonctionnalités de .NET Framework 3.5. 5. Sélectionnez Fonctionnalités de .NET Framework 4.5 et ASP.NET 4.5. 6. Cliquez sur Suivant. Cliquez à nouveau sur Suivant. 7. Dans Serveur Web, sélectionnez Développement d'applications puis développez la fonctionnalité pour révéler d'autres sélections. Sélectionnez les fonctionnalités suivantes. Si cela vous est demandé, cliquez sur Ajouter des fonctionnalités. • ASP.NET 3.5 • ASP.NET 4.5 • Extensions ISAPI • Filtres ISAPI • Extensibilité .NET 3.5 • Extensibilité .NET 4.5 8. Étape 5 Confirmez l'installation des services. 1. Cliquez sur Suivant. Vérifiez que les fonctionnalités apparaissent dans la liste des sélections pour l'installation puis cliquez sur Installer. 2. 34 Cliquez sur Fermer pour quitter l'assistant. Advanced Endpoint Protection – Guide de l'administrateur Configuration de l'infrastructure Traps Configurer Endpoint Security Manager Configurer SSL sur la console ESM Pour sécuriser votre console ESM et protéger la confidentialité des utilisateurs à l'aide de SSL (Secure Sockets Layer), installez un certificat de serveur, puis ajoutez une liaison HTTPS sur le port 443. Configurer SSL sur la console ESM Étape 1 Ouvrez le gestionnaire IIS : 1. Cliquez sur Démarrer, puis sur Panneau de configuration. 2. Effectuez l'une des actions suivantes : • Cliquez sur Système et sécurité > Outils d'administration. • Dans Rechercher, saisissez inetmgr et appuyez sur ENTRÉE. Étape 2 (En option) Si votre site exige SSL, installez un certificat SSL sur le serveur qui exécute la console ESM. Le certificat du serveur permet aux utilisateurs de confirmer l'identifier d'un serveur web avant de transmettre des données sensibles, et utilise les informations de la clé publique du serveur pour crypter les données et les renvoyer au serveur. Pour demander ou installer un certificat de serveur, voir : • Demander un certificat de serveur Internet • Installer un certificat de serveur Internet Sautez cette étape si votre site n'exige pas SSL ou si vous avez déjà installé le certificat SSL. Étape 3 Ajoutez une liaison HTTPS. 1. Dans Connexions, développez le nœud Sites dans l'arborescence, puis cliquez pour sélectionner le site pour lequel vous voulez ajouter une liaison. 2. Dans Actions > Modifier le site, cliquez sur Liaisons > Ajouter. 3. Spécifier le type https et ajouter les informations de liaison restantes en incluant Adresse IP, Port (la valeur par défaut est 443), et Nom d'hôte. 4. (En option pour Windows Server 2012 uniquement) Sélectionnez l'option pour Exiger l'indication du nom du serveur. 5. Sélectionnez le certificat SSL dans le menu déroulant, puis cliquez sur OK. Configurer la base de données du serveur MS-SQL Endpoint Security Manager exige une base de données qui est gérée sur la plate-forme MS-SQL (MS SQL 2008 ou MS SQL 2012). Endpoint Security Manager utilise la base de données pour stocker des informations d'administration, les règles de stratégie de sécurité, des informations sur les évènements de sécurité et d'autres informations utilisées par Endpoint Security Manager. Advanced Endpoint Protection – Guide de l'administrateur 35 Configurer Endpoint Security Manager Configuration de l'infrastructure Traps Durant la page de preuve de concept, la base de données SQLite est également prise en charge. Avant d'installer Endpoint Security Manager, vous devez configurer la base de données MS-SQL avec les autorisations requises. En cas d'utilisation de authentification Windows comme méthode d'authentification d'utilisateur, le propriétaire doit avoir les privilèges Ouvrir une session en tant que service. La procédure suivante est recommandée comme meilleure pratique pour la création et la configuration de la base de données du serveur MS-SQL. Configurer la base de données du serveur MS-SQL Étape 1 Créer une nouvelle base de données. 36 1. Sélectionnez SQL Server Management Studio dans le menu Démarrer. 2. Cliquez sur Connecter pour ouvrir Microsoft SQL Server Management Studio. 3. Sélectionnez Base de données > Nouvelle base de données…. Advanced Endpoint Protection – Guide de l'administrateur Configuration de l'infrastructure Traps Configurer Endpoint Security Manager Configurer la base de données du serveur MS-SQL (Suite) Étape 2 Configurez les paramètres de base de données. Étape 3 Vérifiez le propriétaire de la base de données. 1. Saisissez les informations suivantes : • Nom de la base de données • Propriétaire (incluant le domaine) En cas d'utilisation de authentification Windows comme méthode d'authentification d'utilisateur, le propriétaire doit avoir les privilèges « Ouvrir une session en tant que service ». 2. Cliquez sur OK. 1. Saisissez le nom de connexion du propriétaire, puis cliquez sur Vérifier les noms. 2. Sélectionnez le nom correspondant et cliquez sur OK pour revenir à la page Sélectionner le propriétaire de la base de données, puis une nouvelle fois pour revenir à la page Microsoft SQL Server Management Studio. 3. Sélectionnez la base de données que vous avez créée, puis sélectionnez Sécurité > Utilisateurs > dbo. 4. Vérifiez que db_owner est sélectionné dans les sections Schémas appartenant à un rôle et Membres du rôle de la boîte de dialogue Utilisateur de la base de données, puis cliquez sur OK. Advanced Endpoint Protection – Guide de l'administrateur 37 Configurer Endpoint Security Manager Configuration de l'infrastructure Traps Installer le logiciel du serveur Endpoint Security Manager Avant d'installer le logiciel du serveur Endpoint Security Manager (ESM), vérifiez que le système possède la configuration requise décrite dans Configuration requise pour installer le serveur ESM. Installer le logiciel du serveur Endpoint Security Manager Étape 1 Lancez l'installation du logiciel du serveur ESM. Étape 2 Configurez les paramètres pour l'utilisateur administrateur. 1. Procurez-vous le logiciel auprès de votre responsable de compte Palo Alto Networks, de votre revendeur ou sur https://support.paloaltonetworks.com. 2. Décompressez le fichier et effectuez un double clic sur le fichier d'installation ESMCore. 3. Dans la boîte de dialogue de l'Accord de licence utilisateur final, cochez la case J'accepte les conditions de l'accord de licence puis cliquez sur Suivant. 4. Laissez le dossier d'installation par défaut ou cliquez sur Modifier pour spécifier un dossier d'installation différent, puis cliquez sur Suivant. 1. Choisissez le type d'authentification à utiliser : • Machine — Endpoint Security Manager effectue l'authentification en utilisant les utilisateurs et les groupes sur la machine locale. • Domaine — Endpoint Security Manager effectue l'authentification en utilisant les utilisateurs et les groupes appartenant au domaine de la machine. 2. 38 Saisissez le nom de compte pour l'utilisateur qui administrera le serveur dans le champ Veuillez spécifier un utilisateur administrateur puis cliquez sur Suivant. Advanced Endpoint Protection – Guide de l'administrateur Configuration de l'infrastructure Traps Configurer Endpoint Security Manager Installer le logiciel du serveur Endpoint Security Manager (Suite) Étape 3 Configurez les paramètres de base de données. 1. Sélectionnez le type de base de données que vous installez pour l'utilisation avec Endpoint Security Manager. Si vous sélectionnez SQL Server, vous devez fournir les informations de configuration suivantes : • Nom du serveur SQL ou adresse IP et instance de base de données (par exemple, ESMServer/database). • Type d'authentification (Windows ou SQL). • Nom d'utilisateur incluant le domaine (par exemple ESMServer\administrateur) et mot de passe pour le serveur pour l'utilisateur qui administrera la base de données. Le compte utilisateur que vous spécifiez doit avoir des privilèges pour créer une base de données sur le serveur. 2. Étape 4 Spécifiez le niveau de sécurité pour la 1. communication entre les composants du serveur ESM. Cliquez sur Vérifier pour confirmer que le serveur peut se connecter à la base de données en utilisant les informations d'identification pour l'authentification. En cas de réussite, cliquez sur Suivant. Sélectionnez l'une des options suivantes : • Aucun certificat (pas de SSL) — La communication n'est pas cryptée (non recommandé). • Certificat externe (SSL) — Toute la communication est cryptée sur SSL. Si vous sélectionnez cette option, accédez au fichier de certificat (au format PFX) et saisissez le mot de passe requis pour décrypter la clé privée dans le fichier PFX. 2. Cliquez sur Suivant. Advanced Endpoint Protection – Guide de l'administrateur 39 Configurer Endpoint Security Manager Configuration de l'infrastructure Traps Installer le logiciel du serveur Endpoint Security Manager (Suite) Étape 5 Configurez les paramètres 1. supplémentaires pour votre serveur ESM. Configurez les paramètres suivants au besoin pour votre environnement : • Port console ESM — Spécifiez le port à utiliser pour l'accès à l'interface web ou laissez le paramètre par défaut (2125). • (En option) Sélectionnez une ou plusieurs options de l'outil de création de rapport externe : – Signaler à l'observateur d'évènements — Signaler tous les évènements à l'observateur d'évènements Windows. – Signaler au Syslog — Signaler tous les évènements à un serveur syslog externe. Saisissez le Nom du serveur syslog, le Port de communication et la fréquence de Pulsation planifiée en minutes. Spécifiez une valeur de 0 si vous ne voulez pas envoyer d'informations de pulsation au serveur syslog. 2. Étape 6 Définissez un mot de passe requis pour la 1. désinstallation du logiciel Endpoint Security Manager. 2. Étape 7 Terminez l'installation. Cliquez sur Suivant. Saisissez et confirmer un mot de passe de huit caractères ou plus. Cliquez sur Suivant. 1. Cliquez sur Installer. 2. Lorsque l'installation est terminée, cliquez sur Terminer. Installer le logiciel de la console Endpoint Security Manager Avant d'installer le logiciel de la console Endpoint Security Manager (ESM), vérifiez que le système possède la configuration requise décrite dans Configuration requise pour installer le serveur ESM. 40 Advanced Endpoint Protection – Guide de l'administrateur Configuration de l'infrastructure Traps Configurer Endpoint Security Manager Installer le logiciel de la console Endpoint Security Manager Étape 1 Lancez l'installation du logiciel de la console ESM. Étape 2 Spécifiez le dossier d'installation pour Endpoint Security Manager. 1. Procurez-vous le logiciel auprès de votre responsable de compte Palo Alto Networks, de votre revendeur ou sur https://support.paloaltonetworks.com. 2. Décompressez le fichier zip et effectuez un double clic sur le fichier d'installation ESMConsole. 3. Cliquez sur Suivant pour commencer le processus d'installation. 4. Cochez la case J'accepte les conditions de l'accord de licence puis cliquez sur Suivant. Laissez le dossier d'installation par défaut ou cliquez sur Modifier pour spécifier un dossier d'installation différent, puis cliquez sur Suivant. Étape 3 Spécifiez les paramètres de configuration 1. de base de données. Sélectionnez le type de base de données que vous installez pour l'utilisation avec Endpoint Security Manager. Pour une base de données SQL, configurez : • Nom du serveur SQL ou adresse IP suivis de l'instance de base de données (par exemple, ESMServer\database). • Type d'authentification (Windows ou SQL). • Nom d'utilisateur incluant le domaine (par exemple ESMServer/administrateur) et Mot de passe pour le serveur pour l'accès à la base de données. Le compte utilisateur que vous spécifiez doit avoir des privilèges pour créer une base de données sur le serveur. Étape 4 Spécifiez le dossier d'investigation numérique. 2. Cliquez sur Vérifier pour confirmer que le serveur peut se connecter à la base de données en utilisant les informations d'identification pour l'authentification. En cas de réussite, cliquez sur Suivant. 1. Saisissez le chemin du dossier d'investigation numérique (par défaut C:\Program Files\Palo Alto Networks\Quarantine\) ou accédez (Parcourir) à l'emplacement du dossier. Le programme d'installation active automatiquement BITS pour ce dossier. Étape 5 Terminez l'installation. 2. Cliquez sur Suivant. 1. Cliquez sur Installer. 2. Lorsque l'installation est terminée, cliquez sur Terminer. Advanced Endpoint Protection – Guide de l'administrateur 41 Configurer Endpoint Security Manager Configuration de l'infrastructure Traps Installer le logiciel de la console Endpoint Security Manager (Suite) Étape 6 Installez la licence. 1. Vous devez installer la clé de licence dans les cinq minutes qui 2. suivent l'installation du logiciel 3. Endpoint Security Manager. Si vous attendez pour installer la clé de licence, vous devez redémarrer 4. le service Endpoint Security Manager. Étape 7 Vérifiez que le service du noyau Endpoint 1. Security Manager est en cours d'exécution. Effectuez un double clic sur l'icône de la console Endpoint Security Manager sur le bureau ou accédez à la console (http://localhost/EndpointSecurityManager/). Saisissez vos identifiant et mot de passe. Lorsque vous y êtes invité, cliquez sur le lien pour accéder (Parcourir) au fichier de clé de licence, puis cliquez sur Charger. Connectez-vous à nouveau pour accéder au tableau de bord Endpoint Security Manager. Ouvrez le gestionnaire de services : • Windows Server 2008 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Outils d'administration > Services. • Windows Server 2012 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Système et sécurité > Outils d'administration > Services. 2. Si le service du noyau Endpoint Security Manager est arrêté ou désactivé, effectuez un double clic sur le service et cliquez sur Démarrer. Charger les stratégies de sécurité de base Par défaut, la stratégie de sécurité du point de terminaison contient un ensemble de règles prédéfinies qui protègent les processus courants exécutés sur vos points de terminaison. Après l'installation du logiciel Endpoint Security Manager et le chargement correct de la licence, il est vivement recommandé d'importer les fichiers de stratégie de sécurité de base fournis par Palo Alto Networks. Les stratégies abordent les problèmes de compatibilité, éliminent les problèmes de stabilité avec les modèles de prévention contre les logiciels malveillants et d'injection de thread, et configurent les notifications concernant les exécutables lancés à partir de supports externes et des dossiers du système d'exploitation. Vous pouvez importer les stratégie de sécurité de base à partir de n'importe quelle page de règle de stratégie permettant l'importation des règles (Restrictions, EPMs, etc.). Importer les stratégies de sécurité de base Étape 1 Téléchargez les stratégies à l'adresse https://live.paloaltonetworks.com/docs/DOC-7829 et enregistrez-les dans un dossier local ou réseau auquel vous pouvez accéder à partir de Endpoint Security Manager. Étape 2 Depuis Endpoint Security Manager, ouvrez une page de gestion de règle, par exemple Policies > Malware > Restrictions. 42 Advanced Endpoint Protection – Guide de l'administrateur Configuration de l'infrastructure Traps Configurer Endpoint Security Manager Importer les stratégies de sécurité de base (Suite) Étape 3 Sélectionnez Import rules dans le menu . Accédez (Browse) au fichier de stratégie, puis cliquez sur Upload. Endpoint Security Manager ajoute les nouvelles règles à la stratégie de sécurité existante et assigne à chaque règle un numéro d'identifiant unique. Répétez l'Étape 3 pour chaque fichier de stratégie. La console ESM affiche les règles sur la page de gestion dédiée pour chaque type de règle. Pour plus d'informations sur l'importation ou l'exportation des règles de stratégie, voir Exporter et importer les fichiers de stratégie. Advanced Endpoint Protection – Guide de l'administrateur 43 Configuration des points de terminaison Configuration de l'infrastructure Traps Configuration des points de terminaison Pour configurer Traps sur les points de terminaison au sein de votre organisation, voir les sujets suivants : Étapes du déploiement de Traps Considérations pour l'installation de Traps Installer Traps sur le point de terminaison Installer Traps sur le point de terminaison en utilisant Msiexec Étapes du déploiement de Traps Le logiciel Traps est habituellement déployé sur les points de terminaison d'un réseau après une preuve de concept (POC) initiale qui simule l'environnement de production de l'entreprise. Durant la POC ou l'étape de déploiement, vous analysez les évènements de sécurité pour déterminer ceux qui sont dus à une activité malicieuse et ceux qui sont dus à des processus légitimes se comportant de manière risquée ou incorrecte. Vous pouvez aussi simuler le nombre et les types de points de terminaison au sein de l'organisation, les profils d'utilisateur, et les types d'applications qui sont exécutées sur les points de terminaison. Selon ces facteurs, vous définissez, testez et ajustez la stratégie de sécurité en conséquence pour votre organisation. L'objectif du processus en plusieurs étapes est de fournir une protection maximale pour l'organisation, sans interférer avec les flux de travail légitimes. Après la POC initiale, nous recommandons d'effectuer une implémentation en plusieurs étapes pour les raisons suivantes : La POC ne reflète pas toujours tous les environnements en production. Il existe une rare possibilité que le logiciel Traps affecte des applications d'entreprise spécifiques, qui peuvent révéler des vulnérabilités dans le logiciel en tant que prévention d'attaque. L'isolation des problèmes rencontrés qui peuvent se produire et la fourniture d'une solution seront bien plus faciles si l'environnement affecté n'est pas étendu ou si le nombre d'utilisateurs est restreint. Le déploiement en plusieurs étapes assure une implémentation fluide et le déploiement du logiciel Traps dans l'ensemble de votre réseau. Ces étapes permettent une assistance et un contrôle plus importants sur la protection ajoutée. Étape Durée Plan Étape 1 Installez Traps sur les points de terminaison. 1 semaine Installez Endpoint Security Manager (ESM) en incluant une base de données MS SQL, la console ESM et le serveur ESM, et installez Traps sur quelques points de terminaison (3-10). Testez le comportement normal des agents Traps (injection, stratégie) et vérifiez l'absence de changement dans l'expérience utilisateur. Étape 2 Étendez le déploiement de Traps. 44 2 semaines Élargissez graduellement la distribution des agents à des groupes plus importants ayant des attributs similaires (matériel, logiciel, utilisateurs). À la fin des deux semaines, vous pouvez avoir jusqu'à 100 points de terminaison installés. Advanced Endpoint Protection – Guide de l'administrateur Configuration de l'infrastructure Traps Étape Durée Configuration des points de terminaison Plan Étape 3 Terminez l'installation de 2 semaines Traps. ou plus Distribuez largement les clients dans toute l'organisation. Étape 4 Définissez la stratégie d'entreprise et les processus protégés. Jusqu'à une semaine Ajoutez des règles de protection pour les applications tierces ou internes, puis testez-les avec le testeur de compatibilité de point de terminaison. Étape 5 Affinez la stratégie d'entreprise et les processus protégés. Jusqu'à une semaine Déployer les règles de protection à un petit nombre de points de terminaison qui utilisent fréquemment les applications. Peaufinez la stratégie si nécessaire. Étape 6 Finalisez la stratégie d'entreprise et les processus protégés. Quelques minutes Déployez les règles de protection de manière globale. Considérations pour l'installation de Traps Vous pouvez installer Traps selon les méthodes suivantes : Dans les situations où vous devez installez Traps sur un petit nombre de points de terminaison, vous pouvez installer manuellement le logiciel Traps en utilisant le flux de travail décrit dans Installer Traps sur le point de terminaison. Pour installer Traps en ligne de commande, utilisez l'utilitaire Msiexec pour effectuer les opérations sur un programme d'installation Windows comme décrit dans Installer Traps sur le point de terminaison en utilisant Msiexec. Vous pouvez aussi utiliser les options d'installation de Msiexec avec un logiciel de déploiement MSI comme Policy System Center Configuration Manager (SCCM), Altiris ou objet de stratégie de groupe (GPO). L'utilisation d'un logiciel de déploiement MSI est recommandée pour installer Traps dans une organisation ou sur de nombreux points de terminaison. Si Traps est déjà installé sur les points de terminaison de votre organisation, vous pouvez mettre à niveau le logiciel Traps en configurant une règle d'action comme décrit dans Désinstaller ou mettre à niveau Traps sur le point de terminaison. Installer Traps sur le point de terminaison Avant d'installer le Traps, vérifiez que le système possède la configuration requise décrite dans Configuration requise pour installer Traps sur un point de terminaison. Advanced Endpoint Protection – Guide de l'administrateur 45 Configuration des points de terminaison Configuration de l'infrastructure Traps Installer Traps sur le point de terminaison Étape 1 Lancez l'installation du logiciel Traps. 1. La ou les versions de Traps que vous installez sur vos points de 2. terminaison doivent être les mêmes ou des versions antérieures à la version du noyau ESM et de la 3. console ESM. 4. Étape 2 Configurez les agents Traps pour la connexion au serveur ESM. Procurez-vous le logiciel auprès de votre responsable de compte Palo Alto Networks, de votre revendeur ou sur https://support.paloaltonetworks.com Décompressez le fichier zip et effectuez un double clic sur le fichier d'installation Traps (x64 ou x86). Cliquez sur Suivant. Cochez la case J'accepte les conditions de l'accord de licence puis cliquez sur Suivant. Vous pouvez configurer l'agent Traps pour qu'il se connecte à un serveur primaire et secondaire. Si le serveur primaire n'est pas accessibles, l'agent Traps tente de contacter le serveur secondaire. 1. Fournissez les informations suivantes pour le serveur ESM : • Host Name — Saisissez le nom d'hôte ou l'adresse IP du serveur ESM. • Port — Modifiez le numéro de port si nécessaire (la valeur par défaut est 2125). • Use — Sélectionnez SSL pour crypter la communication avec le serveur ou No SSL pour ne pas crypter la communication. 2. Cliquez sur Suivant sur les invites suivantes pour terminer l'installation. Il est recommandé de redémarrer l'ordinateur une fois avoir terminé l'installation. Installer Traps sur le point de terminaison en utilisant Msiexec Windows Msiexec vous fournit un contrôle complet du processus d'installation et vous permet d'installer, modifier et effectuer des opérations sur un programme d'installation Windows à partir de la ligne de commande. Lorsqu'il est utilisé en conjonction avec un logiciel System Center Configuration Manager (SCCM), Altiris, objet de stratégie de groupe (GPO), ou autre logiciel de déploiement MSI, Msiexec vous permet d'installer Traps sur plusieurs points de terminaison dans votre organisation (pour la première fois). Après avoir effectué l'installation de Traps sur un point de terminaison et établi une connexion avec Endpoint Security Manager, vous pouvez configurer les règles pour mettre à niveau ou désinstaller Traps (voir Désinstaller ou mettre à niveau Traps sur le point de terminaison). Avant d'installer le Traps, vérifiez que le système possède la configuration requise décrite dans Configuration requise pour installer Traps sur un point de terminaison. 46 Advanced Endpoint Protection – Guide de l'administrateur Configuration de l'infrastructure Traps Configuration des points de terminaison Installer Traps sur le point de terminaison en utilisant Msiexec Étape 1 Ouvrez une invite de commande en tant qu'administrateur : • Sélectionnez Démarrer > Tous les programmes > Accessoires. Effectuez un clic droit sur Invite de commandes, puis sélectionnez Exécuter en tant qu'administrateur. • Sélectionnez Démarrer. Dans la case Rechercher les programmes et fichiers, saisissez cmd. Ensuite, pour ouvrir l'invite de commande en tant qu'administrateur, appuyez sur CTRL+MAJ+ENTRÉE. Advanced Endpoint Protection – Guide de l'administrateur 47 Configuration des points de terminaison Configuration de l'infrastructure Traps Installer Traps sur le point de terminaison en utilisant Msiexec (Suite) Étape 2 Exécutez la commande Msiexec suivi d'une ou plusieurs des options ou propriétés suivantes : • Option d'installation affichage et journalisation : • /i <installpath>\<installerfilename>.msi — Installer un package. Par exemple, msiexec /i c:\install\traps.msi. • /qn — Ne pas afficher l'interface utilisateur (installation silencieuse). Au minimum, vous devez aussi spécifier le nom du serveur hôte ou l'adresse IP en utilisant la propriété CYVERA_SERVER. • /L*v <logpath>/<logfilename>.txt — Enregistre la sortie détaillée dans un fichier. Par exemple, /L*v c:\logs\install.txt. • /x <installpath>\<installerfilename>.msi>.txt — Désinstaller un package. Par exemple, msiexec /x c:\install\traps.msi. Pour une liste complète des paramètres de Msiexec, voir https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/msiexec.mspx • Propriétés publiques : • CYVERA_SERVER=“<servername>” — Nom ou adresse IP du serveur hôte primaire (la valeur par défaut est CyveraServer) • CYVERA_SERVER_PORT=“<serverport>” — Port du serveur hôte primaire (la valeur par défaut est 2125) • SSL_TYPE=“[No SSL|SSL]” — (Installation non silencieuse uniquement) Définissez les préférences de cryptage sur le serveur primaire en spécifiant No SSL (par défaut) ou SSL • USE_SSL_PRIMARY=“[0|1]” — (Installation silencieuse uniquement) Définissez les préférences de cryptage sur le serveur primaire en spécifiant 0 pour ne pas utiliser SSL ou 1 pour utiliser SSL (par défaut) • USE_BACKUP_SERVER=“[0|1]” — Définissez les préférences du serveur de secours en spécifiant 0 (par défaut) pour ne pas utiliser de serveur de secours ou 1 pour utiliser un serveur de secours • CYVERA_BACKUP_SERVER=“<servername>” — Nom ou adresse IP du serveur secondaire (la valeur par défaut est CyveraBackupServer) • CYVERA_BACKUP_SERVER_PORT=“<serverport>” — Port du serveur secondaire (la valeur par défaut est 2125) • SSL_TYPE_BACKUP=“[No SSL|SSL]” — (Installation non silencieuse uniquement) Définissez les préférences de cryptage sur le serveur secondaire en spécifiant No SSL (par défaut) ou SSL • USE_SSL_BACKUP=“[0|1]” — (Installation silencieuse uniquement) Définissez les préférences de cryptage sur le serveur secondaire en spécifiant 0 pour ne pas utiliser SSL ou 1 pour utiliser SSL (par défaut) • UNINSTALL_PASSWORD=“<uninstallpassword>” — Spécifiez le mot de passe d'administration. Par exemple, pour installer Traps sans interface utilisateur et pour spécifier un serveur primaire appelé ESMServer, un serveur de secours appelé ESMServerBackup, et le cryptage SSL pour les deux serveurs, saisissez la commande suivante : msiexec /i c:\install\traps.msi /qn CYVERA_SERVER=”ESMServer” USE_SSL_PRIMARY=“1” USE_BACKUP_SERVER=“1” CYVERA_BACKUP_SERVER=“ESMServer-Backup” USE_SSL_BACKUP=“1” Il est recommandé de redémarrer l'ordinateur une fois avoir terminé l'installation. Pour désinstaller Traps et inscrire la sortie détaillée dans un fichier appelé uninstallLogFile.txt, saisissez la commande suivante : msiexec /x c:\install\traps.msi UNINSTALL_PASSWORD=[palo@lt0] /l*v c:\install\uninstallLogFile.txt Vous devez spécifier la propriété UNINSTALL_PASSWORD pour désinstaller correctement un package. 48 Advanced Endpoint Protection – Guide de l'administrateur Configuration de l'infrastructure Traps Vérifier une installation réussie Vérifier une installation réussie Vous pouvez vérifier la réussite de l'installation sur le serveur et le point de terminaison en vérifiant la connectivité entre le serveur et le point de terminaison des deux côtés de la connexion. Vérifier la connectivité à partir du point de terminaison Vérifier la connectivité à partir de la console ESM Vérifier la connectivité à partir du point de terminaison Après avoir installé correctement Traps, l'agent Traps doit être capable de se connecter au serveur qui exécute Endpoint Security Manager. Vérifier la connectivité à partir du point de terminaison Étape 1 Lancez la console Traps à partir de la barre des tâches : • Depuis la zone de notification de Windows, effectuez une clic droit sur l'icône Traps Console, ou effectuez un double clic sur l'icône. • Exécutez CyveraConsole.exe à partir du dossier d'installation de Traps. et sélectionnez Étape 2 Vérifiez l'état de la connexion au serveur. Si Traps est connecté au serveur, l'état Connection signale que la connexion est réussie. Si l'agent Traps ne parvient pas à établir une connexion avec le serveur primaire ou secondaire, la console Traps signale un état déconnecté. Étape 3 Vérifier la connectivité à partir de la console ESM. Vérifier la connectivité à partir de la console ESM Après avoir vérifier correctement que le point de terminaison peut accéder au serveur Endpoint Security Manager (ESM), vérifiez que le point de terminaison apparaît dans la liste des ordinateurs sur la page Monitor > Health de la console ESM. Advanced Endpoint Protection – Guide de l'administrateur 49 Vérifier une installation réussie Configuration de l'infrastructure Traps Vérifier la connectivité à partir de la console ESM Étape 1 Depuis la console ESM, sélectionnez Monitor > Health. Étape 2 Vérifiez l'état du point de terminaison, repérez le nom du point de terminaison dans la liste des ordinateurs. Une icône indique que Traps est en cours d'exécution sur le point de terminaison. Pour afficher d'autres détails sur le point de terminaison, sélectionnez la ligne du point de terminaison. 50 Advanced Endpoint Protection – Guide de l'administrateur Administrer le serveur ESM Gérer plusieurs serveurs ESM Gérer les licences Endpoint Security Manager Configurer un accès administratif Exporter et importer les fichiers de stratégie Advanced Endpoint Protection – Guide de l'administrateur 51 Gérer plusieurs serveurs ESM Administrer le serveur ESM Gérer plusieurs serveurs ESM Pour soutenir les déploiement à grande échelle ou sur site multiple, vous pouvez configurer et gérer plusieurs serveurs Endpoint Security Manager (ESM) à partir de la console ESM. Chaque serveur ESM se connecte à une base de données partagée qui mémorise les stratégies de sécurité et les informations sur les agents Traps et les évènements, prend en charge jusqu'à 50 000 agents Traps et peut charger des données d'investigation numérique vers un dossier d'investigation numérique. L'ajout de serveurs ESM supplémentaires vous permet de répartir le nombre de connexions Traps. À intervalle régulier, chaque serveur ESM interroge la base de données pour obtenir une liste des serveurs connues et envoie cette liste agents Traps lors de la pulsation suivante. Avant d'entamer une connexion, Traps détermine à quel serveur il peut se connecter le plus rapidement et tente d'établir une connexion. Si Traps n'établit pas de connexion, il passe au serveur suivant sur la liste jusqu'à ce qu'il soit capable d'établir une connexion avec le serveur ESM. Si vous retirez ou désactivez temporairement une serveur ESM, la console ESM met à jour la liste des serveurs ESM disponibles et l'envoie aux agents Traps lors de la pulsation suivante. Dans une situation qui exige un équilibreur de charge pour gérer le trafic entre plusieurs serveurs ESM, vous pouvez ajouter l'adresse IP et le nom d'hôte de l'équilibreur de charge à la place du ou des serveurs ESM dans la console ESM. De cette manière, le serveur ESM envoie l'adresse IP de l'équilibreur de charge en tant que « serveur » disponible. Les agents Traps peuvent ensuite établir des connexions par l'intermédiaire de l'équilibreur de charge au lieu de se connecter directement aux serveurs ESM. Vous pouvez aussi définir le dossier d'investigation numérique par défaut que Traps doivent utiliser dans le cas où le dossier associé au serveur ESM ne serait pas accessible. Exigences du système Limitations Gérer les serveurs ESM Exigences du système Chaque serveur ESM doit satisfaire les exigences spécifiées dans Configuration requise pour installer le serveur ESM. Limitations Les déploiements d'ESM multiples possèdent les limitations suivantes : Pour utiliser un équilibreur de charge, vous devez spécifier son adresse IP en tant qu'adresse IP interne pour chaque serveur ESM que vous ajoutez. Cela garantit que les agents Traps se connectent à l'adresse IP de l'équilibreur de charge au lieu de se connecter directement au serveur ESM. Chaque serveur ESM doit avoir une adresse IP fixe. 52 Advanced Endpoint Protection – Guide de l'administrateur Administrer le serveur ESM Gérer plusieurs serveurs ESM Gérer les serveurs ESM Après l'installation de chaque serveur ESM (voir Installer le logiciel du serveur Endpoint Security Manager), la console ESM affiche les informations d'identification de chaque serveur sur la page Settings > Multi ESM. Vous pouvez modifier les paramètres de configuration pour les serveurs ESM à tout moment. Vous pouvez aussi temporairement désactiver ou retirer les serveurs ESM, si nécessaire. Gérer les serveurs ESM Étape 1 Sélectionnez le serveur ESM et modifiez en option l'un des paramètres suivants : • Nom d'hôte du serveur • Adresse interne et port du serveur (par exemple, http://ESMServer1:2125/) • Adresse externe et port du serveur que Traps utilise pour communiquer avec le serveur (par exemple, http://10.5.0124.73:2125/) • Dossier d'investigation numérique (par exemple, http://ESMSERVER:80/BitsUploads) Si vous utilisez SSL pour communiquer avec le dossier d'investigation numérique, incluez le nom de domaine complètement qualifié (FQDN), par exemple HTTPS://ESMserver.Domain.local:443/BitsUploads. Pour spécifier le dossier d'investigation numérique à utiliser lorsque le dossier associé au serveur ESM n'est pas accessible, sélectionnez Settings > General > Server Configuration, puis saisissez le Forensic Folder URL. Étape 2 Enregistrez vos modifications (Save). Étape 3 (En option) Pour retirer ou désactiver temporairement un ESM, sélectionnez l'action dans le menu en haut de la page. Cette action retire le serveur ESM du parc de serveurs disponibles auxquels les agents Traps peuvent se connecter. Advanced Endpoint Protection – Guide de l'administrateur 53 Gérer les licences Endpoint Security Manager Administrer le serveur ESM Gérer les licences Endpoint Security Manager Avant de pouvoir utiliser la console Endpoint Security Manager (ESM), vous devez récupérer et activer la licence. La licence impose la date d'expiration et le nombre maximum de points de terminaison que vous pouvez gérer. Les points de terminaison récupèrent leurs licences sur le serveur ESM. Chaque licence spécifie le type de licence, la taille du parc d'agents, ainsi que la date d'expiration. Chaque instance de base de données nécessite une licence valide qui vous donne le droit de gérer la stratégie de sécurité du point de terminaison, d'activer WildFire et d'obtenir une assistance. Pour acheter des licences, contactez votre responsable de compte Palo Alto Networks ou votre revendeur. Après avoir obtenu une licence, importez-la dans la base de données en utilisant l'une des méthodes suivantes : Gérer les licences Endpoint Security Manager en utilisant la console ESM Gérer les licences Endpoint Security Manager en utilisant l'outil de configuration de base de données Gérer les licences Endpoint Security Manager en utilisant la console ESM Gérer les licences Endpoint Security Manager en utilisant la console ESM Étape 1 Repérez votre fichier de licence. Étape 2 Sélectionnez Settings > Licensing, puis ajoutez (Add) une nouvelle licence. Étape 3 Sélectionnez Browse pour chercher le fichier de licence, puis Upload pour le charger. La console ESM affiche les informations de la nouvelle licence. Étape 4 (En option) Pour vérifier l'utilisation de la licence Traps, sélectionnez Dashboard et consultez la capacité de la licence (License Capacity). Étape 5 (En option) Pour envoyer la nouvelle licence aux points de terminaison dont la date d'expiration de la licence est proche ou dépassée, créez une règle d'action (voir Mettre à jour ou révoquer la licence Traps sur le point de terminaison). Étape 6 (En option) Pour exporter les informations de licence dans un fichier CSV, cliquez sur l'icône du menu puis sélectionnez Export Logs. 54 , Advanced Endpoint Protection – Guide de l'administrateur Administrer le serveur ESM Gérer les licences Endpoint Security Manager Gérer les licences Endpoint Security Manager en utilisant la console ESM Étape 7 Vérifiez que le service du noyau Endpoint Security Manager est en cours d'exécution sur le serveur ESM : 1. Ouvrez le gestionnaire de services : • Windows Server 2008 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Outils d'administration > Services. • Windows Server 2012 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Système et sécurité > Outils d'administration > Services. 2. repérez le service du noyau Endpoint Security Manager (appelé CyveraServer dans les anciennes versions de Endpoint Security Manager) et vérifiez que l'état du service est Démarré (Windows Server 2008) ou En cours d'exécution (Windows Server 2012). 3. Si l'état du service est Arrêté ou En pause, effectuez un double clic sur le service, puis sélectionnez Démarrer. Cliquez sur Fermer. Gérer les licences Endpoint Security Manager en utilisant l'outil de configuration de base de données L'outil de configuration de base de données est une interface en ligne de commande qui fournit une alternative pour la gestion des paramètres de base du serveur en utilisant la console ESM. Vous pouvez accéder à l'outil de configuration de base de données en utilisant une invite de commandes MS-DOS Microsoft exécutée en tant qu'administrateur. L'outil de configuration de base de données est situé dans le dossier Server sur le serveur ESM. Toutes les commandes exécutées à l'aide de l'outil de configuration de base de données sont sensibles à la casse. Gérer les licences Endpoint Security Manager en utilisant l'outil de configuration de base de données Étape 1 Repérez votre fichier de licence. Étape 2 Ouvrez une invite de commande en tant qu'administrateur : • Sélectionnez Démarrer > Tous les programmes > Accessoires. Effectuez un clic droit sur Invite de commandes, puis sélectionnez Exécuter en tant qu'administrateur. • Sélectionnez Démarrer. Dans la case Rechercher les programmes et fichiers, saisissez cmd. Ensuite, pour ouvrir l'invite de commande en tant qu'administrateur, appuyez sur CTRL+MAJ+ENTRÉE. Étape 3 Accédez au dossier qui contient l'outil de configuration de base de données : C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Étape 4 Chargez la nouvelle licence : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig importlicense C:\<PathtoLicenseFile>\<LicenseFilename>.xml L'outil de configuration de base de données charge le fichier de licence. Pour vérifier la licence en utilisant la console ESM, voir Gérer les licences Endpoint Security Manager en utilisant la console ESM. Étape 5 (En option) Si nécessaire, créez une règle d'action dans la console ESM pour envoyer la nouvelle licence aux points de terminaison (voir Mettre à jour ou révoquer la licence Traps sur le point de terminaison). Advanced Endpoint Protection – Guide de l'administrateur 55 Configurer un accès administratif Administrer le serveur ESM Configurer un accès administratif Lorsque vous installez la console Endpoint Security Manager (ESM), vous spécifiez le compte administrateur et le type d'authentification que les administrateurs utiliseront pour accéder à la console. Après l'installation, vous pouvez modifier le mode d'authentification, soit compte local soit compte de domaine défini dans Active Directory, un ou plusieurs comptes administrateur, et/ou n'importe quel groupe d'authentification pour utiliser l'accès administrateur. Pour configurer les paramètres avancés comme pour les modules de protection contre les attaques (EPM), vous devez saisir le mot de passe du mode ninja. Vous pouvez modifier le mot de passe en utilisant l'outil de configuration de base de données. Configuration de l'accès administrateur à Endpoint Security Manager en utilisant la console ESM Configuration de l'accès administrateur à Endpoint Security Manager en utilisant l'outil de configuration de base de données Modifier le mot de passe du mode ninja en utilisant l'outil de configuration de base de données Configuration de l'accès administrateur à Endpoint Security Manager en utilisant la console ESM Lorsque vous installez la console Endpoint Security Manager (ESM), vous spécifiez le compte administrateur et le type d'authentification que les administrateurs utiliseront pour accéder à la console. Vous pouvez modifier ces préférences en utilisant l'outil de configuration de base de données (voir Configuration de l'accès administrateur à Endpoint Security Manager en utilisant l'outil de configuration de base de données) ou en utilisant la console ESM. Vous pouvez aussi spécifier un groupe d'authentification à utiliser pour l'accès administrateur. Par défaut, aucun groupe n'est spécifié. Configuration de l'accès administrateur à Endpoint Security Manager en utilisant la console ESM Étape 1 Sélectionnez Settings > General > User Management. Étape 2 (En option) Sélectionnez le mode d'authentification (Authentication mode), soit Machine pour utiliser un compte local, soit Domain pour utiliser un compte défini dans Active Directory. Étape 3 (En option) Spécifiez des administrateurs supplémentaires dans le champ Allowed users. Utilisez un point-virgule pour séparer plusieurs valeurs. Par exemple, <nomutilisateur1>;<nomutilisateur2>. Étape 4 (En option) Spécifiez les groupes autorisés (Allowed groups). Utilisez un point-virgule pour séparer plusieurs valeurs. Par exemple, <groupe1>;<groupe2>. 56 Advanced Endpoint Protection – Guide de l'administrateur Administrer le serveur ESM Configurer un accès administratif Configuration de l'accès administrateur à Endpoint Security Manager en utilisant l'outil de configuration de base de données Lorsque vous installez la console Endpoint Security Manager (ESM), vous spécifiez le compte administrateur et le type d'authentification que les administrateurs utiliseront pour accéder au serveur. Vous pouvez aussi spécifier un groupe d'authentification à utiliser pour l'accès administrateur. Par défaut, aucun groupe n'est spécifié. Vous pouvez modifier ces préférences en utilisant la console ESM (voir Configuration de l'accès administrateur à Endpoint Security Manager en utilisant la console ESM) ou en utilisant l'outil de configuration de base de données. L'outil de configuration de base de données est une interface en ligne de commande qui fournit une alternative pour la gestion des paramètres de base du serveur en utilisant la console ESM. Vous pouvez accéder à l'outil de configuration de base de données en utilisant une invite de commandes MS-DOS Microsoft exécutée en tant qu'administrateur. L'outil de configuration de base de données est situé dans le dossier Server sur le serveur ESM. Toutes les commandes exécutées à l'aide de l'outil de configuration de base de données sont sensibles à la casse. Configuration de l'accès administrateur à Endpoint Security Manager en utilisant l'outil de configuration de base de données Étape 1 Ouvrez une invite de commande en tant qu'administrateur : • Sélectionnez Démarrer > Tous les programmes > Accessoires. Effectuez un clic droit sur Invite de commandes, puis sélectionnez Exécuter en tant qu'administrateur. • Sélectionnez Démarrer. Dans la case Rechercher les programmes et fichiers, saisissez cmd. Ensuite, pour ouvrir l'invite de commande en tant qu'administrateur, appuyez sur CTRL+MAJ+ENTRÉE. Étape 2 Accédez au dossier qui contient l'outil de configuration de base de données : C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Étape 3 (En option) Consultez les paramètres administrateur existants : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig usermanagement show AuthMode = Machine AllowedUsers = Administrator AllowedGroups = Étape 4 (En option) Spécifiez le mode d'authentification, soit domaine soit machine. C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig usermanagement authmode [domain|machine] Étape 5 (En option) Spécifiez les utilisateurs administrateurs supplémentaires. Utilisez un point-virgule pour séparer plusieurs valeurs. Par exemple, administrateur;administrateur2. C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig usermanagement allowedusers <username1>;<username2> Les utilisateurs administrateurs que vous spécifiez remplacent toutes les valeurs définies auparavant. Pour conserver les valeurs actuelles, vous devez les spécifier dans la commande. Advanced Endpoint Protection – Guide de l'administrateur 57 Configurer un accès administratif Administrer le serveur ESM Configuration de l'accès administrateur à Endpoint Security Manager en utilisant l'outil de configuration de base de données Étape 6 (En option) Spécifiez les groupes administrateurs supplémentaires. Utilisez un point-virgule pour séparer plusieurs valeurs. Par exemple, adminsécurité;adminpointterminaison. C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig usermanagement allowedgroups <groupname1>;<groupname2> Les groupes administrateurs que vous spécifiez remplacent toutes les valeurs définies auparavant. Pour conserver les valeurs actuelles, vous devez les spécifier dans la commande. Modifier le mot de passe du mode ninja en utilisant l'outil de configuration de base de données Les modules de prévention des attaques avancés (EPM) sont cachés et ne sont accessibles qu'en mode ninja . Pour consulter les EPM avancés vous devez saisir le mot de passe du mode ninja. Pour modifier le mot de passe, utilisez l'outil de configuration de base de données. Modifier le mot de passe du mode ninja en utilisant l'outil de configuration de base de données Étape 1 Ouvrez une invite de commande en tant qu'administrateur : • Sélectionnez Démarrer > Tous les programmes > Accessoires. Effectuez un clic droit sur Invite de commandes, puis sélectionnez Exécuter en tant qu'administrateur. • Sélectionnez Démarrer. Dans la case Rechercher les programmes et fichiers, saisissez cmd. Ensuite, pour ouvrir l'invite de commande en tant qu'administrateur, appuyez sur CTRL+MAJ+ENTRÉE. Étape 2 Accédez au dossier qui contient l'outil de configuration de base de données : C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Étape 3 (En option) Consultez les paramètres du serveur existant : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server show PreventionsDestFolder = \\ESMServer\Quarantine InventoryInterval = 284 HeartBeatGracePeriod = 300 NinjaModePassword = Password2 Étape 4 Spécifiez le nouveau mot de passe du mode ninja. C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server ninjamodepassword <password> 58 Advanced Endpoint Protection – Guide de l'administrateur Administrer le serveur ESM Exporter et importer les fichiers de stratégie Exporter et importer les fichiers de stratégie Les fonctions d'exportation et importation dans la console Endpoint Security Manager (ESM) vous permettent de sauvegarder les règles avant la migration ou la mise à niveau vers un nouveau serveur ou le déploiement d'une stratégie vers plusieurs serveurs indépendants. Vous pouvez exporter les règles de stratégie de manière globale ou individuelle et les enregistrer dans un fichier XML. L'importation de règles de stratégie ajoute les règles à la stratégie existante et affecte un numéro d'identifiant unique à chaque nouvelle règle. Dans Advanced Endpoint Protection 3.2, chaque type de règle de stratégie possède sa propre page de gestion à partir de laquelle vous pouvez sauvegarder ou importer les règles de stratégie de ce type. Lors du chargement d'un fichier de stratégie qui contient des règles de différents types (règles d'action et règles de prévention d'attaque, par exemple), la console ESM charge puis affiche les stratégies dans leurs pages de gestion respectives. Exporter et importer les fichiers de stratégie Étape 1 Sélectionnez la page de gestion de stratégie pour le jeu de règles que vous voulez importer, par exemple Policies > Malware > Restrictions. Étape 2 Effectuez l'une des actions suivantes : • Pour sauvegarder ou exporter les règles de stratégie, cochez la case à côté des règles que vous voulez exporter. Dans le menu eu haut du tableau, sélectionnez Export selected. Endpoint Security Manager enregistre les règles sélectionnées dans un fichier XML. • Pour restaurer ou importer de nouvelles règles de stratégie, sélectionnez Import rules dans le menu en haut du tableau. Accédez au fichier de stratégie, puis cliquez sur Upload. Advanced Endpoint Protection – Guide de l'administrateur 59 Exporter et importer les fichiers de stratégie 60 Administrer le serveur ESM Advanced Endpoint Protection – Guide de l'administrateur Prise en main des règles Les sujets suivants décrivent les composants de base et les processus associés à chaque règle : Vue d'ensemble des règles de stratégie du point de terminaison Composants et actions communs des règles Advanced Endpoint Protection – Guide de l'administrateur 61 Vue d'ensemble des règles de stratégie du point de terminaison Prise en main des règles Vue d'ensemble des règles de stratégie du point de terminaison Types de règle de stratégie Application de la stratégie Types de règle de stratégie Les stratégies vous permettent d'appliquer des règles et d'agir. Les différentes règles de stratégie peuvent être configurées de manière approfondie et collaborent pour gérer les processus, les fichiers exécutables et les paramètres sur vos points de terminaison. Le tableau suivant décrit les types de règles de stratégie que vous pouvez configurer dans la console ESM. Type de règle Description Prévention d'attaque Les règles de prévention d'attaque déterminent la méthode de protection pour les processus exécutés sur vos points de terminaison. Chaque règle dans la stratégie de prévention d'attaque spécifie le type de modules de protection qui protègent les processus. Pour plus d'informations, consultez la section Règles de prévention d'attaque. Prévention contre les logiciels malveillants Les règles de prévention contre les logiciels malveillants déterminent la méthode de protection pour les exécutables lancés sur vos points de terminaison. Chaque règle dans la stratégie de prévention contre les logiciels malveillants spécifie le type de modules de protection qui protègent les exécutables et les processus. Pour plus d'informations, consultez la section Règles de prévention contre les logiciels malveillants. Restriction Les règles de restriction déterminent quelles sont les restrictions ou les exceptions placées sur les exécutables qui sont lancés sur les points de terminaison. Pour plus d'informations, consultez la section Règles de restriction. WildFire Les règles WildFire permettent l'analyse des exécutables pré-intervention et post-prevention en envoyant les empreintes de fichier exécutable et en option les fichiers inconnus au nuage WildFire. Pour plus d'informations, consultez la section Règles WildFire. Investigation numérique Les règles d'investigation numérique vous permettent de définir des préférences concernant le vidage mémoire et la collecte de fichier d'investigation numérique. Pour plus d'informations, consultez la section Règles d'investigation numérique. Paramètres d'agent Les règles de paramètres d'agent vous permettent de modifier les valeurs des paramètres de l'agent Traps relatives à la journalisation, à la fréquence de pulsation et à l'accessibilité de la console. Pour plus d'informations, consultez la section Règles de paramètres d'agent Traps. Action Les règles d'action vous permettent d'effectuer des activités d'administration sur les points de terminaison. Les actions de gestion unique incluent la désinstallation et la mise à niveau de Traps, la mise à jour des licences, la protection du logiciel Traps et l'effacement des fichiers de données. Pour plus d'informations, consultez la section Règles d'action Traps. 62 Advanced Endpoint Protection – Guide de l'administrateur Prise en main des règles Vue d'ensemble des règles de stratégie du point de terminaison Application de la stratégie Le type de règles de stratégie détermine le moment où Traps évalue la règle. Les règles de prévention d'attaque ou de stratégie de restriction sont évaluées uniquement lorsqu'un processus ou un fichier exécutable lancés correspondent aux Objets cibles, aux Conditions et aux paramètres qui sont spécifiques à la règle. Un objet cible peut être tout utilisateur, groupe, unité d'organisation ou ordinateur qui apparaît dans Active Directory ou dans le point de terminaison sur lequel Traps est installé. Endpoint Security Manager identifie les points de terminaison par des messages qu'envoie Traps au serveur. Une condition peut se référer à la correspondance exacte avec un fichier, un fichier et une version de fichier, ou un chemin du registre qui doivent exister sur le point de terminaison. Vous pouvez aussi définir une condition pour une version spécifique d'un fichier exécutable défini dans le chemin de fichier. À intervalles réguliers, la dernière stratégie de sécurité est envoyée au points de terminaison sur votre réseau. Vous pouvez définir la fréquence à laquelle la stratégie de sécurité se met à jour sur le point de terminaison en réglant le paramètre de pulsation. Vous pouvez aussi récupérer manuellement la dernière stratégie de sécurité à partir de la console Traps. Traps applique les paramètres d'agent ou les règles de stratégie d'action lorsque le point de terminaison reçoit la mise à jour de stratégie de sécurité et qu'une règle correspondant aux Objets cibles, aux Conditions et aux paramètres du point de terminaison. Traps évalue chaque règle en séquence dans la stratégie de sécurité par numéro d'identifiant : un numéro d'identifiant plus élevé indique une plus grande priorité de la règle. Les règles qui ont été récemment créées ou modifiées reçoivent un numéro d'identifiant plus élevé et sont donc évaluées en premier. Contrairement aux pare-feu Palo Alto Networks, qui évaluent les règles de manière hiérarchique, Traps évalue toutes les règles de la stratégie de sécurité du point de terminaison de manière séquentielle. Chaque type de règle possède sa page de récapitulatif spécifique qui affiche toutes les règles de ce type et vous permet d'ajouter de nouvelles règles, de consulter les détails supplémentaires sur chaque règle et d'effectuer des tâches de gestion de règle. Sur la page de récapitulatif, vous pouvez aussi désactiver/activer la protection pour toutes les règles de ce type. Advanced Endpoint Protection – Guide de l'administrateur 63 Composants et actions communs des règles Prise en main des règles Composants et actions communs des règles Chaque type de règle possède un ensemble spécifique de champs obligatoires et en option que vous pouvez personnaliser pour satisfaire les exigences de la stratégie de sécurité de votre organisation. Le tableau suivant décrit les étapes communes pour la création d'une règles de stratégie. Gérer les règles Sujet Définissez les paramètres et/ou les actions qui sont spécifiques au Pour plus de détails sur les paramètres spécifiques type de règle. requis pour chaque type de règle, voir : • Gérer les règles de prévention d'attaque • Gérer les règles de prévention contre les logiciels malveillants • Gérer les règles et paramètres WildFire • Gérer les restrictions sur les exécutables • Gérer les règles d'action Traps • Gérer les règles de paramètres d'agent • Gérer les règles et paramètres d'investigation numérique Ajoutez des conditions d'activation — des conditions que le point de Conditions terminaison doit satisfaire pour qu'une règle soit appliquée — à la règle. Définissez les objets cibles (utilisateurs, ordinateurs, unités d'organisation, groupes et points de terminaison). Objets cibles Fournissez un nom de description pour la règle. Nommer ou renommer une règle Enregistrez et activez en option la règle. • Enregistrer les règles • Gérer les règles enregistrées Désactivez ou activez toutes les règles de protection. Désactiver ou activer toutes les règles de protection Conditions Définir les conditions d'activation pour une règle Supprimer ou modifier une condition de règle 64 Advanced Endpoint Protection – Guide de l'administrateur Prise en main des règles Composants et actions communs des règles Définir les conditions d'activation pour une règle Les conditions d'activation de règle sont les conditions que le point de terminaison doit satisfaire pour appliquer une règle sur un point de terminaison. Pour chaque condition, vous pouvez spécifier un chemin de fichier exécutable, un chemin de fichier exécutable et une version de fichier, ou un chemin du registre qui doivent exister sur le point de terminaison. Définir les conditions d'activation pour une règle Étape 1 Sélectionnez Settings > Conditions. La page Conditions affiche le numéro d'identifiant (ID) unique, le nom (Name) et la Description pour chaque condition. Étape 2 Ajoutez (Add) une nouvelle condition. Étape 3 Saisissez le nom (Name) et la Description de la condition, puis spécifiez un ou plusieurs des paramètres suivants : • Path — Chemin complet d'un fichier exécutable qui existe sur le point de terminaison. • Registry Path — Chemin complet d'une entrée du registre qui existe sur le point de terminaison. • Version — Numéro de version d'un fichier exécutable qui existe sur le point de terminaison et numéro de version de l'exécutable. S'il est défini, vous devez aussi spécifier le chemin de l'exécutable. L'exécutable doit correspondre à la fois au chemin et à la version exacte pour que la règle soit appliquée. Étape 4 Enregistrez (Save) la condition. Supprimer ou modifier une condition de règle Les conditions d'activation de règle sont les conditions que le point de terminaison doit satisfaire pour appliquer une règle sur un point de terminaison. Après avoir créé une condition, vous pouvez la supprimer ou la modifier à partir de la page Conditions. Modifier ou supprimer une condition de règle Étape 1 Sélectionnez Settings > Conditions. La page Conditions affiche le numéro d'identifiant (ID) unique, le nom (Name) et la Description pour chaque condition. Étape 2 Sélectionnez la condition à modifier ou supprimer. Étape 3 Effectuez l'une des actions suivantes. • Cliquez sur Delete pour supprimer la condition. • Modifiez les paramètres de condition, puis enregistrez (Save) les modifications. Objets cibles Les objets cibles pour les règles sont les objets auxquels s'applique la règle. Un objet peut être l'un des éléments suivants : Objet cible Description Utilisateur Un utilisateur défini dans Active Directory. Advanced Endpoint Protection – Guide de l'administrateur 65 Composants et actions communs des règles Prise en main des règles Objet cible Description Groupe Un groupe d'utilisateurs défini dans Active Directory. Ordinateur Le nom d'une ordinateur ou d'un dispositif mobile défini dans Active Directory. Unité d'organisation Une subdivision au sein d'Active Directory dans laquelle vous pouvez placer des utilisateurs, des groupes, des ordinateurs et d'autres unités d'organisation. Point de terminaison existant Un ordinateur ou dispositif mobile sur lequel Traps est installé. Endpoint Security Manager identifie les points de terminaison existants par des messages de communication envoyés par Traps. Vous pouvez appliquer les règles à tous les objets dans l'organisation, à des objets sélectionnés ou à tous les objets à l'exception de ceux qui sont dans la liste Exclude. Quel que soit le point de terminaison, la règle que vous définissez pour les utilisateurs et les groupes s'appliquera aux utilisateurs et aux groupes sans tenir compte du point de terminaison sur lequel ils sont connectés. Nommer ou renommer une règle La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle et de l'heure de la création. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Enregistrer les règles Pour enregistrer une règle, vous devez remplir tous les champs obligatoires pour ce type de règle. Les onglets avec des champs obligatoires sont indiqués par une ligne ondulée rouge sous le nom de l'onglet. Remplissez les champs obligatoires avant de tenter d'enregistrer ou de modifier une règle. Après avoir spécifié les champs obligatoires pour une règle, vous pouvez sélectionner une ou plusieurs des actions suivantes : 66 Advanced Endpoint Protection – Guide de l'administrateur Prise en main des règles Composants et actions communs des règles Action Description Save Enregistrer la règle sans l'activer. L'état de la règle affiché est Inactive, et vous pouvez l'activer plus tard. Save & Apply Enregistrer la règle et l'activer immédiatement. Gérer les règles enregistrées Après l'enregistrement de la règle, le nom et la description apparaissent dans différents journaux et tables du système. Sélectionnez la règle pour consulter les détails et effectuer l'une des actions suivantes : Action Description Duplicate (Règles d'action uniquement) Créer une nouvelle règle basée sur une règle existante. Delete Supprimer la règle. La règle est éliminée du système. Pour supprimer plusieurs règles à la fois, cochez la case à côté de la règle, puis sélectionnez Delete selected non-Default Rules dans le menu en haut du tableau. Activate/Deactivate Si la règle a déjà été enregistrée, mais pas encore appliquée, vous pouvez activer (Activate) la règle pour l'ajouter à la stratégie de sécurité actuelle. Si la règle est active, vous pouvez la désactiver (Deactivate) pour supprimer la règle de la stratégie de sécurité actuelle, mais sans supprimer la règle du système. Pour activer/désactiver plusieurs règles à la fois, cochez la case à côté de la règle, puis sélectionnez activer la sélection (Active selected) ou désactiver la sélection (Deactivate selected) dans le menu en haut du tableau. Pour désactiver/activer toutes les règles d'attaque, logiciel malveillant ou investigation numérique, voir Désactiver ou activer toutes les règles de protection. Edit Modifier la définition de la règle. La sélection de cette option ouvre l'assistant de règle et vous permet de modifier la définition de la règle. Pour plus d'informations, consultez la section Créer une règle de prévention d'attaque. Import rules/Export selected Dans le menu en haut du tableau, vous pouvez importer des règles ou exporter les règles sélectionnées au besoin. L'exportation des règles enregistre les règles sélectionnées dans un fichier XML. Pour plus d'informations, consultez la section Exporter et importer les fichiers de stratégie. Désactiver ou activer toutes les règles de protection Si la stratégie de sécurité cause des problèmes pour les points de terminaison dans votre organisation, vous pouvez rapidement désactiver toutes les règles de stratégie, y compris les règles de stratégie par défaut. Advanced Endpoint Protection – Guide de l'administrateur 67 Composants et actions communs des règles Prise en main des règles La désactivation de la protection arrête l'injection de Traps dans tous les futurs processus, la validation avec WildFire, la collecte d'autres données et supprime effectivement toutes les restrictions. La modification des règles de sécurité lorsque la protection est désactivée ne prendra effet que lorsque la protection sera réactivée. Après la désactivation de la protection et la recherche des problèmes, vous pouvez rétablir les règles de stratégie en activant toutes les protections. L'activation de la protection n'active pas les règles qui étaient désactivées au préalables. Si vous avez besoin de désactiver une seule règle ou un petit groupe de règles, vous pouvez les sélectionner et désactiver individuellement à partir de la page de gestion des règles qui est spécifique à ce type de règle. Désactiver ou activer toutes les règles de protection Étape 1 Depuis la console ESM, sélectionnez une page de gestion de règle, par exemple Policies > Malware > Restrictions. Étape 2 Pour désactiver la protection, sélectionnez Disable All Protection. ESM supprime toutes les règles et envoie la stratégie de sécurité à jour aux points de terminaison lors de la prochaine communication de pulsation avec Traps. Étape 3 Pour activer la protection, sélectionnez Enable All Protection. ESM rétablit toutes les règles et envoie la stratégie de sécurité à jour aux points de terminaison lors de la prochaine communication de pulsation avec Traps. 68 Advanced Endpoint Protection – Guide de l'administrateur Prévention d'attaque Gérer les processus Gérer les règles de prévention d'attaque Advanced Endpoint Protection – Guide de l'administrateur 69 Gérer les processus Prévention d'attaque Gérer les processus Par défaut, Endpoint Security Manager protège les processus les plus vulnérables et les plus couramment utilisés dans les environnements Windows. Les détails sur ces processus sont disponibles sur la page Process Management et incluent les informations sur le type de protection, le nombre d'ordinateurs qui exécutent le processus, ainsi que la date et l'heure de la première découverte du processus. Vous pouvez configurer les processus pour leur donner l'état Protégé (Protected), Non protégé (Unprotected) ou Provisoire (Provisional). Le but de l'état Provisional est d'indiquer que le processus subi un essai d'exécution en tant que processus protégé, habituellement sur un petit nombre de points de terminaison et avec un petit nombre de règles. Une fois l'essai d'exécution terminé et après avoir effectué les ajustements nécessaires aux règles, vous pouvez modifier le type de processus à l'état Protected. En créant une règle des paramètres d'agent pour collecter des informations sur les nouveaux processus, vous pourrez voir les processus que Traps découvre sur les points de terminaison dans votre organisation. Ceci est utile pour détecter les processus non protégés et les changer en processus protégés (voir Collecter les informations sur les nouveaux processus). Vous pouvez aussi ajouter une protection à d'autres applications de tiers et propriétaires sans collecter les informations sur les nouveaux processus en les ajoutant directement à la liste des processus protégés sur la page Process Management. Protection des processus Ajouter un processus Protégé, Provisoire ou Non protégé Importer ou exporter un processus Afficher, modifier ou supprimer un processus Afficher les processus actuellement protégés par Traps 70 Advanced Endpoint Protection – Guide de l'administrateur Prévention d'attaque Gérer les processus Protection des processus Traps protège les processus suivants par défaut. Processus protégés par défaut • 7z.exe • explorer.exe • notepad.exe • taskhost.exe • 7zFM.exe • filezilla.exe • notepad++.exe • telnet.exe • 7zG.exe • firefox.exe • nslookup.exe • unrar.exe • Acrobat.exe • FlashFXP.exe • opera.exe • userinit.exe • AcroRd32.exe • FotoSlate4.exe • opera_plugin_wrapper.exe • vboxservice.exe • acrord32info.exe • foxit reader.exe • OUTLOOK.EXE • vboxsvc.exe • alg.exe • ftp.exe • plugin-container.exe • vboxtray.exe • amp.exe • ftpbasicsvr.exe • POWERPNT.EXE • VISIO.EXE • AppleMobileDeviceService. • GoogleUpdate.exe exe • GrooveMonitor.exe • APWebGrb.exe • i_view32.exe • armsvc.exe • icq.exe • PPTVIEW.EXE • vlc.exe • qttask.exe • VPREVIEW.EXE • QuickTimePlayer.exe • webkit2webprocess.exe • rar.exe • wftp.exe • bsplayer.exe • ICQLite.exe • reader_sl.exe • winamp.exe • chrome.exe • iexplore.exe • realconverter.exe • winampa.exe • cmd.exe • INFOPATH.EXE • realplay.exe • winrar.exe • CorelCreatorClient.exe • iPodService.exe • realsched.exe • WINWORD.EXE • CorelCreatorMessages.exe • itunes.exe • rundll32.exe • winzip32.exe • ctfmon.exe • iTunesHelper.exe • RuntimeBroker.exe • winzip64.exe • cuteftppro.exe • journal.exe • Safari.exe • wireshark.exe • jqs.exe • searchindexer.exe • wmiprvse.exe mirc.exe • skype.exe • wmplayer.exe MSACCESS.EXE • soffice.exe • wmpnetwk.exe msnmsgr.exe • spoolsv.exe • wuauclt.exe MSPUB.EXE • svchost.exe • xftp.exe netstat.exe • sws.exe • xpsrchvw.exe nginx.exe • taskeng.exe • DivX Player.exe • DivX Plus Player.exe • • DivXConverterLauncher. • exe • • DivXUpdate.exe • • dllhost.exe • • dwm.exe • • EXCEL.EXE Advanced Endpoint Protection – Guide de l'administrateur 71 Gérer les processus Prévention d'attaque Ajouter un processus Protégé, Provisoire ou Non protégé Par défaut, Traps protège les applications les plus vulnérables et les plus couramment utilisées, mais vous pouvez aussi ajouter d'autres applications de tiers et propriétaires à la liste des processus protégés. En étendant la protection aux applications importantes pour votre organisation, vous pouvez fournir une protection maximale avec un minimum de perturbation des activités quotidiennes. Ajoutez les processus avec l'état protégé, provisoire ou non protégé et configurez-les en utilisant la page Process Management. Vous pouvez uniquement configurer les règles de prévention d'attaque sur les processus Protected ou Provisional. Vous ne pouvez pas modifier les processus Protected par défaut qui sont inclus dans la configuration initiale. Consultez l'équipe d'assistance Palo Alto Networks pour toute question. Ajouter un processus Protégé, Provisoire ou Non protégé Étape 1 Accédez à la page Process Management. À partir de la console ESM, sélectionnez Policies > Exploit > Process Management. Étape 2 Ajoutez un nouveau processus. 1. Cliquez sur Ajouter. 2. Saisissez le nom du processus (Process name). 3. Sélectionnez le type de protection (Protection type) : • Protected — Indique que les règles de sécurité protègent activement le processus. • Provisional — Vous permet de séparer logiquement les processus protégés des processus qui subissent un essai de fonctionnement en tant que processus protégés. • Unprotected — Indique que les règles de sécurité ne protègent pas activement le processus. Étape 3 Enregistrez vos modification au processus protégé. 72 Cliquez sur Create. Advanced Endpoint Protection – Guide de l'administrateur Prévention d'attaque Gérer les processus Importer ou exporter un processus Utilisez les fonctions d'exportation et importation dans la console Endpoint Security Manager (ESM) pour sauvegarder une ou plusieurs définitions de processus utilisées dans votre stratégie de sécurité. Les fonctions d'exportation et importation vous permettent de sauvegarder les processus avant la migration ou la mise à niveau vers un nouveau serveur ou le déploiement de processus gérés vers plusieurs serveurs indépendants. Vous pouvez exporter les processus de manière globale ou individuelle et les enregistrer dans un fichier XML. La fonction d'importation ajoute les processus à la liste existante des processus par défaut et ajoutés et affiche leurs types de protection. Importer ou exporter un processus Étape 1 Accédez à la page Process Management. À partir de la console ESM, sélectionnez Policies > Exploit > Process Management. Étape 2 Importez ou exportez un ou plusieurs processus. • Pour importer les processus, cliquez sur le menu , puis sélectionnez Import processes. Accédez (Browse) aux processus que vous voulez importer et chargez-les (Upload). Les processus apparaissent dans le tableau une fois que le chargement est terminé. • Pour exporter les processus, sélectionnez un ou plusieurs processus que vous voulez exporter. Dans le menu , sélectionnez Export selected. La console ESM enregistre les processus dans un fichier XML. Afficher, modifier ou supprimer un processus La page Processes Management dans la console Endpoint Security Manager affiche tous les processus que votre organisation protège. Pour modifier ou supprimer un processus, vous devez d'abord retirer le processus de toutes les règles associées. Afficher, modifier ou supprimer un processus Étape 1 Accédez à la page Process Management. À partir de la console ESM, sélectionnez Policies > Exploit > Process Management. Advanced Endpoint Protection – Guide de l'administrateur 73 Gérer les processus Prévention d'attaque Afficher, modifier ou supprimer un processus (Suite) Étape 2 Afficher les processus dans le tableau Process Management. Utilisez les contrôles de page en haut du tableau pour voir différentes portions du tableau. Les champs suivants sont affichés : • Process Name — Nom de fichier de l'exécutable du processus • Protection Type — Protégé, non protégé, ou provisoire • Computers — Nombre de points de terminaison sur lesquels le processus a été exécuté • Linked Rules — Nombre de règles configurées pour le processus • First Discovered On — Nom du point de terminaison sur lequel le processus a été découvert la première fois • Discovery Time — Date et heure de la première découverte du processus sur le point de terminaison (après réception d'une règle pour signaler les nouveaux processus) Étape 3 Gérez ou modifiez le processus. Sélectionnez le nom du processus, puis effectuez l'une des actions suivantes. • Sélectionnez Delete pour supprimer le processus. • Modifiez le nom du processus (Process Name), puis enregistrez (Save) vos modifications. • Modifiez le type de protection (Protection type), puis enregistrez (Save) vos modifications. Afficher les processus actuellement protégés par Traps Lorsqu'un utilisateur créé ou ouvre un processus protégé sur le point de terminaison, Traps injecte un module de protection, appelé module de prévention d'attaque (EPM), au sein du processus. Les règles de stratégie de sécurité du point de terminaison déterminent les EPM qui sont injectés dans chaque processus. Vous pouvez voir les processus actuellement protégés par Traps en utilisant la console Traps ou une interface en ligne de commande appelée Cytool (voir Afficher les processus actuellement protégés par Traps). L'onglet Protection sur la console Traps affiche les processus actuellement protégés par Traps. 74 Advanced Endpoint Protection – Guide de l'administrateur Prévention d'attaque Gérer les processus Pour chaque processus, Traps affiche le nom, la description, le numéro d'identifiant unique, l'heure à laquelle le processus a été lancé et le registre d'allocation de mémoire. Afficher les processus actuellement protégés par Traps Étape 1 Lancez la console Traps : • Depuis la zone de notification de Windows, effectuez une clic droit sur l'icône Traps Console, ou effectuez un double clic sur l'icône. • Exécutez CyveraConsole.exe à partir du dossier d'installation de Traps. La console Traps se lance. et sélectionnez Étape 2 Sélectionnez l'onglet Advanced > Protection pour afficher les processus protégés. Advanced Endpoint Protection – Guide de l'administrateur 75 Gérer les règles de prévention d'attaque Prévention d'attaque Gérer les règles de prévention d'attaque Règles de prévention d'attaque Stratégie de prévention d'attaque par défaut Créer une règle de prévention d'attaque Exclure un point de terminaison d'une règle de prévention d'attaque Règles de prévention d'attaque Une règle de prévention d'attaque utilise les modules de prévention d'attaque (EPM) pour protéger les processus dans votre organisation et contrôle le comportement du processus, généralement par blocage ou autorisation. L'EPM cible une technique d'exploitation spécifique et injecte un module dans le processus pour éviter les attaques aux vulnérabilités du programme basées sur la corruption de mémoire ou des failles logiques. Un EPM peut protéger simultanément plusieurs applications et processus. Des EPM avancés supplémentaires sont cachés et ne sont accessibles qu'en mode ninja . Les EPM avancés permettent aux ingénieurs d'assistance et de vente Palo Alto Networks de configurer des paramètres supplémentaires très fins pour chaque EPM. Le tableau suivant décrit les types d'EPM et le type d'attaque contre lequel le module fournit la protection. Nom Type Description DEP Corruption de mémoire Prévention d'exécution des données (DEP). Empêche l'exécution d'un code exécutable aux zones de mémoire désignées comme contenant des données. Protection contre le détournement de DLL Faille logique logicielle Empêche les attaques de détournement de DLL où le pirate tente de charger des DLL à partir d'emplacements non sécurisés pour obtenir le contrôle d'un processus. Empêche également au pirate de charger des fichiers CPL (panneau de commande) malicieux. CPL Faille logique logicielle Protège contre les vulnérabilités liées à la routine d'affichage pour les images de raccourci du panneau de configuration de Windows, qui peut être utilisée pour la création de logiciel malveillant. Sécurité DLL Faille logique logicielle Empêche l'accès aux métadonnées cruciales de DLL à partir d'emplacements de code douteux. Contrôle de heap spray en exception Corruption de mémoire Détecte les instances de type heap spray lors de l'occurrence d'exceptions suspectes (indicatives de tentatives d'exploitation). Protection des polices Faille logique logicielle Empêche la manipulation incorrecte des polices, cible courante des attaques. Cookies GS Faille logique logicielle Améliore la granularité des contrôles de sécurité du tampon de Windows pour la protection contre le dépassement de tampon, une technique d'attaque courante qui exploite un code qui n'applique pas les restrictions de taille du tampon. Une modification de la taille du cookie de sécurité qui est utilisé pour allouer l'espace indique que la pile peut avoir été réécrite ; le processus est terminé si une valeur différente est détectée. 76 Advanced Endpoint Protection – Guide de l'administrateur Prévention d'attaque Nom Gérer les règles de prévention d'attaque Type Mitigation de corruption de tas Corruption de mémoire Protection contre les correctifs à chaud Faille logique logicielle Préallocation de bibliothèque Faille logique logicielle Description Empêche le déclenchement des vulnérabilités de corruption de tas comme le double libération. Empêche l'utilisation d'une nouvelle technique qui utilise les fonctions du système pour contourner la DEP et la distribution aléatoire de l'espace d'adressage (ASLR). Applique le réadressage de modules spécifiques que l'exploitation tente couramment d'utiliser. Contrôle de heap spray en limite de mémoire Corruption de mémoire Détecte les instances de type heap spray qui utilisent notre algorithme propriétaire lors d'une augmentation soudaine de la consommation de mémoire (indicative d'une exploitation en cours). Protection contre la déréférence de pointeur Null Corruption de mémoire Empêche un code malicieux d'effectuer la mise en correspondance avec l'adresse zéro dans l'espace mémoire, rendant ainsi inexploitable les vulnérabilités de déréférence de pointeur Null. DLL condensées Faille logique logicielle Une extension du module de sécurité DLL qui fournit la prise en charge des DLL condensées qui seront décondensées en mémoire. Contrôle de heap spray périodique Corruption de mémoire Détecte les instances de type heap spray qui utilisent notre algorithme propriétaire en examinant le tas à des intervalles de temps prédéfinis. Préallocation aléatoire Faille logique logicielle Augmente l'entropie de la disposition de mémoire du processus pour réduire les possibilités d'attaque réussie. Mitigation ROP Corruption de mémoire Protège contre l'utilisation de la programmation orientée retour (ROP) en protégeant les API utilisées dans les chaînes ROP et contre les attaques utilisant les moteurs de compilation juste à temps (JIT). Protection SEH Corruption de mémoire Empêche le détournement du gestionnaire d'exception structuré (SEH), une structure de contrôle d'attaque couramment utilisée appelée Liste liée, qui contient une séquence d'enregistrements de données. Préallocation du shellcode Faille logique logicielle Réserver et protège certaines zones de la mémoire couramment utilisées pour loger les charges utiles en utilisant des techniques de type heap spray. Protection du ShellLink Faille logique logicielle Empêche les vulnérabilités logiques de lien shell. SYSRET Faille logique logicielle Protège contre les vulnérabilités liées à une attaque par escalade de privilège local. UASLR Faille logique logicielle Améliore ou implémente complètement ASLR (randomisation de l'emplacement du module) avec une meilleure entropie, robustesse et une application stricte. Advanced Endpoint Protection – Guide de l'administrateur 77 Gérer les règles de prévention d'attaque Prévention d'attaque La stratégie de sécurité par défaut de Endpoint Security Manager contient les règles de prévention d'attaque pour un ensemble de processus couramment utilisés. Pour créer des règles de prévention d'attaque supplémentaires, vous devez configurer l'EPM et les détails de l'EPM utilisés pour protéger un ou plusieurs processus et spécifier en option les Objets cibles, les Conditions, les processus, les EPM et les actions à entreprendre en cas d'attaque. Un objet cible peut être tout utilisateur, groupe, unité d'organisation ou ordinateur qui apparaît dans Active Directory ou dans le point de terminaison sur lequel Traps est installé. Endpoint Security Manager identifie les points de terminaison par des messages qu'envoie Traps au serveur. Une condition peut se référer à un fichier, à un fichier et une version de fichier, ou à un chemin du registre qui doivent exister sur le point de terminaison. Traps récupère régulièrement la stratégie de sécurité sur le serveur ESM. Lorsqu'un utilisateur ouvre un fichier ou un URL, l'agent Traps injecte l'EPM dans le ou les processus impliqués par l'ouverture du fichier. La stratégie de sécurité détermine le type d'EPM que Traps utilise pour protéger contre les vulnérabilités ou bogues dans le processus et les actions à entreprendre. Les actions peuvent inclure des spécifications indiquant s'il faut ou non activer l'EPM, terminer le processus, ou avertir l'utilisateur de l'évènement de sécurité. Lorsqu'un évènement de sécurité déclenche une règle, l'agent Traps prend également un instantané de la mémoire pour l'investigation numérique suivante. Affichez un récapitulatif des règles de prévention d'attaque sur la page Policies > Exploit > Protection Modules. La sélection d'une règle sur la page affiche d'autres informations sur la règle et les autres actions que vous pouvez entreprendre (supprimer (Delete), activer/désactiver (Activate/Deactivate), ou modifier (Edit) la règle). Pour plus d'informations, consultez la section Gérer les règles de prévention d'attaque. Consultez l'assistance Palo Alto Networks avant d'effectuer toute modification aux EPM dans les règles de stratégie de sécurité. Stratégie de prévention d'attaque par défaut Par défaut, la stratégie de sécurité de Endpoint Security Manager contient des Règles de prévention d'attaque qui sont activées pour la protection contre les attaques qui profitent des vulnérabilités et exploitations courantes du logiciel. Le tableau suivant décrit les paramètres de la stratégie de prévention d'attaque par défaut. Lors de la configuration de nouvelles règles de prévention d'attaque, vous pouvez adopter le comportement par défaut affiché dans la colonne Mode et notification utilisateur ou vous pouvez substituer les paramètres au besoin pour personnaliser la stratégie de sécurité de votre organisation. Pour configurer les EPM avancés vous devez saisir le mot de passe du mode ninja . EPM Module DEP G01 Terminer, Notification=ACTIVÉ Sécurité DLL DllSec Terminer, Notification=ACTIVÉ Protection contre le détournement DllProt de DLL 78 Activé par défaut ? Mode et notification utilisateur Mode ninja ? Avertir, Notification=ACTIVÉ Advanced Endpoint Protection – Guide de l'administrateur Prévention d'attaque Gérer les règles de prévention d'attaque EPM Module Activé par défaut ? Mode et notification utilisateur Contrôle de heap spray en exception H02 Terminer, Notification=ACTIVÉ Protection des polices FontProt Terminer, Notification=ACTIVÉ Générique GÉNÉRIQUE Mitigation de corruption de tas H01 Terminer, Notification=ACTIVÉ Protection contre les correctifs à chaud B01 Terminer, Notification=ACTIVÉ Préallocation de bibliothèque P02 Terminer, Notification=ACTIVÉ SEH maître MasterSEH VEH maître MasterVEH Contrôle de heap spray en limite de T02 mémoire Terminer, Notification=ACTIVÉ Protection contre la déréférence de K01 pointeur Null Terminer, Notification=ACTIVÉ DLL condensées PACKED_DLL Liste vide par défaut Mode ninja ? Terminer=ACTIVÉ Contrôle de heap spray périodique D01 Terminer, Notification=ACTIVÉ Mitigation ROP R01 Terminer, Notification=ACTIVÉ Protection SEH S01 Terminer, Notification=ACTIVÉ Préallocation shellcode P01 Terminer, Notification=ACTIVÉ Protection du ShellLink ShellLink Terminer, Notification=ACTIVÉ Compatibilité T01 T01 Terminer, Notification=ACTIVÉ UASLR UASLR Terminer, Notification=ACTIVÉ Protection URI URI Advanced Endpoint Protection – Guide de l'administrateur 79 Gérer les règles de prévention d'attaque Prévention d'attaque Créer une règle de prévention d'attaque Créez une règle de prévention d'attaque pour définir le module spécifique utilisé pour protéger les processus d'usage courant dans votre organisation. Chaque module empêche les tentatives d'exploitation les vulnérabilités des programmes basées sur la corruption de mémoire ou des failles logiques et protège contre une méthode d'attaque spécifique, par exemple le détournement de DLL ou la corruption du tas. Vous pouvez configurer un module pour protéger un ou plusieurs processus qui peuvent être vulnérables à ce type d'attaque. Par défaut, Traps protège les processus couramment utilisés à l'aide de règles de prévention d'attaque préconfigurées. Pour obtenir une liste des processus qui sont protégés par la stratégie de sécurité par défaut, voir Protection des processus. Les règles de prévention d'attaque par défaut ne peuvent pas être modifiées. Pour substituer le comportement des règles de prévention d'attaque par défaut, créez une nouvelle règle afin de gérer ce processus. La configuration des règles de prévention d'attaque est une fonctionnalité avancée. Pour modifier ou substituer une règle de prévention d'attaque, consultez l'équipe d'assistance Palo Alto Networks. Avant de configurer une règle de prévention d'attaque sur un nouveau processus, vous devez définir le processus et le type de protection sur la page Policies > Exploit > Process Management. Pour ajouter un nouveau processus, voir Ajouter un processus Protégé, Provisoire ou Non protégé. Pour modifier le type de protection d'un processus, par exemple de l'état inconnu (Unknown) à l'état protégé (Protected), voir Afficher, modifier ou supprimer un processus. Créer une nouvelle règle de prévention d'attaque Étape 1 Démarrez une nouvelle règle de prévention d'attaque. 80 Sélectionnez Policies > Exploit > Protection Modules puis ajoutez (Add) une nouvelle règle. Advanced Endpoint Protection – Guide de l'administrateur Prévention d'attaque Gérer les règles de prévention d'attaque Créer une nouvelle règle de prévention d'attaque (Suite) Étape 2 Configurez les détails de l'EPM. 1. Activez (Enable) ou désactivez (Disable) l'injection du modules de prévention d'attaque (EPM) sur les processus sélectionnés. 2. Pour activer un ou plusieurs EPM, sélectionnez l'EPM dans la liste et configurez ses paramètres dans la section Details. Les paramètres pour chaque type d'EPM sont différents, mais peuvent inclure des préférences indiquant s'il faut ou non terminer un processus et avertir l'utilisateur à propos d'un évènement de sécurité. Répétez l'opération pour ajouter d'autres EPM. Pour plus d'informations sur les différents types d'EPM, voir Règles de prévention d'attaque. La modification des définitions d'EPM peut affecter votre niveau de protection et modifie l'ordre dans lequel les règles sont évaluées (voir Application de la stratégie). Pour éviter de compromettre la sécurité de votre organisation, consultez l'assistance Palo Alto Networks. Étape 3 Sélectionnez les processus pour lesquels vous voulez appliquer la règle. Étape 4 (En option) Ajoutez des Conditions à la règle. 1. Sélectionnez l'onglet Processes. 2. Limitez la liste des processus en sélectionnant le type de processus dans le menu déroulant (protégé (Protected) ou provisoire (Provisional)). Les processus provisoires sont des processus qui subissent un essai de fonctionnement et sont surveillés séparément des processus protégés. 3. Sélectionnez un ou plusieurs processus auxquels appliquer la règle et cliquez sur Add. Pour appliquer la règle à tous les processus protégés ou provisoires, vous pouvez sélectionner All Processes. Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 5 (En option) Définissez les Objets cibles Par défaut, ESM applique les nouvelles règles à toutes les objets au auxquels s'applique la règle de restriction. sein de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Advanced Endpoint Protection – Guide de l'administrateur 81 Gérer les règles de prévention d'attaque Prévention d'attaque Créer une nouvelle règle de prévention d'attaque (Suite) Étape 6 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Étape 7 Enregistrez la règle de prévention d'attaque. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Policies > Exploit > Protection Modules et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Policies > Exploit > Protection Modules. À partir de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. Exclure un point de terminaison d'une règle de prévention d'attaque Lorsqu'un point de terminaison tente de lancer une application qui viole une stratégie de prévention d'attaque, l'agent Traps interrompt l'exécution du processus et signale le processus malicieux à la console Endpoint Security Manager. La page Security Events > Threats fournit des informations détaillées sur les processus qui déclenchent des évènements de sécurité et les Exploit Prevention Modules (EPMs) qui empêchent les attaques. Pour autoriser l'exécution du processus sur un point de terminaison spécifique sans supprimer ou désactiver la règle de stratégie, créez une règle d'exclusion basée sur les détails de l'évènement de sécurité. La définition d'une règle d'exclusion désactive l'EPM qui a empêché l'exécution du processus sur un point de terminaison spécifique. Pour éviter l'exposition inutile de votre organisation aux attaques, ne créez des règles d'exclusion que lorsque cela est nécessaire. Vous pouvez aussi créer des règles d'exclusion pour un ou plusieurs objets d'organisation (voir Créer une règle de prévention d'attaque). Exclure un point de terminaison d'une règle de prévention d'attaque Étape 1 Lancez la page Threats. Depuis la console ESM, sélectionnez Security Events > Threats. Étape 2 Sélectionnez l'évènement. Sélectionnez l'évènement de sécurité pour lequel vous voulez créer la règle d'exclusion. L'évènement se développe pour afficher d'autres détails et actions concernant l'évènement de sécurité. 82 Advanced Endpoint Protection – Guide de l'administrateur Prévention d'attaque Gérer les règles de prévention d'attaque Exclure un point de terminaison d'une règle de prévention d'attaque (Suite) Étape 3 Créez une règle d'exclusion. 1. 2. Cliquez sur Create pour remplir la règle avec les détails sur l'EPM et le point de terminaison spécifiques. Le bouton est disponible uniquement pour les règles de prévention d'attaque. Si nécessaire, examinez les détails sur les onglets Processes, Conditions, Objects et Name. Étape 4 Vérifiez que la règle d'exclusion permet l'exécution du processus sur le point de terminaison. 3. Enregistrez et appliquez (Save & Apply) la règle immédiatement ou enregistrez (Save) la règle pour l'activer ultérieurement. 1. Ouvrez la console Traps. 2. Sélectionnez Check-in now pour demander la dernière stratégie de sécurité. 3. Sélectionnez Advanced > Policy et vérifiez que la règle apparaît. 4. Lancez l'application sur le point de terminaison pour vérifier que l'utilisateur parvient à exécuter le processus. Advanced Endpoint Protection – Guide de l'administrateur 83 Gérer les règles de prévention d'attaque 84 Prévention d'attaque Advanced Endpoint Protection – Guide de l'administrateur Prévention contre les logiciels malveillants Flux de prévention contre les logiciels malveillants Gérer les restrictions sur les exécutables Gérer les règles et paramètres WildFire Gérer les empreintes d'exécutable Gérer les règles de prévention contre les logiciels malveillants Advanced Endpoint Protection – Guide de l'administrateur 85 Flux de prévention contre les logiciels malveillants Prévention contre les logiciels malveillants Flux de prévention contre les logiciels malveillants Le moteur de prévention contre les logiciels malveillants se concentre sur trois méthodes principales de prévention : règles de stratégie de restriction qui examinent la source du fichier, modules de prévention contre les logiciels malveillants qui ciblent les comportements souvent générés par des processus malicieux, et analyse WildFire. Phase 1 : Évaluation des stratégies de restriction Phase 3 : Évaluation des stratégies de prévention contre les logiciels malveillants Phase 2 : Évaluation des verdicts d'empreinte Phase 4 : Gestion de verdict Phase 1 : Évaluation des stratégies de restriction Lorsqu'un utilisateur ou une machine tente d'ouvrir un exécutable, Traps vérifie d'abord que l'exécutable ne viole aucune règles de restriction. Par exemple, vous pourriez avoir des règles de restriction qui bloquent les fichiers exécutables sans signature ou qui bloquent les exécutables ouverts à partir d'emplacements réseau. Si l'une des règles de restriction s'applique à l'exécutable, Traps bloque l'exécution du fichier et signale l'évènement de sécurité à Endpoint Security Manager. Selon la configuration de chaque règle de restriction, Traps peut aussi avertir l'utilisateur de l'évènement de prévention. 86 Advanced Endpoint Protection – Guide de l'administrateur Prévention contre les logiciels malveillants Flux de prévention contre les logiciels malveillants Si aucune règle de stratégie de restriction ne s'applique à l'exécutable, Traps évalue ensuite les règles qui protègent contre les logiciels malveillants, comme décrit dans Phase 3 : Évaluation des stratégies de prévention contre les logiciels malveillants. Phase 2 : Évaluation des verdicts d'empreinte Lorsque WildFire est activé (voir Activation de WildFire), Traps créé une empreinte unique pour chaque fichier exécutable qu'un utilisateur ou une machine tente d'ouvrir. Traps effectue ensuite une recherche dans son cache local pour déterminer si l'empreinte correspond à une décision officielle, appelée verdict WildFire, indiquant si le fichier est malicieux ou bénin. Si l'empreinte ne correspond pas à un verdict dans le cache local, Traps interroge le serveur ESM. Si le serveur ESM ne possède lui non plus aucun verdict pour l'empreinte, le serveur ESM interroge WildFire. Les étapes d'évaluation sont décrites plus en détail dans les sections suivantes : Recherche dans le cache local (sur le point de terminaison) Recherche sur le cache du serveur (sur le serveur ESM) Recherche sur WildFire Recherche dans le cache local (sur le point de terminaison) Lorsqu'un utilisateur ouvre un fichier exécutable, Traps créé une empreinte unique pour le fichier et effectue une recherche de verdict dans son cache local. Le cache local est stocké dans le dossier C:\ProgramData\Cyvera\LocalSystem sur le point de terminaison et contient les empreintes et les verdicts correspondants pour chaque fichier qu'un utilisateur ou une machine tente d'ouvrir sur le point de terminaison. Le cache adapte sa taille pour contenir le nombre de fichiers exécutables uniques ayant été ouverts sur le point de terminaison. Lorsque la protection de service est activée (voir Gérer la protection de service), les empreintes sont uniquement accessibles par Traps et ne peuvent pas être modifiées. Si le verdict associé à l'empreinte indique que le fichier est bénin, Traps autorise l'exécution du fichier. Si le verdict associé à l'empreinte est malicieux, Traps signale l'évènement de sécurité à Endpoint Security Manager. Ensuite, selon le comportement de terminaison configuré pour les fichiers malicieux, Traps effectue l'une des actions suivantes : Advanced Endpoint Protection – Guide de l'administrateur 87 Flux de prévention contre les logiciels malveillants Prévention contre les logiciels malveillants Il bloque l'exécutable malicieux Il avertit l'utilisateur du fichier mais autorise tout de même l'exécution Il inscrit le problème dans le journal en avertissant l'utilisateur et autorise l'exécution du fichier. Si l'empreinte n'existe pas dans le cache local ou possède un verdict inconnu, Traps interroge le serveur ESM pour voir si l'empreinte possède un verdict correspondant dans le cache du serveur. Recherche sur le cache du serveur (sur le serveur ESM) Après avoir reçu une requête de verdicts d'empreinte, le serveur ESM effectue une recherche dans son cache de serveur. Le cache du serveur contient les verdicts de tous les fichiers exécutables ayant été ouverts sur tous les points de terminaison de votre organisation. Si la recherche d'empreinte renvoie un verdict malicieux ou bénin, le serveur ESM communique le verdict à Traps lors de la prochaine communication de pulsation. Si le fichier s'avère être bénin, Traps autorise l'utilisateur à ouvrir l'exécutable. Si le fichier s'avère malicieux, Traps inscrit dans le journal l'évènement de sécurité et gère le fichier en fonction de la stratégie de sécurité pour les fichiers malicieux (généralement, blocage). Si la valeur de l'empreinte dans le cache du serveur est inconnue ou si l'empreinte ne correspond pas à un verdict connu, le serveur ESM interroge ensuite WildFire. Recherche sur WildFire WildFire stocke les verdicts pour tous les fichiers lui ayant été envoyés et/ou qui ont été analysés par WildFire. Le serveur ESM interroge WildFire toutes les 30 minutes — ou à un intervalle préconfiguré de votre choix — afin d'obtenir les verdicts d'empreinte pour les fichiers dont les verdicts sont inconnus dans le cache du serveur. Si WildFire renvoie un verdict indiquant un fichier bénin ou malicieux, le serveur ESM met à jour son cache de serveur. Ensuite, lors de la communication de pulsation suivante avec Traps, le serveur ESM communique le verdict à tous les point de terminaison sur lesquels un utilisateur a tenté d'ouvrir le fichier exécutable. Si WildFire renvoie un verdict inconnue (WildFire n'a pas analysé le fichier au préalable), vous pouvez configurer le serveur ESM pour qu'il envoie automatiquement le fichier exécutable inconnu (jusqu'à 100 Mo chacun) à WildFire pour l'analyse. Après l'analyse du fichier par WildFire, ce dernier stocke le verdict dans sa base de données et renvoie ce verdict lors des requêtes suivantes concernant l'empreinte inconnue. Si le chargement automatique de fichiers inconnus est désactivé (par défaut), vous pouvez sélectionner manuellement les fichiers individuels à envoyer à WildFire pour l'analyse. Pour activer le chargement automatique des fichiers inconnus, voir Activation de WildFire. Si WildFire est inaccessible, le serveur ESM met en cache le verdicts d'empreinte avec l'état No Connection et communique le verdict lors de la prochaine communication de pulsation avec Traps. Selon le comportement configuré pour les fichiers inconnus, les fichiers sans connexion et les fichiers malicieux dans votre stratégie de sécurité, Traps bloque le fichier ou autorise l'utilisateur à l'ouvrir. Une fois que Traps a effectué les actions associées au verdict du fichier exécutable, vous pouvez conserver les empreintes et leurs verdicts comme décrit dans Phase 3 : Évaluation des stratégies de prévention contre les logiciels malveillants. 88 Advanced Endpoint Protection – Guide de l'administrateur Prévention contre les logiciels malveillants Flux de prévention contre les logiciels malveillants Phase 3 : Évaluation des stratégies de prévention contre les logiciels malveillants Si WildFire donne son feu vert à l'exécutable, Traps autorise l'exécution du fichier. Si l'exécutable présente un comportement malicieux, Traps arrête l'exécution du fichier et empêche au comportement malicieux de continuer. Par exemple, vous pourriez avoir une règle d'injection de thread qui empêche la création de threads distants. Si l'exécutable se lance et tente ensuite de créer des threads distants, Traps bloque l'exécution du fichier et signale l'évènement de sécurité à Endpoint Security Manager. Si aucune règle de stratégie de prévention contre les logiciels malveillants ne s'applique à l'exécutable et que WildFire est activé, Traps passe à Phase 4 : Gestion de verdict. Phase 4 : Gestion de verdict Vous pouvez examiner les verdicts d'empreinte pour les fichiers exécutables dans votre organisation et rechercher des empreintes spécifiques sur la page Policies > Malware > Hash Control (voir Consulter et rechercher les empreintes). Mises à jour automatiques de verdict Mises à jour manuelles de verdict Mises à jour automatiques de verdict WildFire stocke les verdicts pour tous les fichiers lui ayant été envoyés et/ou qui ont été analysés par WildFire. Lorsque WildFire reçoit et analyse de nouveaux échantillons envoyés par l'équipe de renseignement contre les menaces de Palo Alto Networks et par les clients WildFire, il met à jour sa base de données étendue d'empreintes et de verdicts. Pour conserver un cache à jour des empreintes et des verdicts WildFire, le serveur ESM interroge périodiquement WildFire pour connaître les modifications aux verdicts, par exemple un passage de l'état bénin à l'état malicieux. Le serveur ESM interroge WildFire toutes les 30 minutes — par lots de 500 empreintes uniques maximum — à propos des fichiers inconnus et demande également à WildFire les fichiers malicieux et bénins connus qui ont changé de verdict au cours des 30 derniers jours. La requête pour les changements de verdict des fichiers connus est exécutée une fois toutes les 1440 minutes (24 heures). Utilisez la console ESM pour modifier la fréquence des requêtes et pour modifier le nombre de jours sur lesquels WildFire doit effectuer la recherche des changements de verdicts. Mises à jour manuelles de verdict Vous pouvez obtenir un rapport WildFire détaillé pour chaque fichier exécutable bénin ou malicieux que WildFire a analysé (voir Affichage des rapports WildFire). Le rapport contient des informations sur le fichier, un récapitulatif de comportement de l'exécutable et des détails sur l'activité en réseau et sur l'hôte. Advanced Endpoint Protection – Guide de l'administrateur 89 Flux de prévention contre les logiciels malveillants Prévention contre les logiciels malveillants Utilisez les informations du rapport WildFire pour vous aider à prendre la décision de substituer ou de révoquer un verdict. La substitution d'un verdict ne modifie le verdict que pour un fichier spécifique dans le cache du serveur et n'affecte pas WildFire ni votre stratégie de sécurité globale (voir Substituer une décision de WildFire). Après avoir modifié le verdict d'empreinte en verdict malicieux ou bénin, la console ESM affiche le verdict modifié sur la page Hash Control. La substitution reste en place jusqu'à ce qu'elle soit retirée par l'administrateur, et à ce moment-là elle revient au dernier verdict connu par le serveur ESM. Pour forcer le serveur ESM à contrôler à nouveau un verdict avec WildFire, vous pouvez révoquer l'empreinte en utilisant la console ESM (voir Révoquer une décision de WildFire). Le serveur ESM interroge immédiatement WildFire pour obtenir le verdict actuel concernant l'empreinte. Une fois que WildFire a renvoyé le verdict, le serveur ESM met à jour le cache du serveur et communique le verdict à tous les points de terminaison ayant tenté au préalable d'ouvrir le fichier exécutable lors de la prochaine communication de pulsation avec Traps. Le serveur ESM communique toutes les modifications de verdict, comme une mise à jour depuis WildFire ou une substitution manuelle, à tous les points de terminaison ayant ouvert au préalable le fichier lors de la prochaine communication de pulsation avec Traps. 90 Advanced Endpoint Protection – Guide de l'administrateur Prévention contre les logiciels malveillants Gérer les restrictions sur les exécutables Gérer les restrictions sur les exécutables Les règles de restriction vous permettent de définir des limitations ou des exceptions sur la méthode de gestion des exécutables sur les points de terminaison de votre réseau. Règles de restriction Ajouter une nouvelle règle de restriction Gérer les listes blanches globales Dossiers locaux en liste noire Dossiers réseau en liste blanche Définir les restrictions et exemptions pour les supports externes Définir les restrictions et exemptions pour les processus enfants Définir les restrictions et exemptions pour Java Définir les restrictions et exemptions pour les exécutables sans signature Règles de restriction Les pirates déguisent souvent les fichiers exécutables malicieux en fichiers non malicieux ou les intègrent dans ces derniers. Ils peuvent causer des dommages aux ordinateurs en tenant d'obtenir le contrôle, de rassembler des informations sensibles ou de perturber les opérations normales du système. Le tableau suivant affiche les règles de restriction que vous pouvez configurer pour limiter ou placer des exceptions sur la méthode de gestion des exécutables sur votre réseau : Règles de restriction Description Lancement De nombreux scénarios d'attaque sont basés sur l'écriture et l'exécution de fichiers d'exécutables à partir de exécutables malicieux dans certains dossiers. Habituellement, il est conseillé de limiter certains dossiers l'accès aux dossiers locaux temp et téléchargements, ainsi qu'aux dossiers réseau. Pour effectuer une exception à la restriction générale, vous pouvez placer des dossiers spécifiques en liste blanche. Pour plus d'informations, voir Gérer les listes blanches globales, Dossiers locaux en liste noire et Dossiers réseau en liste blanche. Lancement Le code malicieux peut obtenir l'accès aux points de terminaison via des supports d'exécutables à partir de externes comme les lecteurs amovibles et les lecteurs optiques. Pour vous protéger supports externes contre cela, vous pouvez définir des restrictions sur le lancement d'exécutables à partir des lecteurs externes sur les points de terminaison de votre réseau. Pour plus d'informations, consultez la section Définir les restrictions et exemptions pour les supports externes. Processus qui engendrent des processus enfants Le code malicieux peut s'activer en obligeant un processus légitime à engendrer des processus enfants malicieux. Bloquez le code malicieux en définissant une règles de restriction appropriée. Pour plus d'informations, consultez la section Définir les restrictions et exemptions pour les processus enfants. Advanced Endpoint Protection – Guide de l'administrateur 91 Gérer les restrictions sur les exécutables Prévention contre les logiciels malveillants Règles de restriction Description Processus Java exécutés à partir des navigateurs L'un des points d'entrée courant pour le code malicieux est par l'intermédiaire de processus Java importés à partir d'un hôte distant et exécutés dans les navigateurs Internet. Pour vous protéger contre ces attaques, empêchez une applet Java d'exécuter des objets dans les navigateurs, tout en plaçant les processus de confiance en liste blanche afin qu'il puissent être exécutés. Vous pouvez choisir ponctuellement les actions autorisées (lecture, écriture ou exécution) pour les types de fichier de processus, les emplacements et les chemins de registre. Pour plus d'informations, consultez la section Définir les restrictions et exemptions pour Java. Exécution de processus sans signature Un processus signé possède une signature d'authentification numérique prouvant qu'il provient d'une source de confiance. La meilleure pratique impose que toutes les applications légitimes soient signées, mais cette pratique n'est pas toujours respectée. Les restrictions sur les processus sans signature empêchent à tous les processus sans signature d'être exécutés, à l'exception de ceux qui ont été explicitement placés en liste blanche. Vous pouvez aussi définir une période de report, qui empêche l'exécution des processus sans signature pendant un certain nombre de minutes après la première écriture sur le disque du point de terminaison. Puisqu'une attaque peut impliquer l'écriture d'un exécutable malicieux sur le disque et son exécution immédiate, l'utilisation d'une période de report et la restriction des processus sans signature sont efficaces pour prévenir les attaques de logiciels malveillants. Pour plus d'informations, consultez la section Définir les restrictions et exemptions pour les exécutables sans signature. Pour chaque restriction, vous spécifiez les objets cibles, les conditions, le type de restriction et les actions à entreprendre lors de la gestion des exécutables. Un objet cible peut être tout utilisateur, groupe, unité d'organisation ou ordinateur qui apparaît dans Active Directory ou dans le point de terminaison sur lequel Traps est installé. Endpoint Security Manager identifie les points de terminaison par des messages qu'envoie Traps au serveur. Une condition peut se référer à un fichier, à un fichier et une version de fichier, ou à un chemin du registre qui doivent exister sur le point de terminaison. Lorsqu'un utilisateur tente d'ouvrir un exécutable, l'agent Traps évalue les règles de restriction à appliquer (le cas échéant) au fichier et effectue les actions associées. L'action détermine s'il faut ou non que l'agent Traps empêche l'exécution du fichier et avertisse un utilisateur lorsqu'une règles de restriction est déclenchée. Vous pouvez créer ou modifier des règles de restriction sur la page de récapitulatif et gestion de Restriction (Policies > Malware> Restrictions). La sélection d'une règle affiche d'autres informations sur la règle et les autres actions que vous pouvez entreprendre (supprimer (Delete), activer/désactiver (Activate/Deactivate), ou modifier (Edit) la règle). Pour plus d'informations, consultez la section Gérer les restrictions sur les exécutables. Ajouter une nouvelle règle de restriction Créez une nouvelle règle de restriction pour définir les limitations sur la méthode de lancement des exécutables sur les points de terminaison. Ajouter une nouvelle règle de restriction Étape 1 Démarrez une nouvelle règle de restriction. 92 Sélectionnez Policies > Malware > Restriction et ajoutez (Add) une nouvelle règle. Advanced Endpoint Protection – Guide de l'administrateur Prévention contre les logiciels malveillants Gérer les restrictions sur les exécutables Ajouter une nouvelle règle de restriction (Suite) Étape 2 Sélectionnez le type de règles de restriction que vous voulez ajouter. Sélectionnez l'un des éléments suivants, puis configurez les paramètres en fonction du type de restriction : • Local Folder Behavior — Pour plus d'informations, voir Dossiers locaux en liste noire. • Network Folder Behavior — Pour plus d'informations, voir Dossiers réseau en liste blanche. • External Media — Pour plus d'informations, voir Définir les restrictions et exemptions pour les supports externes. • Child Processes — Pour plus d'informations, voir Définir les restrictions et exemptions pour les processus enfants. • Java — Pour plus d'informations, voir Définir les restrictions et exemptions pour Java. • Unsigned Executables — Pour plus d'informations, voir Définir les restrictions et exemptions pour les exécutables sans signature. Étape 3 (En option) Ajoutez des Conditions à la règle. Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 4 (En option) Définissez les Objets cibles Par défaut, ESM applique les nouvelles règles à toutes les objets au sein auxquels s'applique la règle de restriction. de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 5 (En option) Examinez le nom et la description de la règle. Étape 6 Enregistrez la règles de restriction. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Policies > Malware > Restrictions et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Policies > Malware > Restrictions. À partir de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. Advanced Endpoint Protection – Guide de l'administrateur 93 Gérer les restrictions sur les exécutables Prévention contre les logiciels malveillants Gérer les listes blanches globales Pour permet le lancement des exécutables à partir des dossiers locaux et des supports externes et permettre aux processus enfants générés à partir de processus parents dans un dossier spécifique, vous pouvez configurer une liste blanche globale. À l'instar de la fonctionnalité de liste blanche existante pour les processus Java, les exécutables sans signature et l'injection de thread, vous pouvez spécifier des chemins complets et des variables de chemin et vous pouvez aussi utiliser des caractères génériques pour la correspondance de motif (% pour faire correspondre les termes similaires et * pour faire correspondre zéro ou plus caractères). Les éléments dans la section liste blanche ont également la priorité sur tous les éléments en liste noire et sont évalués en premier dans la stratégie de sécurité. Gérer les listes blanches globales Étape 1 À partir de la console ESM, sélectionnez Policies > Malware > Restriction Settings. Étape 2 Pour spécifier si Traps doit bloquer ou non l'exécutable lorsqu'il est ouvert à partir d'emplacements qui ne sont pas en liste blanche, configurez le mode de terminaison (Termination Mode) : • Monitor — Ne pas bloquer l'accès aux exécutables et processus, mais inscrire dans le journal lorsque les fichiers sont ouverts à partir d'emplacement qui ne sont pas en liste blanche et signaler les évènements à ESM. • Prevent — Bloquer les exécutables et processus. Étape 3 Pour spécifier si Traps doit avertir ou non l'utilisateur lorsqu'un exécutable est ouvert à partir d'un emplacement qui n'est pas en liste blanche, configurez le mode de notification (Notification Mode) : • On — Avertir l'utilisateur. • Off — Ne pas avertir l'utilisateur. Étape 4 Cliquez sur l'icône d'ajout de dossier à côté des zones de liste blanche Dossier local, Processus enfant ou Contrôle de support et saisissez le chemin du dossier, par exemple C:\Windows\Temp*. Étape 5 Cliquez sur Valider Vous pouvez revenir à la page Restriction Settings à tout moment pour modifier les paramètres de la liste blanche globale. 94 Advanced Endpoint Protection – Guide de l'administrateur Prévention contre les logiciels malveillants Gérer les restrictions sur les exécutables Dossiers locaux en liste noire De nombreux scénarios d'attaque sont basés sur l'écriture et l'exécution de fichiers exécutables malicieux dans certains dossiers comme « temp » et « téléchargements ». Vous pouvez limiter l'accès aux dossiers locaux courants en ajoutant le dossier à une liste noire. Lorsqu'un utilisateur tente d'ouvrir un exécutable à partir d'un dossier en liste noire, Traps bloque la tentative et signale l'évènement de sécurité à ESM. Pour accorder une exception à la restriction générale, ajoutez un dossier à une liste blanche (voir Gérer les listes blanches globales). Dossiers locaux en liste noire Étape 1 Démarrez une nouvelle règle de restriction. Sélectionnez Policies > Malware > Restriction et ajoutez (Add) une nouvelle règle. Étape 2 Définissez le comportement du dossier local. 1. Sélectionnez Local Folder Behavior dans le menu déroulant Restrictions. 2. Pour bloquer le lancement des exécutables à partir des dossiers locaux, cochez la case, cliquez sur l'icône d'ajout de dossier , et ajoutez le chemin du dossier à la section Liste noire. 3. Répétez si besoin pour ajouter plusieurs dossiers. Étape 3 (En option) Ajoutez des Conditions à la règle. Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 4 (En option) Définissez les Objets cibles Par défaut, ESM applique les nouvelles règles à toutes les objets au auxquels s'applique la règle de restriction. sein de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Advanced Endpoint Protection – Guide de l'administrateur 95 Gérer les restrictions sur les exécutables Prévention contre les logiciels malveillants Dossiers locaux en liste noire (Suite) Étape 6 Enregistrez la règles de restriction. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Policies > Malware > Restrictions et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Policies > Malware > Restrictions. À partir de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. Dossiers réseau en liste blanche Pour éviter les scénarios d'attaque qui sont basés sur l'écriture de fichiers exécutables malicieux dans des dossiers distants, vous pouvez créer une règle de restriction de comportement de dossier réseau qui définit les emplacements réseau autorisés à partir desquels les exécutables peuvent être lancés. Lorsqu'un utilisateur tente d'ouvrir un exécutable à partir d'un dossier qui n'est pas spécifié dans la règle de restriction, Traps bloque la tentative et signale l'évènement de sécurité à ESM. Dossiers réseau en liste blanche Étape 1 Démarrez une nouvelle règle de restriction. Sélectionnez Policies > Malware > Restriction et ajoutez (Add) une nouvelle règle. Étape 2 Définissez le comportement du dossier réseau. 1. Sélectionnez Network Folder Behavior dans le menu déroulant Restrictions. 2. Pour autoriser le lancement des exécutables à partir des dossiers réseau spécifiques, cochez la case, cliquez sur l'icône d'ajout de dossier , et ajoutez le chemin du dossier à la section Liste blanche. 3. Répétez si besoin pour ajouter plusieurs dossiers. Étape 3 (En option) Ajoutez des Conditions à la règle. 96 Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Advanced Endpoint Protection – Guide de l'administrateur Prévention contre les logiciels malveillants Gérer les restrictions sur les exécutables Dossiers réseau en liste blanche (Suite) Étape 4 (En option) Définissez les Objets cibles Par défaut, ESM applique les nouvelles règles à toutes les objets au sein auxquels s'applique la règle de restriction. de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Étape 6 Enregistrez la règles de restriction. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Policies > Malware > Restrictions et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Policies > Malware > Restrictions. À partir de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. Définir les restrictions et exemptions pour les supports externes Le code malicieux peut obtenir l'accès aux points de terminaison en utilisant des supports externes comme les lecteurs amovibles et les lecteurs optiques. Pour vous protéger contre cela, vous pouvez définir des règles de restriction qui empêche le lancement des exécutables à partir de lecteurs externes raccordés aux points de terminaison. La définition d'une restriction sur les supports externes protège contre toute tentative de lancer un exécutable à partir d'un lecteur externe. Définir les restrictions et exemptions pour les supports externes Étape 1 Démarrez une nouvelle règle de restriction. Sélectionnez Policies > Malware > Restriction et ajoutez (Add) une nouvelle règle. 1. Étape 2 Définissez le comportement de restriction pour les supports externes. Par défaut, l'exécution d'applications non 2. malicieuses et inconnues à partir de lecteurs amovibles et optiques est autorisée. Sélectionnez External Media dans le menu déroulant Restrictions. Cochez la case pour le type de support externe à partir duquel vous voulez empêcher l'exécution des applications. • Lecteurs amovibles • Lecteurs optiques Advanced Endpoint Protection – Guide de l'administrateur 97 Gérer les restrictions sur les exécutables Prévention contre les logiciels malveillants Définir les restrictions et exemptions pour les supports externes (Suite) Étape 3 (En option) Ajoutez des Conditions à la règle. Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 4 (En option) Définissez les Objets cibles Par défaut, ESM applique les nouvelles règles à toutes les objets au auxquels s'applique la règle de restriction. sein de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Étape 6 Enregistrez la règles de restriction. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Policies > Malware > Restrictions et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Policies > Malware > Restrictions. À partir de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. Définir les restrictions et exemptions pour les processus enfants Lors d'une tentative de contrôle d'un point de terminaison, un pirate peut obliger un processus légitime à engendrer des processus enfants malicieux. Définissez une règle de restriction pour empêcher le lancement de processus enfants à partir d'un ou plusieurs processus. Définir les restrictions et exemptions pour les processus enfants Étape 1 Démarrez une nouvelle règle de restriction. 98 Sélectionnez Policies > Malware > Restriction et ajoutez (Add) une nouvelle règle. Advanced Endpoint Protection – Guide de l'administrateur Prévention contre les logiciels malveillants Gérer les restrictions sur les exécutables Définir les restrictions et exemptions pour les processus enfants (Suite) 1. Étape 2 Définissez le comportement de restriction pour les processus enfants. Par défaut, les processus enfants engendrés à 2. partir d'un processus protégé sont autorisés. 3. Sélectionnez Child Processes dans le menu déroulant Restrictions. Sélectionnez le type de processus (Processes) que vous voulez limiter, Protected pour afficher les processus que la stratégie de sécurité protège activement ou Provisional & Unprotected pour afficher les processus qui subissent un essai de fonctionnement et les processus que la stratégie de sécurité ne protège pas activement. Sélectionnez un ou plusieurs processus dans la liste — ceux qui ne doivent pas engendrer de processus enfants — et cliquez sur Add. Les processus sélectionnés apparaissent dans la liste Selected Processes. Tenez enfoncée la touche CTRL pendant la sélection pour sélectionner plusieurs processus. Pour modifier les listes de processus, voir Gérer les processus. Étape 3 (En option) Ajoutez des Conditions à la règle. Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 4 (En option) Définissez les Objets cibles Par défaut, ESM applique les nouvelles règles à toutes les objets au sein auxquels s'applique la règle de restriction. de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Étape 6 Enregistrez la règles de restriction. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Policies > Malware > Restrictions et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Policies > Malware > Restrictions. À partir de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. Advanced Endpoint Protection – Guide de l'administrateur 99 Gérer les restrictions sur les exécutables Prévention contre les logiciels malveillants Définir les restrictions et exemptions pour Java L'un des points d'entrée courant pour le code malicieux est par l'intermédiaire de processus Java qui sont importés à partir d'un hôte distant et exécutés dans les navigateurs Internet. Pour protéger contre ces attaques, vous pouvez empêcher une applet Java d'exécuter des objets dans les navigateurs. En alternative, vous pouvez placer en liste blanche des processus de confiance afin qu'ils puissent être exécutés. Utilisez l'option pour choisir ponctuellement les types de fichiers, emplacements et chemins de registre que ces processus peuvent utiliser pour la lecture et l'écriture. Définir les restrictions et exemptions pour Java Étape 1 Démarrez une nouvelle règle de restriction. Sélectionnez Policies > Malware > Restriction et ajoutez (Add) une nouvelle règle. Étape 2 Définissez les restrictions sur les processus Java. 1. Par défaut, les restrictions de processus Java sont désactivées. L'activation du paramètre EMP Java vous permet de placer des restrictions sur les processus Java mais n'active ou ne désactive aucune des règles EPM. 2. Sélectionnez Java dans le menu déroulant Restrictions. Sélectionnez Enable Java EPM dans les options Java EPM settings. 3. Dans la section Java Whitelisted Processes, cliquez sur le bouton pour spécifier les processus Java qui seront autorisés à être exécutés à partir du navigateur, par exemple AcroRd32.exe. Répétez pour ajouter d'autres processus. 4. Pour spécifier si un processus Java peut modifier les paramètres du registre, sélectionnez Enabled dans le menu déroulant Registry Modifications, puis configurez les permissions du registre : a. Pour chaque chemin du registre, définissez si les permissions de lecture (Read), d'écriture (Write) et de suppression (Delete) doivent être autorisées (Allow), bloquées (Block) ou adoptées (Inherit) (par défaut) si nécessaire. b. Cliquez sur le bouton registre. 5. pour ajouter d'autres chemins du Pour spécifier si un processus Java peut lire ou écrire dans un fichier, sélectionnez Enabled dans le menu déroulant File System Modifications, puis configurez les permissions du fichier : a. Pour chaque nouveau motif de fichier, définissez si les permissions de lecture et d'écriture doivent être autorisées (Allow), bloquées (Block) ou adoptées (Inherit) (par défaut) si nécessaire. b. Cliquez sur le bouton fichier. 6. 100 pour ajouter un nouveau motif de Dans la liste Browsers, sélectionnez ou désélectionnez les navigateurs sur lesquels appliquer la protection Java. Advanced Endpoint Protection – Guide de l'administrateur Prévention contre les logiciels malveillants Gérer les restrictions sur les exécutables Définir les restrictions et exemptions pour Java (Suite) Étape 3 (En option) Ajoutez des Conditions à la règle. Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 4 (En option) Définissez les Objets cibles Par défaut, ESM applique les nouvelles règles à toutes les objets au auxquels s'applique la règle de restriction. sein de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Étape 6 Enregistrez la règles de restriction. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Policies > Malware > Restrictions et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Policies > Malware > Restrictions. À partir de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. Définir les restrictions et exemptions pour les exécutables sans signature Un processus signé possède une signature numérique prouvant qu'il provient d'une source de confiance. La meilleure pratique impose que toutes les applications légitimes soient signées. Les restrictions sur les processus sans signature empêchent à tous les processus sans signature d'être exécutés, à l'exception de ceux que vous avez explicitement autorisés. Vous pouvez aussi définir une période de report, qui empêche l'exécution des processus sans signature pendant un certain nombre de minutes après la première écriture sur le disque du point de terminaison. Puisqu'une attaque peut impliquer l'écriture d'un exécutable malicieux sur le disque et son exécution immédiate, l'utilisation d'une période de report et la restriction des processus sans signature sont efficaces pour prévenir les attaques de logiciels malveillants. Advanced Endpoint Protection – Guide de l'administrateur 101 Gérer les restrictions sur les exécutables Prévention contre les logiciels malveillants Définir les restrictions et exemptions pour les exécutables sans signature Étape 1 Démarrez une nouvelle règle de restriction. Sélectionnez Policies > Malware > Restriction et ajoutez (Add) une nouvelle règle. Étape 2 Définissez les restrictions sur les exécutables sans signature. 1. Étape 3 (En option) Ajoutez des Conditions à la règle. Sélectionnez Unsigned Executables dans le menu déroulant Restrictions. 2. Saisissez un nombre de minutes dans le champ Blacklist Period pour empêcher l'exécution des processus sans signature pendant cet intervalle après la première écriture du fichier exécutable sur le disque du point de terminaison. 3. Pour autoriser l'exécution immédiate d'un processus, sans attendre le nombre de minutes défini, ajoutez le processus aux processus en liste blanche (Whitelisted Processes) en cliquant sur . 4. Pour autoriser l'exécution immédiate de tous les processus dans un dossier donné, sans attendre le nombre de minutes défini, ajoutez le dossier aux chemins en liste blanche (Whitelisted Paths) en cliquant sur . Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 4 (En option) Définissez les Objets cibles Par défaut, ESM applique les nouvelles règles à toutes les objets au sein auxquels s'applique la règle de restriction. de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Étape 6 Enregistrez la règles de restriction. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Policies > Malware > Restrictions et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Policies > Malware > Restrictions. À partir de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. 102 Advanced Endpoint Protection – Guide de l'administrateur Prévention contre les logiciels malveillants Gérer les règles et paramètres WildFire Gérer les règles et paramètres WildFire Activation de WildFire Règles WildFire Configurer une règle WildFire Activation de WildFire WildFire est la solution de sandbox de Palo Alto Networks pour l'analyse des fichiers inconnus, y compris les exécutables inconnus en utilisant soit une machine WildFire locale soit le nuage WildFire. WildFire contient des verdicts pour tous les fichiers examinés : bénin dans le cas d'un fichier sûr, ou malicieux dans le cas d'un logiciel malveillant. L'intégration de WildFire avec Traps est un service en option qui intègre l'analyse WildFire dans la solution pour point de terminaison Traps. Lorsqu'un utilisateur ou une machine tente d'ouvrir un fichier exécutable sur le point de terminaison, Traps créé un identifiant unique (appelé empreinte) et le vérifie avec la base de données WildFire. Si WildFire confirme que le fichier est un logiciel malveillant connu, l'agent Traps bloque le fichier et avertit Endpoint Security Manager (pour plus d'informations, voir Gérer les empreintes d'exécutable). Par défaut, l'intégration de WildFire est désactivée. Activation de WildFire Étape 1 Depuis la console ESM, sélectionnez Settings > General > WildFire. Étape 2 Saisissez la fréquence en minutes à laquelle le serveur ESM renvoie les empreintes pour les fichiers inconnus à WildFire. Un fichier peut avoir un verdict inconnu si c'est la première fois qu'un point de terminaison envoie l'empreinte au serveur ou si WildFire n'a pas encore analysé le fichier. La valeur par défaut est de 30 minutes et doit être comprise entre 1 et 20 160 minutes. Étape 3 Saisissez la fréquence en minutes à laquelle le serveur ESM contrôle à nouveau la valeur des empreintes bénignes ou malicieuses connues avec WildFire. La valeur par défaut est de 1 440 minutes (24 heures)et doit être comprise entre 1 et 20 160 minutes. Advanced Endpoint Protection – Guide de l'administrateur 103 Gérer les règles et paramètres WildFire Prévention contre les logiciels malveillants Activation de WildFire (Suite) Étape 4 Par défaut, (toutes les 24 heures ou selon la spécification dans Étape 3) le serveur ESM interroge WildFire pour déterminer les verdicts (le cas échéant) ayant été modifiés au cours des 30 derniers jours. Pour modifier la période de temps sur laquelle le serveur ESM demande la présence de modifications, définissez une valeur comprise entre 1 et 30 jours dans le champ Verdict change check interval. Par exemple, si vous spécifiez une valeur de 15, cela signifie que le serveur ESM demandera les verdicts qui ont été modifiés au cours des 15 derniers jours. Étape 5 Activez les paramètres WildFire : • Réglez Allow external communication with WildFire servers: true pour activer le contrôle des empreintes par ESM avec WildFire. • Réglez Allow upload executables to WildFire servers: true pour activer l'envoi des fichiers par ESM à WildFire pour l'analyse. Réglez l'option sur false pour contrôler uniquement les verdicts. Étape 6 Saisissez l'adresse web du serveur WildFire — machine locale WF-500 ou nuage WildFire (https://wildfire.paloaltonetworks.com) — qui sera utilisée pour contrôler les empreintes et les fichiers. Étape 7 Par défaut, le serveur ESM envoie des fichiers jusqu'à 10 Mo à WildFire pour l'analyse. Pour modifier la taille de fichier maximum, saisissez une valeur comprise entre 1 et 100 Mo. Les fichiers qui dépassent la taille maximum ne seront pas envoyés, automatiquement ou manuellement, à WildFire. Règles WildFire Configurez les règles WildFire pour peaufiner le comportement et les préférences relatifs à l'analyse des fichiers exécutables pour différents groupes d'Objets cibles. Un objet cible peut être tout utilisateur, groupe, unité d'organisation ou ordinateur qui apparaît dans Active Directory ou dans tout point de terminaison sur lequel Traps est installé. Endpoint Security Manager identifie les points de terminaison par des messages qu'envoie Traps au serveur. Pour chaque règle WildFire, vous pouvez configurer des paramètres pour envoyer les fichiers inconnus à WildFire pour l'analyse, spécifier si Traps avertira l'utilisateur à propos de l'exécutable malicieux, spécifier le comportement de Traps lorsqu'il n'y a aucune communication avec le serveur ou avec WildFire et configurer le comportement de Traps lorsque WildFire ne reconnaît pas un processus. Vous pouvez créer ou modifier des règles WildFire sur la page de récapitulatif et gestion de WildFire (Policies > Malware> WildFire). La sélection d'une règle affiche d'autres informations sur la règle et les autres actions que vous pouvez entreprendre (supprimer (Delete), activer/désactiver (Activate/Deactivate), ou modifier (Edit) la règle). Pour plus d'informations, consultez la section Activation de WildFire. Configurer une règle WildFire Lorsque WildFire est activé, Traps créé une empreinte unique pour chaque exécutable et vérifie l'état du fichier avec WildFire. La configuration des règles WildFire vous permet de peaufiner les préférences et d'activer la fonctionnalité pour différents objets cibles. Pour chaque règle WildFire, vous pouvez configurer des paramètres pour envoyer les fichiers inconnus à WildFire pour l'analyse, spécifier si Traps avertira l'utilisateur à propos de l'exécutable malicieux, spécifier le comportement de Traps lorsqu'il n'y a aucune communication avec le serveur ou avec WildFire et configurer le comportement de Traps lorsque WildFire ne reconnaît pas un processus. 104 Advanced Endpoint Protection – Guide de l'administrateur Prévention contre les logiciels malveillants Gérer les règles et paramètres WildFire Configurer une règle WildFire Étape 1 Vérifiez que WildFire est activé. Reportez-vous à la section Activation de WildFire. Étape 2 Démarrez une nouvelle règle WildFire. 1. Sélectionnez Policies > Malware > WildFire. 2. Ajoutez (Add) une nouvelle règle ou sélectionnez et modifiez (Edit) une règle existante. 1. Étape 3 (En option) Configurez les paramètres WildFire. Par défaut, WildFire adopte le comportement de la stratégie par défaut. Pour substituer les paramètres, configurez les paramètres WildFire afin de satisfaire 2. les exigences de votre organisation. 3. À gauche, désactivez (Disable) ou activez (Enable) l'intégration WildFire. L'activation de l'intégration WildFire permet à Traps de créer et de contrôler les verdicts d'empreinte avec son cache local d'empreintes. Pour activer l'agent Traps afin de charger les fichiers inconnus sur le serveur ESM, sélectionnez Enabled dans le menu déroulant Executable Upload. Sélectionnez le mode de terminaison (Termination Mode) — le comportement de Traps lorsque WildFire confirme qu'un fichier exécutable est malicieux. • Sélectionnez Inherit pour utiliser le comportement défini par la stratégie par défaut (la stratégie par défaut est d'utiliser le mode apprentissage). • Sélectionnez Terminate pour bloquer l'exécutable malicieux. • Sélectionnez Notify pour permettre à l'utilisateur d'ouvrir l'exécutable, inscrire le problème dans le journal et avertir l'utilisateur. • Sélectionnez Learning pour permettre à l'utilisateur d'ouvrir un exécutable malicieux et d'inscrire le problème dans le journal, mais sans avertir l'utilisateur. 4. Dans le menu déroulant User Notification, spécifiez si Traps avertira l'utilisateur de l'exécutable malicieux en sélectionnant On ou Off. 5. Sélectionnez l'une des options suivantes dans le champ No Communication Behavior pour spécifier ce que le point de terminaison doit faire s'il ne parvient pas à joindre le serveur ESM ou WildFire. Par défaut, Traps tente d'interroger WildFire toutes les 2 heures (120 minutes). • Sélectionnez Continue pour permettre l'ouverture d'un fichier exécutable si Traps ne parvient pas à joindre le serveur ESM ou WildFire pour vérifier la sécurité du fichier. • Sélectionnez Terminate pour bloquer un fichier exécutable si Traps ne parvient pas à joindre le serveur ESM ou WildFire pour vérifier la sécurité du fichier. 6. Sélectionnez le comportement pour processus inconnu (Unknown Process Behavior) — le comportement de Traps lorsque WildFire ne reconnaît par un processus. • Sélectionnez Continue pour permettre à l'utilisateur d'ouvrir un exécutable inconnu. • Sélectionnez Terminate pour bloquer une exécutable inconnu. Advanced Endpoint Protection – Guide de l'administrateur 105 Gérer les règles et paramètres WildFire Prévention contre les logiciels malveillants Configurer une règle WildFire (Suite) Étape 4 (En option) Ajoutez des Conditions à la règle. Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 5 (En option) Définissez les Objets cibles auxquels s'applique la règle WildFire. Par défaut, ESM applique les nouvelles règles à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 6 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Étape 7 Enregistrez la règles WildFire. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Policies > Malware > WildFire et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles WildFire apparaissent dans la page Policies > Malware > WildFire. À partir de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. 106 Advanced Endpoint Protection – Guide de l'administrateur Prévention contre les logiciels malveillants Gérer les empreintes d'exécutable Gérer les empreintes d'exécutable Lorsque l'intégration WildFire est activée, Traps créé une empreinte unique pour les fichiers exécutables lancé sur un point de terminaison et la contrôle avec WildFire. La page Hash Control affiche la réponse de WildFire pour chaque empreinte envoyée à WildFire. Si WildFire a déjà analysé un exécutable et déterminé qu'il s'agit d'un logiciel malveillant, il répond que l'exécutable est malicieux (Malicious). Si WildFire a déjà analysé un exécutable et déterminé qu'il ne contient aucun code ou comportement malicieux, il répond que l'exécutable est bénin (Benign). Si WildFire n'a pas analysé l'exécutable au préalable, il répond que l'état du fichier est inconnu (Unknown). Si le serveur ESM ne parvient pas à joindre WildFire, l'état du fichier indiqué est Absence de connexion (No Connection). Spécifiez les actions associées aux verdicts malicieux, bénins, inconnus et d'absence de connexion dans les paramètres d'intégration WildFire (voir Activation de WildFire). Consulter et rechercher les empreintes Affichage des rapports WildFire Substituer une décision de WildFire Révoquer une décision de WildFire Charger un fichier sur WildFire pour l'analyse Consulter et rechercher les empreintes La page Hash Control affiche un tableau de toutes les empreintes d'exécutable que les agents Traps dans votre organisation ont signalées, accompagnées de leurs verdicts. Un champ de recherche en haut de la page vous permet de filtrer les résultats avec une chaîne partielle ou complète. La recherche demande les valeurs d'empreinte et les noms de processus et renvoie tous les résultats correspondants. Les empreintes sont uniques tandis que les noms de processus peuvent être indiquées plusieurs fois. Exporter et importer des empreintes La page Hash Control affiche des informations sur les empreintes et les verdicts qui sont associés à tous les fichiers exécutables que les utilisateurs et/ou les machines ont tenté d'ouvrir dans votre organisation. Vous pouvez sauvegarder périodiquement un ou plusieurs enregistrements d'empreinte en exportant les Advanced Endpoint Protection – Guide de l'administrateur 107 Gérer les empreintes d'exécutable Prévention contre les logiciels malveillants enregistrements vers un fichier XML. L'exportation des enregistrements d'empreinte peut être aussi utile avant la migration ou la mise à niveau vers un nouveau serveur. L'importation d'enregistrement d'empreinte ajoute toutes les nouvelles empreintes au tableau Hash Control existant. Exporter et importer les fichiers d'empreinte Étape 1 À partir de la console ESM, sélectionnez Policies > Malware > Hash Control. Étape 2 Effectuez l'une des actions suivantes : • Exportez les enregistrements d'empreinte : • Pour exporter tous les enregistrements, sélectionnez le menu en haut du tableau, puis sélectionnez Export all. • Pour exporter un ou plusieurs enregistrements, cochez la case à côté du ou des enregistrements. Ensuite, dans le menu en haut du tableau, sélectionnez Export selected. Endpoint Security Manager enregistre les règles sélectionnées dans un fichier XML. • Pour restaurer ou importer de nouvelles règles de stratégie, sélectionnez Import hashes dans le menu en haut du tableau. Accédez au fichier de stratégie, puis cliquez sur Upload. Affichage des rapports WildFire ESM met en cache les rapports WildFire qui contiennent un récapitulatif de comportement pour tous les fichiers exécutables que WildFire a analysé au préalable. Le rapport WildFire est disponible au format PDF et inclut toutes les informations que vous pouvez utiliser pour décider de substituer ou non la décision de WildFire pour un fichier exécutable. Affichage des rapports WildFire à partir de la console ESM Étape 1 À partir de la console ESM, sélectionnez Policies > Malware > Hash Control. Étape 2 Recherchez et sélectionnez l'empreinte pour laquelle vous voulez consulter le rapport. 108 Advanced Endpoint Protection – Guide de l'administrateur Prévention contre les logiciels malveillants Gérer les empreintes d'exécutable Affichage des rapports WildFire à partir de la console ESM (Suite) Étape 3 Cliquez sur Get Report. La console ESM affiche le rapport en cache. Substituer une décision de WildFire Vous pouvez substituer localement une décision de WildFire pour autoriser ou bloquer un fichier sans impacter le verdict WildFire. Cela peut être utile lorsque vous avez besoin de créer une exception pour un fichier spécifique sans altérer la stratégie de sécurité globale. Après la substitution du verdict, la console ESM affiche tout changement dans le verdict WildFire sur la page Hash Control. La substitution reste en place jusqu'à ce que vous la retiriez, et à ce moment-là elle revient au dernier verdict connu sur le serveur. Par exemple, prenons un cas où WildFire renvoie un verdict sur une empreinte spécifique et indique que le fichier est inconnu. Si votre stratégie de sécurité est configurée pour bloquer tous les fichiers inconnus et que vous pensez que le fichier est bénin, vous pouvez substituer la stratégie pour autoriser l'exécution du fichier spécifique sans altérer la stratégie globale. Plus tard, si WildFire renvoie un nouveau verdict indiquant que le fichier a été analysé et s'est avéré malicieux, vous verrez la notification sur la page Hash Control. Dans ce cas, vous pouvez supprimer la substitution et autoriser la stratégie de sécurité à bloquer le fichier malicieux. Gérer la décision de WildFire Étape 1 Substituer la décision locale de WildFire pour une empreinte. 1. Sur la console ESM, sélectionnez Policies > Malware > Hash Control. 2. (En option) Saisissez l'empreinte ou le nom du processus dans la case de recherche et appuyez sur Entrée. 3. Sélectionnez l'empreinte du processus. Pour substituer le verdict de WildFire, cliquez sur Allow pour autoriser l'exécution du fichier ou sur Block pour bloquer l'exécution du fichier. Advanced Endpoint Protection – Guide de l'administrateur 109 Gérer les empreintes d'exécutable Prévention contre les logiciels malveillants Gérer la décision de WildFire (Suite) Étape 2 Consultez les changements de verdict de WildFire pour prendre des décisions concernant la suppression ou non d'une substitution locale. À intervalles préconfigurés, le serveur ESM interroge WildFire pour voir si le verdict a changé pour toutes les empreintes qui sont stockées dans sa base de données. Examinez régulièrement les modifications de verdict sur la page Policy > Malware > Hash Control de la console ESM. Étape 3 Supprimer une substitution locale pour un verdict WildFire. Les décisions substituées sont groupées par décisions d'autorisation (le verdict a été remplacé pour autoriser l'exécution du fichier) et décisions de blocage (le verdict a été remplacé pour bloquer l'exécution du fichier). 1. Sur la console ESM, sélectionnez Policies > Malware > Override Verdicts. 2. Sélectionnez une ou plusieurs empreintes de processus, puis cliquez sur Undo pour revenir au dernier verdict connu sur le serveur. Révoquer une décision de WildFire Pour forcer le nouveau contrôle immédiat d'un verdict, révoquez l'empreinte sur le serveur ESM. Ceci est utile lorsque vous soupçonnez que WildFire a changé le verdict d'un fichier et voulez forcer le serveur ESM à interroger WildFire pour obtenir le verdict à jour. Après avoir reçu la réponse de WildFire, le serveur ESM met à jour le cache du serveur. Ensuite, lors de la communication de pulsation suivante avec Traps, le serveur ESM communique le verdict à tous les point de terminaison sur lesquels un utilisateur a tenté d'ouvrir le fichier exécutable. Révoquer une décision de WildFire Étape 1 À partir de la console ESM, sélectionnez Policies > Malware > Hash Control. Étape 2 Pour consulter le verdict WildFire d'une empreinte spécifique, effectuez l'une des actions suivantes : • Utilisez la recherche en haut de la page pour rechercher une valeur d'empreinte ou un nom de processus. • Utilisez les contrôles de page en haut à droite de chaque page pour voir différentes portions du tableau. Étape 3 Sélectionnez la ligne pour afficher des détails supplémentaires sur l'empreinte de processus, puis effectuez l'une des actions suivantes : • Sélectionnez Review List pour voir toutes les instances d'une empreinte de processus. L'option est disponible lorsqu'il existe au moins cinq instances d'une empreinte de processus. • Sélectionnez Revoke Hash pour demander à nouveau le verdict pour l'empreinte à WildFire. 110 Advanced Endpoint Protection – Guide de l'administrateur Prévention contre les logiciels malveillants Gérer les empreintes d'exécutable Charger un fichier sur WildFire pour l'analyse Avant l'intégration de la solution Advanced Endpoint Protection, en règle générale WildFire n'analyse un exécutable que s'il a été envoyé ou chargé à partir du pare-feu, ou s'il a été envoyé en utilisant le portail WildFire. Cela signifie que certains exécutables, même courants, peuvent ne pas avoir été analysés au préalable car il était rare de les envoyer en utilisant les méthodes traditionnelles. Pour réduire le nombre de fichiers exécutables inconnus sur le serveur ESM et par WildFire, vous pouvez envoyer manuellement ou automatiquement le fichier à WildFire pour une analyse immédiate. Pour envoyer automatiquement les fichiers inconnus à WildFire, voir Activation de WildFire. Si l'option d'envoyer automatiquement les fichiers inconnus est désactivée, vous pouvez en revanche charger manuellement un fichier au cas par cas. Lorsqu'un utilisateur ouvre un exécutable inconnu, Traps charge le fichier — qui ne doit pas dépasser la taille maximum configurée — dans le dossier d'investigation numérique. Ensuite, lorsque vous lancez un chargement manuel du fichier, le serveur ESM envoie le fichier à partir du dossier d'investigation numérique vers WildFire. Une fois que WildFire a terminé l'analyse et renvoie le verdict et le rapport, le serveur ESM envoie le verdict modifié à tous les agents Traps et applique la stratégie. Puisque de plus en plus d'agents permettent le transfert automatique des fichiers inconnus ou l'envoi manuel, le nombre global de fichiers inconnus est amené à diminuer considérablement pour tous les utilisateurs. Charger un fichier sur WildFire pour l'analyse Étape 1 À partir de la console ESM, sélectionnez Policies > Malware > Hash Control. Étape 2 Pour consulter le verdict WildFire d'une empreinte spécifique, effectuez l'une des actions suivantes : • Utilisez la recherche en haut de la page pour rechercher une valeur d'empreinte ou un nom de processus. • Utilisez les contrôles de page en haut à droite de chaque page pour voir différentes portions du tableau. • Pour filtrer les entrées du tableau, cliquer sur l'icône du filtre à droite de la colonne pour spécifier jusqu'à deux ensembles de critères selon lesquels filtrer les résultats. Par exemple, filtrez la colonne Verdict pour les fichiers inconnus. Étape 3 Sélectionnez la ligne pour afficher des détails supplémentaires sur l'empreinte de processus, puis chargez Upload le fichier sur WildFire. Advanced Endpoint Protection – Guide de l'administrateur 111 Gérer les règles de prévention contre les logiciels malveillants Prévention contre les logiciels malveillants Gérer les règles de prévention contre les logiciels malveillants Les règles de prévention contre les logiciels malveillants vous permettent de limiter le comportement lié aux logiciels malveillants. Lorsqu'ils sont activés, ces modules utilisent un modèle de liste blanche qui permet l'injection de processus uniquement par les processus spécifiés dans la stratégie. Les stratégies par défaut de prévention contre les logiciels malveillants qui sont préconfigurées avec le logiciel ESM accordent des exceptions pour les processus légitimes courants qui doivent s'injecter dans d'autres processus et/ou modules. Lorsque de nouvelles règles de prévention contre les logiciels malveillants sont ajoutées à la stratégie de sécurité, le mécanisme de règle Traps fusionne toutes les règles configurées dans une stratégie efficace qui est évaluée pour chaque point de terminaison. Dans le cas d'un potentiel conflit entre deux règles ou plus, il existe un ensemble de considérations, comme la date de modification, qui déterminent la règle qui entre en vigueur. En d'autres termes, la règle ayant été créée ou modifiée le plus récemment a la priorité sur la règle plus ancienne. Ainsi, toutes les nouvelles règles de prévention contre les logiciels malveillants peuvent substituer la stratégie par défaut et la rendre inefficace et/ou causer une instabilité sur le point de terminaison. De plus, les listes blanches définies par l'utilisateur ne sont pas fusionnées entre les différentes règles et sont évaluées uniquement si la règles a la priorité. Soyez prudent lors de la configuration de nouvelles règles de stratégie de prévention contre les logiciels malveillants afin d'éviter la substitution de la stratégie par défaut et de causer une instabilité sur le système d'exploitation. Pour toute question supplémentaire concernant la configuration des règles de prévention contre les logiciels malveillants, contactez l'équipe d'assistance ou votre ingénieur commercial. Pour éviter la substitution accidentelle de la stratégie par défaut, nous recommandons de configurer de nouvelles règles uniquement sur les processus qui ne sont pas couverts par la stratégie par défaut. Lors de la configuration d'une nouvelle règle, vous pouvez activer la protection du module contre les logiciels malveillants pour le processus parent et utiliser les paramètres de la stratégie par défaut ou vous pouvez personnaliser les paramètres de règle pour votre organisation. Pour effectuer des modifications sur la stratégie de sécurité pour les processus qui sont déjà protégés, nous recommandons d'importer et de modifier les stratégies par défaut au besoin pour les adapter à votre stratégie de sécurité comme décrit dans les flux de travail suivants : Règles de prévention contre les logiciels malveillants Configurer la protection d'injection de thread Configurer la protection de surveillance de suspension Règles de prévention contre les logiciels malveillants Une règle de prévention contre les logiciels malveillants empêche l'exécution d'un logiciel malveillant, souvent déguisé ou intégré dans un fichier non malicieux, en utilisant des modules contre les logiciels malveillants afin de cibler le comportement de processus courant déclenché par le logiciel malveillant. Contrairement aux règles de prévention d'attaque qui sont activées par choix (vous activez les modules pour les processus spécifiques que vous voulez protéger), les règles de prévention contre les logiciels malveillants sont désactivées par choix (vous activez les modules pour protéger les processus et spécifiez le ou les processus qui sont autorisés à suivre le comportement défini). Vous pouvez activer l'injection des modules de prévention contre les logiciels malveillants dans tous les processus ou activer la protection dans un ou plusieurs processus protégés au sein de votre organisation. Pour autoriser l'exécution des processus légitimes vous pouvez placer en liste blanche les processus parents qui s'injectent dans 112 Advanced Endpoint Protection – Guide de l'administrateur Prévention contre les logiciels malveillants Gérer les règles de prévention contre les logiciels malveillants d'autres processus. Des options de liste blanche supplémentaires sont également disponible en mode ninja . Les paramètres avancés de liste blanche permettent aux ingénieurs d'assistance et de vente Palo Alto Networks de configurer des paramètres supplémentaires très fins pour chaque module contre les logiciels malveillants. Le tableau suivant décrit les modules de prévention contre les logiciels malveillants : Règles de prévention contre Description les logiciels malveillants Surveillance de suspension Protège contre une technique de logiciel malveillant courante où le pirate créé des processus à l'état en suspens afin d'injecter et d'exécuter du code avant le démarrage du processus. Vous pouvez activer la surveillance de suspension sur un mode de processus source et configurer la notification utilisateur, et placer en option des modules de fonction en liste blanche pouvant appeler des processus enfants. Pour plus d'informations, consultez la section Configurer la protection de surveillance de suspension. Injection de thread Le code malicieux peut aussi obtenir un accès en créant des threads et processus distants. Vous pouvez activer l'injection de thread pour interrompre la création de threads et processus distants et spécifier la limitation sur le processus ou thread de source ou de destination. Placez des dossiers spécifiques en liste blanche pour effectuer des exceptions à la règle de restriction générale. Pour plus d'informations, consultez la section Configurer la protection d'injection de thread. Configurer la protection d'injection de thread Un processus peuvent comprendre un ou plusieurs threads qui exécutent une partie du code du processus. Certains scénarios d'attaque sont basés sur l'injection de code malicieux dans un processus cible afin de créer des threads distants, de maintenir la persistance et de contrôler le système infecté. La stratégie par défaut contient des règles prévues pour empêcher la création de threads distants malicieux et autorise les processus légitimes qui doivent injecter des threads dans d'autres processus. Les règles de stratégie par défaut pour l'injection de thread sont habituellement stockées dans le dossier C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Web\KnowledgeBase\Malware modules\ThreadInjection mais peuvent se trouver ailleurs si vous avez spécifié un emplacement d'installation alternatif. Consultez les fichiers dans ce dossier pour déterminer si un fichier de stratégie de base d'injection de thread existe pour le processus. Soyez prudent lors de la configuration de nouvelles règles d'injection de thread afin d'éviter la substitution de la stratégie par défaut et de causer une instabilité sur le système d'exploitation. Pour toute question supplémentaire concernant la configuration des règles de prévention contre les logiciels malveillants, contactez l'équipe d'assistance ou votre ingénieur commercial. Si le processus n'est pas déjà protégé par la stratégie de sécurité par défaut, vous pouvez créer une nouvelle règle qui active la protection d'injection de thread pour un processus en utilisant les paramètres d'injection de thread par défaut ou vous pouvez configurer les paramètres au besoin pour votre stratégie de sécurité. Les paramètres incluent le nom du processus, l'activation du module (Module Activation) (activer (Enable) ou désactiver (Disable)), le mode du processus source (Source process mode) (terminer (Terminate) ou avertir (Notify)), la notification utilisateur (User Notification) (activée (On) ou désactivée (Off)), et les processus cibles en liste blanche sur lesquels le processus source peut effectuer l'injection. Advanced Endpoint Protection – Guide de l'administrateur 113 Gérer les règles de prévention contre les logiciels malveillants Prévention contre les logiciels malveillants Si le processus est déjà protégé par la stratégie de sécurité par défaut, nous recommandons d'importer l'injection de thread par défaut comme nouvelle règle et d'effectuer les modifications selon les besoins de votre organisation. De cette manière, lorsque la stratégie est activée, elle substitue la stratégie par défaut mais contient encore les paramètres de configuration par défaut en plus de toutes les modifications que vous avez effectuées. Configurer la protection d'injection de thread Étape 1 (En option) Importer une copie de 1. la stratégie par défaut. Ceci est 2. nécessaire uniquement pour les 3. processus qui sont déjà protégés par la configuration par défaut et empêche le remplacement de la stratégie par défaut. Sélectionnez Policies > Malware > Protection Modules. Dans le menu , sélectionnez Import rules. Accédez (Browse) aux fichiers de stratégie par défaut dans le dossier Traps pour le processus source désiré, puis cliquez sur Upload. La règle importée apparaît dans le tableau des règles de prévention contre les logiciels malveillants. Étape 2 Démarrer ou modifier une règle de Ajoutez (Add) une nouvelle règle ou sélectionnez et modifiez (Edit) une prévention contre les logiciels règle existante. malveillants. Étape 3 Activer la protection d'injection de 1. thread pour un processus individuel 2. ou pour tous les processus. 1. Étape 4 (En option) Définissez les paramètres d'injection de thread en utilisant les paramètres adoptés. Pour utiliser les paramètres définis par la stratégie par défaut, activez le module, puis passez à Étape 5. 2. En alternative, substituez les valeurs par défaut pour personnaliser les paramètres d'injection de thread selon les besoins de votre organisation. Sélectionnez Thread Injection dans le menu déroulant. (Nouvelles règles uniquement) Pour configurer la protection d'injection de thread pour un processus parent, sélectionnez l'option pour sélectionner un processus (Select a process), puis saisissez le nom du processus dans le champ prévu. Vous pouvez aussi laisser la valeur par défaut pour appliquer la protection d'injection de thread à tous les processus (All Processes). Activez (Enable) ou désactivez (Disable) le module d'injection de thread sur un processus en sélectionnant l'activation du module (Module Activation). Vous pouvez configurer les paramètres du module supplémentaire uniquement lorsque le module est activé. Configurez les actions à entreprendre lorsqu'un processus source tente de s'injecter dans un autre processus (Source process mode) : • Inherit — Adopter le comportement de la stratégie par défaut. • Terminate — Terminer le processus. • Notify — Inscrire le problème dans le journal et autoriser le processus à s'injecter dans un autre processus. 3. Configurez le comportement de notification lorsque le processus source tente de s'injecter dans un autre processus (User Notification). • Inherit — Adopter le comportement de la stratégie par défaut. • On — Avertir l'utilisateur lorsqu'un processus tente de s'injecter dans un autre processus. • Off — Ne pas avertir l'utilisateur lorsqu'un processus tente de s'injecter dans un autre processus. 4. 114 Pour ajouter un processus cible à une liste blanche, cliquez sur l'icône du mode ninja et saisissez le mot de passe de supervision. Ajoutez un ou plusieurs processus à la liste. Advanced Endpoint Protection – Guide de l'administrateur Prévention contre les logiciels malveillants Gérer les règles de prévention contre les logiciels malveillants Configurer la protection d'injection de thread (Suite) Étape 5 (En option) Ajoutez des Conditions Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier à la règle. une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 6 (En option) Définissez les Objets cibles auxquels s'applique la règle de prévention contre les logiciels malveillants. Par défaut, ESM applique les nouvelles règles à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 7 (En option) Examinez le nom et la La console ESM génère automatiquement le nom et la description de la description de la règle. règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Étape 8 Enregistrez la règle de prévention contre les logiciels malveillants. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Policies > Malware > Protection Modules et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Policies > Malware > Protection Modules. À partir de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. Configurer la protection de surveillance de suspension La surveillance de suspension protège contre une technique de logiciel malveillant courante où le pirate créé des processus à l'état en suspens afin d'injecter et d'exécuter du code avant le démarrage du processus. Lorsqu'il est activé, le module de surveillance de suspension protège tous les processus contre les attaques de type suspension de surveillance et utilise des listes blanches pour autoriser les processus légitimes courants à s'injecter dans d'autres processus et/ou modules. Les règles de stratégie par défaut pour la surveillance de suspension sont habituellement stockées dans le dossier C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Web\KnowledgeBase\Malware modules\SuspendGuard mais peuvent se trouver ailleurs si vous avez spécifié un emplacement d'installation alternatif. Vous pouvez consulter les fichiers dans ce dossier pour déterminer si un fichier de stratégie de base de surveillance de suspension existe pour le processus. Advanced Endpoint Protection – Guide de l'administrateur 115 Gérer les règles de prévention contre les logiciels malveillants Prévention contre les logiciels malveillants Soyez prudent lors de la configuration de nouvelles règles de surveillance de suspension afin d'éviter la substitution de la stratégie par défaut et de causer une instabilité sur le système d'exploitation. Pour toute question supplémentaire concernant la configuration des règles de prévention contre les logiciels malveillants, contactez l'équipe d'assistance ou votre ingénieur commercial. Si le processus n'est pas déjà protégé par la stratégie de sécurité par défaut, vous pouvez créer une nouvelle règle qui active la protection de surveillance de suspension pour un processus en utilisant les paramètres de surveillance de suspension par défaut ou vous pouvez configurer les paramètres au besoin pour votre stratégie de sécurité. Les paramètres incluent le nom du processus, l'activation du module (Module Activation) (activer (Enable) ou désactiver (Disable)), le mode du processus source (Source process mode) (terminer (Terminate) ou avertir (Notify)), la notification utilisateur (User Notification) (activée (On) ou désactivée (Off)), et les modules de fonction en liste blanche qui peuvent appeler des processus enfants. Si le processus est déjà protégé par la stratégie de sécurité par défaut, nous recommandons d'importer la stratégie de surveillance de suspension par défaut comme nouvelle règle et d'effectuer les modifications selon les besoins de votre organisation. De cette manière, lorsque la stratégie est activée, elle substitue la stratégie par défaut mais contient encore les paramètres de configuration par défaut en plus de toutes les modifications que vous avez effectuées. Configurer la protection de surveillance de suspension 1. Étape 1 (En option) Importer une copie de la stratégie par défaut. Ceci est nécessaire 2. uniquement pour les processus qui sont 3. déjà protégés par la configuration par défaut et empêche le remplacement de la stratégie par défaut. Étape 2 Démarrer ou modifier une règle de prévention contre les logiciels malveillants. Dans le menu , sélectionnez Import rules. Accédez (Browse) puis chargez (Upload) les fichiers de stratégie par défaut dans le dossier Traps pour le processus source désiré. La règle importée apparaît dans le tableau des règles de prévention contre les logiciels malveillants. Ajoutez (Add) une nouvelle règle ou sélectionnez et modifiez (Edit) une règle existante. Étape 3 Activer la protection de surveillance de 1. suspension pour un processus individuel 2. ou pour tous les processus. 116 Sélectionnez Policies > Malware > Protection Modules. Sélectionnez Suspend Guard dans le menu déroulant. (Nouvelles règles uniquement) Pour configurer la protection de surveillance de suspension pour un processus parent, sélectionnez l'option pour sélectionner un processus (Select a process), puis saisissez le nom du processus dans le champ prévu. Vous pouvez aussi laisser la valeur par défaut pour appliquer la protection de surveillance de suspension à tous les processus (All Processes). Advanced Endpoint Protection – Guide de l'administrateur Prévention contre les logiciels malveillants Gérer les règles de prévention contre les logiciels malveillants Configurer la protection de surveillance de suspension (Suite) Étape 4 Définir les paramètres de la surveillance de suspension. 1. Pour adopter les paramètres de la stratégie par défaut, activez le module, puis passez à Étape 5. En alternative, substituez les valeurs par défaut pour personnaliser les paramètres de surveillance de suspension selon les besoins de votre organisation. Activez (Enable) ou désactivez (Disable) le module de surveillance de suspension sur un processus en sélectionnant l'activation du module (Module Activation). Vous pouvez configurer les paramètres du module supplémentaire uniquement lorsque le module est activé. 2. Configurez les actions à entreprendre lorsqu'un processus source tente de s'injecter dans un autre processus (Source process mode) : • Inherit — Adopter le comportement de la stratégie par défaut. • Terminate — Terminer le processus. • Notify — Inscrire le problème dans le journal et autoriser le processus à s'injecter dans un autre processus. 3. Configurez le comportement de notification lorsque le processus source tente de s'injecter dans un autre processus (User Notification). • Inherit — Adopter le comportement de la stratégie par défaut. • On — Avertir l'utilisateur lorsqu'un processus tente de s'injecter dans un autre processus. • Off — Ne pas avertir l'utilisateur lorsqu'un processus tente de s'injecter dans un autre processus. 4. Par défaut, la liste blanche empêche tous les modules de fonction du processus parent de s'injecter dans tout processus enfant. En alternative, vous pouvez explicitement autoriser l'injection dans les fonctions et processus enfants en les ajoutant à une liste blanche. Pour configurer les paramètres de la liste blanche, cliquez sur l'icône du mode ninja et saisissez le mot de passe de supervision. 5. Adoptez les paramètres de liste blanche par défaut ou configurez la fonction et les processus enfants spécifiques. Par défaut, la liste blanche autorise à tous les modules de fonction de lancer des processus enfants. En alternative, vous pouvez configurer l'un des élément suivants et ajouter (Add) le nom du module et de l'enfant à la liste blanche : • Une fonction spécifique qui lance un processus enfant • Tous les noms de fonctions qui lancent un processus spécifique • Un nom de fonction qui lance un processus spécifique Répétez si nécessaire pour ajouter plusieurs combinaison par processus parent. Advanced Endpoint Protection – Guide de l'administrateur 117 Gérer les règles de prévention contre les logiciels malveillants Prévention contre les logiciels malveillants Configurer la protection de surveillance de suspension (Suite) Étape 5 (En option) Ajoutez des Conditions à la règle. Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 6 (En option) Définissez les Objets cibles Par défaut, ESM applique les nouvelles règles à toutes les objets au auxquels s'applique la règle de prévention sein de votre organisation. Pour définir un sous-groupe plus petit contre les logiciels malveillants. d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 7 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Étape 8 Enregistrez la règle de prévention contre Effectuez l'une des actions suivantes : les logiciels malveillants. • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Policies > Malware > Protection Modules et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Policies > Malware > Protection Modules. À partir de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. 118 Advanced Endpoint Protection – Guide de l'administrateur Gérer les points de terminaison Les sujets suivants décrivent comment gérer les points de terminaison en utilisant Endpoint Security Manager : Gérer les règles d'action Traps Gérer les règles de paramètres d'agent Advanced Endpoint Protection – Guide de l'administrateur 119 Gérer les règles d'action Traps Gérer les points de terminaison Gérer les règles d'action Traps Utilisez des règles d'action pour effectuer des actions uniques sur l'agent Traps qui s'exécute sur chaque point de terminaison. Règles d'action Traps Ajouter une nouvelle règle d'action Gérer les données collectées par Traps Éteindre ou suspendre la protection EPM Désinstaller ou mettre à niveau Traps sur le point de terminaison Mettre à jour ou révoquer la licence Traps sur le point de terminaison Règles d'action Traps Les règles d'action vous permettent d'effectuer des actions uniques sur l'agent Traps qui s'exécute sur chaque point de terminaison. Pour chaque règle d'action, vous devez spécifier les objets cibles, les conditions et l'une des actions d'administration suivantes à effectuer sur chaque point de terminaison. Règles d'action Description Gérer les fichiers de Chaque point de terminaison stocke des informations de prévention et de sécurité données créés par l'agent incluant des données historiques, des vidages mémoire et des fichiers en quarantaine. Traps En utilisant ce type de règle d'action, vous pouvez effacer ou récupérer les fichiers de données que l'agent Traps créé sur le point de terminaison. Pour plus d'informations, consultez la section Gérer les données collectées par Traps. Éteindre ou suspendre la Si une stratégie de sécurité interfère avec une application légitime, vous pouvez protection EPM temporairement éteindre ou suspendre la protection du module de prévention d'attaque (EPM) sur le point de terminaison. Après avoir terminé la tâche nécessaire, nous recommandons d'analyser l'évènement et de définir une règle de sécurité spécifique à cette application, puis de réactiver la protection EPM. Pour plus d'informations, consultez la section Éteindre ou suspendre la protection EPM. Désinstaller ou mettre à niveau le logiciel Traps Créez une règle d'action pour désinstaller ou mettre à niveau Traps à partir de Endpoint Security Manager. Pour mettre à niveau le logiciel Traps sur un point de terminaison, chargez le fichier ZIP du logiciel sur le serveur Endpoint Security Manager et spécifiez le chemin lors de la configuration de la règle d'action. Pour plus d'informations, consultez la section Désinstaller ou mettre à niveau Traps sur le point de terminaison. Mettre à jour ou révoquer Endpoint Security Manager distribue les licences à l'agent Traps. Vous pouvez la licence Traps révoquer ou mettre à jour la licence à tout moment sur un point de terminaison. Pour plus d'informations, consultez la section Mettre à jour ou révoquer la licence Traps sur le point de terminaison. Traps n'applique pas de règles d'action tant que l'agent n'a pas reçu la stratégie de sécurité à jour, ce qui se produit habituellement avec la communication de pulsation suivante avec le serveur. Pour récupérer manuellement la dernière stratégie de sécurité à partir du serveur ESM, sélectionnez Update Now sur la console Traps. 120 Advanced Endpoint Protection – Guide de l'administrateur Gérer les points de terminaison Gérer les règles d'action Traps Vous pouvez créer ou modifier des règles d'action sur la page de récapitulatif et gestion Actions (Settings > Agent Actions). La sélection de la règle affiche d'autres informations sur la règle et les autres actions que vous pouvez entreprendre (dupliquer (Duplicate), supprimer (Delete) ou activer/désactiver (Activate/Deactivate) la règle). Pour plus d'informations, consultez la section Gérer les règles d'action Traps. Ajouter une nouvelle règle d'action Pour chaque règle d'action, vous pouvez spécifier les objets d'organisation, les conditions et les actions à effectuer sur chaque point de terminaison. Ajouter une nouvelle règle d'action Étape 1 Démarrez une nouvelle règle d'action. Sélectionnez Settings > Agent Actions, puis ajoutez (Add) une nouvelle règle. Étape 2 Sélectionnez le type de tâche à effectuer. Sélectionnez l'un des éléments suivants dans le menu déroulant Tasks, puis configurez les paramètres en fonction du type d'action : • Agent Data — Pour plus d'informations, voir Gérer les données collectées par Traps. • Agent Service — Pour plus d'informations, voir Éteindre ou suspendre la protection EPM. • Agent Installation — Pour plus d'informations, voir Désinstaller ou mettre à niveau Traps sur le point de terminaison. • Agent License — Pour plus d'informations, voir Mettre à jour ou révoquer la licence Traps sur le point de terminaison. Étape 3 (En option) Ajoutez des Conditions Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier à la règle. une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 4 (En option) Définissez les Objets cibles auxquels s'applique la règle d'action. Par défaut, ESM applique les nouvelles règles à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Advanced Endpoint Protection – Guide de l'administrateur 121 Gérer les règles d'action Traps Gérer les points de terminaison Ajouter une nouvelle règle d'action (Suite) Étape 6 Enregistrez la règle d'action. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Settings > Agent Actions et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Settings > Agent Actions. À partir de cette page, vous pouvez dupliquer (Duplicate), supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. Gérer les données collectées par Traps Utilisez l'assistant d'action pour effectuer les actions suivantes pour les fichiers de données créés par Traps sur le point de terminaison. Action Description Clear History Chaque point de terminaison stocke un historique des préventions de sécurité. Sélectionnez cette option pour effacer les fichiers de données historiques qui s'affichent dans la console Traps. Erase Memory Dumps Les vidages mémoire sont des enregistrements du contenu de la mémoire système lorsqu'un évènement de prévention se produit. Sélectionnez cette option pour effacer les enregistrement de mémoire du système sur les objets cibles. Erase Quarantined Files Lorsqu'un évènement de sécurité se produit sur un point de terminaison, Traps capture les vidages mémoire et les fichiers récents associés à l'évènement et les stocke dans le dossier d'investigation numérique sur le point de terminaison. Sélectionnez cette option pour supprimer les fichiers associés à l'évènement de sécurité sur les objets cibles. Retrieve Data that the Agent Collects Traps collecte l'historique des évènements de sécurité, les vidages mémoire et d'autres informations associées à un évènement de sécurité. Sélectionnez cette option pour récupérer toutes les informations enregistrées de tous les évènements qui se sont produits sur le point de terminaison. Après l'exécution de cette règle, l'agent envoie toutes les données liées à la prévention, en incluant un vidage mémoire du processus protégé dans le dossier d'investigation numérique désigné. Retrieve Logs that the Agent Collects Traps collecte les journaux de trace d'application détaillés et stocke les informations sur les processus et les applications qui sont exécutés sur le point de terminaison. Utilisez le fichier journal pour résoudre un problème avec une application ou enquêter sur un problème spécifique qui s'inscrit dans le journal. La sélection de cette option créé une règle d'action pour récupérer toutes les informations de trace d'application pour un point de terminaison. Après l'exécution de cette règle, l'agent Traps envoie tous les journaux au dossier d'investigation numérique. 122 Advanced Endpoint Protection – Guide de l'administrateur Gérer les points de terminaison Gérer les règles d'action Traps Gérer les données collectées par Traps Étape 1 Démarrez une nouvelle règle d'action. Sélectionnez Settings > Agent Actions, puis ajoutez (Add) une nouvelle règle. Étape 2 Définissez les tâches à effectuer sur les 1. données Traps stockées sur les points de 2. terminaison. Sélectionnez Agent Data dans le menu déroulant Tasks. Sélectionnez une ou plusieurs options pour gérer les données d'agent. • Clear history • Erase memory dumps • Erase quarantined files • Retrieve collected data from the agent • Retrieve collected logs from the agent Étape 3 (En option) Ajoutez des Conditions à la règle. Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 4 (En option) Définissez les Objets cibles auxquels s'applique la règle d'action. Par défaut, ESM applique les nouvelles règles à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Étape 6 Enregistrez la règle d'action. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Settings > Agent Actions et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Settings > Agent Actions. À partir de cette page, vous pouvez dupliquer (Duplicate), supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. Advanced Endpoint Protection – Guide de l'administrateur 123 Gérer les règles d'action Traps Gérer les points de terminaison Éteindre ou suspendre la protection EPM Si une stratégie de sécurité interfère avec une application légitime, vous pouvez temporairement suspendre ou éteindre l'injection du module de prévention d'attaque (EPM) sur un point de terminaison. Pour les points de terminaison qui exécutent Traps version 3.1 ou supérieure, Traps n'injectera pas les EPM dans les processus tant que la règle est active, mais continuera d'envoyer les notifications concernant les évènements de sécurité. Après avoir terminé la tâche nécessaire, nous recommandons d'analyser l'évènement et de définir une règle de sécurité spécifique à cette application, puis d'activer la protection EPM. En cas de suspension de l'EPM, la règle active automatiquement la protection EPM après l'écoulement de la durée spécifiée. Dans le cas de l'extinction de l'EPM, vous devez redémarrer manuellement le point de terminaison pour démarrer le service Traps sur le point de terminaison et réactiver la protection EPM. Éteindre ou suspendre la protection EPM Étape 1 Démarrez une nouvelle règle d'action. Étape 2 Définissez la durée de suspension de la protection. Sélectionnez Settings > Agent Actions, puis ajoutez (Add) une nouvelle règle. 1. Sélectionnez Agent Service dans le menu déroulant Tasks. 2. Sélectionnez Suspend protection for et spécifiez la durée en minutes avec le menu déroulant — 10, 30, 60 ou 180 minutes — pour suspendre temporairement l'injection des modules de sécurité. Étape 3 (En option) Ajoutez des Conditions à la règle. Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 4 (En option) Définissez les Objets cibles auxquels s'applique la règle d'action. Par défaut, ESM applique les nouvelles règles à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. 124 Advanced Endpoint Protection – Guide de l'administrateur Gérer les points de terminaison Gérer les règles d'action Traps Éteindre ou suspendre la protection EPM (Suite) Étape 6 Enregistrez la règle d'action. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Settings > Agent Actions et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Settings > Agent Actions. À partir de cette page, vous pouvez dupliquer (Duplicate), supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. Désinstaller ou mettre à niveau Traps sur le point de terminaison Créez une nouvelle règle d'actions d'agent pour désinstaller Traps sur les objets cibles ou mettre à niveau Traps en utilisant le logiciel accessible par la console ESM. Désinstaller ou mettre à niveau Traps sur le point de terminaison Étape 1 Démarrez une nouvelle règle d'action. Sélectionnez Settings > Agent Actions, puis ajoutez (Add) une nouvelle règle. Étape 2 Définissez les tâches à effectuer sur Traps Sélectionnez Agent Installation dans le menu déroulant Tasks et sur les points de terminaison. sélectionnez l'une des actions suivantes : • Uninstall • Upgrade from path — Accédez au fichier ZIP d'installation, puis cliquez sur Upload. Étape 3 (En option) Ajoutez des Conditions à la règle. Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 4 (En option) Définissez les Objets cibles auxquels s'applique la règle d'action. Par défaut, ESM applique les nouvelles règles à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Advanced Endpoint Protection – Guide de l'administrateur 125 Gérer les règles d'action Traps Gérer les points de terminaison Désinstaller ou mettre à niveau Traps sur le point de terminaison (Suite) Étape 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Étape 6 Enregistrez la règle d'action. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Settings > Agent Actions et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Settings > Agent Actions. À partir de cette page, vous pouvez dupliquer (Duplicate), supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. Mettre à jour ou révoquer la licence Traps sur le point de terminaison Créez une nouvelle règle d'action pour mettre à jour ou révoquer une licence du service Traps exécuté sur un point de terminaison. La révocation d'une licence vous permet de réaffecter une licence à un autre point de terminaison. Après la révocation d'une licence, Traps ne protègera plus le point de terminaison. Utilisez l'option de mise à jour pour remplacer une licence sur le point de terminaison et relancer le service Traps. Mettre à jour ou révoquer la licence Traps sur le point de terminaison Étape 1 Démarrez une nouvelle règle d'action. Sélectionnez Settings > Agent Actions, puis ajoutez (Add) une nouvelle règle. Étape 2 Définissez les tâches à effectuer sur la licence Traps sur les points de terminaison. Sélectionnez Agent License dans le menu déroulant Tasks et sélectionnez l'une des actions suivantes : • Update — Mettre à jour la licence Traps sur un point de terminaison. • Revoke — Révoquer une licence et arrêter le service d'agent sur un point de terminaison. Étape 3 (En option) Ajoutez des Conditions à la règle. 126 Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Advanced Endpoint Protection – Guide de l'administrateur Gérer les points de terminaison Gérer les règles d'action Traps Mettre à jour ou révoquer la licence Traps sur le point de terminaison (Suite) Étape 4 (En option) Définissez les Objets cibles auxquels s'applique la règle d'action. Par défaut, ESM applique les nouvelles règles à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Étape 6 Enregistrez la règle d'action. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Settings > Agent Actions et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Settings > Agent Actions. À partir de cette page, vous pouvez dupliquer (Duplicate), supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. Advanced Endpoint Protection – Guide de l'administrateur 127 Gérer les règles de paramètres d'agent Gérer les points de terminaison Gérer les règles de paramètres d'agent Utilisez les règles de paramètres d'agent pour modifier les préférences relatives à Traps à partir d'un emplacement centralisé. Règles de paramètres d'agent Traps Ajouter une nouvelle règle de paramètres d'agent Définir les préférences de journalisation d'évènement Masquer ou limiter l'accès à la console Traps Définir les paramètres de communication entre le point de terminaison et le serveur ESM Collecter les informations sur les nouveaux processus Gérer la protection de service Modifier le mot de passe de désinstallation Créer un message de prévention personnalisé Créer un message de notification personnalisé Règles de paramètres d'agent Traps Les règles de paramètres d'agent vous permettent de modifier les préférences relatives à Traps à partir d'un emplacement centralisé. Sur la page Settings > Agent Settings, vous pouvez créer des règles pour gérer les paramètres de Traps suivants : Règles de paramètres d'agent Description Event logging settings Déterminez comment l'agent Traps gère les journaux d'évènements. Ces paramètres incluent le réglage d'un quota de taille pour les journaux du point de terminaison, ainsi que l'envoi en option des journaux du point de terminaison au journal d'évènements Windows. Pour plus d'informations, consultez la section Définir les préférences de journalisation d'évènement. User visibility and access Déterminez si et comment l'utilisateur final peut accéder à l'application de console Traps. settings En option, vous pouvez configurer la console de sorte qu'elle ne soit accessibles qu'aux administrateurs. Pour plus d'informations, consultez la section Masquer ou limiter l'accès à la console Traps. Heartbeat settings 128 Déterminez la fréquence à laquelle l'agent Traps envoie le message de pulsation au serveur ESM. La fréquence optimale est déterminée en fonction du nombre de points de terminaison dans l'organisation et de la charge réseau type. La période de pulsation par défaut est de cinq minutes. Pour plus d'informations, consultez la section Définir les paramètres de communication entre le point de terminaison et le serveur ESM. Advanced Endpoint Protection – Guide de l'administrateur Gérer les points de terminaison Gérer les règles de paramètres d'agent Règles de paramètres d'agent Description Collect new process information Configurez les agents Traps pour collecter les nouveaux processus sur les points de terminaison. Lorsque cette option est activée, Traps signale chaque processus exécuté sur un point de terminaison au serveur ESM. Vous pouvez consulter les processus dans l'affichage Process Management des écrans Endpoint Security Manager et choisir de créer ou non des règles de sécurité liées aux processus. Pour plus d'informations, consultez la section Collecter les informations sur les nouveaux processus. Service protection Empêchez les tentatives de désactiver ou d'effectuer des modifications aux valeurs de registre et fichiers de Traps. Lorsque cette option est activée, les utilisateurs ne peuvent pas éteindre ni modifier le service de l'agent Traps. Pour plus d'informations, consultez la section Gérer la protection de service. Agent security Par défaut, les utilisateurs et les administrateurs doivent saisir le mot de passe requis pour désinstaller l'application Traps. Utilisez cette option pour modifier le mot de passe. Pour plus d'informations, consultez la section Modifier le mot de passe de désinstallation. Prevention message Personnalisez le titre, le pied de page et l'image affichée pour les pop-ups de prévention que Traps affiche lorsqu'un évènement de sécurité se produit sur le point de terminaison. Pour plus d'informations, consultez la section Créer un message de prévention personnalisé. Notification message Personnalisez le titre, le pied de page et l'image affichée pour les pop-ups de notification que Traps affiche lorsqu'un comportement de notification est déclenché sur le point de terminaison. Pour plus d'informations, consultez la section Créer un message de notification personnalisé. Traps n'applique pas de règles de paramètres d'agent tant que l'agent Traps n'a pas reçu la stratégie de sécurité à jour, ce qui se produit habituellement avec la communication de pulsation suivante avec le serveur. Pour récupérer manuellement la dernière stratégie de sécurité à partir du serveur ESM, sélectionnez Update Now sur la console Traps. Vous pouvez créer ou modifier des règles de paramètres d'agent sur la page de récapitulatif et gestion Agent Settings (Settings > Agent Settings). La sélection d'une règle affiche d'autres informations sur la règle et les autres actions que vous pouvez entreprendre (supprimer (Delete), activer/désactiver (Activate/Deactivate), ou modifier (Edit) la règle). Pour plus d'informations, consultez la section Gérer les règles de paramètres d'agent. Ajouter une nouvelle règle de paramètres d'agent Pour chaque règle de paramètres d'agent, vous pouvez spécifier les objets d'organisation, les conditions et les préférences de Traps à appliquer. Ajouter une nouvelle règle de paramètres d'agent Étape 1 Démarrez une nouvelle règle de paramètres d'agent. Sélectionnez Settings > Agent Settings, puis ajoutez (Add) une nouvelle règle. Advanced Endpoint Protection – Guide de l'administrateur 129 Gérer les règles de paramètres d'agent Gérer les points de terminaison Ajouter une nouvelle règle de paramètres d'agent (Suite) Étape 2 Sélectionnez le type de paramètre à modifier et configurez vos préférences. Sélectionnez l'un des éléments suivants, puis configurez les paramètres en fonction du type de préférence : • Event Logging — Pour plus d'informations, voir Définir les préférences de journalisation d'évènement. • User Visibility & Access — Pour plus d'informations, voir Masquer ou limiter l'accès à la console Traps. • Heartbeat Settings — Pour plus d'informations, voir Définir les paramètres de communication entre le point de terminaison et le serveur ESM. • Process Management — Pour plus d'informations, voir Collecter les informations sur les nouveaux processus. • Service Protection — Pour plus d'informations, voir Gérer la protection de service. • Agent Security — Pour plus d'informations, voir Modifier le mot de passe de désinstallation. • Prevention Message — Pour plus d'informations, voir Créer un message de prévention personnalisé. • Notification Message — Pour plus d'informations, voir Créer un message de notification personnalisé. Étape 3 (En option) Ajoutez des Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une Conditions à la règle. condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 4 (En option) Définissez les Objets cibles auxquels s'applique la règle de paramètres d'agent. Par défaut, ESM applique les nouvelles règles à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 5 (En option) Examinez le La console ESM génère automatiquement le nom et la description de la règle en nom et la description de fonction des détails de la règle. Pour substituer le nom généré automatiquement, la règle. sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Étape 6 Enregistrez la règle de paramètres d'agent. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Settings > Agent Settings et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Settings > Agent Settings. À partir de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. 130 Advanced Endpoint Protection – Guide de l'administrateur Gérer les points de terminaison Gérer les règles de paramètres d'agent Définir les préférences de journalisation d'évènement Le journal d'évènements Windows stocke les évènements d'application, de sécurité et du système qui vous aident à diagnostiquer la source des problèmes du système. Utilisez l'assistant Agent Settings pour spécifier s'il faut envoyer ou non les évènements de sécurité que rencontre Traps au journal d'évènements Windows et pour définir un quota de taille pour le dossier de stockage local temporaire que Traps utilise pour stocker les informations d'évènement. Définir les préférences de journalisation d'évènement Étape 1 Démarrez une nouvelle Sélectionnez Settings > Agent Settings, puis ajoutez (Add) une nouvelle règle. règle de paramètres d'agent. 1. Étape 2 Définissez les paramètres de journalisation 2. d'évènement pour les points de terminaison. Sélectionnez Event Logging dans le menu déroulant Agent Settings. Effectuez une ou plusieurs des actions suivantes : • Sélectionnez l'option Set disk quota (MB) pour spécifier la taille du dossier de stockage local temporaire que Traps utilisera pour stocker les journaux d'évènements. Spécifiez le quota en Mo. La valeur par défaut est 1000 Mo (10 Go). Le maximum est 10 000 000 Mo (10 To). • Sélectionnez l'option Write agent events in the Windows event log pour envoyer les évènements de Traps au journal d'évènements Windows. Étape 3 (En option) Ajoutez des Conditions à la règle. Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 4 (En option) Définissez les Objets cibles auxquels s'applique la règle de paramètres d'agent. Par défaut, ESM applique les nouvelles règles à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Étape 6 Enregistrez la règle de paramètres d'agent. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Settings > Agent Settings et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Settings > Agent Settings. À partir de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. Advanced Endpoint Protection – Guide de l'administrateur 131 Gérer les règles de paramètres d'agent Gérer les points de terminaison Masquer ou limiter l'accès à la console Traps Par défaut, un utilisateur peut accéder à la console Traps pour consulter les informations sur l'état actuel du point de terminaison, les évènements de sécurité et les modifications à la stratégie de sécurité. Lorsqu'un évènement de sécurité est déclenché, l'utilisateur reçoit également une notification sur l'évènement incluant le nom de l'application, l'éditeur et une description de la prévention d'attaque ou la règle de restriction qui a déclenché la notification. Vous pouvez créer une règle de paramètres d'agent pour modifier l'accessibilité de la console et spécifier s'il faut ou non masquer les notifications pour l'utilisateur. Masquer ou limiter l'accès à la console Traps Étape 1 Démarrez une nouvelle Sélectionnez Settings > Agent Settings, puis ajoutez (Add) une nouvelle règle. règle de paramètres d'agent. Étape 2 Définissez les paramètres de 1. visibilité et d'accès de l'utilisateur pour les points 2. de terminaison. Sélectionnez User Availability & Access dans le menu déroulant Agent Settings. Sélectionnez une ou plusieurs des options suivantes : • Hide tray icon — L'installation de Traps sur un point de terminaison ajoute par défaut une icône dans la zone de notification. Utilisez cette option pour masquer l'icône de la zone de notification sur le point de terminaison. • Disable access to the Traps console — Par défaut, l'utilisateur peut accéder à la console Traps en la lançant depuis la zone de notification. Utilisez cette option pour désactiver la possibilité de lancer la console. • Hide Traps user notifications — Lorsque l'agent Traps rencontre un évènement de prévention, l'utilisateur voit un message de notification décrivant l'évènement. Utilisez cette option pour masquer les notifications. Étape 3 (En option) Ajoutez des Conditions à la règle. 132 Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Advanced Endpoint Protection – Guide de l'administrateur Gérer les points de terminaison Gérer les règles de paramètres d'agent Masquer ou limiter l'accès à la console Traps (Suite) Étape 4 (En option) Définissez les Objets cibles auxquels s'applique la règle de paramètres d'agent. Par défaut, ESM applique les nouvelles règles à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Étape 6 Enregistrez la règle de paramètres d'agent. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Settings > Agent Settings et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Settings > Agent Settings. À partir de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. Définir les paramètres de communication entre le point de terminaison et le serveur ESM Le point de terminaison communique de manière régulière avec Endpoint Security Manager en envoyant des messages de pulsation et effectue des signalisation au serveur ESM. Durant la communication de pulsation, l'agent Traps demande la stratégie de sécurité actuelle et envoie une réponse à Endpoint Security Manager pour signaler l'état du point de terminaison. La fréquence à laquelle l'agent Traps envoie les messages de pulsation au serveur ESM est appelée cycle de pulsation. La fréquence optimale est déterminée en fonction du nombre de points de terminaison dans l'organisation et de la charge réseau type. La période de pulsation par défaut est de cinq minutes. L'agent Traps signale également les modifications dans le service, incluant les évènements de démarrage, arrêt et plantage et les processus découverts sur le point de terminaison. La fréquence à laquelle l'agent Traps envoie la notification de signalisation est appelée intervalle de signalisation. Définir les paramètres de communication entre le point de terminaison et le serveur ESM Étape 1 Démarrez une nouvelle Sélectionnez Settings > Agent Settings, puis ajoutez (Add) une nouvelle règle. règle de paramètres d'agent. Advanced Endpoint Protection – Guide de l'administrateur 133 Gérer les règles de paramètres d'agent Gérer les points de terminaison Définir les paramètres de communication entre le point de terminaison et le serveur ESM (Suite) Étape 2 Définissez les paramètres de 1. pulsation pour les points de 2. terminaison. Sélectionnez Heartbeat Settings dans le menu déroulant Agent Settings. Sélectionnez une ou plusieurs des options suivantes : • Set distinct heartbeat cycle — Spécifiez la fréquence en heures (Hours), Minutes ou jours (Days). • Set send reports interval — Spécifiez la fréquence en heures (Hours), Minutes ou jours (Days). Étape 3 (En option) Ajoutez des Conditions à la règle. Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 4 (En option) Définissez les Objets cibles auxquels s'applique la règle de paramètres d'agent. Par défaut, ESM applique les nouvelles règles à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Étape 6 Enregistrez la règle de paramètres d'agent. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Settings > Agent Settings et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Settings > Agent Settings. À partir de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. Collecter les informations sur les nouveaux processus En collectant les informations sur les nouveaux processus du point de terminaison, vous pouvez analyser s'il faut ou non créer des règles de sécurité. Par défaut, l'agent Traps ne collecte pas d'informations sur les nouveaux processus. Vous pouvez configurer Traps pour qu'il signale chaque processus exécuté sur un point de terminaison à Endpoint Security Manager en activant le paramètre Process Management. La page Process Management affiche tous les processus ajoutés manuellement ou découverts automatiquement. 134 Advanced Endpoint Protection – Guide de l'administrateur Gérer les points de terminaison Gérer les règles de paramètres d'agent Collecter les informations sur les nouveaux processus Étape 1 Démarrez une nouvelle Sélectionnez Settings > Agent Settings, puis ajoutez (Add) une nouvelle règle. règle de paramètres d'agent. Étape 2 Activez la collecte des nouveaux processus sur les points de terminaison. 1. Sélectionnez Process Management dans le menu déroulant Agent Settings. 2. Cochez la case Collect new process information. Lorsque de nouveau processus sont détectés, ESM les affiche dans la page Policies > Exploit > Process Management en tant que processus non protégés. Définissez des règles pour protéger les nouveaux processus si nécessaire. Étape 3 (En option) Ajoutez des Conditions à la règle. Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 4 (En option) Définissez les Objets cibles auxquels s'applique la règle de paramètres d'agent. Par défaut, ESM applique les nouvelles règles à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Étape 6 Enregistrez la règle de paramètres d'agent. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Settings > Agent Settings et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Settings > Agent Settings. À partir de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. Gérer la protection de service La protection de service vous permet de protéger le service Traps exécuté sur vos points de terminaison. Lorsque la protection de service est activée, les utilisateurs ne peuvent pas modifier les valeurs de registre ou les fichiers associés à Traps, ni arrêter ou modifier le service Traps d'aucune manière. Advanced Endpoint Protection – Guide de l'administrateur 135 Gérer les règles de paramètres d'agent Gérer les points de terminaison Gérer la protection de service Étape 1 Démarrez une nouvelle règle de paramètres d'agent. Sélectionnez Settings > Agent Settings, puis ajoutez (Add) une nouvelle règle. Étape 2 Activez la protection de service. 1. Sélectionnez Service Protection dans le menu déroulant Agent Settings. 2. Étape 3 (En option) Ajoutez des Conditions à la règle. Sélectionnez activer la protection de service (Enable service protection) ou désactiver la protection de service (Disable service protection). Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 4 (En option) Définissez les Objets cibles Par défaut, ESM applique les nouvelles règles à toutes les objets au auxquels s'applique la règle de paramètres sein de votre organisation. Pour définir un sous-groupe plus petit d'agent. d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Étape 6 Enregistrez la règle de paramètres d'agent. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Settings > Agent Settings et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Settings > Agent Settings. À partir de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. 136 Advanced Endpoint Protection – Guide de l'administrateur Gérer les points de terminaison Gérer les règles de paramètres d'agent Modifier le mot de passe de désinstallation Par défaut, vous devez saisir le mot de passe de désinstallation spécifié durant l'installation afin de désinstaller Traps d'un point de terminaison. Modifiez le mot de passe par défaut en créant une règle de paramètres d'agent. Modifier le mot de passe de désinstallation Étape 1 Démarrez une nouvelle règle de paramètres d'agent. Sélectionnez Settings > Agent Settings, puis ajoutez (Add) une nouvelle règle. Étape 2 Modifiez le mot de passe. 1. Sélectionnez Agent Security dans le menu déroulant. Cochez la case Set uninstall password. 2. Saisissez le mot de passe que l'utilisateur ou l'administrateur devront saisir pour désinstaller Traps. Le mot de passe doit contenir au moins huit caractères. Étape 3 (En option) Ajoutez des Conditions à la règle. Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 4 (En option) Définissez les Objets cibles Par défaut, ESM applique les nouvelles règles à toutes les objets au auxquels s'applique la règle de paramètres sein de votre organisation. Pour définir un sous-groupe plus petit d'agent. d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Étape 6 Enregistrez la règle de paramètres d'agent. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Settings > Agent Settings et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Settings > Agent Settings. À partir de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. Advanced Endpoint Protection – Guide de l'administrateur 137 Gérer les règles de paramètres d'agent Gérer les points de terminaison Créer un message de prévention personnalisé Traps affiche des messages de prévention lorsqu'un fichier ou un processus viole une stratégie de sécurité et le comportement de terminaison est configuré pour bloquer le fichier et avertir l'utilisateur. Utilisez une règle de paramètres d'agent pour personnaliser le titre, le pied de page et l'image affichée pour les pop-ups de prévention que Traps affiche lorsqu'un évènement de sécurité se produit sur le point de terminaison. Créer un message de prévention personnalisé Étape 1 Démarrez une nouvelle règle de paramètres d'agent. Sélectionnez Settings > Agent Settings, puis ajoutez (Add) une nouvelle règle. Étape 2 Personnalisez une ou plusieurs options de 1. message de prévention. 2. Sélectionnez Prevention Message dans le menu déroulant. Lorsque vous effectuez des modifications, l'aperçu à droite des paramètres de configuration affiche vos modifications. • Prevention title — Saisissez un maximum de 50 caractères dans le champ prévu pour afficher un titre de notification personnalisé. • Prevention action — Pour fournir un contact ou d'autres informations au bas du message, saisissez jusqu'à 250 caractères dans le champ Notification action. Pour spécifier une adresse e-mail, utilisez le format HTML standard, par exemple <a href="mailto://assistance@votre_organisation.com "> Assistance</a>. • Prevention image — Pour remplacer le logo Traps par une nouvelle image, accédez (Browse) à une nouvelle image, puis cliquez sur Upload. Étape 3 (En option) Ajoutez des Conditions à la règle. Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 4 (En option) Définissez les Objets cibles Par défaut, ESM applique les nouvelles règles à toutes les objets au auxquels s'applique la règle de paramètres sein de votre organisation. Pour définir un sous-groupe plus petit d'agent. d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. 138 Advanced Endpoint Protection – Guide de l'administrateur Gérer les points de terminaison Gérer les règles de paramètres d'agent Créer un message de prévention personnalisé (Suite) Étape 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Étape 6 Enregistrez la règle de paramètres d'agent. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Settings > Agent Settings et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Settings > Agent Settings. À partir de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. Créer un message de notification personnalisé Traps affiche des messages de notification lorsque le comportement de notification est configuré pour alerter l'utilisateur. Utilisez une règle de paramètres d'agent pour personnaliser le titre, le pied de page et l'image affichée pour les pop-ups de notification que Traps affiche lorsque le comportement déclenche une notification d'alerte. Créer un message de notification personnalisé Étape 1 Démarrez une nouvelle Sélectionnez Settings > Agent Settings, puis ajoutez (Add) une nouvelle règle. règle de paramètres d'agent. Advanced Endpoint Protection – Guide de l'administrateur 139 Gérer les règles de paramètres d'agent Gérer les points de terminaison Créer un message de notification personnalisé (Suite) Étape 2 Personnalisez une ou plusieurs options de message de notification. 1. Sélectionnez Notification Message dans le menu déroulant. 2. Lorsque vous effectuez des modifications, l'aperçu à droite des paramètres de configuration affiche vos modifications. • Notification title — Saisissez un maximum de 50 caractères dans le champ prévu pour afficher un titre de notification personnalisé. • Notification action — Pour fournir un contact ou d'autres informations au bas du message, saisissez jusqu'à 250 caractères dans le champ Notification action. Pour spécifier une adresse e-mail, utilisez le format HTML standard, par exemple <a href="mailto://assistance@votre_organisation.com"> Assistance</a>. • Notification image — Pour remplacer le logo Traps par une nouvelle image, accédez (Browse) à une nouvelle image, puis cliquez sur Upload. Étape 3 (En option) Ajoutez des Conditions à la règle. Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 4 (En option) Définissez les Objets cibles auxquels s'applique la règle de paramètres d'agent. Par défaut, ESM applique les nouvelles règles à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour intervenir sur le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Étape 6 Enregistrez la règle de paramètres d'agent. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Settings > Agent Settings et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Settings > Agent Settings. À partir de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire. 140 Advanced Endpoint Protection – Guide de l'administrateur Investigation numérique Aperçu de l'investigation numérique Gérer les règles et paramètres d'investigation numérique Activer la collecte d'URI dans Chrome Advanced Endpoint Protection – Guide de l'administrateur 141 Aperçu de l'investigation numérique Investigation numérique Aperçu de l'investigation numérique Flux d'investigation numérique Types de données d'investigation numérique Flux d'investigation numérique Phase 1 : Évènement de prévention déclenché Phase 2 : Analyse automatisée Phase 3 : Détection automatisée Phase 4 : Collecte des données d'investigation numérique Phase 1 : Évènement de prévention déclenché Lorsqu'un pirate tente d'exploiter la vulnérabilité d'un logiciel, les modules de protection Traps entrent en action pour interrompre le comportement du processus malicieux et enfin bloquer l'attaque. Par exemple, imaginez le cas où un fichier tente d'accéder à des métadonnées de DLL cruciales à partir d'emplacements de code douteux. Si le module de sécurité de DLL est activé pour protéger les processus dans votre organisation, Traps interrompt immédiatement le processus qui tente d'accéder aux métadonnées de DLL. Traps enregistre l'évènement dans son journal d'évènements et avertit l'utilisateur de l'évènement de sécurité. S'il est configuré, Traps affiche un message de notification personnalisé (pour plus d'informations, voir Créer un message de prévention personnalisé). Après avoir interrompu une tentative d'exploitation avec succès, Traps collecte et analyse les données liées à l'évènement, comme décrit dans Phase 2 : Analyse automatisée. Phase 2 : Analyse automatisée Lorsqu'un évènement de sécurité se produit sur un point de terminaison, Traps congèle le contenu de la mémoire et le stocke dans un fichier de données appelé vidage mémoire. À partir de la console ESM, vous pouvez peaufiner les paramètres de vidage mémoire qui spécifient la taille du vidage mémoire — petite, moyenne ou complète (le jeu d'informations le plus grand et complet) — et si Traps doit automatiquement charger le vidage mémoire dans le dossier d'investigation numérique. Pour plus d'informations, consultez la section Définir les préférences de vidage mémoire. 142 Advanced Endpoint Protection – Guide de l'administrateur Investigation numérique Aperçu de l'investigation numérique Après la création du vidage mémoire, Traps déchiffre le fichier et extrait les informations pour identifier la cause sous-jacente et pour vérifier la validité de la prévention. Utilisez les résultats de l'analyse pour diagnostiquer et comprendre l'évènement. Selon le type d'évènement, Traps peut aussi utiliser des outils de détection automatisés pour effectuer une analyse de comportement malicieux, comme décrit dans Phase 3 : Détection automatisée. Phase 3 : Détection automatisée Après avoir analysé le vidage mémoire, Traps effectue automatiquement une analyse secondaire dont vous pouvez utiliser les résultats pour vérifier la légitimité d'un évènement de prévention. L'analyse secondaire fournit une meilleure vision de la nature de l'évènement en utilisant des outils de détection — incluant la détection de chaîne ROP et la détection de heap spray — pour identifier les traces d'activité malicieuse supplémentaires. Si les outils de détection parviennent à identifier des traces d'activité malicieuse, Traps stocke les informations dans un fichier journal du système sur le point de terminaison en utilisant la syntaxe suivante : Préfixe Traps-identifiant client unique-identifiant d'évènement. Traps signale également la détection au serveur ESM. La console ESM affiche les résultats dans la section Traps Automatic Dump Analysis pour chaque enregistrement d'évènement de prévention en incluant si chaque outil de détection est parvenu ou non à identifier une activité malicieuse supplémentaire. Si Traps ne parvient pas à capturer la mémoire, créé un fichier de vidage de manière incorrecte ou ne parvient pas à terminer l'analyse secondaire, la console ESM masque cette section dans l'enregistrement d'évènement. Si les outils de détection identifient une ou plusieurs traces d'activité malicieuse, il est fort probable que l'évènement de prévention soit une menace légitime. Pour résoudre ou analyser davantage les évènements de sécurité, consultez les données d'investigation numérique que Traps collecte, comme décrit dans Phase 4 : Collecte des données d'investigation numérique. Phase 4 : Collecte des données d'investigation numérique Après l'analyse des fichiers, Traps avertit ESM de l'évènement de sécurité et peut envoyer des données d'investigation numérique supplémentaires au dossier d'investigation numérique. Si votre stratégie de sécurité contient une règle de collecte des données d'investigation numérique, Traps collecte un ou plusieurs types de données spécifiés et charge les fichiers dans le dossier d'investigation numérique. Selon les préférences, Traps peut collecter l'URI objet de l'accès, les pilotes, les fichiers et les DLL pertinents qui sont chargées en mémoire sous le processus attaqué, ainsi que les processus parents du processus ayant déclenché l'évènement de sécurité. Pour plus d'informations, consultez la section Définir les préférence de collecte d'investigation numérique. Par défaut, Traps utilise un dossier à service de transfert intelligent en arrière-plan (BITS) basé sur le web qui emploie la bande passante réseau libre pour charger les données. Pour plus d'informations, consultez la section Modifier le dossier d'investigation numérique par défaut. Vous pouvez aussi récupérer manuellement les données d'investigation numérique pour un évènement de sécurité en créant une règle d'action unique pour récupérer les données. Pour plus d'informations, consultez la section Récupérer les données concernant un évènement de sécurité. Pour consulter l'état du chargement d'investigation numérique, sélectionnez Monitor > Forensics Retrieval. Advanced Endpoint Protection – Guide de l'administrateur 143 Aperçu de l'investigation numérique Investigation numérique Types de données d'investigation numérique Lorsqu'un évènement de sécurité se produit sur un point de terminaison, Traps peut collecter les informations suivantes : Type de données d'investigation numérique Description Vidage mémoire Contenu des emplacements de mémoire capturé au moment d'un évènement. Fichiers consultés Fichiers qui sont chargés en mémoire sous le processus attaqué pour une inspection approfondie de l'évènement, incluant : • Journaux de trace d'application détaillés • Récupération des DLL pertinentes en incluant leur chemin • Fichiers pertinents dans le dossier des fichiers Internet temporaires • Fichiers ouverts (exécutables et non exécutables) Modules chargés Pilotes qui sont chargés sur le système au moment d'un évènement de sécurité. URI consultés Un identifiant uniforme de ressource (URI) permet l'interaction et aide à identifier la ressource. Ressources réseau qui ont été consultées au moment de l'évènement de sécurité et informations sur l'URI incluant : • URI de tous les principaux navigateurs y compris les liens cachés et les trames des threads pertinents attaqués • URI de source applet Java, noms de fichier et chemins, incluant les processus parents, grands-parents et enfants • Collecte des appels d'URI des plug-ins de navigateur, lecteurs multimédia et logiciels clients de messagerie Processus parents Informations sur les processus parents — des processus de navigateurs, non navigateurs, et applet Java — au moment de l'évènement de sécurité, incluant : • Sources séparées et destinations pour l'injection de thread • Parents et grands-parents du processus enfant restreint 144 Advanced Endpoint Protection – Guide de l'administrateur Investigation numérique Gérer les règles et paramètres d'investigation numérique Gérer les règles et paramètres d'investigation numérique Règles d'investigation numérique Modifier le dossier d'investigation numérique par défaut Créer une règle d'investigation numérique Définir les préférences de vidage mémoire Définir les préférence de collecte d'investigation numérique Récupérer les données concernant un évènement de sécurité Règles d'investigation numérique Les règles d'investigation numérique vous permettent de collecter les données d'investigation numérique capturées par Traps à partir d'un emplacement centralisé. Sur la page Policies > Forensics, vous pouvez créer des règles pour gérer les paramètres d'investigation numérique suivants : Règles de paramètres d'agent Description Paramètres de vidage mémoire Spécifiez les paramètres des fichiers incluant une taille pour le vidage mémoire et autorisez Traps à envoyer automatiquement le vidage mémoire au serveur. Ce paramètre ne s'applique qu'aux données collectées des évènements de prévention liés aux processus protégés. Pour plus d'informations, consultez la section Définir les préférences de vidage mémoire. Collecte d'investigation numérique Autorisez Traps à collecter les données d'investigation numérique pour chaque évènement de sécurité en incluant les fichiers consultés, les modules chargés en mémoire, les URI consultés et les processus parents du processus qui a déclenché l'évènement de sécurité. Pour plus d'informations, consultez la section Définir les préférence de collecte d'investigation numérique. Modifier le dossier d'investigation numérique par défaut Modifier la destination du dossier d'investigation numérique en utilisant la console ESM Modifier la destination du dossier d'investigation numérique en utilisant l'outil de configuration de base de données Modifier la destination du dossier d'investigation numérique en utilisant la console ESM Pour vous permettre de résoudre ou d'analyse davantage les évènements de sécurité, comme une prévention ou un plantage, Traps charge les données d'investigation numérique dans un dossier d'investigation numérique basé sur le web. Durant l'installation de la console ESM, le programme d'installation active le service de transfert intelligent en arrière-plan (BITS) qui emploie la bande passante réseau libre pour charger les données dans le dossier d'investigation numérique. Advanced Endpoint Protection – Guide de l'administrateur 145 Gérer les règles et paramètres d'investigation numérique Investigation numérique Pour analyser un évènement de sécurité, créez une règle d'action pour récupérer les données d'investigation numérique sur le point de terminaison (voir Gérer les données collectées par Traps). Lorsque Traps reçoit la requête d'envoi des données, il copie les fichiers dans le dossier d'investigation numérique (également appelé dossier de quarantaine dans Endpoint Security Manager), qui est un chemin local ou réseau que vous spécifiez durant l'installation initiale. Vous pouvez modifier le chemin du dossier d'investigation numérique à tout moment en utilisant Endpoint Security Manager ou en utilisant l'outil de configuration de base de données (voir Modifier la destination du dossier d'investigation numérique en utilisant l'outil de configuration de base de données). Tous les points de terminaison doivent disposer des droits d'écriture dans ce dossier. Modifier la destination du dossier d'investigation numérique en utilisant la console ESM Étape 1 Sélectionnez Settings > General, puis sélectionnez Server Configuration dans le menu déroulant. Étape 2 Saisissez l'URL web dans le champ Forensic Folder URL pour utiliser BITS afin de charger les données d'investigation numérique. Par exemple, http://ESMserver:80/BitsUploads. En cas d'utilisation de SSL, incluez le nom de domaine complètement qualifié (FQDN) dans le chemin, par exemple, https://ESMserver.Domain.local:443/BitsUploads. Modifier la destination du dossier d'investigation numérique en utilisant l'outil de configuration de base de données Pour vous permettre de résoudre ou d'analyse davantage les évènements de sécurité, comme une prévention ou un plantage, Traps charge les données d'investigation numérique dans un dossier d'investigation numérique basé sur le web. Durant l'installation de la console ESM, le programme d'installation active le service de transfert intelligent en arrière-plan (BITS) qui emploie la bande passante réseau libre pour charger les données dans le dossier d'investigation numérique. Pour analyser un évènement de sécurité, créez une règle d'action pour récupérer les données d'investigation numérique sur le point de terminaison (voir Gérer les données collectées par Traps). Lorsque Traps reçoit la requête d'envoi des données, il copie les fichiers dans le dossier d'investigation numérique (également appelé dossier de quarantaine dans Endpoint Security Manager), qui est un chemin local ou réseau que vous spécifiez durant l'installation initiale. Vous pouvez modifier le chemin du dossier d'investigation numérique à tout moment en utilisant Endpoint Security Manager (voir Modifier la destination du dossier d'investigation numérique en utilisant la console ESM) ou en utilisant l'outil de configuration de base de données. L'outil de configuration de base de données est une interface en ligne de commande qui fournit une alternative pour la gestion des paramètres de base du serveur en utilisant la console ESM. Vous pouvez accéder à l'outil de configuration de base de données en utilisant une invite de commandes MS-DOS Microsoft exécutée en tant qu'administrateur. L'outil de configuration de base de données est situé dans le dossier Server sur le serveur ESM. Toutes les commandes exécutées à l'aide de l'outil de configuration de base de données sont sensibles à la casse. 146 Advanced Endpoint Protection – Guide de l'administrateur Investigation numérique Gérer les règles et paramètres d'investigation numérique Modifier la destination du dossier d'investigation numérique en utilisant l'outil de configuration de base de données Étape 1 Ouvrez une invite de commande en tant qu'administrateur : • Sélectionnez Démarrer > Tous les programmes > Accessoires. Effectuez un clic droit sur Invite de commandes, puis sélectionnez Exécuter en tant qu'administrateur. • Sélectionnez Démarrer. Dans la case Rechercher les programmes et fichiers, saisissez cmd. Ensuite, pour ouvrir l'invite de commande en tant qu'administrateur, appuyez sur CTRL+MAJ+ENTRÉE. Étape 2 Accédez au dossier qui contient l'outil de configuration de base de données : C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Étape 3 (En option) Consultez les paramètres du serveur existant : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server show PreventionsDestFolder = \\ESMServer\Quarantine InventoryInterval = 284 HeartBeatGracePeriod = 4200 NinjaModePassword = Password2 BitsUrl = https://CYVERASERVER.Domain.local:443/BitsUploads MaxActions = 5000 Étape 4 Saisissez l'URL web du dossier d'investigation numérique. C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server BitsUrl http://ESMserver:80/BitsUploads En cas d'utilisation de SSL, incluez le nom de domaine complètement qualifié (FQDN) dans le chemin, par exemple, https://ESMserver.Domain.local:443/BitsUploads. Étape 5 (En option) Pour vérifier le chemin du dossier d'investigation numérique, exécutez la commande dbconfig server show : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server show PreventionsDestFolder = \\ESMServer-New\Quarantine InventoryInterval = 284 HeartBeatGracePeriod = 4200 NinjaModePassword = Password2 BitsUrl = HTTPS://ESMserver.Domain.local:443/BitsUploads MaxActions = 5000 Créer une règle d'investigation numérique Créez une règle d'investigation numérique pour définir les préférences de vidage mémoire et de collecte d'investigation numérique. Créer une règle d'investigation numérique Étape 1 Démarrez une nouvelle règle d'investigation numérique. Sélectionnez Policies > Forensics puis cliquez sur Add. Advanced Endpoint Protection – Guide de l'administrateur 147 Gérer les règles et paramètres d'investigation numérique Investigation numérique Créer une règle d'investigation numérique (Suite) Étape 2 Sélectionnez le type de règle que vous voulez configurer. Sélectionnez l'un des éléments suivants dans le menu déroulant Forensics, puis configurez les paramètres en fonction du type de règle : • Memory Dump — Pour plus d'informations, voir Définir les préférences de vidage mémoire. • Forensics Collection — Pour plus d'informations, voir Définir les préférence de collecte d'investigation numérique. Étape 3 (En option) Ajoutez des Conditions à la règle. Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 4 (En option) Définissez les Objets cibles Par défaut, ESM applique les nouvelles règles à toutes les objets au auxquels s'applique la règle de restriction. sein de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Étape 6 Enregistrez la règle d'investigation numérique. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Policies > Forensics et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Policies > Forensics. À partir de cette page, vous pouvez activer (Activate) ou désactiver (Deactivate) la règle, si nécessaire. 148 Advanced Endpoint Protection – Guide de l'administrateur Investigation numérique Gérer les règles et paramètres d'investigation numérique Définir les préférences de vidage mémoire Lorsqu'un processus protégé plante ou se termine de manière anormale, Traps enregistre les informations sur l'évènement en incluant le contenu des emplacements de mémoire et d'autres données relatives à l'évènement dans ce qu'on appelle un vidage mémoire. Créez une règle d'investigation numérique pour déterminer comment Traps gère les vidages mémoire liés au processus en incluant si faut ou non envoyer automatiquement les vidages mémoire au dossier d'investigation numérique ou modifier la taille du vidage mémoire (petite, moyenne ou complète (le jeu d'informations le plus grand et complet)). Définir les préférences de vidage mémoire Étape 1 Démarrez une nouvelle règle Sélectionnez Policies > Forensics puis cliquez sur Add. d'investigation numérique. Étape 2 Définissez les préférences de 1. vidage mémoire lorsqu'un évènement de prévention se produit sur le point de terminaison. 2. Sélectionnez Memory Dump dans le menu déroulant Forensics et sélectionnez l'une des préférences suivantes : • Envoyez automatiquement les vidages mémoire au serveur en sélectionnant Send the memory dumps automatically. • Spécifiez la taille du fichier de vidage mémoire en sélectionnant l'option Memory dump size, puis en sélectionnant Small, Medium, ou Full dans le menu déroulant. Sélectionnez une ou plusieurs applications. Traps appliquera le paramètre aux applications sélectionnées. Étape 3 (En option) Ajoutez des Conditions à la règle. Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 4 (En option) Définissez les Objets cibles auxquels s'applique la règle de restriction. Par défaut, ESM applique les nouvelles règles à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Advanced Endpoint Protection – Guide de l'administrateur 149 Gérer les règles et paramètres d'investigation numérique Investigation numérique Définir les préférences de vidage mémoire (Suite) Étape 6 Enregistrez la règle d'investigation numérique. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Policies > Forensics et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Policies > Forensics. À partir de cette page, vous pouvez activer (Activate) ou désactiver (Deactivate) la règle, si nécessaire. Définir les préférence de collecte d'investigation numérique Pour vous aider à mieux comprendre et trouver les implications concernant la nature réelle d'un évènement de sécurité lorsqu'il se produit sur un point de terminaison, vous pouvez configurer les options de collecte d'investigation numérique. Lors d'un évènement de sécurité, Traps peut signaler les fichiers consultés, les modules chargés en mémoire, les URI consultés et les processus parents du processus qui a déclenché l'évènement de sécurité. Définir les préférence de collecte d'investigation numérique Étape 1 Démarrez une nouvelle règle d'investigation numérique. Sélectionnez Policies > Forensics puis cliquez sur Add. Étape 2 Définissez les préférence de collecte d'investigation numérique. Sélectionnez Forensics Collection dans le menu déroulant Forensics et configurez les préférences dans les champs suivants : • Report Accessed Files — Sélectionnez Enabled pour collecter les informations sur les fichiers impliqués dans un évènement de sécurité et les DLL pertinentes qui sont chargées en mémoire sous le processus attaqué pour une inspection approfondie de l'évènement. • Report Loaded Modules — Sélectionnez Enabled pour signaler les pilotes qui sont chargés sur le système au moment d'un évènement de sécurité. • Report Accessed URI — Sélectionnez Enabled pour collecter les informations d'URI à partir des plug-ins web, des lecteurs multimédia et des clients de messagerie. • Report Ancestor Processes — Certaines applications peuvent exécuter des applets Java en tant que processus enfant voire en tant que processus enfant d'un processus enfant, etc. Sélectionnez Enabled pour enregistrer les informations sur les processus parents provenant des processus enfants de navigateurs, non navigateurs et applet Java afin de pouvoir mieux comprendre la racine d'un évènement. En alternative, pour chaque type de données, vous pouvez désactiver ou adopter les paramètres de la stratégie de sécurité par défaut. 150 Advanced Endpoint Protection – Guide de l'administrateur Investigation numérique Gérer les règles et paramètres d'investigation numérique Définir les préférence de collecte d'investigation numérique (Suite) Étape 3 (En option) Ajoutez des Conditions à la règle. Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d'activation pour une règle. Étape 4 (En option) Définissez les Objets cibles Par défaut, ESM applique les nouvelles règles à toutes les objets au auxquels s'applique la règle de restriction. sein de votre organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d'organisation (Organizational units) ou points de terminaison existants (Existing endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Étape 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix. Étape 6 Enregistrez la règle d'investigation numérique. Effectuez l'une des actions suivantes : • Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans la page Policies > Forensics et cliquez sur Activate. • Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement. Les règles enregistrées apparaissent dans la page Policies > Forensics. À partir de cette page, vous pouvez activer (Activate) ou désactiver (Deactivate) la règle, si nécessaire. Récupérer les données concernant un évènement de sécurité Lorsqu'un évènement de sécurité se produit sur un point de terminaison, Traps collecte les données d'investigation numérique en incluant le contenu de la mémoire et les stocke sur le point de terminaison. Utilisez les données d'investigation numérique pour résoudre un problème ou enquêter sur un problème spécifique avec une application. La sélection de cette option créé une règle de paramètres d'agent pour récupérer les informations collectées par Traps. Une fois que Traps a reçu la règle de paramètres d'agent, l'agent envoie tous les journaux au dossier d'investigation numérique. Advanced Endpoint Protection – Guide de l'administrateur 151 Gérer les règles et paramètres d'investigation numérique Investigation numérique Pour créer une règle générale afin de récupérer les données d'un ou plusieurs points de terminaison, voir Gérer les données collectées par Traps. Récupérer les données concernant un évènement de sécurité Étape 1 Depuis la console ESM, sélectionnez Security Events > Threats pour afficher les évènements de sécurité liés aux processus protégés, ou Monitor > Provisional Mode pour afficher les évènements de sécurité liés aux processus provisoires. Étape 2 Sélectionnez l'évènement de sécurité pour lequel vous voulez récupérer les données. L'évènement se développe pour afficher d'autres détails et actions concernant l'évènement de sécurité. Étape 3 Cliquez sur Retrieve. La console ESM remplit les paramètres pour une règle de paramètres d'agent. Étape 4 Examinez les détails de la règle, puis cliquez sur Save and Apply pour activer la règle immédiatement ou sur Save pour activer la règle ultérieurement. Lors de la prochaine pulsation, l'agent Traps reçoit la nouvelle règle et envoie les données de prévention au dossier d'investigation numérique. Pour consulter l'état du chargement d'investigation numérique, sélectionnez Monitor > Forensics Retrieval. L'agent envoie toutes les données liées à l'évènement, en incluant un vidage mémoire du processus dans le dossier d'investigation numérique désigné. Étape 5 Accédez au dossier d'investigation numérique pour examiner les données de prévention. 152 Advanced Endpoint Protection – Guide de l'administrateur Investigation numérique Activer la collecte d'URI dans Chrome Activer la collecte d'URI dans Chrome Contrairement aux autres navigateurs, Chrome enregistre les URI de tous les onglets au sein d'un processus. Cela signifie donc que vous devez installer une extension Chrome pour activer la collecte d'URI dans Chrome. Ceci permet à Traps d'empêcher les tentatives d'exploitation sur ce navigateur. Après l'installation de l'extension, Chrome enregistre un rappel pour chaque requête web et enregistre l'URI dans un tampon cyclique, de la même manière que les autres mécanismes de collecte d'URI de Traps. Pour activer la collecte d'URI, vous pouvez installer l'extension localement sur le point de terminaison ou en utilisant le logiciel de gestion GPO. Les flux de travail suivants fournissent également des étapes pour la configuration de l'extension Chrome dans la configuration en ligne ou hors ligne : Installer l'extension Chrome sur le point de terminaison Installer l'extension Chrome en utilisant GPO Installer l'extension Chrome sur le point de terminaison Installer l'extension Chrome sur le point de terminaison Étape 1 Téléchargez et décompressez le fichier d'extension Traps Chrome Monitor de Palo Alto Networks. Étape 2 Modifiez les fichiers d'extension : • En ligne : Modifiez la dernière ligne du fichier Ext.reg avec le chemin exact du fichier traps.crx.xml : "1"="mobnfjmemnepjkflncmogkbnhafgblic;https://clients2.google.com/service/update2/crx" • Hors ligne : 1. Modifiez la dernière ligne du fichier Ext.reg avec le chemin exact du fichier traps.crx.xml : "1"="mobnfjmemnepjkflncmogkbnhafgblic;file:c:/....../traps.crx.xml" 2. Dans le fichier traps.crx.xml, modifiez le chemin de fichier de updatecheck codebase avec le chemin exact du fichier traps.crx : <updatecheck codebase='file:c:/ChromeExtension/traps.crx' version='1.4' /> Étape 3 Enregistrez puis effectuez un double clic sur le fichier reg pour l'installer automatiquement en local. Étape 4 Vérifiez l'installation de l'extension Chrome : Dans le navigateur Chrome, saisissez chrome://extensions et appuyez sur Entrée. L'extension Traps Chrome Monitor de Palo Alto Networks doit s'afficher dans la liste des extensions. Installer l'extension Chrome en utilisant GPO Installer l'extension Chrome sur le point de terminaison Étape 1 Décompressez le fichier d'extension. 1. Téléchargez et décompressez le fichier d'extension Traps Chrome Monitor de Palo Alto Networks. Advanced Endpoint Protection – Guide de l'administrateur 153 Activer la collecte d'URI dans Chrome Investigation numérique Installer l'extension Chrome sur le point de terminaison Étape 1 Ajoutez chrome.adm comme modèle dans le contrôleur de domaine. Étape 2 Ajoutez le modèle au GPO. 1. Sur le bureau, sélectionnez Démarrer, saisissez gpmc.msc dans le champ de recherche, puis appuyez sur Entrée. 2. Créez le GPO : Dans le gestionnaire de stratégie de groupe, sélectionnez Forêt > Domaines. Effectuez un clic droit sur le domaine et sélectionnez Créer un objet de stratégie de groupe dans ce domaine. Renommez le GPO en TrapsChromeExtention puis cliquez sur Enregistrer. 3. Modifiez le GPO : Effectuez un clic droit sur le GPO et sélectionnez Modifier. Développez la section des paramètres de l'ordinateur du GPO. Cliquez sur Stratégies > Modèles d'administration puis effectuez un clic droit sur Modèles d'administration. Sélectionnez Ajout/Suppression de modèles. 4. Ajoutez le modèle Chrome : Cliquez sur Ajouter puis sur Parcourir et effectuez un double clic sur le fichier chrome.adm. Le fichier « chrome » se charge dans la fenêtre des modèles. Cliquez sur Fermer. 1. Dans la section des paramètres de l'ordinateur sélectionnez Stratégies > Modèles d'administration > Modèles d'administration classiques > Google > Google Chrome (paramètres pas par défaut) > Extensions. 2. Sur le côté droit de l'écran, vous trouverez cinq règles GPO. Effectuez un double clic sur Configurer la liste des extensions à installation forcée. 3. Vérifiez que le GPO est activé, puis cliquez sur Afficher (sur le côté gauche de l'écran, au milieu). • En ligne : Sur la ligne blanche, saisissez la chaîne suivante : mobnfjmemnepjkflncmogkbnhafgblic;https://clients 2.google.com/service/update2/crx • Hors ligne : Sur la ligne blanche, saisissez la chaîne suivante (modifiez le dossier pour indiquer le dossier d'investigation numérique, par exemple, //nomserveur/…/investigation) : mobnfjmemnepjkflncmogkbnhafgblic;file:c:/…………/tr aps.crx.xml 4. Étape 3 Vérifiez l'installation de l'extension Chrome. 154 Cliquez sur OK. Ouvrez le navigateur Chrome sur le point de terminaison et saisissez Vérifiez que l'extension Traps Chrome Monitor de Palo Alto Networks s'affiche dans la liste des extensions. chrome://extensions. Advanced Endpoint Protection – Guide de l'administrateur Rapports et journalisation Endpoint Security Manager offre des rapports et des journaux qui sont utiles pour la surveillance des points de terminaison dans votre organisation. Vous pouvez surveiller les journaux et filtrer les informations pour interpréter un comportement inhabituel sur votre réseau. Après l'analyse d'un évènement de sécurité, vous pouvez choisir de créer une règle personnalisée pour le point de terminaison ou le processus. Les sujets suivants décrivent comment consulter et surveiller les rapports sur l'état de sécurité des points de terminaison. Entretien des points de terminaison et de Traps Utilisez le tableau de bord Endpoint Security Manager Surveillance des évènement de sécurité Surveiller la santé des points de terminaison Surveiller les règles Surveiller l'extraction d'investigation numérique Surveiller les notifications de l'agent Surveiller les notifications du serveur Gérer les préférences de création de rapport et de journalisation Advanced Endpoint Protection – Guide de l'administrateur 155 Entretien des points de terminaison et de Traps Rapports et journalisation Entretien des points de terminaison et de Traps Effectuez les actions suivantes tous les jours ou toutes les semaines : Examinez le tableau de bord pour vérifier que l'agent Traps est actif sur tous les points de terminaison où il est installé. Reportez-vous à la section Utilisez le tableau de bord Endpoint Security Manager. Examinez la page Notification et examinez les rapports de plantage et les évènement de sécurité. Après l'analyse d'un évènement de sécurité, vous pouvez vouloir effectuer l'une des tâches suivantes : – Activer la protection pour une application non protégée. Reportez-vous à la section Afficher, modifier ou supprimer un processus. – Désactiver temporairement les règles qui interfèrent avec le travail quotidien. Dans les cas où un évènement de sécurité n'indique pas une attaque et interfère avec le travail quotidien, vous pouvez désactiver une règle de prévention d'attaque ou de restriction sur un point de terminaison spécifique. Reportez-vous à la section Exclure un point de terminaison d'une règle de prévention d'attaque. – Appliquer un correctif, mettre à niveau ou corriger un bogue dans un logiciel qui indique un comportement erroné ou une vulnérabilité de sécurité. L'application d'un correctif ou la mise à niveau des applications tierces ou encore la correction de bogues dans des applications qui sont développées en interne peuvent réduire le nombre d'évènement de sécurité signalés à Endpoint Security Manager. Examinez les processus non protégés dans l'affichage Process Management et décidez s'il faut activer la protection pour ces processus. Reportez-vous à la section Afficher, modifier ou supprimer un processus. Après une modification au sein de l'organisation ou dans les versions du logiciel Traps disponibles, vous pouvez : Ajouter une applications qui vient d'être installée à la liste des processus protégés. Reportez-vous à la section Ajouter un processus Protégé, Provisoire ou Non protégé. Installer Traps sur un nouveau point de terminaison. Reportez-vous à la section Installer Traps sur le point de terminaison. Mettre à niveau la version de l'agent Traps sur les points de terminaison. Reportez-vous à la section Désinstaller ou mettre à niveau Traps sur le point de terminaison. Mettre à jour la licence Traps sur les points de terminaison. Reportez-vous à la section Mettre à jour ou révoquer la licence Traps sur le point de terminaison. 156 Advanced Endpoint Protection – Guide de l'administrateur Rapports et journalisation Utilisez le tableau de bord Endpoint Security Manager Utilisez le tableau de bord Endpoint Security Manager Le tableau de bord est la première page qui est affichée après la connexion à Endpoint Security Manager. Vous pouvez aussi accéder ou actualiser cette page en cliquant sur Dashboard dans le menu supérieur. Le tableau de bord affiche plusieurs graphiques qui présentent les statistiques des instances de l'agent Traps. Le tableau de bord ne peut pas être configuré. Le tableau suivant décrit chaque graphique : Graphique du tableau de Description bord État du service Affiche l'état des instances de l'agent Traps installées sur les points de terminaison en nombre et en pourcentage. Les états possibles sont : • Running — L'agent est en cours d'exécution. • Stopped — Le service de l'agent a été arrêté. • Disconnected — Le serveur n'a pas reçu un message de pulsation de la part de l'agent pendant une période préconfigurée. • Shutdown — Le point de terminaison a été éteint. Client Distribution and Version Affiche la version des instances de l'agent Traps installées sur les points de terminaison en nombre et en pourcentage. License Capacity Affiche l'utilisation de la licence Traps pour le serveur et le client par nombre de licences utilisées et disponibles. Most Targeted Applications Affiche les applications qui ont la plus grande distribution des préventions. Most Targeted Machines Affiche les points de terminaison qui ont la plus grande distribution des préventions. Most Targeted Users Affiche les préventions qui ont la plus grande distribution par utilisateur final. Advanced Endpoint Protection – Guide de l'administrateur 157 Surveillance des évènement de sécurité Rapports et journalisation Surveillance des évènement de sécurité Utilisez la page et les onglets Security Events pour gérer les alertes et détecter de nouvelles menaces. Utiliser le tableau de bord Security Events Affichage de l'historique d'évènement de sécurité sur un point de terminaison Exclure un point de terminaison d'une règle de prévention d'attaque Utiliser le tableau de bord Security Events Utilisez le tableau de bord Security Events pour surveiller les informations de niveau supérieur relatives aux évènement de sécurité qui se produisent sur les points de terminaison dans votre organisation. Sur cet affichage, vous pouvez voir le nombre d'évènement qui se sont produits au cours de la dernière semaine ou du dernier mois. Le tableau de bord Security Events affiche les évènements pour lesquels les tentatives d'attaque ont été bloquées et les évènements qui n'ont déclenché que des notifications. Le tableau de bord affiche les informations suivantes : Composant du tableau de bord Description Threats Affiche toutes les menaces liées aux processus et exécutables protégés qui se sont produites sur votre réseau. Pour plus de commodité, vous pouvez cliquer sur tout type de menace affichée sur la page Summary pour filtrer par menaces de ce type. Pour plus d'informations, consultez la section Consulter les détails des menaces. 158 Advanced Endpoint Protection – Guide de l'administrateur Rapports et journalisation Surveillance des évènement de sécurité Composant du tableau de bord Description Provisional Mode La zone Provisional Mode du tableau de bord Security Events inclut un récapitulatif de niveau supérieur des évènements qui sont liés aux règles provisoires. Cliquez sur un évènement la dans la zone Provisional Mode pour passer à un affichage filtré de la page Monitor > Provisional Mode pour les évènements de ce type. Par défaut, la page Provisional Mode affiche les évènements liés aux modules suivants : • ProcessCrash • WildFireUnknown • WildFirePostUnknownDetection • Protection contre le détournement de DLL • Java • Injection de thread • Surveillance de suspension Pour plus d'informations, consultez la section Affichage des détails du mode provisoire. Security Error Log Affiche toutes les erreurs et les problèmes récents que signalent les points de terminaison dans votre organisation. Cliquez sur un type d'erreur dans la page Summary pour filtrer par erreurs de ce type. Pour plus d'informations, consultez la section Affichage des détails du journal d'erreur de sécurité. Consulter les détails des menaces Sélectionnez Security Events > Threats pour afficher une liste de menaces qui se sont produites sur votre réseau. À partir de cette page, vous pouvez consulter les détails des évènement de sécurité, créer et consulter des notes concernant les évènements, récupérer les données du journal concernant l'évènement à partir du point de terminaison, ou créer une règle d'exclusion pour autoriser l'exécution du processus sur un point de terminaison particulier. Par défaut, l'affichage des détails standard sur la page Threats présente un tableau des évènements de sécurité avec des champs affichés en haut. La sélection d'un évènement dans le tableau Threats développe la ligne pour révéler d'autres détails sur l'évènement de sécurité. Vous pouvez aussi exporter les journaux dans un fichier CSV en cliquant sur l'icône du menu , puis en sélectionnant Export Logs. Advanced Endpoint Protection – Guide de l'administrateur 159 Surveillance des évènement de sécurité Rapports et journalisation Le tableau suivant décrit les champs et les actions disponibles pour chaque menace. Champ Description Affichage des détails standard Time La date et l'heure auxquelles s'est produit l'évènement de prévention. Computer Le nom d'hôte du point de terminaison sur lequel l'évènement de prévention s'est produit. User Le nom de l'utilisateur pour lequel le processus (qui a causé l'évènement) était exécuté. OS Le système d'exploitation installé sur le point de terminaison. Agent (Traps Version) La version de Traps installée sur le point de terminaison. Process Le nom du processus qui a causé l'évènement. EPM Le modules de prévention d'attaque (EPM) ou la règle de restriction qui a déclenché la prévention. Affichage des détails supplémentaires Event Type Type de menace (post-détection WildFire, logique, logiciel malveillant, actions suspectes ou corruption de mémoire). Prevention Mode Action que la règle effectue (terminer le processus ou avertir l'utilisateur). Architecture Type d'architecture du système d'exploitation (OS). Par exemple, x64. Prevention Key Identifiant unique de l'évènement de sécurité. Lors de la récupération des données concernant un évènement, Traps créé un fichier journal en utilisant cette clé de prévention comme nom de dossier. Trigger Fichier ou fichiers qui ont déclenché l'évènement de sécurité. Bouton View Notes Afficher les notes concernant l'évènement de sécurité. S'il n'y a aucune note, cette option est grisée. 160 Advanced Endpoint Protection – Guide de l'administrateur Rapports et journalisation Surveillance des évènement de sécurité Champ Description Bouton Create Note Créer des notes concernant l'évènement de sécurité pour le suivi ultérieur. Bouton Retrieve Récupérer les données de prévention sur le point de terminaison. Créé une règle qui utilise la clé de prévention et les informations de déclenchement pour demander à l'agent les données concernant l'évènement de prévention. Les informations sont envoyées au dossier d'investigation numérique. Bouton Create Créer automatiquement une règle d'exclusion à partir d'une prévention. La règle permet l'exécution d'une application sur un point de terminaison spécifique sans la protection de la règles de prévention d'attaque. Bouton Block (Préventions WildFire uniquement) Substituer le mode de terminaison par défaut pour l'empreinte afin de bloquer le fichier. Bouton Allow (Préventions WildFire uniquement) Substituer le mode de terminaison par défaut pour l'empreinte afin d'autoriser le fichier. Sélectionnez à nouveau la ligne pour réduire l'affichage des détails supplémentaires. Affichage des détails du mode provisoire Sélectionnez Monitor > Provisional Mode pour afficher une liste des évènements de sécurité liés aux modules provisoires. Les modules provisoires sont configurés par défaut et incluent ProcessCrash, WildFireUnknown, WildFirePostUnknownDetection, protection contre le détournement de DLL, Java, injection de thread et surveillance de suspension. À partir de la page Provisional Mode, vous pouvez consulter les détails des évènement de sécurité, créer et consulter des notes concernant les évènements, récupérer les données du journal concernant l'évènement à partir du point de terminaison, ou créer une règle d'exclusion pour autoriser l'exécution du processus sur un point de terminaison particulier. Par défaut, l'affichage des détails standard sur la page Provisional Mode présente un tableau des évènements de sécurité avec des champs affichés en haut. La sélection d'un évènement dans le tableau Provisional Mode développe la ligne pour révéler d'autres détails sur l'évènement de sécurité. Vous pouvez aussi exporter les journaux dans un fichier CSV en cliquant sur l'icône du menu , puis en sélectionnant Export Logs. Advanced Endpoint Protection – Guide de l'administrateur 161 Surveillance des évènement de sécurité Rapports et journalisation Le tableau suivant décrit les champs et les actions disponibles pour chaque évènement de sécurité en mode provisoire. Champ Description Affichage des détails standard Time La date et l'heure auxquelles s'est produit l'évènement de prévention. Computer Le nom du point de terminaison sur lequel l'évènement de prévention s'est produit. User Le nom de l'utilisateur pour lequel le processus (qui a causé l'évènement) était exécuté. OS Le système d'exploitation installé sur le point de terminaison. Agent (Traps Version) La version de Traps installée sur le point de terminaison. Process Le nom du processus qui a causé l'évènement. EPM Le modules de prévention d'attaque (EPM) ou la règle de restriction qui a déclenché la prévention. Affichage des détails supplémentaires Event Type Type de menace (post-détection WildFire, logique, logiciel malveillant, actions suspectes ou corruption de mémoire). Prevention Mode Action que la règle effectue (terminer le processus ou avertir l'utilisateur). Architecture Type d'architecture du système d'exploitation (OS). Par exemple, x64. Prevention Key Clé unique associée à l'évènement de sécurité. Lors de la récupération des données concernant un évènement, Traps créé un fichier journal en utilisant cette clé de prévention comme nom de dossier. Trigger Fichier ou fichiers qui ont déclenché l'évènement de sécurité. Bouton View Notes Afficher les notes concernant l'évènement de sécurité. S'il n'y a aucune note, cette option est grisée. Bouton Create Note Créer des notes concernant l'évènement de sécurité pour le suivi ultérieur. Bouton Retrieve Récupérer les données de prévention sur le point de terminaison. Créé une règle qui utilise la clé de prévention et les informations de déclenchement pour demander à l'agent les données concernant l'évènement de prévention. Les informations sont envoyées au dossier d'investigation numérique. Bouton Create Créer automatiquement une règle d'exclusion à partir d'une prévention. La règle permet l'exécution d'une application sur un point de terminaison spécifique sans la protection de la règles de prévention d'attaque. Bouton Block (Préventions WildFire uniquement) Substituer le mode de terminaison par défaut pour l'empreinte afin de bloquer le fichier. Bouton Allow (Préventions WildFire uniquement) Substituer le mode de terminaison par défaut pour l'empreinte afin d'autoriser le fichier. 162 Advanced Endpoint Protection – Guide de l'administrateur Rapports et journalisation Surveillance des évènement de sécurité Affichage des détails du journal d'erreur de sécurité Sélectionnez Security Events > Security Error Log pour afficher les évènements liés au comportement de l'agent et à la sécurité du point de terminaison. Les évènements incluent les modifications de service, comme le démarrage ou l'arrêt d'un service. Dans de rares cas, le journal d'erreur de sécurité peut aussi montrer les problèmes rencontrés durant la protection d'un processus lorsqu'une injection échoue ou plante. Le tableau suivant décrit les champs affichés dans le journal d'erreur de sécurité. Champ Description ID Numéro d'identifiant unique associé à l'erreur de sécurité. Machine Name Nom du point de terminaison sur lequel l'évènement de prévention s'est produit. Message Texte du message de notification. Severity Gravité de l'erreur, qui dépend du type de rapport : • High • Medium • Low Advanced Endpoint Protection – Guide de l'administrateur 163 Surveillance des évènement de sécurité Rapports et journalisation Champ Description Report Type Type d'erreur ayant déclenché la notification. Les valeurs possibles sont : • OneTimeActionCompletionStatus —Une action terminée sur le point de terminaison. La gravité est faible si l'action se termine ou moyenne si l'action échoue. • ProcessCrash — Un processus a planté sur le point de terminaison. Gravité faible. • ProcessInjectionTimedOut — L'injection dans le processus a dépassé le délai. Gravité moyenne. • ServiceAlive — Le service de l'agent a démarré. Gravité faible. • ServiceStopped — Le service de l'agent s'est arrêté. Gravité faible. • SystemShutdown — Le point de terminaison a été éteint. Gravité faible. • UnallocatedDEPAccess — Un pointeur d'instruction saute à un emplacement non alloué en mémoire. Cela est habituellement dû à un bogue dans l'application, mais pourrait aussi indiquer une tentative d'attaque (échouée). Gravité moyenne. • NativeReportingServiceStartFailed — Le service de création de rapport n'est pas parvenu à démarrer. Gravité élevée. Time Date et heure auxquelles Traps a signalé l'erreur. Affichage de l'historique d'évènement de sécurité sur un point de terminaison Lorsqu'un utilisateur lance un processus sur le point de terminaison, Traps injecte un module de protection, appelé module de prévention d'attaque (EPM), au sein du processus. Les règles de stratégie de sécurité du point de terminaison déterminent les EPM qui sont injectés dans chaque processus. Durant l'injection, le nom du processus apparaît sur le console en rouge. Après une injection réussie, la console inscrit dans le journal l'évènement de sécurité sur l'onglet Events. Chaque évènement de sécurité sur l'onglet Events affiche la date et l'heure de l'évènement, le nom du processus affecté et l'EPM qui a été injecté dans le processus. Généralement, le mode indique si Traps a terminé ou non le processus ou seulement averti l'utilisateur à propos de l'évènement. 164 Advanced Endpoint Protection – Guide de l'administrateur Rapports et journalisation Surveillance des évènement de sécurité Affichage de l'historique d'évènement de sécurité sur un point de terminaison Étape 1 Lancez la console Traps : • Depuis la zone de notification de Windows, effectuez une clic droit sur l'icône Traps Console, ou effectuez un double clic sur l'icône. • Exécutez CyveraConsole.exe à partir du dossier d'installation de Traps. La console Traps se lance. et sélectionnez Étape 2 Affichez les évènement de sécurité : 1. Sélectionnez Advanced > Events pour afficher les évènement de sécurité sur le point de terminaison. 2. Utilisez les flèches haut et bas pour faire défiler la liste des évènements. Advanced Endpoint Protection – Guide de l'administrateur 165 Surveiller la santé des points de terminaison Rapports et journalisation Surveiller la santé des points de terminaison Afficher les détails de santé du point de terminaison Afficher les détails d'état de Traps Affichage de l'historique des règles sur un point de terminaison Afficher les modifications à la stratégie de sécurité du point de terminaison Affichage de l'historique d'état du service sur un point de terminaison Supprimer un point de terminaison de la page Health Afficher les détails de santé du point de terminaison Depuis la console ESM, sélectionnez Monitor > Health pour afficher une liste des points de terminaison dans l'organisation et leur état de sécurité correspondant. Le tableau suivant décrit les champs et les actions disponibles pour chaque point de terminaison affiché sur la page Health. Par défaut, l'affichage des détails standard sur la page Health présente un tableau des points de terminaison avec des champs affichés en haut. La sélection d'un point de terminaison dans le tableau Health développe la ligne pour révéler d'autres détails sur le point de terminaison et les actions que vous pouvez effectuer. Vous pouvez aussi exporter les journaux dans un fichier CSV en cliquant sur l'icône du menu , puis en sélectionnant Export Logs. Champ Description Affichage des détails standard Status L'état de l'agent, qui peut être En exécution (Running), Arrêté (Stopped), Déconnecté (Disconnected) ou Éteint (Shut down). Heartbeat La date et l'heure auxquelles le dernier message de pulsation a été envoyé par l'agent. Computer Le nom du point de terminaison. Last User Le nom du dernier utilisateur qui s'est connecté sur le point de terminaison. 166 Advanced Endpoint Protection – Guide de l'administrateur Rapports et journalisation Surveiller la santé des points de terminaison Champ Description Agent La version de l'agent Traps installé. IP L'adresse IP du point de terminaison. Domain Le nom de domaine du point de terminaison. OS Le système d'exploitation installé sur le point de terminaison. Affichage des détails supplémentaires Architecture Type d'architecture du système d'exploitation (OS). Par exemple, x64. Last heartbeat Date et heure de la dernière communication du serveur avec Traps. License expiration date Date à laquelle la licence expire sur le point de terminaison. Base DN Chemin LDAP (Lightweight Directory Access Protocol) du point de terminaison. Bouton Details Sélectionnez les journaux Agent Policy ou Service Status dans le menu déroulant et cliquez sur Details pour examiner la liste complète pour le point de terminaison. Pour plus d'informations, voir Affichage de l'historique des règles sur un point de terminaison et Affichage de l'historique d'état du service sur un point de terminaison. Sélectionnez à nouveau la ligne pour réduire l'affichage des détails supplémentaires. Afficher les détails d'état de Traps La console affiche les services actifs et inactifs en affichant ou à gauche du type de service. Sélectionnez l'onglet Advanced pour afficher d'autres onglets en haut de la console. Les onglets vous permettent de parcourir les pages qui affichent d'autres détails sur les évènements de sécurité, les processus protégés et les mises à jour de la stratégie de sécurité. Habituellement, un utilisateur n'a pas besoin d'exécuter la console Traps, mais les informations peuvent être utiles lors de l'enquête sur un évènement lié à la sécurité. Vous pouvez choisir de masquer l'icône de la zone de notification qui permet de lancer la console ou d'empêcher totalement son lancement. Pour plus d'informations, voir Masquer ou limiter l'accès à la console Traps. Advanced Endpoint Protection – Guide de l'administrateur 167 Surveiller la santé des points de terminaison Rapports et journalisation Élément du système Description Protection contre les exploits Indique si des règles de prévention d'attaque sont actives ou non dans la stratégie de sécurité du point de terminaison. Protection contre les logiciels malveillants Indique si des modules de restriction et/ou de prévention contre les logiciels malveillants sont activés ou non dans la stratégie de sécurité du point de terminaison. Collecte des données d'investigation Indique si l'intégration WildFire est activée ou non. Onglet Status Affiche l'état de connexion (Connection) et le niveau de protection du point de terminaison. La console Traps ouvre par défaut l'onglet Status au lancement. Onglet Events Affiche les évènements de sécurité qui se sont produits sur le point de terminaison. Onglet Protection Affiche les processus que l'agent Traps protège et qui sont en cours d'exécution sur le point de terminaison. Onglet Policy Affiche les modifications à la stratégie de sécurité du point de terminaison en incluant la date et l'heure de la mise à jour. Onglet Verdict Updates Affiche les modifications de verdict pour les exécutables qui ont été ouverts sur le point de terminaison. Paramètres Affiche les options de langue que vous pouvez utiliser pour changer la langue de la console Traps. Lien Check-in now Lance une mise à jour immédiate de la stratégie de sécurité. Connexion Affiche l'état de la connexion entre Traps et le serveur ESM. Last Check-In Affiche la date et l'heure de la dernière réception d'un message de pulsation par Traps. Ouvrir le fichier journal... Ouvre le fichier de trace le plus récent sur le point de terminaison. Envoyer le fichier de support Créé un fichier compressé des traces et l'envoie au dossier d'investigation numérique. Affichage de l'historique des règles sur un point de terminaison Par défaut, l'affichage des détails standard sur la page Health présente un tableau des points de terminaison avec des champs affichés en haut. La sélection d'un point de terminaison dans le tableau Health développe la ligne pour révéler d'autres détails sur le point de terminaison et vous permet d'afficher l'historique des règles pour les objets dans votre organisation. Chaque règle dans la stratégie d'agent affiche la date et l'heure d'application de la règle par Traps, la source de la règles de stratégie (locale ou distante), le nom et la description de la règle, et l'état actuel de cette règle. Affichage de l'historique des règles sur un point de terminaison Étape 1 Ouvrez Endpoint Security Manager et sélectionnez Monitor > Health. Étape 2 Sélectionnez la ligne du point de terminaison pour lequel vous voulez afficher l'historique des règles. La ligne se développe pour afficher d'autres détails et les actions que vous pouvez effectuer. 168 Advanced Endpoint Protection – Guide de l'administrateur Rapports et journalisation Surveiller la santé des points de terminaison Affichage de l'historique des règles sur un point de terminaison Étape 3 Sélectionnez Agent Policy dans le menu déroulant à droite. Les informations sur l'état récent s'affichent dans la section Agent Policy et Logs de la page. Étape 4 Cliquez sur Details pour afficher le journal complet de l'historique de règle. L'état indique l'une des conditions suivantes : • Active — La règle est active dans la stratégie de sécurité du point de terminaison. • Historic — La règle est une ancienne version d'une règle qui est active dans la stratégie de sécurité du point de terminaison. • Disabled — La règle a été désactivée dans la stratégie de sécurité. Afficher les modifications à la stratégie de sécurité du point de terminaison L'onglet Policy sur la console Traps affiche les modifications à la stratégie de sécurité du point de terminaison. Chaque règle affiche le numéro d'identifiant unique, le nom de la règle, la date et l'heure auxquelles Traps a reçu la stratégie de sécurité à jour contenant la règle, et la description. Chaque type de règle possède une page de gestion dédiée que vous pouvez utiliser pour afficher et gérer les règles pour votre organisation. Pour créer un fichier texte contenant la stratégie de sécurité active sur un point de terminaison, exécutez la commande suivante à partir d'une invite de commandes : cyveraconsole.exe export(641980) c:\{DossierCible}\policy.txt Afficher les modifications à la stratégie de sécurité du point de terminaison Étape 1 Effectuez l'une des actions suivantes pour lancer la console Traps sur le point de terminaison : • Depuis la zone de notification de Windows, effectuez une clic droit sur l'icône Traps et sélectionnez Console, ou effectuez un double clic sur l'icône. • Exécutez CyveraConsole.exe à partir du dossier d'installation de la console Traps. Étape 2 Affichez les stratégies de sécurité : 1. Si nécessaire, cliquez sur Advanced pour révéler des onglets supplémentaires. Cliquez ensuite sur l'onglet Policy pour afficher les règles de protection en cours d'exécution sur le point de terminaison. 2. Utilisez les flèches haut et bas pour faire défiler la liste des règles de protection. Advanced Endpoint Protection – Guide de l'administrateur 169 Surveiller la santé des points de terminaison Rapports et journalisation Affichage de l'historique d'état du service sur un point de terminaison Par défaut, l'affichage des détails standard sur la page Health présente un tableau des points de terminaison avec des champs affichés en haut. La sélection d'un point de terminaison dans le tableau Health développe la ligne pour révéler d'autres détails sur le point de terminaison et vous permet d'afficher l'état de l'agent Traps sur le point de terminaison. Un menu déroulant dans la section Agent Policy et Service Status vous permet d'afficher une liste partielle des évènements d'état de service (Service Status). Depuis cette section, vous pouvez aussi afficher le journal complet de l'historique d'état du service. Chaque évènement dans le journal affiche la date et l'heure de modification du service, la version de Traps exécutée sur le point de terminaison et la modification d'état (déconnecté, en exécution, éteint ou arrêté). Affichage de l'historique d'état du service sur un point de terminaison Étape 1 Depuis la console ESM, sélectionnez Monitor > Health. Étape 2 Sélectionnez la ligne du point de terminaison pour lequel vous voulez afficher l'historique des règles. La ligne se développe pour afficher d'autres détails et les actions que vous pouvez effectuer. Étape 3 Sélectionnez Service Status dans le menu déroulant à droite. Les informations sur l'état récent s'affichent dans la section Agent Policy et Logs de la page. Étape 4 Cliquez sur Details pour afficher le journal complet de l'état du service. Supprimer un point de terminaison de la page Health La page Health affiche un tableau de tous les points de terminaison qui ont réussi à se connecter à Endpoint Security Manager. Dans les situations où vous devez supprimer un ou plusieurs points de terminaison de Endpoint Security Manager, par exemple pour éliminer les doublons ou supprimer les points de terminaison qui ne sont plus utilisés, vous pouvez utiliser l'option Delete selected dans le menu en haut du tableau. Supprimer un point de terminaison de la page Health Étape 1 Depuis la console ESM, sélectionnez Monitor > Health. Étape 2 Sélectionnez la ou les lignes des points de terminaison que vous voulez supprimer. 170 Advanced Endpoint Protection – Guide de l'administrateur Rapports et journalisation Surveiller la santé des points de terminaison Supprimer un point de terminaison de la page Health (Suite) Étape 3 Sélectionnez Delete selected dans le menu suppression. en haut du tableau Health. Cliquez sur OK pour confirmer la La console ESM supprime le ou les points de terminaison de la page Health. Après la communication de pulsation au point de terminaison, Traps signale une absence de connexion au serveur (No connection to server). Advanced Endpoint Protection – Guide de l'administrateur 171 Surveiller les règles Rapports et journalisation Surveiller les règles Chaque page de récapitulatif et gestion de règle affiche les règles actives et inactives pour votre organisation et possède des outils que vous pouvez utiliser pour gérer les règles. Affichage du récapitulatif de la règle Afficher les détails des règles Affichage du récapitulatif de la règle Chaque type de règle possible une page de récapitulatif et gestion spécifique à la règle. Pour afficher un récapitulatif des règles d'un certain type : Affichage du récapitulatif de la règle Étape 1 Depuis la console ESM, sélectionnez la page de gestion de règle pour ce type de règle, par exemple Policies > Exploit > Protection Modules. Étape 2 Pour afficher les entrées du tableau , utilisez les contrôles de page en haut à droite de chaque page pour voir différentes portions du tableau. Étape 3 (En option) Pour trier les entrées du tableau, sélectionnez l'en-tête de colonne pour effectuer le tri par ordre croissant. Sélectionnez à nouveau l'en-tête de colonne pour effectuer le tri par ordre décroissant. Étape 4 (En option) Pour filtrer les entrées du tableau, cliquer sur l'icône du filtre jusqu'à deux ensembles de critères selon lesquels filtrer les résultats. à droite de la colonne pour spécifier Étape 5 (En option) Pour développer une entrée de règle, cliquez sur la flèche d'expansion à droite de la règle. Dans l'affichage développé, vous pouvez voir d'autres détails sur la règle ou effectuer l'une des actions pour gérer la règle. Reportez-vous à la section Enregistrer les règles. Afficher les détails des règles Chaque page de récapitulatif et gestion de règle dans la console ESM affiche les détails sur les règles qui composent la stratégie de sécurité de votre organisation. Le tableau suivant décrit les champs et les actions qui sont disponibles pour chaque page de gestion de règle, en incluant la prévention d'attaque, la prévention contre les logiciels malveillants, la restriction, les paramètres WildFire, les actions, les paramètres d'agent et les règles d'investigation numérique. L'affichage des détails standard fournit des informations récapitulatives pour chaque règle et affiche un tableau des règles avec des champs affichés en haut. La sélection d'une règle dans le tableau développe la ligne pour révéler d'autres détails sur la règle et les actions que vous pouvez effectuer. Champ Description Affichage des détails standard ID 172 Identifiant numérique unique pour la règle. Advanced Endpoint Protection – Guide de l'administrateur Rapports et journalisation Surveiller les règles Champ Description Status • — Active • — Inactive Type • Exploit Protection • Restriction • Malware Protection • WildFire • Agent Action • Agent Setting • Investigation numérique Date Modified La date et l'heure de création ou dernière modification de la règle. Nom Le nom de la règle. Description La description de la règle. Associated Les objets cibles auxquels s'applique la règle. Condition Conditions devant être satisfaites (le cas échéant) pour que la règle s'applique. Affichage des détails supplémentaires Creator L'utilisateur ayant créé la règle. Créé La date et l'heure de création de la règle. Modifier Le compte utilisateur auteur de la dernière modification de la règle (si connu). Processus (Règles de prévention d'attaque uniquement) Les processus cibles de la règle. EPMs (Règles de prévention d'attaque uniquement) Le module de prévention d'attaque (EPM) qui protège le processus. One time action (Règles d'action uniquement) L'action à effectuer sur le point de terminaison. Restrictions (Règles de restriction uniquement) Méthode de restriction qui protège contre les exécutables malicieux. Agent Settings (Règles de paramètres d'agent uniquement) L'action à effectuer sur le logiciel Traps. Dupliquer (Règles d'action uniquement) Exécuter à nouveau la règle d'action. Delete Supprimer la règle. Activate Activer la règle (règles inactives uniquement). Deactivate Désactiver la règle (règles actives uniquement). Edit Modifier la règle (règle de prévention d'attaque, de restriction et de paramètres d'agent uniquement). Advanced Endpoint Protection – Guide de l'administrateur 173 Surveiller l'extraction d'investigation numérique Rapports et journalisation Surveiller l'extraction d'investigation numérique Depuis la page Monitor > Forensics Retrieval, vous pouvez consulter les informations sur les fichiers de données d'investigation numérique, y compris les journaux, les mises à jour WildFire, la collecte de vidage mémoire, et gérer les fichiers de données à partir d'un emplacement centralisé. Le tableau suivant décrit les champs et les actions disponibles pour chaque fichier de données d'investigation numérique. La page Forensics Retrieval affiche un tableau avec des champs affichés en haut et des actions que vous pouvez effectuer pour gérer l'extraction des données d'investigation numérique. Champ Description Nom du fichier Identifiant numérique unique pour la règle. Upload State État du chargement, par exemple échoué (Failed), en cours (In Progress), etc. Nom de la machine Nom de la machine sur laquelle les données d'investigation numérique ont été collectées. Type de fichier Type de données d'investigation numérique, par exemple, journaux, WildFire ou vidage. File Size Taille du fichier d'investigation numérique. Date Created La date et l'heure de création ou dernière modification de la règle d'extraction. Bouton Download Télécharger le fichier de données d'investigation numérique. Bouton Delete Supprimer le fichier de données d'investigation numérique. Vous pouvez trier les entrées du tableau dans l'ordre croissant en sélectionnant l'en-tête de colonne. Sélectionnez à nouveau l'en-tête de colonne pour trier les entrées du tableau dans l'ordre décroissant. Pour limiter les résultats, cliquez sur l'icône du filtre à droite de la colonne et spécifiez jusqu'à deux ensembles de critères. Vous pouvez aussi exporter les journaux dans un fichier CSV en cliquant sur l'icône du menu , puis en sélectionnant Export Logs. 174 Advanced Endpoint Protection – Guide de l'administrateur Rapports et journalisation Surveiller les notifications de l'agent Surveiller les notifications de l'agent Afficher les notifications sur les modification d'état de l'agent Afficher les détails sur le journal de l'agent Afficher les notifications sur les modification d'état de l'agent Utilisez la page Agent Logs pour consulter les notifications sur les modifications d'état de l'agent incluant le démarrage ou l'arrêt des services, des systèmes et des processus. Afficher les notifications sur les modification d'état de l'agent Étape 1 Depuis la console ESM, sélectionnez Monitor > Agent Logs. Étape 2 Pour afficher les entrées du tableau , utilisez les contrôles de page en haut à droite de chaque page pour voir différentes portions du tableau. Étape 3 (En option) Pour trier les entrées du tableau, sélectionnez l'en-tête de colonne pour effectuer le tri par ordre croissant. Sélectionnez à nouveau l'en-tête de colonne pour effectuer le tri par ordre décroissant. Étape 4 (En option) Pour filtrer les entrées du tableau, cliquer sur l'icône du filtre jusqu'à deux ensembles de critères selon lesquels filtrer les résultats. à droite de la colonne pour spécifier Étape 5 (En option) Pour exporter les journaux dans un fichier CSV, cliquez sur l'icône du menu Export Logs. , puis sélectionnez Afficher les détails sur le journal de l'agent La page Agent Logs affiche les notifications sur les modifications d'état de l'agent incluant le démarrage ou l'arrêt des services, des systèmes et des processus. Le tableau suivant décrit les champs affichés sur la page Monitor > Agent Logs. Champ Description ID Identifiant numérique unique pour le message de notification. Nom de la machine Nom du point de terminaison ayant produit la notification. Message Texte du message de notification. Advanced Endpoint Protection – Guide de l'administrateur 175 Surveiller les notifications de l'agent Rapports et journalisation Champ Description Severity Gravité de la notification, qui dépend du type de rapport : • High • Medium • Low Report Type Type d'évènement ayant déclenché la notification. • One time action completion status — Une action terminée sur le point de terminaison. La gravité est faible si l'action se termine ou moyenne si l'action échoue. • Process crash — Un processus a planté sur le point de terminaison. Gravité faible. • Process injection timed out — L'injection dans le processus a dépassé le délai. Gravité moyenne. • Service alive — Le service de l'agent a démarré. Gravité faible. • Service stopped — Le service de l'agent s'est arrêté. Gravité faible. • System shutdown — Le point de terminaison a été éteint. Gravité faible. • Unallocated DEP access — Un pointeur d'instruction saute à un emplacement non alloué en mémoire. Cela est habituellement dû à un bogue dans l'application, mais pourrait aussi indiquer une tentative d'attaque (échouée). Gravité moyenne. • Native reporting service start failed — Le service de création de rapport n'a pas pu démarrer. Gravité élevée. Time 176 La date et l'heure d'envoi de la notification. Advanced Endpoint Protection – Guide de l'administrateur Rapports et journalisation Surveiller les notifications du serveur Surveiller les notifications du serveur Afficher les notifications concernant le serveur ESM Afficher les détails des journaux du serveur ESM Afficher les notifications concernant le serveur ESM Afficher les notifications concernant le serveur ESM Étape 1 Depuis la console ESM, sélectionnez Monitor > ESM Logs. Étape 2 Pour afficher les entrées du tableau , utilisez les contrôles de page en haut à droite de chaque page pour voir différentes portions du tableau. Étape 3 (En option) Pour trier les entrées du tableau, sélectionnez l'en-tête de colonne pour effectuer le tri par ordre croissant. Sélectionnez à nouveau l'en-tête de colonne pour effectuer le tri par ordre décroissant. Étape 4 (En option) Pour filtrer les entrées du tableau, cliquer sur l'icône du filtre jusqu'à deux ensembles de critères selon lesquels filtrer les résultats. à droite de la colonne pour spécifier Étape 5 (En option) Pour exporter les journaux dans un fichier CSV, cliquez sur l'icône du menu Export Logs. , puis sélectionnez Afficher les détails des journaux du serveur ESM La page ESM Logs affiche les notifications concernant le serveur ESM en incluant les échecs de chargement de fichiers et les actions lancées à partir du serveur ESM. Le tableau suivant décrit les champs affichés sur la page Monitor > ESM Logs. Champ Description ID Identifiant numérique unique pour le message de notification. Message Texte du message de notification. Severity Gravité de la notification, qui dépend du type de rapport : • High • Medium • Faible Report Type Type d'évènement ayant déclenché la notification. • File upload failure • Enabled Protection • Disabled Protection Time La date et l'heure d'envoi de la notification. Advanced Endpoint Protection – Guide de l'administrateur 177 Gérer les préférences de création de rapport et de journalisation Rapports et journalisation Gérer les préférences de création de rapport et de journalisation Activer la création de rapport externe en utilisant la console ESM Activer la création de rapport externe en utilisant l'outil de configuration de base de données Définir les paramètres de communication en utilisant la console ESM Définir les paramètres de communication en utilisant l'outil de configuration de base de données Activer la création de rapport externe en utilisant la console ESM Endpoint Security Manager peut écrire les journaux sur une plate-forme de journalisation externe, comme la gestion d'informations et d'évènements de sécurité (SIEM), les contrôles d'organisation de service (SOC) ou le journal système (syslog), en plus du stockage interne de ses journaux. La spécification d'une plate-forme de journalisation externe permet un affichage agrégé des journaux de tous les serveurs ESM. Vous pouvez activer la création de rapport externe en utilisant l'outil de configuration de base de données (voir Activer la création de rapport externe en utilisant l'outil de configuration de base de données) ou en utilisant Endpoint Security Manager. Par défaut, la création de rapport externe est désactivée. Activer la création de rapport externe en utilisant la console ESM Étape 1 Accédez à la page External Reporting. Sélectionnez Settings > General, puis sélectionnez External Reportingdans le menu déroulant. Étape 2 Configurez les paramètres de création de • Sélectionnez true dans le menu déroulant Enable Syslog. rapport externe. • Saisissez le nom d'hôte ou l'adresse IP du Syslog server. • (En option) Saisissez le port de communication pour le serveur syslog dans le champ Syslog port avec une valeur comprise entre 1 et 65535 (la valeur par défaut est 514). • Sélectionnez true dans le menu déroulant Enable event log. • (En option) Dans le champ Keep alive timeout, saisissez un intervalle en minutes avec une valeur de 0 ou plus à laquelle le point de terminaison envoie un message de maintien d'activité au journal ou rapport (la valeur par défaut est 0). • (En option) Dans le champ Send reports interval, saisissez la fréquence des rapports envoyés par le point de terminaison en minutes avec une valeur de 0 ou plus (la valeur par défaut est 10). Spécifiez une valeur de 0 si vous ne voulez pas recevoir les rapports du point de terminaison. 178 Advanced Endpoint Protection – Guide de l'administrateur Rapports et journalisation Gérer les préférences de création de rapport et de journalisation Activer la création de rapport externe en utilisant l'outil de configuration de base de données Endpoint Security Manager peut écrire les journaux sur une plate-forme de journalisation externe, comme la gestion d'informations et d'évènements de sécurité (SIEM), les contrôles d'organisation de service (SOC) ou le journal système (syslog), en plus du stockage interne de ses journaux. La spécification d'une plate-forme de journalisation externe permet un affichage agrégé des journaux de tous les serveurs ESM. Vous pouvez activer la création de rapport externe en utilisant Endpoint Security Manager (voir Activer la création de rapport externe en utilisant la console ESM) ou en utilisant l'outil de configuration de base de données. L'outil de configuration de base de données est une interface en ligne de commande qui fournit une alternative pour la gestion des paramètres de base du serveur en utilisant la console ESM. Vous pouvez accéder à l'outil de configuration de base de données en utilisant une invite de commandes MS-DOS Microsoft exécutée en tant qu'administrateur. L'outil de configuration de base de données est situé dans le dossier Server sur le serveur ESM. Toutes les commandes exécutées à l'aide de l'outil de configuration de base de données sont sensibles à la casse. Par défaut, la création de rapport externe est désactivée. Activer la création de rapport externe en utilisant l'outil de configuration de base de données Étape 1 Ouvrez une invite de commande en tant qu'administrateur : • Sélectionnez Démarrer > Tous les programmes > Accessoires. Effectuez un clic droit sur Invite de commandes, puis sélectionnez Exécuter en tant qu'administrateur. • Sélectionnez Démarrer. Dans la case Rechercher les programmes et fichiers, saisissez cmd. Ensuite, pour ouvrir l'invite de commande en tant qu'administrateur, appuyez sur CTRL+MAJ+ENTRÉE. Étape 2 Accédez au dossier qui contient l'outil de configuration de base de données : C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Étape 3 (En option) Consultez les paramètres de la création de rapport existante : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting show EnableSyslog = True SyslogServer = CyveraServer SyslogPort = 514 EnableEventLog = True KeepAliveTimeout = 0 SendReportsInterval = 10 MaximumReportsCount = 5000 MinReportsCount = 4000 Étape 4 Activez la création de rapport syslog : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server enablesyslog true Advanced Endpoint Protection – Guide de l'administrateur 179 Gérer les préférences de création de rapport et de journalisation Rapports et journalisation Activer la création de rapport externe en utilisant l'outil de configuration de base de données (Suite) Étape 5 Spécifiez l'adresse IP du serveur syslog: C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server syslogserver <adresseIP> Étape 6 Spécifiez le port de communication pour le serveur syslog avec une valeur comprise entre 1 et 65535 (la valeur par défaut est 514). C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server syslogport <numéroport> Étape 7 (En option) Activez la journalisation d'évènement pour envoyer les évènements de sécurité que Traps rencontre au journal d'évènements Windows : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server enableeventlog true Étape 8 (En option) Spécifiez un intervalle (en minutes) auquel le point de terminaison envoie un message de maintien d'activité au journal ou rapport avec une valeur de 0 ou plus (la valeur par défaut est 0) : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting keepalivetimeout <valeur> Étape 9 (En option) Spécifiez la fréquence des rapports envoyés par le point de terminaison en minutes avec une valeur de 0 ou plus (la valeur par défaut est 10) : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting sendreportsinterval <valeur> Spécifiez une valeur de 0 si vous ne voulez pas recevoir les rapports des points de terminaison. Étape 10 (En option) Spécifiez le nombre minimum de notifications de rapport à conserver dans la base de données avec une valeur de 0 ou plus (la valeur par défaut est 5000) : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting minreportscount <valeur> Par exemple, la spécification d'un nombre minimum de rapports de 1000 notifications signifie que Endpoint Security Manager conserve les 1000 notifications les plus récentes après le nettoyage des anciens rapports. Étape 11 (En option) Spécifiez le nombre maximum de notifications de rapport à conserver dans la base de données avec une valeur de 0 ou plus (la valeur par défaut est 4000) : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting maximumreportscount <valeur> Par exemple, la spécification d'un nombre maximum de rapports de 5000 notifications signifie que Endpoint Security Manager rejettera les notifications plus anciennes au-delà de 5000 notifications. Définir les paramètres de communication en utilisant la console ESM Le service Traps envoie périodiquement des messages au serveur Endpoint Security Manager (ESM) pour signaler l'état de fonctionnement de l'agent, pour signaler les processus en exécution sur le point de terminaison et pour demander la dernière stratégie de sécurité. Vous pouvez modifier la fréquence de communication entre le serveur et le point de terminaison en utilisant l'outil de configuration de base de données (voir Définir les paramètres de communication en utilisant l'outil de configuration de base de données) ou en utilisant la console ESM. 180 Advanced Endpoint Protection – Guide de l'administrateur Rapports et journalisation Gérer les préférences de création de rapport et de journalisation Définir les paramètres de communication en utilisant la console ESM Étape 1 Sélectionnez Settings > General, puis sélectionnez Server Configuration dans le menu déroulant. Étape 2 (En option) Saisissez la fréquence (en minutes) à laquelle Traps envoie à Endpoint Security Manager la liste des applications qui sont exécutées sur le point de terminaison dans le champ Inventory interval in minutes. Étape 3 (En option) Saisissez la période de grâce admissible pour un dispositif qui n'a pas répondu (en secondes) dans le champ Heartbeat period in seconds. La période de pulsation par défaut est de cinq minutes. Définir les paramètres de communication en utilisant l'outil de configuration de base de données Le service Traps envoie périodiquement des messages au serveur ESM pour signaler l'état de fonctionnement de l'agent, pour signaler les processus en exécution sur le point de terminaison et pour demander la dernière stratégie de sécurité. Vous pouvez modifier la fréquence de communication entre le serveur et le point de terminaison en utilisant Endpoint Security Manager (voir Définir les paramètres de communication en utilisant la console ESM) ou en utilisant l'outil de configuration de base de données. L'outil de configuration de base de données est une interface en ligne de commande qui fournit une alternative pour la gestion des paramètres de base du serveur en utilisant la console ESM. Vous pouvez accéder à l'outil de configuration de base de données en utilisant une invite de commandes MS-DOS Microsoft exécutée en tant qu'administrateur. L'outil de configuration de base de données est situé dans le dossier Server sur le serveur ESM. Toutes les commandes exécutées à l'aide de l'outil de configuration de base de données sont sensibles à la casse. Définir les paramètres de communication en utilisant l'outil de configuration de base de données Étape 1 Ouvrez une invite de commande en tant qu'administrateur : • Sélectionnez Démarrer > Tous les programmes > Accessoires. Effectuez un clic droit sur Invite de commandes, puis sélectionnez Exécuter en tant qu'administrateur. • Sélectionnez Démarrer. Dans la case Rechercher les programmes et fichiers, saisissez cmd. Ensuite, pour ouvrir l'invite de commande en tant qu'administrateur, appuyez sur CTRL+MAJ+ENTRÉE. Étape 2 Accédez au dossier qui contient l'outil de configuration de base de données : C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Étape 3 (En option) Consultez les paramètres du serveur existant : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server show PreventionsDestFolder = \\ESMServer\Quarantine InventoryInterval = 284 HeartBeatGracePeriod = 300 NinjaModePassword = Password2 Advanced Endpoint Protection – Guide de l'administrateur 181 Gérer les préférences de création de rapport et de journalisation Rapports et journalisation Définir les paramètres de communication en utilisant l'outil de configuration de base de données (Suite) Étape 4 (En option) Spécifiez l'intervalle d'inventaire qui définit la fréquence (en minutes) à laquelle Traps envoie à Endpoint Security Manager la liste des applications qui sont exécutées sur le point de terminaison : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server inventoryinterval <valeur> La spécification d'une valeur de 120, par exemple, cause l'envoi des informations de la part du point de terminaison toutes les 2 heures (120 minutes). Étape 5 (En option) Spécifiez la période de grâce admissible pour un dispositif qui n'a pas répondu (en secondes) : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server heartbeatgraceperiod <valeur> La spécification d'une valeur de 300, par exemple, signifie qu'au bout de cinq minutes (300 secondes) durant lesquelles le serveur ESM ne reçoit aucune communication de la part du point de terminaison, Endpoint Security Manager signale que l'état du point de terminaison est déconnecté. 182 Advanced Endpoint Protection – Guide de l'administrateur Dépannage Ressources de dépannage pour Advanced Endpoint Protection Outil de configuration de base de données Cytool Résoudre les problèmes de Traps Résoudre les problèmes de la console ESM Advanced Endpoint Protection – Guide de l'administrateur 183 Ressources de dépannage pour Advanced Endpoint Protection Dépannage Ressources de dépannage pour Advanced Endpoint Protection Pour dépanner les composants Advanced Endpoint Protection, y compris Traps et Endpoint Security Manager, utilisez les ressources suivantes : Ressource Description Endpoint Security Manager Interface web, qui fournit les rapports et journaux. Les informations sont utiles pour la surveillance et le filtrage des journaux afin d'interpréter un comportement inhabituel sur votre réseau. Après l'analyse d'un évènement de sécurité, vous pouvez choisir de créer une règle personnalisée pour le point de terminaison ou le processus. Journal DebugWeb Indique les informations, avertissements, et erreurs liés à Endpoint Security Manager. Le journal DebugWeb est situé dans le dossier %ProgramData%\Cyvera\Logs du serveur ESM. Journal Server Indique les informations, avertissements et erreurs liés à la base de données Endpoint et au serveur ESM. Le journal Server est situé dans le dossier %ProgramData%\Cyvera\Logs du serveur ESM. Journal Service Indique les informations, avertissements, et erreurs liés au service Traps. Le journal Service est situé dans le dossier suivant sur le point de terminaison : • Windows Vista et versions supérieures : %ProgramData%\Cyvera\Logs • Windows XP : C:\Document and Settings\All Users\Application Data\Cyvera\Logs Journal Console Indique les informations, avertissements, et erreurs liés à la console Traps. Le journal Console est situé dans le dossier suivant sur le point de terminaison : • Windows Vista et versions supérieures : C:\Utilisateurs\<nomutilisateur>\AppData\Roaming\Cyvera • Windows XP : C:\Document and Settings\<nomutilisateur>\Application Data\Cyvera\Logs Outil de configuration de base Interface en ligne de commande qui fournit une alternative pour la gestion des de données (dbconfig.exe) paramètres de base du serveur en utilisant la console ESM. Vous pouvez accéder à l'outil de configuration de base de données en utilisant une invite de commandes MS-DOS Microsoft exécutée en tant qu'administrateur. Pour plus d'informations, consultez la section Outil de configuration de base de données. Outil de ligne de commande superviseur (cytool.exe) 184 Vous permet d'énumérer les processus protégés, d'activer ou désactiver les fonctionnalités de protection et d'activer ou désactiver les actions de gestion de Traps à partir d'une interface en ligne de commande. Pour plus d'informations, consultez la section Cytool. Advanced Endpoint Protection – Guide de l'administrateur Dépannage Outil de configuration de base de données Outil de configuration de base de données L'outil de configuration de base de données est une interface en ligne de commande qui fournit une alternative pour la gestion des paramètres de base du serveur en utilisant la console ESM. Vous pouvez accéder à l'outil de configuration de base de données en utilisant une invite de commandes MS-DOS Microsoft exécutée en tant qu'administrateur. L'outil de configuration de base de données est situé dans le dossier Server du serveur Endpoint Security Manager (ESM). Utilisez l'outil de configuration de base de données pour effectuer les fonctions suivantes : Accéder à l'outil de configuration de base de données Gérer les licences Endpoint Security Manager en utilisant l'outil de configuration de base de données Configuration de l'accès administrateur à Endpoint Security Manager en utilisant l'outil de configuration de base de données Modifier le mot de passe du mode ninja en utilisant l'outil de configuration de base de données Définir les paramètres de communication en utilisant l'outil de configuration de base de données Activer la création de rapport externe en utilisant l'outil de configuration de base de données Accéder à l'outil de configuration de base de données Exécutez l'outil de configuration de base de données à partir du dossier Server sur un serveur ESM pour consulter la syntaxe et les exemples d'utilisation. Toutes les commandes exécutées à l'aide de l'outil de configuration de base de données sont sensibles à la casse. Accéder à l'outil de configuration de base de données Étape 1 Ouvrez une invite de commande en tant qu'administrateur : • Sélectionnez Démarrer > Tous les programmes > Accessoires. Effectuez un clic droit sur Invite de commandes, puis sélectionnez Exécuter en tant qu'administrateur. • Sélectionnez Démarrer. Dans la case Rechercher les programmes et fichiers, saisissez cmd. Ensuite, pour ouvrir l'invite de commande en tant qu'administrateur, appuyez sur CTRL+MAJ+ENTRÉE. Étape 2 Accédez au dossier qui contient l'outil de configuration de base de données : C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Advanced Endpoint Protection – Guide de l'administrateur 185 Outil de configuration de base de données Dépannage Accéder à l'outil de configuration de base de données Étape 3 Consulter l'utilisation et les options pour l'outil de configuration de base de données : c:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig Usage : > DBConfig.exe importLicense [1] Ajouter une nouvelle licence à la base de données. 1) CyveraLicense.xml full path > DBConfig.exe [1] [2] [3] Écrire une configuration dans la base de données. 1) Configuration Type (Server, Reflector, UserManagement, Reporting) 2) Key Name 3) Value > DBConfig.exe [1] show Afficher les valeurs d'une configuration spécifique. 1) Configuration Type (Server, Reflector, UserManagement, Reporting) Exemples : > DBConfig.exe importLicense c:\Foldername\CyveraLicense.xml > DBConfig.exe server inventoryinterval 200 > DBConfig.exe server show 186 Advanced Endpoint Protection – Guide de l'administrateur Dépannage Cytool Cytool Cytool est une interface en ligne de commande qui est intégré dans Traps et vous permet d'interroger et de gérer les fonctions de base de Traps. Les modifications effectuées avec Cytool sont actives jusqu'à ce que Traps reçoive la communication de pulsation suivante de la part du serveur ESM. Vous pouvez accéder à Cytool en utilisant une invite de commandes MS-DOS Microsoft exécutée en tant qu'administrateur. Cytool est situé dans le dossier Traps sur le point de terminaison. Utilisez Cytool pour effectuer les fonctions suivantes : Accéder à Cytool Afficher les processus actuellement protégés par Traps Gérer les paramètres de protection sur le point de terminaison Gérer les pilotes et services Traps sur le point de terminaison Afficher et comparer les stratégies de sécurité sur un point de terminaison Accéder à Cytool Pour consulter la syntaxe et les exemples d'utilisation pour les commandes Cytool, utilisez l'option /? après toute commande. Accéder à Cytool Étape 1 Ouvrez une invite de commande en tant qu'administrateur : • Sélectionnez Démarrer > Tous les programmes > Accessoires. Effectuez un clic droit sur Invite de commandes, puis sélectionnez Exécuter en tant qu'administrateur. • Sélectionnez Démarrer. Dans la case Rechercher les programmes et fichiers, saisissez cmd. Ensuite, pour ouvrir l'invite de commande en tant qu'administrateur, appuyez sur CTRL+MAJ+ENTRÉE. Étape 2 Accédez au dossier qui contient Cytool : C:\Utilisateurs\Administrator>cd C:\Program Files\Palo Alto Networks\Traps Advanced Endpoint Protection – Guide de l'administrateur 187 Cytool Dépannage Accéder à Cytool Étape 3 Consulter l'utilisation et les options pour Cytool : c:\Program Files\Palo Alto Networks\Traps>cytool /? Traps (R) supervisor tool 3.1 (c) Palo Alto Networks, Inc. All rights reserved Usage : CYTOOL [/?] [/a] [commande [options]] Options : /? Afficher ce message d'aide. /a Authentification en tant que superviseur. commande enum | protect | startup | runtime | policy Pour plus d'informations sur une commande spécifique exécuter CYTOOL commande /? Afficher les processus actuellement protégés par Traps Pour afficher les processus qui sont actuellement protégés par Traps, utilisez la commande enum sur Cytool ou consultez l'onglet Protection de la console Traps (voir Afficher les processus actuellement protégés par Traps). Par défaut, la console Traps et Cytool affichent uniquement les processus protégés lancés par l'utilisateur actuel. Pour afficher les processus protégés lancés par tous les utilisateurs, spécifiez l'option /a. La consultation des processus protégés lancés par tous les utilisateurs exige la saisie du mot de passe superviseur (désinstallation). Afficher les processus actuellement protégés par Traps Étape 1 Ouvrez une invite de commandes en tant qu'administrateur et accédez au dossier Traps (voir Accéder à Cytool). Étape 2 Consultez les processus protégés lancés par l'utilisateur actuel en saisissant la commande cytool enum. Pour consulter les processus protégés pour tous les utilisateurs sur le point de terminaison, spécifiez l'option /a, et saisissez le mot de passe superviseur lorsqu'il est demandé. c:\Program Files\Palo Alto Networks\Traps>cytool /a enum Saisissez le mot de passe du superviseur : Process ID 1000 1468 452 [...] 188 Agent Version 3.1.1546 3.1.1546 3.1.1546 Advanced Endpoint Protection – Guide de l'administrateur Dépannage Cytool Gérer les paramètres de protection sur le point de terminaison Par défaut, Traps applique la protection aux processus essentiels, clés de registre, fichiers Traps et services Traps en fonction des règles de protection de service définies dans la stratégie de sécurité (pour plus d'informations sur la configuration des règles de protection de service dans Endpoint Security Manager, voir Gérer la protection de service). Vous pouvez utiliser Cytool pour substituer les règles et gérer les couches suivantes de protection que Traps applique sur le point de terminaison : Activer ou désactiver la protection de processus essentiel sur le point de terminaison Activer ou désactiver les paramètres de protection du registre sur le point de terminaison Activer ou désactiver les paramètres de protection des fichiers Traps sur le point de terminaison Activer ou désactiver les paramètres de protection de service sur le point de terminaison Utilisez la stratégie de sécurité pour gérer la protection de service Activer ou désactiver la protection de processus essentiel sur le point de terminaison Par défaut, Traps protège les processus essentiels incluant Cyserver.exe et CyveraService.exe en fonction des règles de protection de service définies dans la stratégie de sécurité locale. Si nécessaire, vous pouvez substituer le comportement de la protection de processus essentiel en utilisant la commande cytool protect [enable|disable] process. La modification des paramètres de protection nécessite la saisie du mot de passe superviseur (désinstallation). Activer ou désactiver les paramètres de protection de processus essentiel sur le point de terminaison Étape 1 Ouvrez une invite de commandes en tant qu'administrateur et accédez au dossier Traps (voir Accéder à Cytool). Advanced Endpoint Protection – Guide de l'administrateur 189 Cytool Dépannage Activer ou désactiver les paramètres de protection de processus essentiel sur le point de terminaison (Suite) Étape 2 Pour gérer les paramètres de protection des processus essentiels sur le point de terminaison, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] process L'exemple suivant affiche la sortie pour l'activation de la protection des processus essentiels. La colonne Mode affiche l'état de protection revu (activé (Enabled) ou désactivé (Disabled) ou stratégie (Policy)) lors de l'utilisation des paramètres dans la stratégie de sécurité locale pour protéger les processus essentiels. C:\Program Files\Palo Alto Networks\Traps>cytool protect enable process Saisissez le mot de passe du superviseur : Protection Mode State Process Enabled Enabled Registry Policy Disabled File Policy Disabled Service Policy Disabled Pour utiliser les paramètres de règle de stratégie par défaut afin de protéger les processus essentiels sur le point de terminaison, voir Utilisez la stratégie de sécurité pour gérer la protection de service. Activer ou désactiver les paramètres de protection du registre sur le point de terminaison Pour empêcher les pirates d'altérer les clés de registre de Traps, utilisez la commande cytool protect enable registry pour limiter l'accès aux clés de registre stockés dans HKLM\SYSTEM\Cyvera. Pour désactiver la protection des clés de registre, utilisez la commande cytool protect disable registry. Les modifications des paramètres de protection du registre exigent la saisie du mot de passe superviseur lorsqu'il est demandé. Activer ou désactiver les paramètres de protection du registre sur le point de terminaison Étape 1 Ouvrez une invite de commandes en tant qu'administrateur et accédez au dossier Traps (voir Accéder à Cytool). 190 Advanced Endpoint Protection – Guide de l'administrateur Dépannage Cytool Activer ou désactiver les paramètres de protection du registre sur le point de terminaison (Suite) Étape 2 Pour gérer les paramètres de protection des clés de registre sur le point de terminaison, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] registry L'exemple suivant affiche la sortie pour l'activation de la protection des clés de registre. La colonne Mode affiche l'état de protection revu (activé (Enabled) ou désactivé (Disabled) ou stratégie (Policy)) lors de l'utilisation des paramètres dans la stratégie de sécurité locale pour protéger les clés de registre. C:\Program Files\Palo Alto Networks\Traps>cytool protect enable registry Saisissez le mot de passe du superviseur : Protection Mode State Process Policy Disabled Registry Enabled Enabled File Policy Disabled Service Policy Disabled Pour utiliser les paramètres dans la stratégie de sécurité locale afin de protéger les clés de registre sur le point de terminaison, voir Utilisez la stratégie de sécurité pour gérer la protection de service. Activer ou désactiver les paramètres de protection des fichiers Traps sur le point de terminaison Pour empêcher les pirates d'altérer les fichiers Traps, utilisez la commande cytool protect enable file pour limiter l'accès aux fichiers système stockés dans %Program Files%\Palo Alto Networks\Traps et %ProgramData%\Cyvera. Pour désactiver la protection des fichiers Traps, utilisez la commande cytool protect disable file. Les modifications des paramètres de protection des fichiers Traps exigent la saisie du mot de passe superviseur lorsqu'il est demandé. Activer ou désactiver les paramètres de protection des fichiers Traps sur le point de terminaison Étape 1 Ouvrez une invite de commandes en tant qu'administrateur et accédez au dossier Traps (voir Accéder à Cytool). Advanced Endpoint Protection – Guide de l'administrateur 191 Cytool Dépannage Activer ou désactiver les paramètres de protection des fichiers Traps sur le point de terminaison (Suite) Étape 2 Pour gérer les paramètres de protection des fichiers Traps sur le point de terminaison, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] file L'exemple suivant affiche la sortie pour l'activation de la protection des fichiers. La colonne Mode affiche l'état de protection revu (activé (Enabled) ou désactivé (Disabled) ou stratégie (Policy)) lors de l'utilisation des paramètres dans la stratégie de sécurité locale pour protéger les fichiers Traps. C:\Program Files\Palo Alto Networks\Traps>cytool protect enable file Saisissez le mot de passe du superviseur : Protection Mode State Process Policy Disabled Registry Policy Disabled File Enabled Enabled Service Policy Disabled Pour utiliser les paramètres de règle de stratégie par défaut afin de protéger les fichiers Traps sur le point de terminaison, voir Utilisez la stratégie de sécurité pour gérer la protection de service. Activer ou désactiver les paramètres de protection de service sur le point de terminaison Pour substituer la stratégie de sécurité de Traps, les pirates peuvent tenter de désactiver ou de modifier l'état des services Traps. Utilisez la commande cytool protect enable service pour protéger les services Traps. Pour désactiver la protection des services Traps, utilisez la commande cytool protect disable service. Les modifications des paramètres de protection de service exigent la saisie du mot de passe superviseur lorsqu'il est demandé. Activer ou désactiver les paramètres de protection de service sur le point de terminaison Étape 1 Ouvrez une invite de commandes en tant qu'administrateur et accédez au dossier Traps (voir Accéder à Cytool). 192 Advanced Endpoint Protection – Guide de l'administrateur Dépannage Cytool Activer ou désactiver les paramètres de protection de service sur le point de terminaison (Suite) Étape 2 Pour gérer les paramètres de protection des services Traps sur le point de terminaison, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] service L'exemple suivant affiche la sortie pour l'activation de la protection des services. La colonne Mode affiche l'état de protection revu (activé (Enabled) ou désactivé (Disabled) ou stratégie (Policy)) lors de l'utilisation des paramètres dans la stratégie de sécurité locale pour protéger les services Traps. C:\Program Files\Palo Alto Networks\Traps>cytool protect enable service Saisissez le mot de passe du superviseur : Protection Mode State Process Policy Disabled Registry Policy Disabled File Policy Disabled Service Enabled Enabled Pour utiliser les paramètres de règle de stratégie par défaut afin de protéger les services Traps sur le point de terminaison, voir Utilisez la stratégie de sécurité pour gérer la protection de service. Utilisez la stratégie de sécurité pour gérer la protection de service Après la modification des paramètres de protection en utilisant Cytool, vous pouvez rétablir la stratégie de sécurité par défaut à tout moment en utilisant la commande cytool protect policy <feature>. Utilisez la stratégie de sécurité pour gérer la protection de service Étape 1 Ouvrez une invite de commandes en tant qu'administrateur et accédez au dossier Traps (voir Accéder à Cytool). Advanced Endpoint Protection – Guide de l'administrateur 193 Cytool Dépannage Utilisez la stratégie de sécurité pour gérer la protection de service (Suite) Étape 2 Pour utiliser les règles dans la stratégie de sécurité pour gérer la protection de service, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool protect policy <feature> où <feature> peut être process, registry, file ou service. L'exemple suivant affiche la sortie pour la gestion de la protection des fichiers Traps en utilisant la stratégie de sécurité locale. La colonne Mode affiche l'état de protection revu Stratégie (Policy). C:\Program Files\Palo Alto Networks\Traps>cytool protect policy file Saisissez le mot de passe du superviseur : Protection Mode State Process Enabled Enabled Registry Enabled Enabled File Policy Disabled Service Enabled Enabled Gérer les pilotes et services Traps sur le point de terminaison Lorsqu'un point de terminaison démarre, Traps démarre les pilotes (Cyverak, Cyvrmtgn et Cyvrfsfd) et les services (Cyvera et CyveraService) par défaut. Vous pouvez utiliser Cytool pour substituer le comportement par défaut et gérer le démarrage ou l'état actuel des pilotes et services de manière globale ou individuelle. Les modifications du comportement de démarrage par défaut prennent effet lorsque le point de terminaison redémarre. Les modifications du comportement d'exécution prennent effet immédiatement. Afficher les composants de démarrage de Traps sur le point de terminaison Activer ou désactiver le démarrage des composants Traps sur le point de terminaison Afficher les composants d'exécution de Traps sur le point de terminaison Démarrer ou arrêter les composants d'exécution de Traps sur le point de terminaison Afficher les composants de démarrage de Traps sur le point de terminaison Utilisez la commande cytool startup query pour afficher l'état des composants de démarrage sur le point de terminaison. Lorsqu'un service ou un pilote est désactivé, Cytool indique que le composant est Désactivé. Lorsqu'un pilote est activé, Cytool indique que le composant est System. Lorsqu'un service est activé, Cytool indique que le composant est Startup ou Automatic. Afficher les composants de démarrage de Traps sur le point de terminaison Étape 1 Ouvrez une invite de commandes en tant qu'administrateur et accédez au dossier Traps (voir Accéder à Cytool). 194 Advanced Endpoint Protection – Guide de l'administrateur Dépannage Cytool Afficher les composants de démarrage de Traps sur le point de terminaison (Suite) Étape 2 Pour afficher le comportement de démarrage actuel des pilotes et services de Traps, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool startup query Service Startup cyverak System cyvrmtgn System cyvrfsfd System cyserver Automatic CyveraService Automatic Activer ou désactiver le démarrage des composants Traps sur le point de terminaison Utilisez la commande cytool startup [enable|disable] suivie en option du nom du composant pour substituer le comportement par défaut pour le démarrage des pilotes et services de Traps sur un point de terminaison. Les modifications du comportement de démarrage exigent la saisie du mot de passe superviseur lorsqu'il est demandé. Les modifications des pilotes et services de Traps ne prennent effet que lorsque le système redémarre. Pour appliquer immédiatement les modifications aux pilotes et services de Traps, voir Démarrer ou arrêter les composants d'exécution de Traps sur le point de terminaison. Activer ou désactiver le démarrage des composants Traps sur le point de terminaison Étape 1 Ouvrez une invite de commandes en tant qu'administrateur et accédez au dossier Traps (voir Accéder à Cytool). Advanced Endpoint Protection – Guide de l'administrateur 195 Cytool Dépannage Activer ou désactiver le démarrage des composants Traps sur le point de terminaison (Suite) Étape 2 Pour modifier le comportement de démarrage d'un pilote ou service spécifique, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool startup [enable|disable] <component> où <component> est soit un pilote : cyverak, cyvrmtgn, cyvrfsfd, soit un service : cyserver, CyveraService. En alternative, vous pouvez omettre <component> de la commande afin de modifier le comportement de démarrage pour tous les pilotes et services. L'exemple suivant affiche la sortie pour la désactivation du comportement de démarrage du pilote cyvrmtgn. La colonne Startup affiche l'état de protection revu Désactivé (Disabled). C:\Program Files\Palo Alto Networks\Traps>cytool startup disable cyvrmtgn Saisissez le mot de passe du superviseur : Service Startup cyverak System cyvrmtgn Disabled cyvrfsfd System cyserver Automatic CyveraService Automatic Afficher les composants d'exécution de Traps sur le point de terminaison Utilisez la commande cytool runtime query pour afficher l'état des composants de Traps sur le point de terminaison. Lorsqu'un service ou un pilote est actif, Cytool indique que le composant est En cours d'exécution (Running). Lorsqu'un service ou un pilote n'est pas exécuté, Cytool indique que le composant est Arrêté (Stopped). Afficher les composants de démarrage de Traps sur le point de terminaison Étape 1 Ouvrez une invite de commandes en tant qu'administrateur et accédez au dossier Traps (voir Accéder à Cytool). Étape 2 Pour afficher l'état d'exécution actuel des pilotes et services de Traps, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool runtime query 196 Service State cyverak Running cyvrmtgn Running cyvrfsfd Running cyserver Running CyveraService Stopped Advanced Endpoint Protection – Guide de l'administrateur Dépannage Cytool Démarrer ou arrêter les composants d'exécution de Traps sur le point de terminaison Dans des situations où vous n'avez pas la permission de modifier le comportement de Traps à partir de Endpoint Security Manager mais où où vous devez résoudre un problème urgent lié aux pilotes et services de Traps, vous pouvez utiliser la commande cytool startup [enable|disable] pour substituer le comportement d'exécution par défaut. La commande est utile lorsque vous devez prendre des mesures immédiates pour démarrer ou arrêter tous les composants de Traps ou bien démarrer ou arrêter un pilote ou service spécifique de Traps. Les modifications du comportement d'exécution des pilotes et services de Traps sont réinitialisées lorsque le système redémarre. Pour effectuer des changements au comportement de démarrage des pilotes et services de Traps, voir Activer ou désactiver le démarrage des composants Traps sur le point de terminaison. Les modifications du comportement d'exécution exigent la saisie du mot de passe superviseur lorsqu'il est demandé. Démarrer ou arrêter les composants d'exécution de Traps sur le point de terminaison Étape 1 Ouvrez une invite de commandes en tant qu'administrateur et accédez au dossier Traps (voir Accéder à Cytool). Étape 2 Pour démarrer ou arrêter un pilote ou service, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool runtime start <component> où <component> est soit un pilote : cyverak, cyvrmtgn, cyvrfsfd, soit un service : cyserver, CyveraService. En alternative, vous pouvez omettre <component> de la commande afin de modifier le comportement d'exécution pour tous les pilotes et services. L'exemple suivant affiche la sortie pour l'arrêt du service cyserver. La colonne Startup affiche l'état du composant revu (en cours d'exécution (Running) ou arrêté (Stopped)). C:\Program Files\Palo Alto Networks\Traps>cytool runtime stop cyserver Saisissez le mot de passe du superviseur : Service Startup cyverak Running cyvrmtgn Running cyvrfsfd Running cyserver Stopped CyveraService Running Afficher et comparer les stratégies de sécurité sur un point de terminaison En utilisant Cytool, vous pouvez afficher les détails des stratégies de sécurité sur le point de terminaison. Afficher les détails sur une stratégie active Comparer les stratégies Advanced Endpoint Protection – Guide de l'administrateur 197 Cytool Dépannage Afficher les détails sur une stratégie active Utilisez la commande cytool policy query <process> pour afficher les détails sur les stratégies associées à un processus spécifique. La sortie est utile lorsque vous voulez vérifier qu'une stratégie est implémentée de la manière dont vous souhaitiez la configurer. Pour afficher les détails de la stratégie, vous devez saisir le mot de passe superviseur lorsqu'il est demandé. Afficher les détails sur une stratégie active Étape 1 Ouvrez une invite de commandes en tant qu'administrateur et accédez au dossier Traps (voir Accéder à Cytool). Étape 2 Pour afficher la stratégie active pour un processus, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool policy query <process> où <process> est soit le nom du processus, soit l'identifiant du processus (PID). Par exemple, pour afficher les détails d'une stratégie pour le bloc-notes, saisissez cytool policy query notepad. L'exemple suivant affiche les détails de stratégie pour un processus dont le PID est 1234. C:\Program Files\Palo Alto Networks\Traps>cytool policy query 1234 Saisissez le mot de passe du superviseur : Générique Enable 0x00000001 SuspendOnce 0x00000001 AdvancedHooks 0x00000001 [...] Comparer les stratégies À intervalles réguliers, Traps demande à Endpoint Security Manager une stratégie de sécurité à jour et la mémorise dans le registre du système. Lorsqu'un utilisateur démarre un processus, Traps détermine s'il faut ou non protéger le processus en fonction des paramètres de la stratégie de sécurité. Dans les scénarios de dépannage où Traps ne se comporte pas comme prévu, utilisez la commande cytool policy compare pour consulter les différences entre les stratégies qui sont appliquées aux processus exécutés sur le point de terminaison. En utilisant la commande, vous pouvez comparer la stratégie d'un processus avec la stratégie de sécurité par défaut ou comparer la stratégie d'un processus avec la stratégie d'un autre processus. Dans les ceux cas, vous pouvez spécifier soit le nom du processus, soit l'identifiant du processus (PID). La spécification du nom du processus simule l'application de la stratégie au processus. La spécification du PID demande la stratégie effective pour le processus exécuté. Cytool affiche les paramètres de stratégie côte à côte et indique en rouge toutes les différences entre les stratégies. Pour comparer les stratégies, vous devez saisir le mot de passe superviseur lorsqu'il est demandé. 198 Advanced Endpoint Protection – Guide de l'administrateur Dépannage Cytool Comparer les stratégies Étape 1 Ouvrez une invite de commandes en tant qu'administrateur et accédez au dossier Traps (voir Accéder à Cytool). Étape 2 Comparez les détails des deux stratégies : • Pour comparer la stratégie avec la stratégie par défaut, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool policy compare <process> default où <process> est soit le nom du processus, soit l'identifiant du processus (PID). L'exemple suivant affiche la sortie pour la comparaison d'une stratégie qui s'applique au bloc-notes avec la stratégie par défaut. Les différences entre les deux stratégies sont affichées en rouge. C:\Program Files\Palo Alto Networks\Traps>cytool policy compare notepad default Saisissez le mot de passe du superviseur : Générique Enable SuspendOnce AdvancedHooks 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000000 0x000000011 [...] DllSec Enable Optimize [...] • Pour comparer les stratégies pour deux processus, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool policy compare <process1> <process2> où <process1> et <process2> sont soit le nom du processus, soit l'identifiant du processus (PID). Par exemple, pour comparer la stratégie appliquée à iexplorer avec la stratégie appliquée à chrome, saisissez cytool policy compare iexplorer chrome. Vous pouvez aussi comparer les stratégies pour deux PID ou comparer la stratégie d'un processus à la stratégie d'un PID. L'exemple suivant affiche la sortie pour la comparaison des stratégies appliquées à deux PID, 1592 et 1000. Les différences entre les deux stratégies sont affichées en rouge. C:\Program Files\Palo Alto Networks\Traps>cytool policy compare 1592 1000 Saisissez le mot de passe du superviseur : Générique Enable SuspendOnce AdvancedHooks 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000000 0x000000011 [...] DllSec Enable Optimize [...] Advanced Endpoint Protection – Guide de l'administrateur 199 Résoudre les problèmes de Traps Dépannage Résoudre les problèmes de Traps Ce sujet traite des problèmes suivants liés à Traps : Pourquoi ne puis-je pas installer Traps ? Pourquoi ne puis-je pas mettre à niveau ou désinstaller Traps ? Pourquoi Traps ne parvient pas à se connecter au serveur ESM ? Comment puis-je résoudre une erreur de certification du serveur Traps ? Pourquoi ne puis-je pas installer Traps ? Symptôme L'installation de Traps indique l'erreur suivante : Échec du démarrage du service « Traps » (CyveraService). Vérifiez que vous disposez des privilèges suffisants. Causes possibles Vous ne disposez pas des privilèges d'administration pour démarrer des services sur le point de terminaison. Solution Après chaque étape de la procédure suivante, vérifiez si vous pouvez installer Traps. Si Traps indique encore une erreur, effectuez l'étape qui suit jusqu'à la résolution du problème. Solution : Pourquoi ne puis-je pas installer Traps ? Étape 1 Vérifiez que vous disposez des privilèges d'administration sur le point de terminaison : • Windows 7 : Cliquez sur Démarrer > Panneau de configuration > Comptes d'utilisateurs > Gérer les comptes. Sur l'onglet utilisateurs, vérifiez que votre nom d'utilisateur se trouve dans le groupe Administrateurs. • Windows 8 : Cliquez sur Démarrer > Panneau de configuration > Comptes d'utilisateurs > Modifier les comptes. Vérifiez que votre compte apparaît en tant qu'administrateur. Ouvrez une session sur le point de terminaison en tant qu'administrateur valide. 200 Advanced Endpoint Protection – Guide de l'administrateur Dépannage Résoudre les problèmes de Traps Solution : Pourquoi ne puis-je pas installer Traps ? Étape 2 Le fichier journal du service contient des informations, avertissements, et erreurs liés au service Traps. Pour un dépannage plus approfondi du problème lié au service Traps, ouvrez le fichier C:\ProgramData\Cyvera\Logs\Service.log file dans un éditeur de texte et examinez toutes les erreurs dans le fichier journal qui se sont produites au moment de l'évènement. Par défaut, le dossier ProgramData peut être masqué. Pour afficher le dossier dans l'explorateur Windows, sélectionnez Organiser > Options des dossiers et de recherche > Affichage > Afficher les fichiers, dossiers et lecteurs cachés. Étape 3 Si le problème persiste, contactez le support de Palo Alto Networks. Pourquoi ne puis-je pas mettre à niveau ou désinstaller Traps ? Symptôme L'installation de Traps indique l'erreur suivante : Échec du démarrage du service « Traps » (CyveraService). Vérifiez que vous disposez des privilèges suffisants. Causes possibles Dans les versions antérieures de Traps, la fonctionnalité de protection de service vous empêche de modifier ou d'altérer les fichiers système Traps. Solution Solution : Pourquoi ne puis-je pas mettre à niveau Traps ? Étape 1 Créez une règle d'action pour désactiver la protection de service (voir Gérer la protection de service). Étape 2 Vérifiez que vous pouvez installer ou désinstaller Traps. Étape 3 Supprimez la règle d'action (voir Enregistrer les règles). Advanced Endpoint Protection – Guide de l'administrateur 201 Résoudre les problèmes de Traps Dépannage Solution : Pourquoi ne puis-je pas mettre à niveau Traps ? (Suite) Étape 4 Essayez de mettre à niveau Traps. Pour un dépannage approfondi d'un problème lié au service Traps, consultez les journaux pour voir si Traps indique une erreur spécifique : • Depuis la console Traps, sélectionnez Open Log File. • Depuis la console Traps, sélectionnez Send Support File pour envoyer le journal au serveur ESM • Créez une règle d'action pour récupérer les journaux sur le point de terminaison (voir Gérer les données collectées par Traps). Étape 5 Si le problème persiste, contactez le support de Palo Alto Networks. Pourquoi Traps ne parvient pas à se connecter au serveur ESM ? Symptôme Traps ne parvient pas à communiquer avec le serveur ESM pour récupérer la dernière stratégie de sécurité et indique un état No connection to server!. Causes possibles Les spécifications du serveur ou du point de terminaison ne possèdent pas la configuration et les critères requis pour l'installation. Le service Traps est en panne sur le point de terminaison. Le service du noyau Endpoint Security Manager est en panne sur le serveur ESM. Le point de terminaison n'est pas connecté au réseau. Le trafic entrant n'est pas autorisé sur le port pour le serveur ESM (la valeur par défaut est 2125). Le pare-feu Windows est activé sur le serveur ESM et empêche le serveur de communiquer avec le client. Le certificat sur le point de terminaison ne correspond pas au certificat sur le serveur ESM (voir Comment puis-je résoudre une erreur de certification du serveur Traps ?). Solution Après chaque étape de la procédure suivante, vérifiez si Traps peut se connecter au serveur ESM en sélectionnant Check-in now. Si Traps ne parvient toujours pas à se connecter au serveur, assez à l'étape qui suit jusqu'à la résolution du problème. 202 Advanced Endpoint Protection – Guide de l'administrateur Dépannage Résoudre les problèmes de Traps Solution : Pourquoi Traps ne parvient pas à se connecter au serveur ESM ? Étape 1 Vérifiez que le serveur et le point de terminaison possèdent la configuration requise. Reportez-vous à la section Configuration requise. Étape 2 Vérifiez que le service Traps est exécuté sur le point de terminaison. 1. Ouvrez le gestionnaire de services : • Windows XP : Dans le menu Démarrer, sélectionnez Panneau de configuration > Outils d'administration > Services. • Windows Vista et versions supérieures : Dans le menu Démarrer, sélectionnez Panneau de configuration > Système et sécurité > Outils d'administration > Services. 2. Repérez le service Traps (appelé CyveraService dans les anciennes versions de Traps) et vérifiez que l'état du service est Démarré. 3. Si l'état du service est Arrêté, effectuez un double clic sur le service, puis sélectionnez Démarrer. Cliquez sur Fermer. Étape 3 Vérifiez que le service du noyau Endpoint 1. Security Manager est en cours d'exécution sur le serveur ESM. Ouvrez le gestionnaire de services : • Windows Server 2008 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Outils d'administration > Services. • Windows Server 2012 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Système et sécurité > Outils d'administration > Services. 2. repérez le service du noyau Endpoint Security Manager (appelé CyveraServer dans les anciennes versions de Endpoint Security Manager) et vérifiez que l'état du service est Démarré (Windows Server 2008) ou En cours d'exécution (Windows Server 2012). 3. Si l'état du service est Arrêté ou En pause, effectuez un double clic sur le service, puis sélectionnez Démarrer. Cliquez sur Fermer. Étape 4 Vérifiez que vous pouvez accéder au serveur ESM à partir du point de terminaison. Depuis le point de terminaison, ouvrez une invite de commandes et effectuez un ping sur l'adresse IP ou le nom d'hôte du serveur ESM. Si le serveur ESM est inaccessible, examinez les paramètres de connectivité réseau entre les dispositifs. Étape 5 Vérifiez que vous pouvez accéder au point de terminaison à partir du serveur ESM. Depuis le serveur ESM, ouvrez une invite de commandes et effectuez un ping sur l'adresse IP ou le nom d'hôte du point de terminaison. Si le point de terminaison est inaccessible, examinez les paramètres de connectivité réseau entre les dispositifs. Advanced Endpoint Protection – Guide de l'administrateur 203 Résoudre les problèmes de Traps Dépannage Solution : Pourquoi Traps ne parvient pas à se connecter au serveur ESM ? (Suite) Étape 6 Vérifiez que le port pour le serveur ESM 1. est ouvert sur le pare-feu Windows (la valeur par défaut est 2125). Pour contrôler l'accès au port à partir du point de terminaison : a. Ouvrez une invite de commandes en tant qu'administrateur. b. Saisissez la commande suivante sur le port telnet 2125 du serveur ESM : C:\>telnet <esmservername> 2125 où <esmservername> est le nom d'hôte ou l'adresse IP du serveur ESM. 2. Si vous ne parvenez pas à utiliser telnet sur le port 2125, créez une règle entrante pour ouvrir ce port : a. Ouvrez les paramètres avancés du pare-feu Windows : – Windows Server 2008 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Pare-feu Windows > Paramètres avancés. – Windows Server 2012 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Système et sécurité > Pare-feu Windows > Paramètres avancés. b. Sélectionnez Règles de trafic entrant. c. Créez une nouvelle règle pour autoriser Traps à communiquer avec Endpoint Security Managersur le port 2125 en sélectionnant l'assistant Nouvelle règle et en suivant les instructions pas à pas. Étape 7 Désactivez temporairement le pare-feu Windows. 3. Vérifiez que vous pouvez à présent utiliser telnet sur le port 2125 du serveur ESM à partir du point de terminaison. 1. Ouvrez Modifier les paramètres du Centre de maintenance : • Windows Server 2008 : Dans le menu Démarrer, sélectionnez Panneau de configuration. Effectuez un double clic sur Centre de maintenance et sélectionnez Modifier les paramètres du Centre de maintenance. • Windows Server 2012 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Système et sécurité. Effectuez un double clic sur Centre de maintenance et sélectionnez Modifier les paramètres du Centre de maintenance. Étape 8 Vérifiez que la connectivité est rétablie entre Traps et le serveur ESM. 204 2. Décochez l'option Pare-feu réseau. 3. Cliquez sur OK. Depuis la console Traps, cliquez sur Check-in now. Si la connectivité est établie, l'état de connexion indiqué est Successful. Advanced Endpoint Protection – Guide de l'administrateur Dépannage Résoudre les problèmes de Traps Solution : Pourquoi Traps ne parvient pas à se connecter au serveur ESM ? (Suite) Étape 9 Consultez les journaux pour voir si Traps • Depuis la console Traps, sélectionnez Open Log File. indique une erreur spécifique : • Depuis la console Traps, sélectionnez Send Support File pour envoyer le journal au serveur ESM • Créez une règle d'action pour récupérer les journaux sur le point de terminaison (voir Gérer les données collectées par Traps). Étape 10 Si le problème persiste, contactez l'assistance Palo Alto Networks. Comment puis-je résoudre une erreur de certification du serveur Traps ? Symptôme L'erreur suivant apparaît dans le services.log sur le point de terminaison. « Une erreur s'est produire durant la requête HTTP à https://<hostname>:2125/CyveraServer/. Cela pourrait être dû au fait que le certificat du serveur n'est pas configuré correctement avec HTTP.SYS dans le cas HTTPS. Elle pourrait être aussi causée par une disparité dans la liaison de sécurité entre le client et le serveur ». Causes possibles Lors de l'installation du logiciel du serveur ESM, les paramètres de configuration de certificat suivants sont disponibles : Aucun certificat (No SSL) et Certificat externe (SSL). Pour installer Traps, vous devez sélectionner SSL si vous avez sélectionné Certificat externe durant l'installation du logiciel serveur ESM ou No SSL si vous avez sélectionné Aucun certificat. La disparité dans les paramètres provoque l'erreur signalée au service.log. Solution Solution : Comment puis-je résoudre une erreur de certification du serveur Traps ? Étape 1 Réinstallez le logiciel Traps. Vérifiez les paramètres SSL pour le serveur ESM puis réinstallez Traps sur le point de terminaison en prenant soin de sélectionner le paramètre SSL approprié durant l'installation (voir Installer Traps sur le point de terminaison). Étape 2 Vérifiez que l'erreur n'apparaît pas dans le Depuis la console Traps, sélectionnez Open Log File, ou ouvrez journal. services.log sur le point de terminaison et examinez toutes les erreurs récentes. Si l'erreur de certificat du serveur persiste, contactez l'assistance Palo Alto Networks. Advanced Endpoint Protection – Guide de l'administrateur 205 Résoudre les problèmes de la console ESM Dépannage Résoudre les problèmes de la console ESM Ce sujet traite des problèmes suivants liés à la console Endpoint Security Manager (ESM) : Pourquoi m'est-il impossible d'ouvrir une session sur la console ESM ? Pourquoi est-que j'obtiens une erreur du serveur au lancement de la console ESM ? Pourquoi tous les points de terminaison apparaissent déconnectés dans la console ESM ? Pourquoi m'est-il impossible d'ouvrir une session sur la console ESM ? Symptôme La console Endpoint Security Manager (ESM) affiche un message d'erreur indiquant que le nom d'utilisateur ou le mot de passe sont invalides. Causes possibles Le nom d'utilisateur ou le mot de passe n'ont pas été saisis correctement. L'utilisateur spécifié durant l'installation initiale ne dispose pas de privilèges de propriétaire de base de données. L'utilisateur n'a pas été ajoutés en tant qu'administrateur. L'utilisateur ayant installé le serveur n'était pas un administrateur local sur le serveur. Solution Solution : Pourquoi m'est-il impossible d'ouvrir une session sur la console ESM ? Étape 1 Vérifiez que vous avez saisi le nom d'utilisateur et le mot de passe corrects. Étape 2 Vérifiez que l'utilisateur possède des privilèges de propriétaire de base de données (voir Configurer la base de données du serveur MS-SQL). 206 Advanced Endpoint Protection – Guide de l'administrateur Dépannage Résoudre les problèmes de la console ESM Solution : Pourquoi m'est-il impossible d'ouvrir une session sur la console ESM ? Étape 3 Ouvrez une session en tant qu'administrateur et vérifiez que le mode d'authentification est correct et que le compte utilisateur apparaît sur la page Gestion utilisateur. Pour ajouter un nouvel utilisateur administrateur, voir Configuration de l'accès administrateur à Endpoint Security Manager en utilisant la console ESM. En alternative, vous pouvez ajouter l'administrateur en utilisant l'outil de configuration de base de données (voir Configuration de l'accès administrateur à Endpoint Security Manager en utilisant l'outil de configuration de base de données). Étape 4 Si vous ne pouvez pas ouvrir une session en tant qu'administrateur, réinstallez Endpoint Security Manager en tant qu'administrateur local. Étape 5 Redémarrez IIS : Cliquez sur Démarrer > Exécuter, saisissez IISReset, puis cliquez sur OK. Étape 6 Vérifiez que vous pouvez ouvrir une session sur la console Endpoint Security Manager en utilisant le compte. Si le problème persiste, contactez le support de Palo Alto Networks. Pourquoi est-que j'obtiens une erreur du serveur au lancement de la console ESM ? Symptôme Lors de l'ouverture de la console Endpoint Security Manager (ESM), vous recevez une erreur dans le navigateur indiquant une Erreur du serveur dans l'application /CyveraManagement ou /EndpointSecurityManager. Causes possibles Le serveur ne possède pas la configuration requis pour .NET Framework 4.0 avec le correctif KB2468871. Solution Installez .NET Framework 4.0 et le correctif KB2468871. Advanced Endpoint Protection – Guide de l'administrateur 207 Résoudre les problèmes de la console ESM Dépannage Pourquoi tous les points de terminaison apparaissent déconnectés dans la console ESM ? Symptôme La page Health de la console Endpoint Security Manager (ESM) signale que tous les points de terminaison sont déconnectés même si le point de terminaison peut accéder au serveur ESM. Causes possibles Le serveur ESM ne possède pas la configuration requise. Le service du noyau Endpoint Security Manager est arrêté et doit être redémarré. Cela se produit si vous attendez plus d'une heure avant d'installer la clé de licence après l'installation initiale du logiciel de la console ESM. Le trafic entrant n'est pas autorisé sur le port associé au serveur ESM (la valeur par défaut est 2125). Solution Après chaque étape de la procédure suivante, vérifiez si Traps peut se connecter au serveur ESM en sélectionnant Check-in now. Si Traps ne parvient toujours pas à se connecter au serveur, assez à l'étape qui suit jusqu'à la résolution du problème. Solution : Pourquoi tous les points de terminaison apparaissent déconnectés dans la console ESM ? Étape 1 Vérifiez que le serveur possède Reportez-vous à la section Configuration requise pour installer le serveur la configuration requise. ESM. Étape 2 Vérifiez que le service Traps est 1. exécuté sur le point de terminaison. Ouvrez le gestionnaire de services : • Windows XP : Dans le menu Démarrer, sélectionnez Panneau de configuration > Outils d'administration > Services. • Windows Vista et versions supérieures : Dans le menu Démarrer, sélectionnez Panneau de configuration > Système et sécurité > Outils d'administration > Services. 208 2. Repérez le service Traps (appelé CyveraService dans les anciennes versions de Traps) et vérifiez que l'état du service est Démarré. 3. Si l'état du service est Arrêté, effectuez un double clic sur le service, puis sélectionnez Démarrer. Cliquez sur Fermer. Advanced Endpoint Protection – Guide de l'administrateur Dépannage Résoudre les problèmes de la console ESM Solution : Pourquoi tous les points de terminaison apparaissent déconnectés dans la console ESM ? (Suite) Étape 3 Vérifiez que le service du noyau 1. Endpoint Security Manager est en cours d'exécution sur le serveur ESM. Ouvrez le gestionnaire de services : • Windows Server 2008 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Outils d'administration > Services. • Windows Server 2012 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Système et sécurité > Outils d'administration > Services. 2. repérez le service du noyau Endpoint Security Manager (appelé CyveraServer dans les anciennes versions de Endpoint Security Manager) et vérifiez que l'état du service est Démarré (Windows Server 2008) ou En cours d'exécution (Windows Server 2012). 3. Si l'état du service est Arrêté ou En pause, effectuez un double clic sur le service, puis sélectionnez Démarrer. Cliquez sur Fermer. 1. Étape 4 Vérifiez que le port pour le serveur ESM est ouvert sur le pare-feu Windows (la valeur par défaut est 2125). Pour contrôler l'accès au port à partir du point de terminaison : a. Ouvrez une invite de commandes en tant qu'administrateur. b. Saisissez la commande suivante sur le port telnet 2125 du serveur ESM : C:\>telnet <esmservername> 2125 où <esmservername> est le nom d'hôte ou l'adresse IP du serveur ESM. 2. Si vous ne parvenez pas à utiliser telnet sur le port 2125, créez une règle entrante pour ouvrir ce port : a. Ouvrez les paramètres avancés du pare-feu Windows : – Windows Server 2008 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Pare-feu Windows > Paramètres avancés. – Windows Server 2012 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Système et sécurité > Pare-feu Windows > Paramètres avancés. b. Sélectionnez Règles de trafic entrant. c. Créez une nouvelle règle pour autoriser Traps à communiquer avec Endpoint Security Managersur le port 2125 en sélectionnant l'assistant Nouvelle règle et en suivant les instructions pas à pas. 3. Vérifiez que vous pouvez à présent utiliser telnet sur le port 2125 du serveur ESM à partir du point de terminaison. Advanced Endpoint Protection – Guide de l'administrateur 209 Résoudre les problèmes de la console ESM Dépannage Solution : Pourquoi tous les points de terminaison apparaissent déconnectés dans la console ESM ? (Suite) Étape 5 Désactivez temporairement le pare-feu Windows. 1. Ouvrez Modifier les paramètres du Centre de maintenance : • Windows Server 2008 : Dans le menu Démarrer, sélectionnez Panneau de configuration. Effectuez un double clic sur Centre de maintenance et sélectionnez Modifier les paramètres du Centre de maintenance. • Windows Server 2012 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Système et sécurité. Effectuez un double clic sur Centre de maintenance et sélectionnez Modifier les paramètres du Centre de maintenance. 2. Décochez l'option Pare-feu réseau. 3. Cliquez sur OK. Étape 6 Vérifiez que la connectivité est Depuis la console Traps, cliquez sur Check-in now. Si la connectivité est établie, rétablie entre Traps et le serveur l'état de connexion indiqué est Successful. Si le problème persiste, contactez le ESM. support de Palo Alto Networks. 210 Advanced Endpoint Protection – Guide de l'administrateur