Advanced Endpoint Protection Administrator`s Guide Version 3.2

Transcription

Palo Alto Networks®
Advanced Endpoint Protection – Guide de l'administrateur
Version 3.2
Informations de contact
Siège social :
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
À propos de ce guide
Ce guide décrit l'installation initiale et la configuration de base des composants
de Palo Alto Networks Advanced Endpoint Protection qui incluent Endpoint
Security Manager (ESM) et Traps. Les sujets abordés incluent les configurations
requises, les meilleures pratiques et les procédures pour l'installation et la gestion
de Traps sur les points de terminaison de votre organisation.
Pour plus d'informations, consultez les sources suivantes :

https://paloaltonetworks.com/documentation— Site de documentation de
publication techniques.

https://live.paloaltonetworks.com— Pour l'accès à la base de connaissances,
à l'ensemble de la documentation complète, aux forums de discussion et aux
vidéos.

https://support.paloaltonetworks.com— Pour contacter l'assistance, pour
plus d'informations sur les programmes d'assistance ou pour gérer votre
compte ou vos machines.

https://support.paloaltonetworks.com/Updates/SoftwareUpdates— Pour
les dernières notes de publication, accédez à la page Software Updates sur

Pour nous communiquer vos remarques sur la documentation, écrivez-nous
à l'adresse : [email protected]
Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2015 Palo Alto Networks. Tous droits réservés.
Palo Alto Networks et PAN-OS sont des marques commerciales de Palo Alto
Networks, Inc.
Date de révision : mai 29, 2015
Sommaire
Vue d'ensemble d'Advanced Endpoint Protection . . . . . . . . . . . . . . . . . . . . . .1
Vue d'ensemble d'Advanced Endpoint Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Prévention d'attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Prévention contre les logiciels malveillants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Composants d'Advanced Endpoint Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Console Endpoint Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Serveur Endpoint Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Base de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Points de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Plate-forme de journalisation externe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Dossier d'investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Scénarios de déploiement pour Advanced Endpoint Protection . . . . . . . . . . 11
Déploiement autonome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Composants du déploiement autonome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Exigences du déploiement autonome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Petits déploiements. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Déploiement sur petit site individuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Déploiement sur petit site multiple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Grands déploiements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Déploiement sur grand site individuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Grand déploiement sur site multiple avec un Endpoint Security Manager . . . . . . . . . . . . . . . . . . . . . . 18
Grand déploiement sur site multiple avec plusieurs Endpoint Security Manager . . . . . . . . . . . . . . . . . 19
Grand déploiement de site multiple avec agents itinérants (sans VPN). . . . . . . . . . . . . . . . . . . . . . . . . 20
Grand déploiement de site multiple avec agents itinérants (avec VPN) . . . . . . . . . . . . . . . . . . . . . . . . 22
Configuration requise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Configuration requise pour installer le serveur ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Configuration requise pour installer Traps sur un point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Configuration de l'infrastructure Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Configuration de l'infrastructure du point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Mettre à niveau l'infrastructure du point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Configurer Endpoint Security Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Considérations pour l'installation de l'infrastructure du point de terminaison . . . . . . . . . . . . . . . . . . . 32
Activer les services web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Configurer SSL sur la console ESM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Configurer la base de données du serveur MS-SQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Installer le logiciel du serveur Endpoint Security Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Installer le logiciel de la console Endpoint Security Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
iii
Charger les stratégies de sécurité de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Configuration des points de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Étapes du déploiement de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Considérations pour l'installation de Traps. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Installer Traps sur le point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Installer Traps sur le point de terminaison en utilisant Msiexec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
44
44
45
45
46
Vérifier une installation réussie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Vérifier la connectivité à partir du point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Vérifier la connectivité à partir de la console ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Administrer le serveur ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Gérer plusieurs serveurs ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exigences du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gérer les serveurs ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
52
52
52
53
Gérer les licences Endpoint Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Gérer les licences Endpoint Security Manager en utilisant la console ESM . . . . . . . . . . . . . . . . . . . . . 54
Gérer les licences Endpoint Security Manager en utilisant l'outil de configuration de base de données.
55
Configurer un accès administratif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Configuration de l'accès administrateur à Endpoint Security Manager en utilisant la console ESM . . 56
Configuration de l'accès administrateur à Endpoint Security Manager en utilisant l'outil de configuration
de base de données57
Modifier le mot de passe du mode ninja en utilisant l'outil de configuration de base de données . . . 58
Exporter et importer les fichiers de stratégie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Prise en main des règles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Vue d'ensemble des règles de stratégie du point de terminaison. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Types de règle de stratégie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Application de la stratégie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Composants et actions communs des règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Conditions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Objets cibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Nommer ou renommer une règle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Enregistrer les règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gérer les règles enregistrées. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Désactiver ou activer toutes les règles de protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
64
64
65
66
66
67
67
Prévention d'attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Gérer les processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protection des processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ajouter un processus Protégé, Provisoire ou Non protégé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Importer ou exporter un processus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Afficher, modifier ou supprimer un processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Afficher les processus actuellement protégés par Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
70
71
72
73
73
74
Gérer les règles de prévention d'attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Règles de prévention d'attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
iv
Stratégie de prévention d'attaque par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Créer une règle de prévention d'attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Exclure un point de terminaison d'une règle de prévention d'attaque . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Prévention contre les logiciels malveillants . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Flux de prévention contre les logiciels malveillants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Phase 1 : Évaluation des stratégies de restriction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Phase 2 : Évaluation des verdicts d'empreinte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Phase 3 : Évaluation des stratégies de prévention contre les logiciels malveillants . . . . . . . . . . . . . . . . 89
Phase 4 : Gestion de verdict . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Gérer les restrictions sur les exécutables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Règles de restriction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Ajouter une nouvelle règle de restriction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Gérer les listes blanches globales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Dossiers locaux en liste noire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Dossiers réseau en liste blanche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Définir les restrictions et exemptions pour les supports externes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Définir les restrictions et exemptions pour les processus enfants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Définir les restrictions et exemptions pour Java . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Définir les restrictions et exemptions pour les exécutables sans signature . . . . . . . . . . . . . . . . . . . . . 101
Gérer les règles et paramètres WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Activation de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Règles WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Configurer une règle WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Gérer les empreintes d'exécutable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Consulter et rechercher les empreintes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Exporter et importer des empreintes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Affichage des rapports WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Substituer une décision de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Révoquer une décision de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Charger un fichier sur WildFire pour l'analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Gérer les règles de prévention contre les logiciels malveillants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Règles de prévention contre les logiciels malveillants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Configurer la protection d'injection de thread. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Configurer la protection de surveillance de suspension . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Gérer les points de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119
Gérer les règles d'action Traps. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Règles d'action Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Ajouter une nouvelle règle d'action . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Gérer les données collectées par Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Éteindre ou suspendre la protection EPM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Désinstaller ou mettre à niveau Traps sur le point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Mettre à jour ou révoquer la licence Traps sur le point de terminaison. . . . . . . . . . . . . . . . . . . . . . . . 126
Gérer les règles de paramètres d'agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Règles de paramètres d'agent Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Ajouter une nouvelle règle de paramètres d'agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Définir les préférences de journalisation d'évènement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
v
Masquer ou limiter l'accès à la console Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Définir les paramètres de communication entre le point de terminaison et le serveur ESM . . . . . . .
Collecter les informations sur les nouveaux processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gérer la protection de service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Modifier le mot de passe de désinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Créer un message de prévention personnalisé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Créer un message de notification personnalisé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
132
133
134
135
137
138
139
Investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Aperçu de l'investigation numérique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Flux d'investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Types de données d'investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Gérer les règles et paramètres d'investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Règles d'investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Modifier le dossier d'investigation numérique par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Créer une règle d'investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Définir les préférences de vidage mémoire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Définir les préférence de collecte d'investigation numérique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Récupérer les données concernant un évènement de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
145
145
145
147
149
150
151
Activer la collecte d'URI dans Chrome. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Installer l'extension Chrome sur le point de terminaison. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Installer l'extension Chrome en utilisant GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Rapports et journalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Entretien des points de terminaison et de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Utilisez le tableau de bord Endpoint Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Surveillance des évènement de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
Utiliser le tableau de bord Security Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
Affichage de l'historique d'évènement de sécurité sur un point de terminaison . . . . . . . . . . . . . . . . . 164
Surveiller la santé des points de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Afficher les détails de santé du point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Afficher les détails d'état de Traps. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Affichage de l'historique des règles sur un point de terminaison. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Afficher les modifications à la stratégie de sécurité du point de terminaison . . . . . . . . . . . . . . . . . . .
Affichage de l'historique d'état du service sur un point de terminaison . . . . . . . . . . . . . . . . . . . . . . .
Supprimer un point de terminaison de la page Health . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
166
166
167
168
169
170
170
Surveiller les règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Affichage du récapitulatif de la règle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Afficher les détails des règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Surveiller l'extraction d'investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Surveiller les notifications de l'agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Afficher les notifications sur les modification d'état de l'agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Afficher les détails sur le journal de l'agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Surveiller les notifications du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Afficher les notifications concernant le serveur ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Afficher les détails des journaux du serveur ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Gérer les préférences de création de rapport et de journalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
vi
Activer la création de rapport externe en utilisant la console ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Activer la création de rapport externe en utilisant l'outil de configuration de base de données . . . . . 179
Définir les paramètres de communication en utilisant la console ESM . . . . . . . . . . . . . . . . . . . . . . . . 180
Définir les paramètres de communication en utilisant l'outil de configuration de base de données . 181
Dépannage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Ressources de dépannage pour Advanced Endpoint Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Outil de configuration de base de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Accéder à l'outil de configuration de base de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Cytool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
Accéder à Cytool. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
Afficher les processus actuellement protégés par Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
Gérer les paramètres de protection sur le point de terminaison. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Gérer les pilotes et services Traps sur le point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
Afficher et comparer les stratégies de sécurité sur un point de terminaison . . . . . . . . . . . . . . . . . . . . 197
Résoudre les problèmes de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
Pourquoi ne puis-je pas installer Traps ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
Pourquoi ne puis-je pas mettre à niveau ou désinstaller Traps ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
Pourquoi Traps ne parvient pas à se connecter au serveur ESM ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Comment puis-je résoudre une erreur de certification du serveur Traps ? . . . . . . . . . . . . . . . . . . . . . 205
Résoudre les problèmes de la console ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
Pourquoi m'est-il impossible d'ouvrir une session sur la console ESM ?. . . . . . . . . . . . . . . . . . . . . . . 206
Pourquoi est-que j'obtiens une erreur du serveur au lancement de la console ESM ? . . . . . . . . . . . . 207
Pourquoi tous les points de terminaison apparaissent déconnectés dans la console ESM ?. . . . . . . . 208
vii
viii
Vue d'ensemble d'Advanced Endpoint
Protection
Advanced Endpoint Protection est une solution qui empêche les menaces persistantes avancées (APTs) et les
attaques au jour zéro et permet la protection de vos points de terminaison en bloquant les vecteurs d'attaque
avant tout lancement de logiciel malveillant.
Pour obtenir la documentation la plus récente sur Advanced Endpoint Protection version 3.2,
visitez la page Advanced Endpoint Protection Documentation sur le portail de documentation
technique.
Les sujets suivants décrivent plus en détails Advanced Endpoint Protection :

Vue d'ensemble d'Advanced Endpoint Protection

Composants d'Advanced Endpoint Protection
1
Les cyber-attaques sont des attaques effectuées sur des réseaux ou points de terminaison pour infliger des
dommages, voler des informations ou parvenir à d'autres fins qui impliquent la prise de contrôle sur des
systèmes informatiques qui appartiennent à d'autres personnes. Les adversaires perpètrent les cyber-attaques
soit en causant l'exécution involontaire d'un exécutable malicieux par un utilisateur, soit en exploitant une faille
dans un exécutable légitime afin d'exécuter un code malicieux en arrière-plan sans que l'utilisateur n'en soit
conscient.
L'une des manière d'éviter ces attaques est d'identifier les exécutables, les bibliothèques de liens dynamiques
(DLL) ou d'autres éléments de code en tant qu'éléments malicieux, puis d'empêcher leur exécution en testant
chaque module dont le code est potentiellement malicieux avec une liste spécifique de signatures de menaces
connues. Le point faible de cette méthode est que les solutions basées sur signature mettent du temps à identifier
les nouvelles menaces connues uniquement du pirate (également appelée attaques au jour zéro ou exploitations)
et à les ajouter aux listes des menaces connues, laissant le point de terminaison vulnérable jusqu'à la mise à jour
des signatures.
La solution Advanced Endpoint Protection, qui comprend un logiciel centralisé Endpoint Security Manager et
un logiciel de protection de point de terminaison appelé Traps, rend plus efficace l'approche pour prévenir les
attaques. Au lieu de tenter de suivre le rythme d'une liste de menaces connues en croissance perpétuelle, Traps
établit une série de barrages routiers qui empêchent les attaques dès leurs points d'entrée initiaux, lorsque les
exécutables légitimes sont sur le point de laisser inconsciemment un accès malicieux au système.
Traps cible les vulnérabilités des logiciels dans les processus qui ouvrent des fichiers non exécutables en utilisant
les techniques de prévention d'attaque. Traps utilise également des techniques de prévention contre les logiciels
malveillants pour empêcher l'exécution de fichiers exécutables malicieux. En utilisant cette double approche, la
solution Advanced Endpoint Protection peut empêcher tous les types d'attaques, qu'il s'agisse de menaces
connues ou inconnues.
Tous les aspects des paramètres de sécurité du point de terminaison — les points de terminaison et groupes
auxquels ils sont appliqués, les applications qu'ils protègent, les règles définies, les restrictions et les actions —
peuvent être configurés de manière approfondie. Cela permet à chaque organisation d'adapter Traps à ces
exigences afin qu'il fournisse la meilleure protection avec le moins de perturbation possible des activités
quotidiennes.

Prévention d'attaque

Prévention contre les logiciels malveillants
Une attaque est une séquence de commandes qui profite d'un bogue ou d'une vulnérabilité dans une application
logicielle ou un processus. Les pirates utilisent les attaques comme moyen d'accès et utilisent un système à leur
avantage. Pour prendre le contrôle d'un système, le pirate doit contourner une chaîne de vulnérabilités au sein
du système. Le blocage de toute tentative d'exploiter une vulnérabilité dans la chaîne bloquera totalement la
tentation d'attaque.
Dans un scénario d'attaque type, un pirate tente de prendre le contrôle d'un système en essayant d'abord de
corrompre ou de contourner l'allocation mémoire ou les gestionnaires. L'utilisation de techniques de corruption
de mémoire comme les dépassements de tampon et la corruption du tas, le pirate peut ensuite déclencher un
2
bogue dans un logiciel ou exploiter une vulnérabilité dans un processus. Le pirate doit ensuite manipuler un
programme pour exécuter le code fourni ou spécifié par le pirate et échapper à la détection. Si le pirate obtient
l'accès au système d'exploitation, il peut ensuite charge des chevaux de Troie, des logiciels malveillants contenant
des exécutables malicieux, ou utiliser d'une autre manière le système à son avantage.
Traps empêche ces tentatives d'attaque en employant des barrages routiers ou trappes à chaque étape de la
tentative d'exploitation.
Lorsqu'un utilisateur ouvre un fichier non exécutable, comme un PDF ou un document Word, l'agent Traps
injecte de manière transparente des pilotes dans le logiciel qui ouvre le fichier. Les pilotes sont injectés le plus
tôt possible avant le chargement en mémoire de tout fichier appartenant au processus. Si le processus qui ouvre
le fichier est protégé, Traps un module de code appelé une module de prévention d'attaque (EPM) dans le processus.
L'EPM cible une technique d'exploitation spécifique et il est conçu pour éviter les attaques sur les vulnérabilités
du programme basées sur la corruption de mémoire ou des failles logiques.
Les exemples d'attaques que les EPM peuvent prévenir incluent le détournement de bibliothèque de liens
dynamiques (DLL) (remplacement d'une DLL par une DLL malicieuse du même nom), le détournement du
flux de contrôle d'un programme, et l'introduction de code malicieux en tant que gestionnaire d'exception.
En plus de la protection automatique des processus contre ces attaques, Traps signale tous les évènements de
prévention à Endpoint Security Manager et effectue des actions supplémentaires en fonction des paramètres des
règles de stratégie. Les actions courantes qu'effectue Traps incluent la collecte de données d'investigation
numérique et l'avertissement de l'utilisateur à propos de l'évènement. Traps n'effectue aucune action d'analyse
ou de surveillance supplémentaire.
La stratégie de sécurité par défaut du point de terminaison protège les applications les plus vulnérables et les
plus couramment utilisées, mais vous pouvez aussi ajouter d'autres applications de tiers et propriétaires à la liste
des processus protégés. Pour plus d'informations, consultez la section Ajouter un processus Protégé, Provisoire
ou Non protégé.
Pour plus d'informations, consultez la section Règles de prévention d'attaque.
Les fichiers exécutables malicieux, appelés logiciels malveillants, sont souvent déguisés ou intégrés dans des
fichiers non malicieux. Ces fichiers, parfois appelés chevaux de Troie, peuvent nuire aux ordinateurs en tenant
d'obtenir le contrôle, de rassembler des informations sensibles ou de perturber les opérations normales du
système.
3
Pour protéger les points de terminaison contre les fichiers exécutables malicieux, Traps emploie le moteur de
prévention contre les logiciels malveillants comme autre type de barrage routier de sécurité. Le moteur de prévention
contre les logiciels malveillants utilise une combinaison de restrictions basées sur la stratégie, de modules de
prévention contre les logiciels malveillants et d'analyse WildFire pour limiter la surface d'une attaque et contrôler
la source d'installation du fichier, par exemple à partir d'un support externe. Le moteur de prévention contre les
logiciels malveillants utilise également des mitigations basées sur la technique qui limitent ou bloquent les
processus enfants, les processus Java lancé dans les navigateurs web, la création de threads et processus distants
et l'exécution des processus sans signature.
Lorsqu'un évènement de sécurité se produit, les actions courantes effectuées par Traps incluent la prévention
de l'exécution du fichier, la collecte de données d'investigation numérique et la notification de l'utilisateur à
propos de l'évènement. Traps n'effectue aucune action d'analyse ou de surveillance supplémentaire.
Pour plus d'informations, voir Flux de prévention contre les logiciels malveillants.
4
La solution Advanced Endpoint Protection utilise un Endpoint Security Manager centralisé (ESM) comprenant
une console ESM, une base de données et un serveur ESM pour gérer les règles de stratégie et distribuer la
stratégie de sécurité aux points de terminaison dans votre organisation. Les composants Endpoint Security
Manager communiquent avec le logiciel de protection, appelé Traps, qui est installé sur chaque point de
terminaison de votre organisation. Le diagramme suivant présente les composants d'Advanced Endpoint
Protection.
Les sujets suivants décrivent les éléments plus en détails.

Console Endpoint Security Manager

Serveur Endpoint Security Manager

Base de données

Points de terminaison

Traps

Plate-forme de journalisation externe

WildFire

Dossier d'investigation numérique
5
Console Endpoint Security Manager
La console Endpoint Security Manager (ESM) est une interface web qui fournit un tableau de bord
d'administration pour la gestion des évènements de sécurité, de la santé des points de terminaison et des règles
de stratégie. Vous pouvez installer l'interface web sur le même serveur que le serveur ESM, sur un serveur à part
ou sur un serveur sur le nuage. La console ESM communique avec la base de données indépendamment du
serveur ESM.
Serveur Endpoint Security Manager
Chaque serveur Endpoint Security Manager (ESM) fait office de serveur de connexion qui relaie les
informations entre les composants ESM, Traps et WildFire. Chaque serveur ESM prend en charge jusqu'à
50 000 agents Traps. Le serveur ESM récupère régulièrement la stratégie de sécurité dans la base de données et
la distribue à tous les agents Traps. Chaque agent Traps relaie les informations liées aux évènements de sécurité
au serveur ESM. Le tableau suivant affiche les types de messages que l'agent Traps envoie au serveur ESM :
Type de message
Description
État de Traps
L'agent Traps envoie périodiquement des messages au serveur ESM pour indiquer qu'il
est opérationnel et pour demander la dernière stratégie de sécurité. Les pages
Notification et Health dans Endpoint Security Manager affichent l'état de chaque point
de terminaison. Par défaut, la durée entre les messages, appelée période de pulsation,
est de cinq minutes ; la période de pulsation peut être configurée.
Notifications
L'agent Traps envoie des messages de notification concernant les modifications dans
l'agent, comme le démarrage ou l'arrêt d'un service, au serveur ESM. Le serveur inscrit
ces notifications dans le journal de la base de données. Vous pouvez consulter les
notifications dans Endpoint Security Manager. Par défaut, Traps envoie des
notifications toutes les deux heures.
Messages de mise à jour
Un utilisateur final peut demander une mise à jour immédiate de la stratégie en cliquant
sur le bouton Check-in now de la console Traps. L'agent Traps est ainsi forcé de
demander la dernière stratégie de sécurité au serveur ESM sans attendre la fin de la
période de pulsation.
Rapports de prévention
Si un évènement de prévention se produit sur un point de terminaison où l'agent Traps
est installé, l'agent Traps signale toutes les informations relatives à l'évènement au
serveur ESM en temps réel.
Base de données
La base de données stocke les informations d'administration, les règles de stratégie de sécurité, l'historique du
point de terminaison et d'autres informations relatives aux évènements de sécurité. La base de données est gérée
sur la plate-forme MS-SQL. Chaque base de données exige une licence et peut communiquer avec un ou
plusieurs serveur ESM. La base de données peut être installée sur le même serveur que la console ESM et le
serveur ESM, comme dans un environnement autonome, ou peut être installée sur un serveur dédié.
6
Durant la page de preuve de concept, la base de données SQLite est également prise en charge.
Points de terminaison
Un point de terminaison est un ordinateur sous Windows, un serveur, une machine virtuelle ou un dispositif
mobile exécutant l'application de protection côté client appelée Traps. Pour la configuration requise, voir
Configuration requise pour installer Traps sur un point de terminaison.
Traps
Traps comprend une console qui fournit une application d'interface utilisateur, un agent qui protège le point de
terminaison et communiquer avec le serveur ESM, et le service qui collecte les données d'investigation
numérique.
L'agent Traps protège le point de terminaison en implémentant la stratégie de sécurité définie pour
l'organisation dans Endpoint Security Manager. Lorsqu'un utilisateur créé ou ouvre un processus protégé sur le
point de terminaison, l'agent Traps injecte ses pilotes dans le processus le plus tôt possible, avant le chargement
en mémoire des fichiers du processus. L'agent protège également le logiciel Traps contre la désactivation ou la
désinstallation.
Si l'agent Traps rencontre un évènement de prévention, le service Traps collecte les informations d'investigation
numérique et transmet les données liées à l'évènement à Endpoint Security Manager. Le service Traps est aussi
responsable de la communication régulière des informations d'état relatives au point de terminaison.
La console Traps affiche des informations sur les processus protégés, l'historique des évènements et la stratégie
de sécurité actuelle. Habituellement, les utilisateurs n'ont pas besoin d'exécuter la console Traps, mais les
informations peuvent être utiles lors de l'enquête sur un évènement lié à la sécurité. Vous pouvez choisir de
masquer l'icône de la zone de notification qui permet de lancer la console ou d'empêcher totalement les
utilisateurs de la lancer. Pour plus d'informations, consultez la section Masquer ou limiter l'accès à la console
Traps.
7
Plate-forme de journalisation externe
La spécification d'une plate-forme de journalisation externe permet un affichage agrégé des journaux de tous
les serveurs ESM. Endpoint Security Manager peut écrire les journaux sur une plate-forme de journalisation
externe, comme la gestion d'informations et d'évènements de sécurité (SIEM), les contrôles d'organisation de
service (SOC) ou le journal système (syslog), en plus du stockage interne de ses journaux. Vous pouvez aussi
intégrer votre serveur syslog à des outils de suivi tiers comme Splunk pour analyser les données du journal.
Téléchargez l'application Splunk pour Palo Alto Networks à l'adresse https://apps.splunk.com/app/491/.
Pour ajouter une plate-forme de journalisation externe, voir Activer la création de rapport externe en utilisant
la console ESM.
WildFire
L'agent Traps est conçu pour bloquer les attaques avant l'exécution de tout code malicieux sur le point de
terminaison. Tandis que cette approche garantit la sécurité des données et de l'infrastructure, elle permet la
collecte des preuves d'investigation numérique au moment de la prévention. Ainsi, elle ne peut pas révéler
complètement le but de l'attaque ni son flux complet.
Le service WildFire est un système d'analyse post-prévention en option qui effectue l'analyse d'investigation
numérique des fichiers malicieux. L'activation de l'intégration WildFire permet à Traps de créer une empreinte
de fichier à partir d'un fichier exécutable et de la contrôler avec le nuage WildFire ou une machine WildFire
locale. Si WildFire confirme que le fichier est un logiciel malveillant connu, l'agent Traps bloque le fichier pour
les futures expositions et et avertit Endpoint Security Manager.
Lorsque WildFire détecte un nouveau logiciel malveillant, il génère une nouvelle signature dans l'heure qui suit.
Les pare-feu Palo Alto Networks de future génération dotés d'un abonnement WildFire peuvent recevoir les
nouvelles signatures dans un délai de 15 minutes ; les pare-feu qui sont seulement dotés de l'abonnement à la
prévention des menaces peuvent recevoir les nouvelles signatures lors de la mise à jour suivante de la signature
antivirus, soit dans un délai de 24-48 heures.
Si l'intégration WildFire est activée dans la console ESM, la page Status de la console Traps affiche
à côté
de Forensic Data Collection. Si WildFire n'est pas activé, la console Traps affiche
à côté de Forensic Data
Collection.
Pour plus d'informations, voir Activation de WildFire et Flux de prévention contre les logiciels malveillants.
8
Dossier d'investigation numérique
Lorsque Traps rencontre un évènement lié à la sécurité, comme l'exécution d'un fichier, l'interférence avec le
service Traps ou une attaque par exploitation, il inscrit en temps réel dans le journal les détails d'investigation
numérique relatifs à l'évènement sur le point de terminaison. Les données d'investigation numérique incluent
l'historique d'évènement, le vidage mémoire et d'autres informations associées à l'évènement. Vous pouvez
récupérer les données d'investigation numérique en créant une règle d'action pour collecter les données à partir
du point de terminaison. Lorsque le point de terminaison a reçu la stratégie de sécurité qui inclut la règle
d'action, l'agent Traps envoie toutes les informations d'investigation numérique au dossier d'investigation
numérique, qui est parfois appelé dossier de quarantaine.
Durant l'installation initiale, vous spécifiez le chemin du dossier d'investigation numérique que Endpoint
Security Manager utilise pour stocker les informations d'investigation numérique qu'il récupère des points de
terminaison. Endpoint Security Manager prend en charge plusieurs dossiers d'investigation numérique dans
Advanced Endpoint Protection 3.2 ou supérieur et active le service de transfert intelligent en arrière-plan (BITS)
(BITS) sur le dossier durant l'installation. Si le dossier d'investigation numérique spécifié durant l'installation
n'est pas accessible, Traps utilise par défaut le dossier d'investigation numérique spécifié dans la console ESM.
Vous pouvez modifier le dossier par défaut à tout moment en utilisant Endpoint Security Manager.
9
10
Scénarios de déploiement pour
Advanced Endpoint Protection
Vous pouvez déployer la solution Advanced Endpoint Protection dans une vaste gamme d'environnements. Les
sujets suivants décrivent les scénarios types de déploiement qui tiennent compte du nombre d'agents et de sites :

Déploiement autonome

Petits déploiements

Grands déploiements
Pour les configurations requises et les considérations d'installation, voir Configuration requise.
11
Scénarios de déploiement pour Advanced Endpoint Protection

Composants du déploiement autonome

Exigences du déploiement autonome
Composants du déploiement autonome
Pour une preuve de concept (POC) initiale ou un petit site avec moins de 250 agents Traps, utilisez un
déploiement autonome pour installer les composants Endpoint Security Manager (ESM) suivants sur un serveur
individuel ou une machine virtuelle :

Serveur ESM

Console ESM

Dossier d'investigation numérique (quarantaine)

Base de données

Équilibreur de charge (en option) pour la répartition du trafic sur les serveurs ESM

Plateforme de journalisation externe, par ex. SIEM ou syslog

Intégration WildFire (en option)
Pour les meilleures pratiques sur l'utilisation d'une approche par phases pour l'installation de Traps sur les points
de terminaison, voir Étapes du déploiement de Traps.
Exigences du déploiement autonome
Le tableau suivant indique les exigences pour le serveur autonome.
12
Configuration requise
Valeur
Processeur
Pentium 4 et supérieur
Mémoire
512 Mo de RAM
Espace disque
100 Mo
Application base de données
SQLite (POC uniquement) ou MS-SQL
Pour les exigences de Traps, voir Configuration requise pour installer Traps sur un point de terminaison.
13

Déploiement sur petit site individuel

Déploiement sur petit site multiple
Déploiement sur petit site individuel
Ce scénario de développement prend en charge jusqu'à 50 000 agents Traps au sein d'un environnement de site
individuel et comprend les composants suivants :

Un serveur de base de données dédié

Une console Endpoint Security Manager (ESM) exécutant 3.2 pour la gestion de la stratégie de sécurité et
des agents Traps

Deux serveurs ESM exécutant le noyau ESM 3.2, un primaire et un de secours, sur le même segment réseau
que le serveur de base de données et la console

Un dossier d'investigation numérique accessible par tous les points de terminaison pour le stockage des
détails d'investigation numérique en temps réel concernant les évènements de sécurité


14

Dans ce scénario de déploiement, un site individuel contient la base de données, la console ESM pour la gestion
des stratégies locales et des points de terminaison, et des serveurs ESM redondants. Dans le cas où le serveur
ESM primaire serait inaccessible, les agents Traps se connectent à Endpoint Security Manager en utilisant le
serveur de secours. Les deux serveurs obtiennent la stratégie de sécurité de la part de la base de données et
distribuent la stratégie aux agents.
Déploiement sur petit site multiple
Ce scénario de développement prend en charge jusqu'à 100 000 agents Traps (50 000 par site) au sein d'un
environnement de site multiple et comprend les composants suivants :

Un serveur de base de données dédié dans l'un des sites

Une console Endpoint Security Manager (ESM) exécutant 3.2 au même emplacement que la base de données
pour la gestion de la stratégie de sécurité et des agents Traps

Un serveur ESM par site ou deux serveurs ESM par site pour la redondance, exécutant chacun le noyau ESM 3.2.

15



Dans ce scénario de déploiement, le site A contient un serveur ESM, une base de données et une console ESM
pour la gestion des stratégies locales et des points de terminaison. Le site B contient un deuxième serveur ESM
qui peut prendre en charge jusqu'à 50 000 agents supplémentaires (100 000 agents Traps au total). Les deux
serveurs obtiennent la stratégie de sécurité de la part de la base de données situé sur le site A et distribuent la
stratégie aux agents. Les agents se connectent au serveur ESM primaire sur leur site tandis que le serveur ESM
de l'autre site fait office de serveur secondaire de secours.
16

Déploiement sur grand site individuel

Grand déploiement sur site multiple avec un Endpoint Security Manager

Grand déploiement sur site multiple avec plusieurs Endpoint Security Manager

Grand déploiement de site multiple avec agents itinérants (sans VPN)

Grand déploiement de site multiple avec agents itinérants (avec VPN)
Déploiement sur grand site individuel
environnement de site individuel et comprend les composants suivants :


17

Des serveurs ESM, un tous les 50 000 agents Traps, exécutant chacun le noyau ESM 3.2.

Un dossier d'investigation numérique par serveur ESM, accessible par tous les points de terminaison pour
le stockage des détails d'investigation numérique en temps réel concernant les évènements de sécurité



Dans cet exemple, 200 000 agents Traps au maximum peuvent se connecter à Endpoint Security Manager. Pour
soutenir ce scénario, les points de terminaison se connectent à quatre serveurs ESM par l'intermédiaire d'un
équilibreur de charge en option. Chaque serveur ESM se connecte à une base de données centrale qui est gérée
par une console ESM dédiée.
Grand déploiement sur site multiple avec un Endpoint Security Manager
environnement de site multiple qui comprend les composants suivants :



Des serveurs ESM, un tous les 50 000 agents Traps sur chaque site, exécutant chacun le noyau ESM 3.2.


18


Dans cet exemple, nous supposons que les sites A, B, C et D nécessitent chacun de 50 000 agents Traps. Pour
soutenir ce scénario, chaque site contient un serveur ESM qui récupère la stratégie de sécurité dans la base de
données située sur le site A. Les agents se connectent à Endpoint Security Manager en utilisant leurs serveurs
ESM locaux comme serveur primaire et utilisent les serveurs ESM des autres sites comme serveurs secondaires.
Grand déploiement sur site multiple avec plusieurs Endpoint Security Manager
environnement de site multiple qui comprend les composants suivants :

Un Endpoint Security Manager (ESM) par site :
–
Une base de données dédiée (avec licence)
–
Une console ESM exécutant 3.2 au même emplacement que la base de données pour la gestion de la
stratégie de sécurité et des agents Traps
–



19

Dans cet exemple, nous supposons que les sites A, B, C et D nécessitent chacun de 50 000 agents Traps. Pour
soutenir ce scénario, chaque site gérer les stratégies de sécurité de manière indépendante des autres sites en
utilisant un Endpoint Security Manager local qui comprend un serveur ESM, une base de données et une
console ESM. Les agents se connectent à Endpoint Security Manager en utilisant leurs serveurs ESM locaux
comme serveur primaire et utilisent les serveurs ESM des autres sites comme serveurs secondaires.
L'utilisation d'une solution de base de données en cluster complet n'est pas recommandée en
raison du potentiel de collisions de base de données. Dans les cas où la solution de base de
données est déjà en place, configurez le agents Traps pour qu'ils utilisent une adresse IP virtuelle
(VIP) individuelle pour accéder au cluster de base de données.
Grand déploiement de site multiple avec agents itinérants (sans VPN)
environnement de site multiple et comprend les composants suivants :

20



Une serveur ESM avec un enregistrement DNS destiné au public qui accepte les connexions provenant des
agents Traps, soit :
–
Un serveur ESM avec un port configuré pour accepter les connexions provenant des réseaux externes
–
Un serveur ESM installé dans une DMZ avec une connexion au serveur de base de données interne.
Ce serveur peut aussi faire office de serveur secondaire de secours.




Dans cet exemple, nous supposons que les sites A, B et C nécessitent chacun de 50 000 agents Traps et que
50 000 points de terminaison supplémentaires sont en itinérance. Pour soutenir ce scénario, chaque site contient
un serveur ESM qui récupère la stratégie de sécurité dans la base de données située sur le site A. Les points de
terminaison internes se connectent à Endpoint Security Manager en utilisant leurs serveurs ESM locaux. Les
points de terminaison externes se connectent par l'intermédiaire d'un serveur ESM disponible au public situé
dans une DMZ ou par l'intermédiaire d'un port qui est configuré pour permettre le trafic en provenance des
réseaux externes. Si un point de terminaison est en itinérance et ne peut pas se connecter au serveur ESM, Traps
collecte les données de prévention en local jusqu'à ce que l'agent puisse établir une connexion au dossier
d'investigation numérique.
21
Grand déploiement de site multiple avec agents itinérants (avec VPN)
Ce scénario de déploiement prend en charge jusqu'à 200 000 agents Traps (50 000 par site) qui peuvent se
connecter par l'intermédiaire de sites locaux et à partir d'emplacements hors site par l'intermédiaire d'un tunnel
VPN. Cet environnement de site multiple comprend les composants suivants :




Une connexion VPN pour fournir aux utilisateurs itinérants une adresse IP interne pour la connexion au
serveur ESM.




Dans cet exemple, nous supposons que les sites A, B, C et D nécessitent chacun de 50 000 agents Traps et que
certains de ces agents peuvent être situés hors site. Pour soutenir ce scénario, chaque site contient un serveur
ESM qui récupère la stratégie de sécurité dans la base de données située sur le site A. Les points de terminaison
internes se connectent à Endpoint Security Manager en utilisant leurs serveurs ESM locaux. Les points de
terminaison externes se connectent par l'intermédiaire d'un tunnel VPN qui fournit au point de terminaison une
22
adresse IP interne pour la connexion au site. Si un point de terminaison est en itinérance et ne peut pas se
connecter par VPN, Traps collecte les données de prévention en local jusqu'à ce que l'agent puisse établir une
connexion au dossier d'investigation numérique.
23
24
Les sujets suivants décrivent la configuration requise pour l'installation de l'infrastructure Traps :

Configuration requise pour installer le serveur ESM

Configuration requise pour installer Traps sur un point de terminaison
25
Avant d'installer le logiciel Advanced Endpoint Protection 3.2 sur le serveur ESM, assurez-vous que le serveur
possède la configuration requise suivante :


Noyau ESM et console ESM exécutant la même version d'Advanced Endpoint Protection


2 Go de RAM ; 4 Go de RAM recommandés
300 Mo d'espace disque plus espace supplémentaire pour le dossier d'investigation numérique ; un espace
disque de 60 Go est recommandé
Serveur Windows physique ou virtuel. Utilisez l'un des choix suivants :
–
Windows Server 2008 R2
–
Windows Server 2012
–
Windows Server 2012 R2

Internet Information Services (IIS) 7.0 ou supérieur avec ASP.NET et composants Static Content
Compressions

.NET Framework :

–
Windows Server 2008 R2 : .NET Framework 4 avec correctif KB2468871
–
Windows Server 2012 : .NET Framework 3.5 et 4.5
Applications de base de données — Les applications côté serveur exigent une base de données SQL qui
peut être soit une base de données locale installée sur le même serveur que Endpoint Security Manager,
soit une base de données externe installées sur une autre machine. Utilisez l'une des applications de base de
données suivante :
–
SQLite 1.0.82.0 ou supérieur pour la phase d'évaluation. Trouvez le fichier d'installation de SQLite dans
le dossier Tools de votre package d'installation du point de terminaison, ou téléchargez-le à partir
d'Internet.
–
MS-SQL 2008
–
MS-SQL 2012
–
MS-SQL 2014
Consultez l'équipe d'assistance Palo Alto Networks si l'intégration avec une base de données
existante est requise.

Certificat SSL provenant d'une autorité de certification de confiance (CA) avec authentification de serveur
et authentification de client (recommandé).

Autorisez la communication sur le port TCP entre les clients et le serveur (le port par défaut est le port
2125).

Dossier d'investigation numérique avec BITS activé.
Voir aussi : Configuration requise pour installer Traps sur un point de terminaison.
26
Configuration requise pour installer Traps sur un point de
terminaison
Avant d'installer Traps 3.2, assurez-vous que le point de terminaison cible possède la configuration requise
suivante :

Noyau ESM et console exécutant la même version d'Advanced Endpoint Protection que Traps ou une
version supérieure



200 Mo d'espace disque ; 20 Go d'espace disque recommandés




512 Mo de mémoire ; 2 Go de mémoire recommandés
Système d'exploitation :
–
Windows XP (32-bit, SP3 ou supérieur)
–
Windows 7 (32-bit, 64-bit, RTM et SP1 ; toutes les éditions sauf Home)
–
Windows 8 (32-bit, 64-bit)
–
Windows 8.1 (32-bit, 64-bit)
–
Windows Server 2003 (32-bit, SP2 ou supérieur)
–
Windows Server 2003 R2 (32-bit, SP2 ou supérieur)
–
Windows Server 2008 (32-bit, 64-bit)
–
Windows Server 2012 (toutes les éditions)
–
Windows Server 2012 R2 (toutes les éditions)
–
Windows Vista (32-bit, 64-bit et SP2)
Environnement virtuels :
–
VDI : Pour les considérations d'octroi de licence, contactez l'assistance ou votre ingénieur commercial.
–
Citrix
–
VM
–
ESX
–
VirtualBox/Parallels
Plates-formes physiques :
–
SCADA
–
Tablettes Windows
.NET 3.5 SP1
Autorisez la communication sur le port 2125 TCP entre les clients et le serveur.
27
28
Configuration de l'infrastructure Traps
Les sujets suivants décrivent comment configurer les composants de l'infrastructure Traps :

Configuration de l'infrastructure du point de terminaison

Mettre à niveau l'infrastructure du point de terminaison

Configurer Endpoint Security Manager

Configuration des points de terminaison

Vérifier une installation réussie
29
Utilisez le flux de travail suivant pour configurer l'infrastructure du point de terminaison ou utilisez le flux de
travail décrit dans Mettre à niveau l'infrastructure du point de terminaison pour mettre à niveau l'infrastructure
existante de votre point de terminaison :
Tâche
Pour plus d'informations
Étape 1 Examinez la configuration requise pour
le logiciel.
Considérations pour l'installation de l'infrastructure du point de
terminaison
terminaison
Étape 2 Examinez les étapes d'implémentation
recommandées.
Étapes du déploiement de Traps
Étape 3 (En option) Configurez les services
d'information Internet (IIS) avec les
services .NET.
Activer les services web
Étape 4 (En option) Configurez le serveur
MS-SQL.
Configurer la base de données du serveur MS-SQL
Étape 5 Installez le logiciel du serveur ESM.
Installer le logiciel du serveur Endpoint Security Manager
Étape 6 Installez le logiciel de la console ESM.
Installer le logiciel de la console Endpoint Security Manager
Étape 7 Installez la stratégie de sécurité de base.
Charger les stratégies de sécurité de base
Étape 8 Installez Traps sur les points de
terminaison.
Installer Traps sur le point de terminaison
Étape 9 Vérifiez que l'installation est réussie.
30
Configurer SSL sur la console ESM
Installer Traps sur le point de terminaison en utilisant Msiexec
Utilisez le flux de travail suivant pour configurer l'infrastructure du point de terminaison :
Tâche
Pour plus d'informations
Étape 1 Examinez la configuration requise pour
le logiciel.
Considérations pour l'installation de l'infrastructure du point de
terminaison
terminaison
Étape 2 Installez le logiciel du serveur ESM.
Étape 3 Installez le logiciel de la console ESM.
Étape 4 Installez la stratégie de sécurité de base.
Étape 5 Installez Traps sur les points de
terminaison.
Étape 6 Vérifiez que l'installation est réussie.
31

Considérations pour l'installation de l'infrastructure du point de terminaison






Considérations pour l'installation de l'infrastructure du point de terminaison
Pour installer ou mettre à niveau les composants ESM, tenez compte des points suivants :

Le serveur ESM et la console ESM doivent être de la même version.

Le serveur ESM et la console ESM prennent en charge différentes versions de Traps et sont également
rétrocompatibles avec les versions antérieures. Par exemple, un serveur ESM et une console ESM en version
3.2 peuvent prendre en charge des points de terminaison qui exécutent un mélange d'agents Traps en version
3.1 et 3.2.
Pour la configuration requise pour l'installation, voir Configuration requise pour installer le serveur ESM et
Configuration requise pour installer Traps sur un point de terminaison.
Pour exécuter les services web sur ESM, vous devez activer le rôle des services d'information Internet (IIS) et
.NET sur un serveur Windows. IIS vous permet de partager des informations avec les utilisateurs sur Internet,
sur un intranet ou sur un extranet. Les serveurs Windows avec IIS 7.5 fournissent une plate-forme web unifiée
qui intègre IIS, ASP.NET et WCF (Windows Communication Foundation). Pour accéder à Endpoint Security
Manager sur le web, activez IIS avec .NET.

Activer les services web sur Windows Server 2008 R2

Activer les services web sur Windows Server 2012
Activer les services web sur Windows Server 2008 R2
Pour activer les services web sur Windows Server 2008 R2, vous devez installer .NET Framework 4 avec le
correctif KB2468871.
32
Étape 1 Ouvrez le gestionnaire de serveur sur le
serveur Windows.
Sélectionnez Gestionnaire de serveur dans le menu Démarrer.
Étape 2 Ajoutez un nouveau rôle.
1.
Sélectionnez Rôles > Ajouter des rôles puis cliquez sur Suivant.
2.
Sélectionnez l'option Serveur Web (IIS) puis cliquez sur
Suivant.
3.
Sélectionnez Services de rôle dans le menu à gauche.
Étape 3 Définissez les services de rôle.
Étape 4 Confirmez l'installation des services.
1.
Sélectionnez l'option Développement d'applications.
2.
Laisser les options restantes à leurs réglages par défaut.
3.
Cliquez sur Suivant.
1.
Vérifiez que les services Développement d'application
apparaissent dans la liste des Sélections pour l'installation puis
cliquez sur Installer.
2.
Fermez l'assistant.
Pour activer les services web sur Windows Server 2012, vous devez installer .NET Framework 3,5 et 4.5.
Étape 1 Ouvrez le gestionnaire de serveur sur le
serveur Windows.
Étape 2 Sélectionnez le type d'installation.
1.
Sélectionnez Gestionnaire de serveur dans le menu Démarrer.
2.
Sélectionnez Ajouter des rôles et fonctionnalités puis cliquez sur
Suivant.
Sélectionnez Installation basée sur un rôle ou une fonctionnalité puis
cliquez sur Suivant.
33
Activer les services web sur Windows Server 2012 (Suite)
Étape 3 Spécifiez le serveur.
Sélectionnez le serveur dans le Pool de serveurs puis cliquez sur
Suivant.
Étape 4 Ajoutez le rôle et les fonctionnalités des
services web.
1.
Sélectionnez l'option Serveur Web (IIS).
2.
Cliquez sur Ajouter des fonctionnalités.
3.
4.
Sélectionnez Fonctionnalités de .NET Framework 3.5.
5.
Sélectionnez Fonctionnalités de .NET Framework 4.5 et
ASP.NET 4.5.
6.
Cliquez sur Suivant. Cliquez à nouveau sur Suivant.
7.
Dans Serveur Web, sélectionnez Développement d'applications
puis développez la fonctionnalité pour révéler d'autres
sélections. Sélectionnez les fonctionnalités suivantes. Si cela
vous est demandé, cliquez sur Ajouter des fonctionnalités.
• ASP.NET 3.5
• ASP.NET 4.5
• Extensions ISAPI
• Filtres ISAPI
• Extensibilité .NET 3.5
• Extensibilité .NET 4.5
8.
Étape 5 Confirmez l'installation des services.
1.
Vérifiez que les fonctionnalités apparaissent dans la liste des
sélections pour l'installation puis cliquez sur Installer.
2.
34
Cliquez sur Fermer pour quitter l'assistant.
Pour sécuriser votre console ESM et protéger la confidentialité des utilisateurs à l'aide de SSL (Secure Sockets
Layer), installez un certificat de serveur, puis ajoutez une liaison HTTPS sur le port 443.
Étape 1 Ouvrez le gestionnaire IIS :
1.
Cliquez sur Démarrer, puis sur Panneau de configuration.
2.
Effectuez l'une des actions suivantes :
• Cliquez sur Système et sécurité > Outils d'administration.
• Dans Rechercher, saisissez inetmgr et appuyez sur
ENTRÉE.
Étape 2 (En option) Si votre site exige SSL,
installez un certificat SSL sur le serveur
qui exécute la console ESM.
Le certificat du serveur permet aux
utilisateurs de confirmer l'identifier d'un
serveur web avant de transmettre des
données sensibles, et utilise les
informations de la clé publique du
serveur pour crypter les données et les
renvoyer au serveur.
Pour demander ou installer un certificat de serveur, voir :
• Demander un certificat de serveur Internet
• Installer un certificat de serveur Internet
Sautez cette étape si votre site n'exige pas
SSL ou si vous avez déjà installé le
certificat SSL.
Étape 3 Ajoutez une liaison HTTPS.
1.
Dans Connexions, développez le nœud Sites dans
l'arborescence, puis cliquez pour sélectionner le site pour lequel
vous voulez ajouter une liaison.
2.
Dans Actions > Modifier le site, cliquez sur Liaisons > Ajouter.
3.
Spécifier le type https et ajouter les informations de liaison
restantes en incluant Adresse IP, Port (la valeur par défaut est
443), et Nom d'hôte.
4.
(En option pour Windows Server 2012 uniquement)
Sélectionnez l'option pour Exiger l'indication du nom du
serveur.
5.
Sélectionnez le certificat SSL dans le menu déroulant, puis
cliquez sur OK.
Endpoint Security Manager exige une base de données qui est gérée sur la plate-forme MS-SQL (MS SQL 2008
ou MS SQL 2012). Endpoint Security Manager utilise la base de données pour stocker des informations
d'administration, les règles de stratégie de sécurité, des informations sur les évènements de sécurité et d'autres
informations utilisées par Endpoint Security Manager.
35
Durant la page de preuve de concept, la base de données SQLite est également prise en charge.
Avant d'installer Endpoint Security Manager, vous devez configurer la base de données MS-SQL avec les
autorisations requises. En cas d'utilisation de authentification Windows comme méthode d'authentification
d'utilisateur, le propriétaire doit avoir les privilèges Ouvrir une session en tant que service.
La procédure suivante est recommandée comme meilleure pratique pour la création et la configuration de la base
de données du serveur MS-SQL.
Étape 1 Créer une nouvelle base de données.
36
1.
Sélectionnez SQL Server Management Studio dans le menu
Démarrer.
2.
Cliquez sur Connecter pour ouvrir Microsoft SQL Server
Management Studio.
3.
Sélectionnez Base de données > Nouvelle base de données….
Configurer la base de données du serveur MS-SQL (Suite)
Étape 2 Configurez les paramètres de base de
données.
Étape 3 Vérifiez le propriétaire de la base de
données.
1.
Saisissez les informations suivantes :
• Nom de la base de données
• Propriétaire (incluant le domaine)
En cas d'utilisation de authentification Windows comme
méthode d'authentification d'utilisateur, le propriétaire
doit avoir les privilèges « Ouvrir une session en tant que
service ».
2.
Cliquez sur OK.
1.
Saisissez le nom de connexion du propriétaire, puis cliquez sur
Vérifier les noms.
2.
Sélectionnez le nom correspondant et cliquez sur OK pour
revenir à la page Sélectionner le propriétaire de la base de
données, puis une nouvelle fois pour revenir à la page Microsoft
SQL Server Management Studio.
3.
Sélectionnez la base de données que vous avez créée, puis
sélectionnez Sécurité > Utilisateurs > dbo.
4.
Vérifiez que db_owner est sélectionné dans les sections
Schémas appartenant à un rôle et Membres du rôle de la boîte
de dialogue Utilisateur de la base de données, puis cliquez sur
OK.
37
Avant d'installer le logiciel du serveur Endpoint Security Manager (ESM), vérifiez que le système possède la
configuration requise décrite dans Configuration requise pour installer le serveur ESM.
Étape 1 Lancez l'installation du logiciel du
serveur ESM.
Étape 2 Configurez les paramètres pour
l'utilisateur administrateur.
1.
Procurez-vous le logiciel auprès de votre responsable de compte
Palo Alto Networks, de votre revendeur ou sur
https://support.paloaltonetworks.com.
2.
Décompressez le fichier et effectuez un double clic sur le fichier
d'installation ESMCore.
3.
Dans la boîte de dialogue de l'Accord de licence utilisateur final,
cochez la case J'accepte les conditions de l'accord de licence puis
4.
Laissez le dossier d'installation par défaut ou cliquez sur
Modifier pour spécifier un dossier d'installation différent, puis
1.
Choisissez le type d'authentification à utiliser :
• Machine — Endpoint Security Manager effectue
l'authentification en utilisant les utilisateurs et les groupes sur
la machine locale.
• Domaine — Endpoint Security Manager effectue
l'authentification en utilisant les utilisateurs et les groupes
appartenant au domaine de la machine.
2.
38
Saisissez le nom de compte pour l'utilisateur qui administrera le
serveur dans le champ Veuillez spécifier un utilisateur
administrateur puis cliquez sur Suivant.
Installer le logiciel du serveur Endpoint Security Manager (Suite)
Étape 3 Configurez les paramètres de base de
données.
1.
Sélectionnez le type de base de données que vous installez pour
l'utilisation avec Endpoint Security Manager.
Si vous sélectionnez SQL Server, vous devez fournir les
informations de configuration suivantes :
• Nom du serveur SQL ou adresse IP et instance de base de
données (par exemple, ESMServer/database).
• Type d'authentification (Windows ou SQL).
• Nom d'utilisateur incluant le domaine (par exemple
ESMServer\administrateur) et mot de passe pour le serveur
pour l'utilisateur qui administrera la base de données. Le
compte utilisateur que vous spécifiez doit avoir des privilèges
pour créer une base de données sur le serveur.
2.
Étape 4 Spécifiez le niveau de sécurité pour la
1.
communication entre les composants du
serveur ESM.
Cliquez sur Vérifier pour confirmer que le serveur peut se
connecter à la base de données en utilisant les informations
d'identification pour l'authentification. En cas de réussite,
Sélectionnez l'une des options suivantes :
• Aucun certificat (pas de SSL) — La communication n'est pas
cryptée (non recommandé).
• Certificat externe (SSL) — Toute la communication est
cryptée sur SSL. Si vous sélectionnez cette option, accédez au
fichier de certificat (au format PFX) et saisissez le mot de
passe requis pour décrypter la clé privée dans le fichier PFX.
2.
39
Installer le logiciel du serveur Endpoint Security Manager (Suite)
Étape 5 Configurez les paramètres
1.
supplémentaires pour votre serveur ESM.
Configurez les paramètres suivants au besoin pour votre
environnement :
• Port console ESM — Spécifiez le port à utiliser pour l'accès
à l'interface web ou laissez le paramètre par défaut (2125).
• (En option) Sélectionnez une ou plusieurs options de l'outil
de création de rapport externe :
– Signaler à l'observateur d'évènements — Signaler tous les
évènements à l'observateur d'évènements Windows.
– Signaler au Syslog — Signaler tous les évènements à un
serveur syslog externe. Saisissez le Nom du serveur syslog,
le Port de communication et la fréquence de Pulsation
planifiée en minutes.
Spécifiez une valeur de 0 si vous ne voulez pas envoyer
d'informations de pulsation au serveur syslog.
2.
Étape 6 Définissez un mot de passe requis pour la 1.
désinstallation du logiciel Endpoint
Security Manager.
2.
Étape 7 Terminez l'installation.
Saisissez et confirmer un mot de passe de huit caractères ou
plus.
1.
Cliquez sur Installer.
2.
Lorsque l'installation est terminée, cliquez sur Terminer.
Avant d'installer le logiciel de la console Endpoint Security Manager (ESM), vérifiez que le système possède la
configuration requise décrite dans Configuration requise pour installer le serveur ESM.
40
Étape 1 Lancez l'installation du logiciel de la
console ESM.
Étape 2 Spécifiez le dossier d'installation pour
Endpoint Security Manager.
1.
Procurez-vous le logiciel auprès de votre responsable de compte
Palo Alto Networks, de votre revendeur ou sur
https://support.paloaltonetworks.com.
2.
Décompressez le fichier zip et effectuez un double clic sur le
fichier d'installation ESMConsole.
3.
Cliquez sur Suivant pour commencer le processus d'installation.
4.
Cochez la case J'accepte les conditions de l'accord de licence
puis cliquez sur Suivant.
Laissez le dossier d'installation par défaut ou cliquez sur Modifier
pour spécifier un dossier d'installation différent, puis cliquez sur
Suivant.
Étape 3 Spécifiez les paramètres de configuration 1.
de base de données.
Sélectionnez le type de base de données que vous installez pour
l'utilisation avec Endpoint Security Manager. Pour une base de
données SQL, configurez :
• Nom du serveur SQL ou adresse IP suivis de l'instance de
base de données (par exemple, ESMServer\database).
• Type d'authentification (Windows ou SQL).
• Nom d'utilisateur incluant le domaine (par exemple
ESMServer/administrateur) et Mot de passe pour le serveur
pour l'accès à la base de données. Le compte utilisateur que
vous spécifiez doit avoir des privilèges pour créer une base de
données sur le serveur.
Étape 4 Spécifiez le dossier d'investigation
numérique.
2.
Cliquez sur Vérifier pour confirmer que le serveur peut se
connecter à la base de données en utilisant les informations
d'identification pour l'authentification. En cas de réussite,
1.
Saisissez le chemin du dossier d'investigation numérique (par
défaut C:\Program Files\Palo Alto Networks\Quarantine\) ou
accédez (Parcourir) à l'emplacement du dossier.
Le programme d'installation active automatiquement
BITS pour ce dossier.
Étape 5 Terminez l'installation.
2.
1.
Cliquez sur Installer.
2.
Lorsque l'installation est terminée, cliquez sur Terminer.
41
Installer le logiciel de la console Endpoint Security Manager (Suite)
Étape 6 Installez la licence.
1.
Vous devez installer la clé de
licence dans les cinq minutes qui
2.
suivent l'installation du logiciel
3.
Endpoint Security Manager. Si
vous attendez pour installer la clé
de licence, vous devez redémarrer 4.
le service Endpoint Security
Manager.
Étape 7 Vérifiez que le service du noyau Endpoint 1.
Security Manager est en cours
d'exécution.
Effectuez un double clic sur l'icône de la console Endpoint
Security Manager sur le bureau ou accédez à la console
(http://localhost/EndpointSecurityManager/).
Saisissez vos identifiant et mot de passe.
Lorsque vous y êtes invité, cliquez sur le lien pour accéder
(Parcourir) au fichier de clé de licence, puis cliquez sur Charger.
Connectez-vous à nouveau pour accéder au tableau de bord
Ouvrez le gestionnaire de services :
• Windows Server 2008 : Dans le menu Démarrer,
sélectionnez Panneau de configuration > Outils
d'administration > Services.
sélectionnez Panneau de configuration > Système et sécurité
> Outils d'administration > Services.
2.
Si le service du noyau Endpoint Security Manager est arrêté ou
désactivé, effectuez un double clic sur le service et cliquez sur
Démarrer.
Par défaut, la stratégie de sécurité du point de terminaison contient un ensemble de règles prédéfinies qui
protègent les processus courants exécutés sur vos points de terminaison. Après l'installation du logiciel
Endpoint Security Manager et le chargement correct de la licence, il est vivement recommandé d'importer les
fichiers de stratégie de sécurité de base fournis par Palo Alto Networks. Les stratégies abordent les problèmes
de compatibilité, éliminent les problèmes de stabilité avec les modèles de prévention contre les logiciels
malveillants et d'injection de thread, et configurent les notifications concernant les exécutables lancés à partir
de supports externes et des dossiers du système d'exploitation.
Vous pouvez importer les stratégie de sécurité de base à partir de n'importe quelle page de règle de stratégie
permettant l'importation des règles (Restrictions, EPMs, etc.).
Importer les stratégies de sécurité de base
Étape 1 Téléchargez les stratégies à l'adresse https://live.paloaltonetworks.com/docs/DOC-7829 et enregistrez-les
dans un dossier local ou réseau auquel vous pouvez accéder à partir de Endpoint Security Manager.
Étape 2 Depuis Endpoint Security Manager, ouvrez une page de gestion de règle, par exemple Policies > Malware >
Restrictions.
42
Importer les stratégies de sécurité de base (Suite)
Étape 3 Sélectionnez Import rules dans le menu
. Accédez (Browse) au fichier de stratégie, puis cliquez sur Upload.
Endpoint Security Manager ajoute les nouvelles règles à la stratégie de sécurité existante et assigne à chaque règle
un numéro d'identifiant unique. Répétez l'Étape 3 pour chaque fichier de stratégie. La console ESM affiche les
règles sur la page de gestion dédiée pour chaque type de règle.
Pour plus d'informations sur l'importation ou l'exportation des règles de stratégie, voir Exporter et importer les
fichiers de stratégie.
43
Pour configurer Traps sur les points de terminaison au sein de votre organisation, voir les sujets suivants :


Considérations pour l'installation de Traps


Le logiciel Traps est habituellement déployé sur les points de terminaison d'un réseau après une preuve de
concept (POC) initiale qui simule l'environnement de production de l'entreprise. Durant la POC ou l'étape de
déploiement, vous analysez les évènements de sécurité pour déterminer ceux qui sont dus à une activité
malicieuse et ceux qui sont dus à des processus légitimes se comportant de manière risquée ou incorrecte. Vous
pouvez aussi simuler le nombre et les types de points de terminaison au sein de l'organisation, les profils
d'utilisateur, et les types d'applications qui sont exécutées sur les points de terminaison. Selon ces facteurs, vous
définissez, testez et ajustez la stratégie de sécurité en conséquence pour votre organisation.
L'objectif du processus en plusieurs étapes est de fournir une protection maximale pour l'organisation, sans
interférer avec les flux de travail légitimes.
Après la POC initiale, nous recommandons d'effectuer une implémentation en plusieurs étapes pour les raisons
suivantes :

La POC ne reflète pas toujours tous les environnements en production.

Il existe une rare possibilité que le logiciel Traps affecte des applications d'entreprise spécifiques, qui peuvent
révéler des vulnérabilités dans le logiciel en tant que prévention d'attaque.

L'isolation des problèmes rencontrés qui peuvent se produire et la fourniture d'une solution seront bien plus
faciles si l'environnement affecté n'est pas étendu ou si le nombre d'utilisateurs est restreint.
Le déploiement en plusieurs étapes assure une implémentation fluide et le déploiement du logiciel Traps dans
l'ensemble de votre réseau. Ces étapes permettent une assistance et un contrôle plus importants sur la protection
ajoutée.
Étape
Durée
Plan
Étape 1 Installez Traps sur les
points de terminaison.
1 semaine
Installez Endpoint Security Manager (ESM) en incluant une base de
données MS SQL, la console ESM et le serveur ESM, et installez
Traps sur quelques points de terminaison (3-10).
Testez le comportement normal des agents Traps (injection, stratégie)
et vérifiez l'absence de changement dans l'expérience utilisateur.
Étape 2 Étendez le déploiement
de Traps.
44
2 semaines
Élargissez graduellement la distribution des agents à des groupes plus
importants ayant des attributs similaires (matériel, logiciel,
utilisateurs). À la fin des deux semaines, vous pouvez avoir jusqu'à 100
points de terminaison installés.
Étape
Durée
Plan
Étape 3 Terminez l'installation de 2 semaines
Traps.
ou plus
Distribuez largement les clients dans toute l'organisation.
Étape 4 Définissez la stratégie
d'entreprise et les
processus protégés.
Jusqu'à une
semaine
Ajoutez des règles de protection pour les applications tierces ou
internes, puis testez-les avec le testeur de compatibilité de point de
terminaison.
Étape 5 Affinez la stratégie
d'entreprise et les
Jusqu'à une
semaine
Déployer les règles de protection à un petit nombre de points de
terminaison qui utilisent fréquemment les applications. Peaufinez la
stratégie si nécessaire.
Étape 6 Finalisez la stratégie
d'entreprise et les
Quelques
minutes
Déployez les règles de protection de manière globale.
Considérations pour l'installation de Traps
Vous pouvez installer Traps selon les méthodes suivantes :

Dans les situations où vous devez installez Traps sur un petit nombre de points de terminaison, vous pouvez
installer manuellement le logiciel Traps en utilisant le flux de travail décrit dans Installer Traps sur le point
de terminaison.

Pour installer Traps en ligne de commande, utilisez l'utilitaire Msiexec pour effectuer les opérations sur un
programme d'installation Windows comme décrit dans Installer Traps sur le point de terminaison en utilisant
Msiexec. Vous pouvez aussi utiliser les options d'installation de Msiexec avec un logiciel de déploiement MSI
comme Policy System Center Configuration Manager (SCCM), Altiris ou objet de stratégie de groupe
(GPO). L'utilisation d'un logiciel de déploiement MSI est recommandée pour installer Traps dans une
organisation ou sur de nombreux points de terminaison.

Si Traps est déjà installé sur les points de terminaison de votre organisation, vous pouvez mettre à niveau le
logiciel Traps en configurant une règle d'action comme décrit dans Désinstaller ou mettre à niveau Traps sur
le point de terminaison.
Avant d'installer le Traps, vérifiez que le système possède la configuration requise décrite dans Configuration
requise pour installer Traps sur un point de terminaison.
45
Étape 1 Lancez l'installation du logiciel Traps.
1.
La ou les versions de Traps que
vous installez sur vos points de
2.
terminaison doivent être les
mêmes ou des versions antérieures
à la version du noyau ESM et de la 3.
console ESM.
4.
Étape 2 Configurez les agents Traps pour la
connexion au serveur ESM.
Procurez-vous le logiciel auprès de votre responsable de
compte Palo Alto Networks, de votre revendeur ou sur
https://support.paloaltonetworks.com
Décompressez le fichier zip et effectuez un double clic sur le
fichier d'installation Traps (x64 ou x86).
Cochez la case J'accepte les conditions de l'accord de licence
puis cliquez sur Suivant.
Vous pouvez configurer l'agent Traps pour qu'il se connecte à un
serveur primaire et secondaire. Si le serveur primaire n'est pas
accessibles, l'agent Traps tente de contacter le serveur secondaire.
1. Fournissez les informations suivantes pour le serveur ESM :
• Host Name — Saisissez le nom d'hôte ou l'adresse IP du
serveur ESM.
• Port — Modifiez le numéro de port si nécessaire (la valeur
par défaut est 2125).
• Use — Sélectionnez SSL pour crypter la communication
avec le serveur ou No SSL pour ne pas crypter la
communication.
2.
Cliquez sur Suivant sur les invites suivantes pour terminer
l'installation.
Il est recommandé de redémarrer l'ordinateur une fois avoir
terminé l'installation.
Windows Msiexec vous fournit un contrôle complet du processus d'installation et vous permet d'installer,
modifier et effectuer des opérations sur un programme d'installation Windows à partir de la ligne de commande.
Lorsqu'il est utilisé en conjonction avec un logiciel System Center Configuration Manager (SCCM), Altiris, objet
de stratégie de groupe (GPO), ou autre logiciel de déploiement MSI, Msiexec vous permet d'installer Traps sur
plusieurs points de terminaison dans votre organisation (pour la première fois). Après avoir effectué
l'installation de Traps sur un point de terminaison et établi une connexion avec Endpoint Security Manager,
vous pouvez configurer les règles pour mettre à niveau ou désinstaller Traps (voir Désinstaller ou mettre à niveau
Traps sur le point de terminaison).
Avant d'installer le Traps, vérifiez que le système possède la configuration requise décrite dans Configuration
requise pour installer Traps sur un point de terminaison.
46
Étape 1 Ouvrez une invite de commande en tant qu'administrateur :
• Sélectionnez Démarrer > Tous les programmes > Accessoires. Effectuez un clic droit sur Invite de
commandes, puis sélectionnez Exécuter en tant qu'administrateur.
• Sélectionnez Démarrer. Dans la case Rechercher les programmes et fichiers, saisissez cmd. Ensuite, pour
ouvrir l'invite de commande en tant qu'administrateur, appuyez sur CTRL+MAJ+ENTRÉE.
47
Installer Traps sur le point de terminaison en utilisant Msiexec (Suite)
Étape 2 Exécutez la commande Msiexec suivi d'une ou plusieurs des options ou propriétés suivantes :
• Option d'installation affichage et journalisation :
• /i <installpath>\<installerfilename>.msi — Installer un package. Par exemple, msiexec /i
c:\install\traps.msi.
• /qn — Ne pas afficher l'interface utilisateur (installation silencieuse). Au minimum, vous devez aussi
spécifier le nom du serveur hôte ou l'adresse IP en utilisant la propriété CYVERA_SERVER.
• /L*v <logpath>/<logfilename>.txt — Enregistre la sortie détaillée dans un fichier. Par exemple, /L*v
c:\logs\install.txt.
• /x <installpath>\<installerfilename>.msi>.txt — Désinstaller un package. Par exemple,
msiexec /x c:\install\traps.msi.
Pour une liste complète des paramètres de Msiexec, voir
https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/msiexec.mspx
• Propriétés publiques :
• CYVERA_SERVER=“<servername>” — Nom ou adresse IP du serveur hôte primaire (la valeur par défaut
est CyveraServer)
• CYVERA_SERVER_PORT=“<serverport>” — Port du serveur hôte primaire (la valeur par défaut est 2125)
• SSL_TYPE=“[No SSL|SSL]” — (Installation non silencieuse uniquement) Définissez les préférences de
cryptage sur le serveur primaire en spécifiant No SSL (par défaut) ou SSL
• USE_SSL_PRIMARY=“[0|1]” — (Installation silencieuse uniquement) Définissez les préférences de
cryptage sur le serveur primaire en spécifiant 0 pour ne pas utiliser SSL ou 1 pour utiliser SSL (par défaut)
• USE_BACKUP_SERVER=“[0|1]” — Définissez les préférences du serveur de secours en spécifiant 0 (par
défaut) pour ne pas utiliser de serveur de secours ou 1 pour utiliser un serveur de secours
• CYVERA_BACKUP_SERVER=“<servername>” — Nom ou adresse IP du serveur secondaire (la valeur par
défaut est CyveraBackupServer)
• CYVERA_BACKUP_SERVER_PORT=“<serverport>” — Port du serveur secondaire (la valeur par défaut est
2125)
• SSL_TYPE_BACKUP=“[No SSL|SSL]” — (Installation non silencieuse uniquement) Définissez les
préférences de cryptage sur le serveur secondaire en spécifiant No SSL (par défaut) ou SSL
• USE_SSL_BACKUP=“[0|1]” — (Installation silencieuse uniquement) Définissez les préférences de
cryptage sur le serveur secondaire en spécifiant 0 pour ne pas utiliser SSL ou 1 pour utiliser SSL (par
défaut)
• UNINSTALL_PASSWORD=“<uninstallpassword>” — Spécifiez le mot de passe d'administration.
Par exemple, pour installer Traps sans interface utilisateur et pour spécifier un serveur primaire appelé
ESMServer, un serveur de secours appelé ESMServerBackup, et le cryptage SSL pour les deux serveurs, saisissez
la commande suivante :
msiexec /i c:\install\traps.msi /qn CYVERA_SERVER=”ESMServer” USE_SSL_PRIMARY=“1”
USE_BACKUP_SERVER=“1” CYVERA_BACKUP_SERVER=“ESMServer-Backup” USE_SSL_BACKUP=“1”
Il est recommandé de redémarrer l'ordinateur une fois avoir terminé l'installation.
Pour désinstaller Traps et inscrire la sortie détaillée dans un fichier appelé uninstallLogFile.txt, saisissez la
commande suivante :
msiexec /x c:\install\traps.msi UNINSTALL_PASSWORD=[palo@lt0] /l*v
c:\install\uninstallLogFile.txt
Vous devez spécifier la propriété UNINSTALL_PASSWORD pour désinstaller correctement un package.
48
Vous pouvez vérifier la réussite de l'installation sur le serveur et le point de terminaison en vérifiant la
connectivité entre le serveur et le point de terminaison des deux côtés de la connexion.

Vérifier la connectivité à partir du point de terminaison

Vérifier la connectivité à partir de la console ESM
Après avoir installé correctement Traps, l'agent Traps doit être capable de se connecter au serveur qui exécute
Étape 1 Lancez la console Traps à partir de la barre des tâches :
• Depuis la zone de notification de Windows, effectuez une clic droit sur l'icône Traps
Console, ou effectuez un double clic sur l'icône.
• Exécutez CyveraConsole.exe à partir du dossier d'installation de Traps.
et sélectionnez
Étape 2 Vérifiez l'état de la connexion au serveur. Si Traps est connecté au serveur, l'état Connection signale que la
connexion est réussie. Si l'agent Traps ne parvient pas à établir une connexion avec le serveur primaire ou
secondaire, la console Traps signale un état déconnecté.
Étape 3 Vérifier la connectivité à partir de la console ESM.
Après avoir vérifier correctement que le point de terminaison peut accéder au serveur Endpoint Security
Manager (ESM), vérifiez que le point de terminaison apparaît dans la liste des ordinateurs sur la page Monitor >
Health de la console ESM.
49
Étape 1 Depuis la console ESM, sélectionnez Monitor > Health.
Étape 2 Vérifiez l'état du point de terminaison, repérez le nom du point de terminaison dans la liste des ordinateurs. Une
icône
indique que Traps est en cours d'exécution sur le point de terminaison. Pour afficher d'autres détails
sur le point de terminaison, sélectionnez la ligne du point de terminaison.
50
Administrer le serveur ESM

Gérer plusieurs serveurs ESM

Gérer les licences Endpoint Security Manager

Configurer un accès administratif

Exporter et importer les fichiers de stratégie
51
Pour soutenir les déploiement à grande échelle ou sur site multiple, vous pouvez configurer et gérer plusieurs
serveurs Endpoint Security Manager (ESM) à partir de la console ESM. Chaque serveur ESM se connecte à une
base de données partagée qui mémorise les stratégies de sécurité et les informations sur les agents Traps et les
évènements, prend en charge jusqu'à 50 000 agents Traps et peut charger des données d'investigation numérique
vers un dossier d'investigation numérique. L'ajout de serveurs ESM supplémentaires vous permet de répartir le
nombre de connexions Traps.
À intervalle régulier, chaque serveur ESM interroge la base de données pour obtenir une liste des serveurs
connues et envoie cette liste agents Traps lors de la pulsation suivante. Avant d'entamer une connexion, Traps
détermine à quel serveur il peut se connecter le plus rapidement et tente d'établir une connexion. Si Traps
n'établit pas de connexion, il passe au serveur suivant sur la liste jusqu'à ce qu'il soit capable d'établir une
connexion avec le serveur ESM. Si vous retirez ou désactivez temporairement une serveur ESM, la console ESM
met à jour la liste des serveurs ESM disponibles et l'envoie aux agents Traps lors de la pulsation suivante.
Dans une situation qui exige un équilibreur de charge pour gérer le trafic entre plusieurs serveurs ESM, vous
pouvez ajouter l'adresse IP et le nom d'hôte de l'équilibreur de charge à la place du ou des serveurs ESM dans
la console ESM. De cette manière, le serveur ESM envoie l'adresse IP de l'équilibreur de charge en tant que
« serveur » disponible. Les agents Traps peuvent ensuite établir des connexions par l'intermédiaire de
l'équilibreur de charge au lieu de se connecter directement aux serveurs ESM.
Vous pouvez aussi définir le dossier d'investigation numérique par défaut que Traps doivent utiliser dans le cas
où le dossier associé au serveur ESM ne serait pas accessible.

Exigences du système

Limitations

Gérer les serveurs ESM
Exigences du système
Chaque serveur ESM doit satisfaire les exigences spécifiées dans Configuration requise pour installer le serveur
ESM.
Limitations
Les déploiements d'ESM multiples possèdent les limitations suivantes :

Pour utiliser un équilibreur de charge, vous devez spécifier son adresse IP en tant qu'adresse IP interne pour
chaque serveur ESM que vous ajoutez. Cela garantit que les agents Traps se connectent à l'adresse IP de
l'équilibreur de charge au lieu de se connecter directement au serveur ESM.

Chaque serveur ESM doit avoir une adresse IP fixe.
52
Après l'installation de chaque serveur ESM (voir Installer le logiciel du serveur Endpoint Security Manager), la console
ESM affiche les informations d'identification de chaque serveur sur la page Settings > Multi ESM. Vous pouvez modifier
les paramètres de configuration pour les serveurs ESM à tout moment. Vous pouvez aussi temporairement désactiver ou
retirer les serveurs ESM, si nécessaire.
Étape 1 Sélectionnez le serveur ESM et modifiez en option l'un des paramètres suivants :
• Nom d'hôte du serveur
• Adresse interne et port du serveur (par exemple, http://ESMServer1:2125/)
• Adresse externe et port du serveur que Traps utilise pour communiquer avec le serveur (par exemple,
http://10.5.0124.73:2125/)
• Dossier d'investigation numérique (par exemple, http://ESMSERVER:80/BitsUploads)
Si vous utilisez SSL pour communiquer avec le dossier d'investigation numérique, incluez le nom de
domaine complètement qualifié (FQDN), par exemple
HTTPS://ESMserver.Domain.local:443/BitsUploads.
Pour spécifier le dossier d'investigation numérique à utiliser lorsque le dossier associé au serveur ESM
n'est pas accessible, sélectionnez Settings > General > Server Configuration, puis saisissez le Forensic
Folder URL.
Étape 2 Enregistrez vos modifications (Save).
Étape 3 (En option) Pour retirer ou désactiver temporairement un ESM, sélectionnez l'action dans le menu
en haut
de la page. Cette action retire le serveur ESM du parc de serveurs disponibles auxquels les agents Traps peuvent
se connecter.
53
Avant de pouvoir utiliser la console Endpoint Security Manager (ESM), vous devez récupérer et activer la
licence. La licence impose la date d'expiration et le nombre maximum de points de terminaison que vous pouvez
gérer. Les points de terminaison récupèrent leurs licences sur le serveur ESM. Chaque licence spécifie le type
de licence, la taille du parc d'agents, ainsi que la date d'expiration.
Chaque instance de base de données nécessite une licence valide qui vous donne le droit de gérer la stratégie de
sécurité du point de terminaison, d'activer WildFire et d'obtenir une assistance. Pour acheter des licences,
contactez votre responsable de compte Palo Alto Networks ou votre revendeur.
Après avoir obtenu une licence, importez-la dans la base de données en utilisant l'une des méthodes suivantes :

Gérer les licences Endpoint Security Manager en utilisant la console ESM

Gérer les licences Endpoint Security Manager en utilisant l'outil de configuration de base de données
Étape 1 Repérez votre fichier de licence.
Étape 2 Sélectionnez Settings > Licensing, puis ajoutez (Add) une nouvelle licence.
Étape 3 Sélectionnez Browse pour chercher le fichier de licence, puis Upload pour le charger. La console ESM affiche
les informations de la nouvelle licence.
Étape 4 (En option) Pour vérifier l'utilisation de la licence Traps, sélectionnez Dashboard et consultez la capacité de la
licence (License Capacity).
Étape 5 (En option) Pour envoyer la nouvelle licence aux points de terminaison dont la date d'expiration de la licence
est proche ou dépassée, créez une règle d'action (voir Mettre à jour ou révoquer la licence Traps sur le point de
terminaison).
Étape 6 (En option) Pour exporter les informations de licence dans un fichier CSV, cliquez sur l'icône du menu
puis sélectionnez Export Logs.
54
,
Étape 7 Vérifiez que le service du noyau Endpoint Security Manager est en cours d'exécution sur le serveur ESM :
1. Ouvrez le gestionnaire de services :
• Windows Server 2008 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Outils
• Windows Server 2012 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Système et
sécurité > Outils d'administration > Services.
2. repérez le service du noyau Endpoint Security Manager (appelé CyveraServer dans les anciennes versions de
Endpoint Security Manager) et vérifiez que l'état du service est Démarré (Windows Server 2008) ou En cours
d'exécution (Windows Server 2012).
3. Si l'état du service est Arrêté ou En pause, effectuez un double clic sur le service, puis sélectionnez Démarrer.
Cliquez sur Fermer.
Gérer les licences Endpoint Security Manager en utilisant l'outil de
configuration de base de données
L'outil de configuration de base de données est une interface en ligne de commande qui fournit une alternative
pour la gestion des paramètres de base du serveur en utilisant la console ESM. Vous pouvez accéder à l'outil de
configuration de base de données en utilisant une invite de commandes MS-DOS Microsoft exécutée en tant
qu'administrateur. L'outil de configuration de base de données est situé dans le dossier Server sur le serveur
ESM.
Toutes les commandes exécutées à l'aide de l'outil de configuration de base de données sont
sensibles à la casse.
Étape 1 Repérez votre fichier de licence.
Étape 3 Accédez au dossier qui contient l'outil de configuration de base de données :
C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security
Manager\Server
Étape 4 Chargez la nouvelle licence :
C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig
importlicense C:\<PathtoLicenseFile>\<LicenseFilename>.xml
L'outil de configuration de base de données charge le fichier de licence. Pour vérifier la licence en utilisant la
console ESM, voir Gérer les licences Endpoint Security Manager en utilisant la console ESM.
Étape 5 (En option) Si nécessaire, créez une règle d'action dans la console ESM pour envoyer la nouvelle licence aux
points de terminaison (voir Mettre à jour ou révoquer la licence Traps sur le point de terminaison).
55
Lorsque vous installez la console Endpoint Security Manager (ESM), vous spécifiez le compte administrateur
et le type d'authentification que les administrateurs utiliseront pour accéder à la console. Après l'installation,
vous pouvez modifier le mode d'authentification, soit compte local soit compte de domaine défini dans Active
Directory, un ou plusieurs comptes administrateur, et/ou n'importe quel groupe d'authentification pour utiliser
l'accès administrateur.
Pour configurer les paramètres avancés comme pour les modules de protection contre les attaques (EPM), vous
devez saisir le mot de passe du mode ninja. Vous pouvez modifier le mot de passe en utilisant l'outil de
configuration de base de données.

Configuration de l'accès administrateur à Endpoint Security Manager en utilisant la console ESM

Configuration de l'accès administrateur à Endpoint Security Manager en utilisant l'outil de

Modifier le mot de passe du mode ninja en utilisant l'outil de configuration de base de données
Configuration de l'accès administrateur à Endpoint Security Manager en
utilisant la console ESM
et le type d'authentification que les administrateurs utiliseront pour accéder à la console. Vous pouvez modifier
ces préférences en utilisant l'outil de configuration de base de données (voir Configuration de l'accès
administrateur à Endpoint Security Manager en utilisant l'outil de configuration de base de données) ou en
utilisant la console ESM. Vous pouvez aussi spécifier un groupe d'authentification à utiliser pour l'accès
administrateur. Par défaut, aucun groupe n'est spécifié.
Configuration de l'accès administrateur à Endpoint Security Manager en utilisant la console ESM
Étape 1 Sélectionnez Settings > General > User Management.
Étape 2 (En option) Sélectionnez le mode d'authentification (Authentication mode), soit Machine pour utiliser un
compte local, soit Domain pour utiliser un compte défini dans Active Directory.
Étape 3 (En option) Spécifiez des administrateurs supplémentaires dans le champ Allowed users. Utilisez un
point-virgule pour séparer plusieurs valeurs. Par exemple, <nomutilisateur1>;<nomutilisateur2>.
Étape 4 (En option) Spécifiez les groupes autorisés (Allowed groups). Utilisez un point-virgule pour séparer plusieurs
valeurs. Par exemple, <groupe1>;<groupe2>.
56
Configuration de l'accès administrateur à Endpoint Security Manager en
utilisant l'outil de configuration de base de données
et le type d'authentification que les administrateurs utiliseront pour accéder au serveur. Vous pouvez aussi
spécifier un groupe d'authentification à utiliser pour l'accès administrateur. Par défaut, aucun groupe n'est
spécifié. Vous pouvez modifier ces préférences en utilisant la console ESM (voir Configuration de l'accès
administrateur à Endpoint Security Manager en utilisant la console ESM) ou en utilisant l'outil de configuration
de base de données.
ESM.
Configuration de l'accès administrateur à Endpoint Security Manager en utilisant l'outil de configuration de
base de données
Manager\Server
Étape 3 (En option) Consultez les paramètres administrateur existants :
usermanagement show
AuthMode = Machine
AllowedUsers = Administrator
AllowedGroups =
Étape 4 (En option) Spécifiez le mode d'authentification, soit domaine soit machine.
usermanagement authmode [domain|machine]
Étape 5 (En option) Spécifiez les utilisateurs administrateurs supplémentaires. Utilisez un point-virgule pour séparer
plusieurs valeurs. Par exemple, administrateur;administrateur2.
usermanagement allowedusers <username1>;<username2>
Les utilisateurs administrateurs que vous spécifiez remplacent toutes les valeurs définies auparavant. Pour
conserver les valeurs actuelles, vous devez les spécifier dans la commande.
57
Configuration de l'accès administrateur à Endpoint Security Manager en utilisant l'outil de configuration de
base de données
Étape 6 (En option) Spécifiez les groupes administrateurs supplémentaires. Utilisez un point-virgule pour séparer
plusieurs valeurs. Par exemple, adminsécurité;adminpointterminaison.
usermanagement allowedgroups <groupname1>;<groupname2>
Les groupes administrateurs que vous spécifiez remplacent toutes les valeurs définies auparavant. Pour
conserver les valeurs actuelles, vous devez les spécifier dans la commande.
Modifier le mot de passe du mode ninja en utilisant l'outil de configuration de
base de données
Les modules de prévention des attaques avancés (EPM) sont cachés et ne sont accessibles qu'en mode ninja .
Pour consulter les EPM avancés vous devez saisir le mot de passe du mode ninja. Pour modifier le mot de passe,
utilisez l'outil de configuration de base de données.
Manager\Server
Étape 3 (En option) Consultez les paramètres du serveur existant :
C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server show
PreventionsDestFolder = \\ESMServer\Quarantine
InventoryInterval = 284
HeartBeatGracePeriod = 300
NinjaModePassword = Password2
Étape 4 Spécifiez le nouveau mot de passe du mode ninja.
C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server
ninjamodepassword <password>
58
Les fonctions d'exportation et importation dans la console Endpoint Security Manager (ESM) vous permettent
de sauvegarder les règles avant la migration ou la mise à niveau vers un nouveau serveur ou le déploiement d'une
stratégie vers plusieurs serveurs indépendants. Vous pouvez exporter les règles de stratégie de manière globale
ou individuelle et les enregistrer dans un fichier XML. L'importation de règles de stratégie ajoute les règles à la
stratégie existante et affecte un numéro d'identifiant unique à chaque nouvelle règle. Dans Advanced Endpoint
Protection 3.2, chaque type de règle de stratégie possède sa propre page de gestion à partir de laquelle vous
pouvez sauvegarder ou importer les règles de stratégie de ce type.
Lors du chargement d'un fichier de stratégie qui contient des règles de différents types (règles
d'action et règles de prévention d'attaque, par exemple), la console ESM charge puis affiche les
stratégies dans leurs pages de gestion respectives.
Étape 1 Sélectionnez la page de gestion de stratégie pour le jeu de règles que vous voulez importer, par exemple Policies
> Malware > Restrictions.
Étape 2 Effectuez l'une des actions suivantes :
• Pour sauvegarder ou exporter les règles de stratégie, cochez la case à côté des règles que vous voulez exporter.
Dans le menu
eu haut du tableau, sélectionnez Export selected. Endpoint Security Manager enregistre
les règles sélectionnées dans un fichier XML.
• Pour restaurer ou importer de nouvelles règles de stratégie, sélectionnez Import rules dans le menu
en
haut du tableau. Accédez au fichier de stratégie, puis cliquez sur Upload.
59
60
Prise en main des règles
Les sujets suivants décrivent les composants de base et les processus associés à chaque règle :

Vue d'ensemble des règles de stratégie du point de terminaison

Composants et actions communs des règles
61
Vue d'ensemble des règles de stratégie du point de
terminaison

Types de règle de stratégie

Application de la stratégie
Types de règle de stratégie
Les stratégies vous permettent d'appliquer des règles et d'agir. Les différentes règles de stratégie peuvent être
configurées de manière approfondie et collaborent pour gérer les processus, les fichiers exécutables et les
paramètres sur vos points de terminaison.
Le tableau suivant décrit les types de règles de stratégie que vous pouvez configurer dans la console ESM.
Type de règle
Description
Les règles de prévention d'attaque déterminent la méthode de protection pour les
processus exécutés sur vos points de terminaison. Chaque règle dans la stratégie de
prévention d'attaque spécifie le type de modules de protection qui protègent les
processus. Pour plus d'informations, consultez la section Règles de prévention d'attaque.
Prévention contre les
logiciels malveillants
Les règles de prévention contre les logiciels malveillants déterminent la méthode de
protection pour les exécutables lancés sur vos points de terminaison. Chaque règle dans
la stratégie de prévention contre les logiciels malveillants spécifie le type de modules de
protection qui protègent les exécutables et les processus. Pour plus d'informations,
consultez la section Règles de prévention contre les logiciels malveillants.
Restriction
Les règles de restriction déterminent quelles sont les restrictions ou les exceptions
placées sur les exécutables qui sont lancés sur les points de terminaison. Pour plus
d'informations, consultez la section Règles de restriction.
WildFire
Les règles WildFire permettent l'analyse des exécutables pré-intervention et
post-prevention en envoyant les empreintes de fichier exécutable et en option les
fichiers inconnus au nuage WildFire. Pour plus d'informations, consultez la section
Règles WildFire.
Investigation numérique Les règles d'investigation numérique vous permettent de définir des préférences
concernant le vidage mémoire et la collecte de fichier d'investigation numérique. Pour
plus d'informations, consultez la section Règles d'investigation numérique.
Paramètres d'agent
Les règles de paramètres d'agent vous permettent de modifier les valeurs des
paramètres de l'agent Traps relatives à la journalisation, à la fréquence de pulsation et
à l'accessibilité de la console. Pour plus d'informations, consultez la section Règles de
paramètres d'agent Traps.
Action
Les règles d'action vous permettent d'effectuer des activités d'administration sur les
points de terminaison. Les actions de gestion unique incluent la désinstallation et la
mise à niveau de Traps, la mise à jour des licences, la protection du logiciel Traps et
l'effacement des fichiers de données. Pour plus d'informations, consultez la section
Règles d'action Traps.
62
Application de la stratégie
Le type de règles de stratégie détermine le moment où Traps évalue la règle. Les règles de prévention d'attaque
ou de stratégie de restriction sont évaluées uniquement lorsqu'un processus ou un fichier exécutable lancés
correspondent aux Objets cibles, aux Conditions et aux paramètres qui sont spécifiques à la règle. Un objet cible
peut être tout utilisateur, groupe, unité d'organisation ou ordinateur qui apparaît dans Active Directory ou dans
le point de terminaison sur lequel Traps est installé. Endpoint Security Manager identifie les points de
terminaison par des messages qu'envoie Traps au serveur. Une condition peut se référer à la correspondance
exacte avec un fichier, un fichier et une version de fichier, ou un chemin du registre qui doivent exister sur le
point de terminaison. Vous pouvez aussi définir une condition pour une version spécifique d'un fichier
exécutable défini dans le chemin de fichier.
À intervalles réguliers, la dernière stratégie de sécurité est envoyée au points de terminaison sur votre réseau.
Vous pouvez définir la fréquence à laquelle la stratégie de sécurité se met à jour sur le point de terminaison en
réglant le paramètre de pulsation. Vous pouvez aussi récupérer manuellement la dernière stratégie de sécurité à
partir de la console Traps. Traps applique les paramètres d'agent ou les règles de stratégie d'action lorsque le
point de terminaison reçoit la mise à jour de stratégie de sécurité et qu'une règle correspondant aux Objets
cibles, aux Conditions et aux paramètres du point de terminaison.
Traps évalue chaque règle en séquence dans la stratégie de sécurité par numéro d'identifiant : un numéro
d'identifiant plus élevé indique une plus grande priorité de la règle. Les règles qui ont été récemment créées ou
modifiées reçoivent un numéro d'identifiant plus élevé et sont donc évaluées en premier. Contrairement aux
pare-feu Palo Alto Networks, qui évaluent les règles de manière hiérarchique, Traps évalue toutes les règles de
la stratégie de sécurité du point de terminaison de manière séquentielle.
Chaque type de règle possède sa page de récapitulatif spécifique qui affiche toutes les règles de ce type et vous
permet d'ajouter de nouvelles règles, de consulter les détails supplémentaires sur chaque règle et d'effectuer des
tâches de gestion de règle. Sur la page de récapitulatif, vous pouvez aussi désactiver/activer la protection pour
toutes les règles de ce type.
63
Chaque type de règle possède un ensemble spécifique de champs obligatoires et en option que vous pouvez
personnaliser pour satisfaire les exigences de la stratégie de sécurité de votre organisation.
Le tableau suivant décrit les étapes communes pour la création d'une règles de stratégie.
Gérer les règles
Sujet
Définissez les paramètres et/ou les actions qui sont spécifiques au Pour plus de détails sur les paramètres spécifiques
type de règle.
requis pour chaque type de règle, voir :
• Gérer les règles de prévention d'attaque
• Gérer les règles de prévention contre les
• Gérer les règles et paramètres WildFire
• Gérer les restrictions sur les exécutables
• Gérer les règles d'action Traps
• Gérer les règles de paramètres d'agent
• Gérer les règles et paramètres d'investigation
numérique
Ajoutez des conditions d'activation — des conditions que le point de Conditions
terminaison doit satisfaire pour qu'une règle soit appliquée — à la
règle.
Définissez les objets cibles (utilisateurs, ordinateurs, unités
d'organisation, groupes et points de terminaison).
Objets cibles
Fournissez un nom de description pour la règle.
Nommer ou renommer une règle
Enregistrez et activez en option la règle.
• Enregistrer les règles
• Gérer les règles enregistrées
Désactivez ou activez toutes les règles de protection.
Désactiver ou activer toutes les règles de
protection
Conditions

Définir les conditions d'activation pour une règle

Supprimer ou modifier une condition de règle
64
Les conditions d'activation de règle sont les conditions que le point de terminaison doit satisfaire pour appliquer
une règle sur un point de terminaison. Pour chaque condition, vous pouvez spécifier un chemin de fichier
exécutable, un chemin de fichier exécutable et une version de fichier, ou un chemin du registre qui doivent
exister sur le point de terminaison.
Étape 1 Sélectionnez Settings > Conditions. La page Conditions affiche le numéro d'identifiant (ID) unique, le nom
(Name) et la Description pour chaque condition.
Étape 2 Ajoutez (Add) une nouvelle condition.
Étape 3 Saisissez le nom (Name) et la Description de la condition, puis spécifiez un ou plusieurs des paramètres suivants :
• Path — Chemin complet d'un fichier exécutable qui existe sur le point de terminaison.
• Registry Path — Chemin complet d'une entrée du registre qui existe sur le point de terminaison.
• Version — Numéro de version d'un fichier exécutable qui existe sur le point de terminaison et numéro de
version de l'exécutable. S'il est défini, vous devez aussi spécifier le chemin de l'exécutable. L'exécutable doit
correspondre à la fois au chemin et à la version exacte pour que la règle soit appliquée.
Étape 4 Enregistrez (Save) la condition.
Supprimer ou modifier une condition de règle
Les conditions d'activation de règle sont les conditions que le point de terminaison doit satisfaire pour appliquer
une règle sur un point de terminaison. Après avoir créé une condition, vous pouvez la supprimer ou la modifier
à partir de la page Conditions.
Modifier ou supprimer une condition de règle
Étape 1 Sélectionnez Settings > Conditions. La page Conditions affiche le numéro d'identifiant (ID) unique, le nom
(Name) et la Description pour chaque condition.
Étape 2 Sélectionnez la condition à modifier ou supprimer.
Étape 3 Effectuez l'une des actions suivantes.
• Cliquez sur Delete pour supprimer la condition.
• Modifiez les paramètres de condition, puis enregistrez (Save) les modifications.
Objets cibles
Les objets cibles pour les règles sont les objets auxquels s'applique la règle. Un objet peut être l'un des éléments
suivants :
Objet cible
Description
Utilisateur
Un utilisateur défini dans Active Directory.
65
Objet cible
Description
Groupe
Un groupe d'utilisateurs défini dans Active Directory.
Ordinateur
Le nom d'une ordinateur ou d'un dispositif mobile défini dans Active Directory.
Unité d'organisation
Une subdivision au sein d'Active Directory dans laquelle vous pouvez placer des
utilisateurs, des groupes, des ordinateurs et d'autres unités d'organisation.
Point de terminaison
existant
Un ordinateur ou dispositif mobile sur lequel Traps est installé. Endpoint Security
Manager identifie les points de terminaison existants par des messages de
communication envoyés par Traps.
Vous pouvez appliquer les règles à tous les objets dans l'organisation, à des objets sélectionnés ou à tous les
objets à l'exception de ceux qui sont dans la liste Exclude.
Quel que soit le point de terminaison, la règle que vous définissez pour les utilisateurs et les groupes s'appliquera
aux utilisateurs et aux groupes sans tenir compte du point de terminaison sur lequel ils sont connectés.
Nommer ou renommer une règle
La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle
et de l'heure de la création. Pour substituer le nom généré automatiquement, sélectionnez l'onglet Name, effacez
l'option Auto Description is Activated, puis saisissez un nom et une description de règle de votre choix.
Enregistrer les règles
Pour enregistrer une règle, vous devez remplir tous les champs obligatoires pour ce type de règle. Les onglets
avec des champs obligatoires sont indiqués par une ligne ondulée rouge sous le nom de l'onglet. Remplissez les
champs obligatoires avant de tenter d'enregistrer ou de modifier une règle.
Après avoir spécifié les champs obligatoires pour une règle, vous pouvez sélectionner une ou plusieurs des
actions suivantes :
66
Action
Description
Save
Enregistrer la règle sans l'activer. L'état de la règle affiché est Inactive, et vous pouvez
l'activer plus tard.
Save & Apply
Enregistrer la règle et l'activer immédiatement.
Gérer les règles enregistrées
Après l'enregistrement de la règle, le nom et la description apparaissent dans différents journaux et tables du
système.
Sélectionnez la règle pour consulter les détails et effectuer l'une des actions suivantes :
Action
Description
Duplicate
(Règles d'action uniquement) Créer une nouvelle règle basée sur une règle existante.
Delete
Supprimer la règle. La règle est éliminée du système.
Pour supprimer plusieurs règles à la fois, cochez la case à côté de la règle, puis
sélectionnez Delete selected non-Default Rules dans le menu
en haut du tableau.
Activate/Deactivate
Si la règle a déjà été enregistrée, mais pas encore appliquée, vous pouvez activer
(Activate) la règle pour l'ajouter à la stratégie de sécurité actuelle. Si la règle est active,
vous pouvez la désactiver (Deactivate) pour supprimer la règle de la stratégie de sécurité
actuelle, mais sans supprimer la règle du système.
Pour activer/désactiver plusieurs règles à la fois, cochez la case à côté de la règle, puis
sélectionnez activer la sélection (Active selected) ou désactiver la sélection (Deactivate
selected) dans le menu
en haut du tableau. Pour désactiver/activer toutes les règles
d'attaque, logiciel malveillant ou investigation numérique, voir Désactiver ou activer
toutes les règles de protection.
Edit
Modifier la définition de la règle. La sélection de cette option ouvre l'assistant de règle
et vous permet de modifier la définition de la règle. Pour plus d'informations, consultez
la section Créer une règle de prévention d'attaque.
Import rules/Export
selected
Dans le menu
en haut du tableau, vous pouvez importer des règles ou exporter les
règles sélectionnées au besoin. L'exportation des règles enregistre les règles
sélectionnées dans un fichier XML. Pour plus d'informations, consultez la section
Exporter et importer les fichiers de stratégie.
Désactiver ou activer toutes les règles de protection
Si la stratégie de sécurité cause des problèmes pour les points de terminaison dans votre organisation, vous
pouvez rapidement désactiver toutes les règles de stratégie, y compris les règles de stratégie par défaut.
67
La désactivation de la protection arrête l'injection de Traps dans tous les futurs processus, la validation avec
WildFire, la collecte d'autres données et supprime effectivement toutes les restrictions. La modification des
règles de sécurité lorsque la protection est désactivée ne prendra effet que lorsque la protection sera réactivée.
Après la désactivation de la protection et la recherche des problèmes, vous pouvez rétablir les règles de stratégie
en activant toutes les protections. L'activation de la protection n'active pas les règles qui étaient désactivées au
préalables.
Si vous avez besoin de désactiver une seule règle ou un petit groupe de règles, vous pouvez les sélectionner et
désactiver individuellement à partir de la page de gestion des règles qui est spécifique à ce type de règle.
Désactiver ou activer toutes les règles de protection
Étape 1 Depuis la console ESM, sélectionnez une page de gestion de règle, par exemple Policies > Malware >
Restrictions.
Étape 2 Pour désactiver la protection, sélectionnez Disable All Protection. ESM supprime toutes les règles et envoie la
stratégie de sécurité à jour aux points de terminaison lors de la prochaine communication de pulsation avec
Traps.
Étape 3 Pour activer la protection, sélectionnez Enable All Protection. ESM rétablit toutes les règles et envoie la stratégie
de sécurité à jour aux points de terminaison lors de la prochaine communication de pulsation avec Traps.
68

Gérer les processus

Gérer les règles de prévention d'attaque
69
Par défaut, Endpoint Security Manager protège les processus les plus vulnérables et les plus couramment utilisés
dans les environnements Windows. Les détails sur ces processus sont disponibles sur la page Process Management
et incluent les informations sur le type de protection, le nombre d'ordinateurs qui exécutent le processus, ainsi
que la date et l'heure de la première découverte du processus.
Vous pouvez configurer les processus pour leur donner l'état Protégé (Protected), Non protégé (Unprotected) ou
Provisoire (Provisional). Le but de l'état Provisional est d'indiquer que le processus subi un essai d'exécution en tant
que processus protégé, habituellement sur un petit nombre de points de terminaison et avec un petit nombre
de règles. Une fois l'essai d'exécution terminé et après avoir effectué les ajustements nécessaires aux règles, vous
pouvez modifier le type de processus à l'état Protected.
En créant une règle des paramètres d'agent pour collecter des informations sur les nouveaux processus, vous
pourrez voir les processus que Traps découvre sur les points de terminaison dans votre organisation. Ceci est
utile pour détecter les processus non protégés et les changer en processus protégés (voir Collecter les
informations sur les nouveaux processus). Vous pouvez aussi ajouter une protection à d'autres applications de
tiers et propriétaires sans collecter les informations sur les nouveaux processus en les ajoutant directement à la
liste des processus protégés sur la page Process Management.

Protection des processus

Ajouter un processus Protégé, Provisoire ou Non protégé

Importer ou exporter un processus

Afficher, modifier ou supprimer un processus

Afficher les processus actuellement protégés par Traps
70
Protection des processus
Traps protège les processus suivants par défaut.
Processus protégés par défaut
• 7z.exe
• explorer.exe
• notepad.exe
• taskhost.exe
• 7zFM.exe
• filezilla.exe
• notepad++.exe
• telnet.exe
• 7zG.exe
• firefox.exe
• nslookup.exe
• unrar.exe
• Acrobat.exe
• FlashFXP.exe
• opera.exe
• userinit.exe
• AcroRd32.exe
• FotoSlate4.exe
• opera_plugin_wrapper.exe • vboxservice.exe
• acrord32info.exe
• foxit reader.exe
• OUTLOOK.EXE
• vboxsvc.exe
• alg.exe
• ftp.exe
• plugin-container.exe
• vboxtray.exe
• amp.exe
• ftpbasicsvr.exe
• POWERPNT.EXE
• VISIO.EXE
• AppleMobileDeviceService. • GoogleUpdate.exe
exe
• GrooveMonitor.exe
• APWebGrb.exe
• i_view32.exe
• armsvc.exe
• icq.exe
• PPTVIEW.EXE
• vlc.exe
• qttask.exe
• VPREVIEW.EXE
• QuickTimePlayer.exe
• webkit2webprocess.exe
• rar.exe
• wftp.exe
• bsplayer.exe
• ICQLite.exe
• reader_sl.exe
• winamp.exe
• chrome.exe
• iexplore.exe
• realconverter.exe
• winampa.exe
• cmd.exe
• INFOPATH.EXE
• realplay.exe
• winrar.exe
• CorelCreatorClient.exe
• iPodService.exe
• realsched.exe
• WINWORD.EXE
• CorelCreatorMessages.exe
• itunes.exe
• rundll32.exe
• winzip32.exe
• ctfmon.exe
• iTunesHelper.exe
• RuntimeBroker.exe
• winzip64.exe
• cuteftppro.exe
• journal.exe
• Safari.exe
• wireshark.exe
• jqs.exe
• searchindexer.exe
• wmiprvse.exe
mirc.exe
• skype.exe
• wmplayer.exe
MSACCESS.EXE
• soffice.exe
• wmpnetwk.exe
msnmsgr.exe
• spoolsv.exe
• wuauclt.exe
MSPUB.EXE
• svchost.exe
• xftp.exe
netstat.exe
• sws.exe
• xpsrchvw.exe
nginx.exe
• taskeng.exe
• DivX Player.exe
• DivX Plus Player.exe
•
• DivXConverterLauncher.
•
exe
•
• DivXUpdate.exe
•
• dllhost.exe
•
• dwm.exe
•
• EXCEL.EXE
71
Par défaut, Traps protège les applications les plus vulnérables et les plus couramment utilisées, mais vous pouvez
aussi ajouter d'autres applications de tiers et propriétaires à la liste des processus protégés. En étendant la
protection aux applications importantes pour votre organisation, vous pouvez fournir une protection maximale
avec un minimum de perturbation des activités quotidiennes. Ajoutez les processus avec l'état protégé,
provisoire ou non protégé et configurez-les en utilisant la page Process Management.
Vous pouvez uniquement configurer les règles de prévention d'attaque sur les processus
Protected ou Provisional.
Vous ne pouvez pas modifier les processus Protected par défaut qui sont inclus dans la
configuration initiale. Consultez l'équipe d'assistance Palo Alto Networks pour toute question.
Étape 1 Accédez à la page Process Management.
À partir de la console ESM, sélectionnez Policies > Exploit > Process
Management.
Étape 2 Ajoutez un nouveau processus.
1.
Cliquez sur Ajouter.
2.
Saisissez le nom du processus (Process name).
3.
Sélectionnez le type de protection (Protection type) :
• Protected — Indique que les règles de sécurité protègent
activement le processus.
• Provisional — Vous permet de séparer logiquement les
processus protégés des processus qui subissent un essai de
fonctionnement en tant que processus protégés.
• Unprotected — Indique que les règles de sécurité ne
protègent pas activement le processus.
Étape 3 Enregistrez vos modification au
processus protégé.
72
Cliquez sur Create.
Utilisez les fonctions d'exportation et importation dans la console Endpoint Security Manager (ESM) pour
sauvegarder une ou plusieurs définitions de processus utilisées dans votre stratégie de sécurité. Les fonctions
d'exportation et importation vous permettent de sauvegarder les processus avant la migration ou la mise à
niveau vers un nouveau serveur ou le déploiement de processus gérés vers plusieurs serveurs indépendants.
Vous pouvez exporter les processus de manière globale ou individuelle et les enregistrer dans un fichier XML.
La fonction d'importation ajoute les processus à la liste existante des processus par défaut et ajoutés et affiche
leurs types de protection.
Management.
Étape 2 Importez ou exportez un ou plusieurs
processus.
• Pour importer les processus, cliquez sur le menu
, puis
sélectionnez Import processes. Accédez (Browse) aux processus
que vous voulez importer et chargez-les (Upload). Les processus
apparaissent dans le tableau une fois que le chargement est
terminé.
• Pour exporter les processus, sélectionnez un ou plusieurs
processus que vous voulez exporter. Dans le menu
,
sélectionnez Export selected. La console ESM enregistre les
processus dans un fichier XML.
La page Processes Management dans la console Endpoint Security Manager affiche tous les processus que votre
organisation protège. Pour modifier ou supprimer un processus, vous devez d'abord retirer le processus de
toutes les règles associées.
Management.
73
Afficher, modifier ou supprimer un processus (Suite)
Étape 2 Afficher les processus dans le tableau
Process Management.
Utilisez les contrôles de page en haut du tableau pour voir différentes
portions du tableau.
Les champs suivants sont affichés :
• Process Name — Nom de fichier de l'exécutable du processus
• Protection Type — Protégé, non protégé, ou provisoire
• Computers — Nombre de points de terminaison sur lesquels le
processus a été exécuté
• Linked Rules — Nombre de règles configurées pour le processus
• First Discovered On — Nom du point de terminaison sur lequel
le processus a été découvert la première fois
• Discovery Time — Date et heure de la première découverte du
processus sur le point de terminaison (après réception d'une règle
pour signaler les nouveaux processus)
Étape 3 Gérez ou modifiez le processus.
Sélectionnez le nom du processus, puis effectuez l'une des actions
suivantes.
• Sélectionnez Delete pour supprimer le processus.
• Modifiez le nom du processus (Process Name), puis enregistrez
(Save) vos modifications.
• Modifiez le type de protection (Protection type), puis enregistrez
(Save) vos modifications.
Lorsqu'un utilisateur créé ou ouvre un processus protégé sur le point de terminaison, Traps injecte un module
de protection, appelé module de prévention d'attaque (EPM), au sein du processus. Les règles de stratégie de
sécurité du point de terminaison déterminent les EPM qui sont injectés dans chaque processus.
Vous pouvez voir les processus actuellement protégés par Traps en utilisant la console Traps ou une interface
en ligne de commande appelée Cytool (voir Afficher les processus actuellement protégés par Traps).
L'onglet Protection sur la console Traps affiche les processus actuellement protégés par Traps.
74
Pour chaque processus, Traps affiche le nom, la description, le numéro d'identifiant unique, l'heure à laquelle le
processus a été lancé et le registre d'allocation de mémoire.
Étape 1 Lancez la console Traps :
La console Traps se lance.
et sélectionnez
Étape 2 Sélectionnez l'onglet Advanced > Protection pour afficher les processus protégés.
75

Règles de prévention d'attaque

Stratégie de prévention d'attaque par défaut

Créer une règle de prévention d'attaque

Exclure un point de terminaison d'une règle de prévention d'attaque
Règles de prévention d'attaque
Une règle de prévention d'attaque utilise les modules de prévention d'attaque (EPM) pour protéger les processus dans
votre organisation et contrôle le comportement du processus, généralement par blocage ou autorisation. L'EPM
cible une technique d'exploitation spécifique et injecte un module dans le processus pour éviter les attaques aux
vulnérabilités du programme basées sur la corruption de mémoire ou des failles logiques. Un EPM peut protéger
simultanément plusieurs applications et processus. Des EPM avancés supplémentaires sont cachés et ne sont
accessibles qu'en mode ninja . Les EPM avancés permettent aux ingénieurs d'assistance et de vente Palo Alto
Networks de configurer des paramètres supplémentaires très fins pour chaque EPM. Le tableau suivant décrit
les types d'EPM et le type d'attaque contre lequel le module fournit la protection.
Nom
Type
Description
DEP
Corruption de
mémoire
Prévention d'exécution des données (DEP). Empêche l'exécution
d'un code exécutable aux zones de mémoire désignées comme
contenant des données.
Protection contre le
détournement de DLL
Faille logique
logicielle
Empêche les attaques de détournement de DLL où le pirate tente de
charger des DLL à partir d'emplacements non sécurisés pour
obtenir le contrôle d'un processus. Empêche également au pirate de
charger des fichiers CPL (panneau de commande) malicieux.
CPL
Faille logique
logicielle
Protège contre les vulnérabilités liées à la routine d'affichage pour les
images de raccourci du panneau de configuration de Windows, qui
peut être utilisée pour la création de logiciel malveillant.
Sécurité DLL
Faille logique
logicielle
Empêche l'accès aux métadonnées cruciales de DLL à partir
d'emplacements de code douteux.
Contrôle de heap spray en
exception
Corruption de
mémoire
Détecte les instances de type heap spray lors de l'occurrence
d'exceptions suspectes (indicatives de tentatives d'exploitation).
Protection des polices
Faille logique
logicielle
Empêche la manipulation incorrecte des polices, cible courante des
attaques.
Cookies GS
Faille logique
logicielle
Améliore la granularité des contrôles de sécurité du tampon de
Windows pour la protection contre le dépassement de tampon, une
technique d'attaque courante qui exploite un code qui n'applique pas
les restrictions de taille du tampon. Une modification de la taille du
cookie de sécurité qui est utilisé pour allouer l'espace indique que la
pile peut avoir été réécrite ; le processus est terminé si une valeur
différente est détectée.
76
Nom
Type
Mitigation de corruption de tas Corruption de
mémoire
Protection contre les
correctifs à chaud
Faille logique
logicielle
Préallocation de bibliothèque Faille logique
logicielle
Description
Empêche le déclenchement des vulnérabilités de corruption de tas
comme le double libération.
Empêche l'utilisation d'une nouvelle technique qui utilise les
fonctions du système pour contourner la DEP et la distribution
aléatoire de l'espace d'adressage (ASLR).
Applique le réadressage de modules spécifiques que l'exploitation
tente couramment d'utiliser.
limite de mémoire
Corruption de
mémoire
Détecte les instances de type heap spray qui utilisent notre
algorithme propriétaire lors d'une augmentation soudaine de la
consommation de mémoire (indicative d'une exploitation en cours).
Protection contre la
déréférence de pointeur Null
Corruption de
mémoire
Empêche un code malicieux d'effectuer la mise en correspondance
avec l'adresse zéro dans l'espace mémoire, rendant ainsi
inexploitable les vulnérabilités de déréférence de pointeur Null.
DLL condensées
Faille logique
logicielle
Une extension du module de sécurité DLL qui fournit la prise en
charge des DLL condensées qui seront décondensées en mémoire.
Contrôle de heap spray
périodique
Corruption de
mémoire
Détecte les instances de type heap spray qui utilisent notre
algorithme propriétaire en examinant le tas à des intervalles de
temps prédéfinis.
Préallocation aléatoire
Faille logique
logicielle
Augmente l'entropie de la disposition de mémoire du processus
pour réduire les possibilités d'attaque réussie.
Mitigation ROP
Corruption de
mémoire
Protège contre l'utilisation de la programmation orientée retour
(ROP) en protégeant les API utilisées dans les chaînes ROP et
contre les attaques utilisant les moteurs de compilation juste à temps
(JIT).
Protection SEH
Corruption de
mémoire
Empêche le détournement du gestionnaire d'exception structuré
(SEH), une structure de contrôle d'attaque couramment utilisée
appelée Liste liée, qui contient une séquence d'enregistrements de
données.
Préallocation du shellcode
Faille logique
logicielle
Réserver et protège certaines zones de la mémoire couramment
utilisées pour loger les charges utiles en utilisant des techniques de
type heap spray.
Protection du ShellLink
Faille logique
logicielle
Empêche les vulnérabilités logiques de lien shell.
SYSRET
Faille logique
logicielle
Protège contre les vulnérabilités liées à une attaque par escalade de
privilège local.
UASLR
Faille logique
logicielle
Améliore ou implémente complètement ASLR (randomisation de
l'emplacement du module) avec une meilleure entropie, robustesse
et une application stricte.
77
La stratégie de sécurité par défaut de Endpoint Security Manager contient les règles de prévention d'attaque
pour un ensemble de processus couramment utilisés. Pour créer des règles de prévention d'attaque
supplémentaires, vous devez configurer l'EPM et les détails de l'EPM utilisés pour protéger un ou plusieurs
processus et spécifier en option les Objets cibles, les Conditions, les processus, les EPM et les actions à
entreprendre en cas d'attaque. Un objet cible peut être tout utilisateur, groupe, unité d'organisation ou
ordinateur qui apparaît dans Active Directory ou dans le point de terminaison sur lequel Traps est installé.
Endpoint Security Manager identifie les points de terminaison par des messages qu'envoie Traps au serveur. Une
condition peut se référer à un fichier, à un fichier et une version de fichier, ou à un chemin du registre qui doivent
exister sur le point de terminaison.
Traps récupère régulièrement la stratégie de sécurité sur le serveur ESM. Lorsqu'un utilisateur ouvre un fichier
ou un URL, l'agent Traps injecte l'EPM dans le ou les processus impliqués par l'ouverture du fichier. La stratégie
de sécurité détermine le type d'EPM que Traps utilise pour protéger contre les vulnérabilités ou bogues dans le
processus et les actions à entreprendre. Les actions peuvent inclure des spécifications indiquant s'il faut ou non
activer l'EPM, terminer le processus, ou avertir l'utilisateur de l'évènement de sécurité. Lorsqu'un évènement de
sécurité déclenche une règle, l'agent Traps prend également un instantané de la mémoire pour l'investigation
numérique suivante.
Affichez un récapitulatif des règles de prévention d'attaque sur la page Policies > Exploit > Protection Modules. La
sélection d'une règle sur la page affiche d'autres informations sur la règle et les autres actions que vous pouvez
entreprendre (supprimer (Delete), activer/désactiver (Activate/Deactivate), ou modifier (Edit) la règle). Pour plus
d'informations, consultez la section Gérer les règles de prévention d'attaque.
Consultez l'assistance Palo Alto Networks avant d'effectuer toute modification aux EPM dans les
règles de stratégie de sécurité.
Stratégie de prévention d'attaque par défaut
Par défaut, la stratégie de sécurité de Endpoint Security Manager contient des Règles de prévention d'attaque
qui sont activées pour la protection contre les attaques qui profitent des vulnérabilités et exploitations courantes
du logiciel. Le tableau suivant décrit les paramètres de la stratégie de prévention d'attaque par défaut. Lors de la
configuration de nouvelles règles de prévention d'attaque, vous pouvez adopter le comportement par défaut
affiché dans la colonne Mode et notification utilisateur ou vous pouvez substituer les paramètres au besoin pour
personnaliser la stratégie de sécurité de votre organisation. Pour configurer les EPM avancés vous devez saisir
le mot de passe du mode ninja .
EPM
Module
DEP
G01
Terminer,
Notification=ACTIVÉ
Sécurité DLL
DllSec
Terminer,
Protection contre le détournement DllProt
de DLL
78
Activé par
défaut ?
Mode et notification
utilisateur
Mode
ninja ?
Avertir,
EPM
Module
Activé par
défaut ?
Mode et notification
utilisateur
exception
H02
Terminer,
Protection des polices
FontProt
Terminer,
Générique
GÉNÉRIQUE
Mitigation de corruption de tas
H01
Terminer,
Protection contre les correctifs à
chaud
B01
Terminer,
Préallocation de bibliothèque
P02
Terminer,
SEH maître
MasterSEH
VEH maître
MasterVEH
Contrôle de heap spray en limite de T02
mémoire
Terminer,
Protection contre la déréférence de K01
pointeur Null
Terminer,
DLL condensées
PACKED_DLL
Liste vide par
défaut
Mode
ninja ?
Terminer=ACTIVÉ
Contrôle de heap spray périodique D01
Terminer,
Mitigation ROP
R01
Terminer,
Protection SEH
S01
Terminer,
Préallocation shellcode
P01
Terminer,
Protection du ShellLink
ShellLink
Terminer,
Compatibilité T01
T01
Terminer,
UASLR
UASLR
Terminer,
Protection URI
URI
79
Créer une règle de prévention d'attaque
Créez une règle de prévention d'attaque pour définir le module spécifique utilisé pour protéger les processus
d'usage courant dans votre organisation. Chaque module empêche les tentatives d'exploitation les vulnérabilités
des programmes basées sur la corruption de mémoire ou des failles logiques et protège contre une méthode
d'attaque spécifique, par exemple le détournement de DLL ou la corruption du tas. Vous pouvez configurer un
module pour protéger un ou plusieurs processus qui peuvent être vulnérables à ce type d'attaque.
Par défaut, Traps protège les processus couramment utilisés à l'aide de règles de prévention d'attaque
préconfigurées. Pour obtenir une liste des processus qui sont protégés par la stratégie de sécurité par défaut, voir
Protection des processus. Les règles de prévention d'attaque par défaut ne peuvent pas être modifiées. Pour
substituer le comportement des règles de prévention d'attaque par défaut, créez une nouvelle règle afin de gérer
ce processus.
La configuration des règles de prévention d'attaque est une fonctionnalité avancée. Pour modifier
ou substituer une règle de prévention d'attaque, consultez l'équipe d'assistance Palo Alto
Networks.
Avant de configurer une règle de prévention d'attaque sur un nouveau processus, vous devez définir le processus
et le type de protection sur la page Policies > Exploit > Process Management. Pour ajouter un nouveau processus,
voir Ajouter un processus Protégé, Provisoire ou Non protégé. Pour modifier le type de protection d'un
processus, par exemple de l'état inconnu (Unknown) à l'état protégé (Protected), voir Afficher, modifier ou
supprimer un processus.
Créer une nouvelle règle de prévention d'attaque
Étape 1 Démarrez une nouvelle règle de
prévention d'attaque.
80
Sélectionnez Policies > Exploit > Protection Modules puis ajoutez
(Add) une nouvelle règle.
Créer une nouvelle règle de prévention d'attaque (Suite)
Étape 2 Configurez les détails de l'EPM.
1.
Activez (Enable) ou désactivez (Disable) l'injection du modules
de prévention d'attaque (EPM) sur les processus sélectionnés.
2.
Pour activer un ou plusieurs EPM, sélectionnez l'EPM dans la
liste et configurez ses paramètres dans la section Details. Les
paramètres pour chaque type d'EPM sont différents, mais
peuvent inclure des préférences indiquant s'il faut ou non
terminer un processus et avertir l'utilisateur à propos d'un
évènement de sécurité. Répétez l'opération pour ajouter
d'autres EPM. Pour plus d'informations sur les différents types
d'EPM, voir Règles de prévention d'attaque.
La modification des définitions d'EPM peut affecter
votre niveau de protection et modifie l'ordre dans lequel
les règles sont évaluées (voir Application de la stratégie).
Pour éviter de compromettre la sécurité de votre
organisation, consultez l'assistance Palo Alto Networks.
Étape 3 Sélectionnez les processus pour lesquels
vous voulez appliquer la règle.
Étape 4 (En option) Ajoutez des Conditions à la
règle.
1.
Sélectionnez l'onglet Processes.
2.
Limitez la liste des processus en sélectionnant le type de
processus dans le menu déroulant (protégé (Protected) ou
provisoire (Provisional)). Les processus provisoires sont des
processus qui subissent un essai de fonctionnement et sont
surveillés séparément des processus protégés.
3.
Sélectionnez un ou plusieurs processus auxquels appliquer la
règle et cliquez sur Add. Pour appliquer la règle à tous les
processus protégés ou provisoires, vous pouvez sélectionner All
Processes.
Par défaut, ESM n'applique aucune condition à une règle. Pour
spécifier une condition, sélectionnez l'onglet Conditions.
Sélectionnez ensuite la condition dans la liste Conditions et cliquez
sur Add. La condition est ajoutée à la liste Selected Conditions.
Répétez l'opération pour ajouter d'autres conditions, si nécessaire.
Pour ajouter une condition à la liste Conditions, voir Définir les
conditions d'activation pour une règle.
Étape 5 (En option) Définissez les Objets cibles Par défaut, ESM applique les nouvelles règles à toutes les objets au
auxquels s'applique la règle de restriction. sein de votre organisation. Pour définir un sous-groupe plus petit
d'objets cibles, sélectionnez l'onglet Objects, puis saisissez un ou
plusieurs utilisateurs (Users), ordinateurs (Computers), groupes
(Groups), unités d'organisation (Organizational units) ou points de
terminaison existants (Existing endpoints) dans les zones Inclure
(Include) ou Exclure (Exclude). Endpoint Security Manager
interroge Active Directory pour vérifier les utilisateurs, ordinateurs,
groupes ou unités d'organisation ou identifie les points de
terminaison existants à partir des messages de communication
précédents.
81
Créer une nouvelle règle de prévention d'attaque (Suite)
Étape 6 (En option) Examinez le nom et la
description de la règle.
La console ESM génère automatiquement le nom et la description
de la règle en fonction des détails de la règle. Pour substituer le nom
généré automatiquement, sélectionnez l'onglet Name, effacez
l'option Auto Description is Activated, puis saisissez un nom et une
description de règle de votre choix.
Étape 7 Enregistrez la règle de prévention
d'attaque.
• Enregistrez (Save) la règle. Pour activer la règle plus tard,
sélectionnez la règle dans la page Policies > Exploit > Protection
Modules et cliquez sur Activate.
• Enregistrer et appliquer (Save & Apply) la règle pour l'activer
immédiatement.
Les règles enregistrées apparaissent dans la page Policies > Exploit >
Protection Modules. À partir de cette page, vous pouvez supprimer
(Delete) ou désactiver (Deactivate) la règle, si nécessaire.
Lorsqu'un point de terminaison tente de lancer une application qui viole une stratégie de prévention d'attaque,
l'agent Traps interrompt l'exécution du processus et signale le processus malicieux à la console Endpoint
Security Manager. La page Security Events > Threats fournit des informations détaillées sur les processus qui
déclenchent des évènements de sécurité et les Exploit Prevention Modules (EPMs) qui empêchent les attaques.
Pour autoriser l'exécution du processus sur un point de terminaison spécifique sans supprimer ou désactiver la
règle de stratégie, créez une règle d'exclusion basée sur les détails de l'évènement de sécurité. La définition d'une
règle d'exclusion désactive l'EPM qui a empêché l'exécution du processus sur un point de terminaison
spécifique.
Pour éviter l'exposition inutile de votre organisation aux attaques, ne créez des règles d'exclusion
que lorsque cela est nécessaire.
Vous pouvez aussi créer des règles d'exclusion pour un ou plusieurs objets d'organisation (voir Créer une règle
de prévention d'attaque).
Étape 1 Lancez la page Threats.
Depuis la console ESM, sélectionnez Security Events > Threats.
Étape 2 Sélectionnez l'évènement.
Sélectionnez l'évènement de sécurité pour lequel vous voulez créer
la règle d'exclusion. L'évènement se développe pour afficher d'autres
détails et actions concernant l'évènement de sécurité.
82
Exclure un point de terminaison d'une règle de prévention d'attaque (Suite)
Étape 3 Créez une règle d'exclusion.
1.
2.
Cliquez sur Create pour remplir la règle avec les détails sur
l'EPM et le point de terminaison spécifiques. Le bouton est
disponible uniquement pour les règles de prévention d'attaque.
Si nécessaire, examinez les détails sur les onglets Processes,
Conditions, Objects et Name.
Étape 4 Vérifiez que la règle d'exclusion permet
l'exécution du processus sur le point de
terminaison.
3.
Enregistrez et appliquez (Save & Apply) la règle immédiatement
ou enregistrez (Save) la règle pour l'activer ultérieurement.
1.
Ouvrez la console Traps.
2.
Sélectionnez Check-in now pour demander la dernière stratégie
de sécurité.
3.
Sélectionnez Advanced > Policy et vérifiez que la règle apparaît.
4.
Lancez l'application sur le point de terminaison pour vérifier
que l'utilisateur parvient à exécuter le processus.
83
84
Prévention contre les logiciels
malveillants

Flux de prévention contre les logiciels malveillants

Gérer les restrictions sur les exécutables

Gérer les règles et paramètres WildFire

Gérer les empreintes d'exécutable

Gérer les règles de prévention contre les logiciels malveillants
85
Le moteur de prévention contre les logiciels malveillants se concentre sur trois méthodes principales de
prévention : règles de stratégie de restriction qui examinent la source du fichier, modules de prévention contre
les logiciels malveillants qui ciblent les comportements souvent générés par des processus malicieux, et analyse
WildFire.

Phase 1 : Évaluation des stratégies de restriction

Phase 3 : Évaluation des stratégies de prévention contre les logiciels malveillants

Phase 2 : Évaluation des verdicts d'empreinte

Phase 4 : Gestion de verdict
Phase 1 : Évaluation des stratégies de restriction
Lorsqu'un utilisateur ou une machine tente d'ouvrir un exécutable, Traps vérifie d'abord que l'exécutable ne viole
aucune règles de restriction. Par exemple, vous pourriez avoir des règles de restriction qui bloquent les fichiers
exécutables sans signature ou qui bloquent les exécutables ouverts à partir d'emplacements réseau. Si l'une des
règles de restriction s'applique à l'exécutable, Traps bloque l'exécution du fichier et signale l'évènement de
sécurité à Endpoint Security Manager.
Selon la configuration de chaque règle de restriction, Traps peut aussi avertir l'utilisateur de l'évènement de
prévention.
86
Si aucune règle de stratégie de restriction ne s'applique à l'exécutable, Traps évalue ensuite les règles qui
protègent contre les logiciels malveillants, comme décrit dans Phase 3 : Évaluation des stratégies de prévention
contre les logiciels malveillants.
Phase 2 : Évaluation des verdicts d'empreinte
Lorsque WildFire est activé (voir Activation de WildFire), Traps créé une empreinte unique pour chaque fichier
exécutable qu'un utilisateur ou une machine tente d'ouvrir. Traps effectue ensuite une recherche dans son cache
local pour déterminer si l'empreinte correspond à une décision officielle, appelée verdict WildFire, indiquant si le
fichier est malicieux ou bénin. Si l'empreinte ne correspond pas à un verdict dans le cache local, Traps interroge
le serveur ESM. Si le serveur ESM ne possède lui non plus aucun verdict pour l'empreinte, le serveur ESM
interroge WildFire. Les étapes d'évaluation sont décrites plus en détail dans les sections suivantes :

Recherche dans le cache local (sur le point de terminaison)

Recherche sur le cache du serveur (sur le serveur ESM)

Recherche sur WildFire
Recherche dans le cache local (sur le point de terminaison)
Lorsqu'un utilisateur ouvre un fichier exécutable, Traps créé une empreinte unique pour le fichier et effectue
une recherche de verdict dans son cache local. Le cache local est stocké dans le dossier
C:\ProgramData\Cyvera\LocalSystem sur le point de terminaison et contient les empreintes et les verdicts
correspondants pour chaque fichier qu'un utilisateur ou une machine tente d'ouvrir sur le point de terminaison.
Le cache adapte sa taille pour contenir le nombre de fichiers exécutables uniques ayant été ouverts sur le point
de terminaison. Lorsque la protection de service est activée (voir Gérer la protection de service), les empreintes
sont uniquement accessibles par Traps et ne peuvent pas être modifiées.
Si le verdict associé à l'empreinte indique que le fichier est bénin, Traps autorise l'exécution du fichier. Si le
verdict associé à l'empreinte est malicieux, Traps signale l'évènement de sécurité à Endpoint Security Manager.
Ensuite, selon le comportement de terminaison configuré pour les fichiers malicieux, Traps effectue l'une des
actions suivantes :
87

Il bloque l'exécutable malicieux

Il avertit l'utilisateur du fichier mais autorise tout de même l'exécution

Il inscrit le problème dans le journal en avertissant l'utilisateur et autorise l'exécution du fichier.
Si l'empreinte n'existe pas dans le cache local ou possède un verdict inconnu, Traps interroge le serveur ESM
pour voir si l'empreinte possède un verdict correspondant dans le cache du serveur.
Recherche sur le cache du serveur (sur le serveur ESM)
Après avoir reçu une requête de verdicts d'empreinte, le serveur ESM effectue une recherche dans son cache de
serveur. Le cache du serveur contient les verdicts de tous les fichiers exécutables ayant été ouverts sur tous les
points de terminaison de votre organisation.
Si la recherche d'empreinte renvoie un verdict malicieux ou bénin, le serveur ESM communique le verdict à
Traps lors de la prochaine communication de pulsation. Si le fichier s'avère être bénin, Traps autorise l'utilisateur
à ouvrir l'exécutable. Si le fichier s'avère malicieux, Traps inscrit dans le journal l'évènement de sécurité et gère
le fichier en fonction de la stratégie de sécurité pour les fichiers malicieux (généralement, blocage).
Si la valeur de l'empreinte dans le cache du serveur est inconnue ou si l'empreinte ne correspond pas à un verdict
connu, le serveur ESM interroge ensuite WildFire.
Recherche sur WildFire
WildFire stocke les verdicts pour tous les fichiers lui ayant été envoyés et/ou qui ont été analysés par WildFire.
Le serveur ESM interroge WildFire toutes les 30 minutes — ou à un intervalle préconfiguré de votre choix —
afin d'obtenir les verdicts d'empreinte pour les fichiers dont les verdicts sont inconnus dans le cache du serveur.
Si WildFire renvoie un verdict indiquant un fichier bénin ou malicieux, le serveur ESM met à jour son cache de
serveur. Ensuite, lors de la communication de pulsation suivante avec Traps, le serveur ESM communique le
verdict à tous les point de terminaison sur lesquels un utilisateur a tenté d'ouvrir le fichier exécutable.
Si WildFire renvoie un verdict inconnue (WildFire n'a pas analysé le fichier au préalable), vous pouvez configurer
le serveur ESM pour qu'il envoie automatiquement le fichier exécutable inconnu (jusqu'à 100 Mo chacun) à
WildFire pour l'analyse. Après l'analyse du fichier par WildFire, ce dernier stocke le verdict dans sa base de
données et renvoie ce verdict lors des requêtes suivantes concernant l'empreinte inconnue.
Si le chargement automatique de fichiers inconnus est désactivé (par défaut), vous pouvez
sélectionner manuellement les fichiers individuels à envoyer à WildFire pour l'analyse. Pour
activer le chargement automatique des fichiers inconnus, voir Activation de WildFire.
Si WildFire est inaccessible, le serveur ESM met en cache le verdicts d'empreinte avec l'état No Connection et
communique le verdict lors de la prochaine communication de pulsation avec Traps.
Selon le comportement configuré pour les fichiers inconnus, les fichiers sans connexion et les fichiers malicieux
dans votre stratégie de sécurité, Traps bloque le fichier ou autorise l'utilisateur à l'ouvrir. Une fois que Traps a
effectué les actions associées au verdict du fichier exécutable, vous pouvez conserver les empreintes et leurs
verdicts comme décrit dans Phase 3 : Évaluation des stratégies de prévention contre les logiciels malveillants.
88
Phase 3 : Évaluation des stratégies de prévention contre les logiciels
malveillants
Si WildFire donne son feu vert à l'exécutable, Traps autorise l'exécution du fichier. Si l'exécutable présente un
comportement malicieux, Traps arrête l'exécution du fichier et empêche au comportement malicieux de
continuer. Par exemple, vous pourriez avoir une règle d'injection de thread qui empêche la création de threads
distants. Si l'exécutable se lance et tente ensuite de créer des threads distants, Traps bloque l'exécution du fichier
et signale l'évènement de sécurité à Endpoint Security Manager.
Si aucune règle de stratégie de prévention contre les logiciels malveillants ne s'applique à l'exécutable et que
WildFire est activé, Traps passe à Phase 4 : Gestion de verdict.
Phase 4 : Gestion de verdict
Vous pouvez examiner les verdicts d'empreinte pour les fichiers exécutables dans votre organisation et
rechercher des empreintes spécifiques sur la page Policies > Malware > Hash Control (voir Consulter et rechercher
les empreintes).

Mises à jour automatiques de verdict

Mises à jour manuelles de verdict
Mises à jour automatiques de verdict
WildFire stocke les verdicts pour tous les fichiers lui ayant été envoyés et/ou qui ont été analysés par WildFire.
Lorsque WildFire reçoit et analyse de nouveaux échantillons envoyés par l'équipe de renseignement contre les
menaces de Palo Alto Networks et par les clients WildFire, il met à jour sa base de données étendue d'empreintes
et de verdicts.
Pour conserver un cache à jour des empreintes et des verdicts WildFire, le serveur ESM interroge
périodiquement WildFire pour connaître les modifications aux verdicts, par exemple un passage de l'état bénin
à l'état malicieux. Le serveur ESM interroge WildFire toutes les 30 minutes — par lots de 500 empreintes
uniques maximum — à propos des fichiers inconnus et demande également à WildFire les fichiers malicieux et
bénins connus qui ont changé de verdict au cours des 30 derniers jours. La requête pour les changements de
verdict des fichiers connus est exécutée une fois toutes les 1440 minutes (24 heures). Utilisez la console ESM
pour modifier la fréquence des requêtes et pour modifier le nombre de jours sur lesquels WildFire doit effectuer
la recherche des changements de verdicts.
Mises à jour manuelles de verdict
Vous pouvez obtenir un rapport WildFire détaillé pour chaque fichier exécutable bénin ou malicieux que
WildFire a analysé (voir Affichage des rapports WildFire). Le rapport contient des informations sur le fichier,
un récapitulatif de comportement de l'exécutable et des détails sur l'activité en réseau et sur l'hôte.
89
Utilisez les informations du rapport WildFire pour vous aider à prendre la décision de substituer ou de révoquer
un verdict. La substitution d'un verdict ne modifie le verdict que pour un fichier spécifique dans le cache du
serveur et n'affecte pas WildFire ni votre stratégie de sécurité globale (voir Substituer une décision de WildFire).
Après avoir modifié le verdict d'empreinte en verdict malicieux ou bénin, la console ESM affiche le verdict
modifié sur la page Hash Control. La substitution reste en place jusqu'à ce qu'elle soit retirée par l'administrateur,
et à ce moment-là elle revient au dernier verdict connu par le serveur ESM.
Pour forcer le serveur ESM à contrôler à nouveau un verdict avec WildFire, vous pouvez révoquer l'empreinte
en utilisant la console ESM (voir Révoquer une décision de WildFire). Le serveur ESM interroge
immédiatement WildFire pour obtenir le verdict actuel concernant l'empreinte. Une fois que WildFire a renvoyé
le verdict, le serveur ESM met à jour le cache du serveur et communique le verdict à tous les points de
terminaison ayant tenté au préalable d'ouvrir le fichier exécutable lors de la prochaine communication de
pulsation avec Traps.
Le serveur ESM communique toutes les modifications de verdict, comme une mise à jour depuis WildFire ou
une substitution manuelle, à tous les points de terminaison ayant ouvert au préalable le fichier lors de la
prochaine communication de pulsation avec Traps.
90
Les règles de restriction vous permettent de définir des limitations ou des exceptions sur la méthode de gestion
des exécutables sur les points de terminaison de votre réseau.

Règles de restriction

Ajouter une nouvelle règle de restriction

Gérer les listes blanches globales

Dossiers locaux en liste noire

Dossiers réseau en liste blanche

Définir les restrictions et exemptions pour les supports externes

Définir les restrictions et exemptions pour les processus enfants

Définir les restrictions et exemptions pour Java

Définir les restrictions et exemptions pour les exécutables sans signature
Les pirates déguisent souvent les fichiers exécutables malicieux en fichiers non malicieux ou les intègrent dans
ces derniers. Ils peuvent causer des dommages aux ordinateurs en tenant d'obtenir le contrôle, de rassembler
des informations sensibles ou de perturber les opérations normales du système. Le tableau suivant affiche les
règles de restriction que vous pouvez configurer pour limiter ou placer des exceptions sur la méthode de gestion
des exécutables sur votre réseau :
Description
Lancement
De nombreux scénarios d'attaque sont basés sur l'écriture et l'exécution de fichiers
d'exécutables à partir de exécutables malicieux dans certains dossiers. Habituellement, il est conseillé de limiter
certains dossiers
l'accès aux dossiers locaux temp et téléchargements, ainsi qu'aux dossiers réseau. Pour
effectuer une exception à la restriction générale, vous pouvez placer des dossiers
spécifiques en liste blanche. Pour plus d'informations, voir Gérer les listes blanches
globales, Dossiers locaux en liste noire et Dossiers réseau en liste blanche.
Lancement
Le code malicieux peut obtenir l'accès aux points de terminaison via des supports
d'exécutables à partir de externes comme les lecteurs amovibles et les lecteurs optiques. Pour vous protéger
supports externes
contre cela, vous pouvez définir des restrictions sur le lancement d'exécutables à partir
des lecteurs externes sur les points de terminaison de votre réseau. Pour plus
d'informations, consultez la section Définir les restrictions et exemptions pour les
supports externes.
Processus qui
engendrent des
processus enfants
Le code malicieux peut s'activer en obligeant un processus légitime à engendrer des
processus enfants malicieux. Bloquez le code malicieux en définissant une règles de
restriction appropriée. Pour plus d'informations, consultez la section Définir les
restrictions et exemptions pour les processus enfants.
91
Description
Processus Java exécutés
à partir des navigateurs
L'un des points d'entrée courant pour le code malicieux est par l'intermédiaire de
processus Java importés à partir d'un hôte distant et exécutés dans les navigateurs
Internet. Pour vous protéger contre ces attaques, empêchez une applet Java d'exécuter
des objets dans les navigateurs, tout en plaçant les processus de confiance en liste
blanche afin qu'il puissent être exécutés. Vous pouvez choisir ponctuellement les
actions autorisées (lecture, écriture ou exécution) pour les types de fichier de processus,
les emplacements et les chemins de registre. Pour plus d'informations, consultez la
section Définir les restrictions et exemptions pour Java.
Exécution de processus
sans signature
Un processus signé possède une signature d'authentification numérique prouvant qu'il
provient d'une source de confiance. La meilleure pratique impose que toutes les
applications légitimes soient signées, mais cette pratique n'est pas toujours respectée.
Les restrictions sur les processus sans signature empêchent à tous les processus sans
signature d'être exécutés, à l'exception de ceux qui ont été explicitement placés en liste
blanche. Vous pouvez aussi définir une période de report, qui empêche l'exécution des
processus sans signature pendant un certain nombre de minutes après la première
écriture sur le disque du point de terminaison. Puisqu'une attaque peut impliquer
l'écriture d'un exécutable malicieux sur le disque et son exécution immédiate,
l'utilisation d'une période de report et la restriction des processus sans signature sont
efficaces pour prévenir les attaques de logiciels malveillants. Pour plus d'informations,
consultez la section Définir les restrictions et exemptions pour les exécutables sans
signature.
Pour chaque restriction, vous spécifiez les objets cibles, les conditions, le type de restriction et les actions à
entreprendre lors de la gestion des exécutables. Un objet cible peut être tout utilisateur, groupe, unité
d'organisation ou ordinateur qui apparaît dans Active Directory ou dans le point de terminaison sur lequel Traps
est installé. Endpoint Security Manager identifie les points de terminaison par des messages qu'envoie Traps au
serveur. Une condition peut se référer à un fichier, à un fichier et une version de fichier, ou à un chemin du
registre qui doivent exister sur le point de terminaison.
Lorsqu'un utilisateur tente d'ouvrir un exécutable, l'agent Traps évalue les règles de restriction à appliquer (le cas
échéant) au fichier et effectue les actions associées. L'action détermine s'il faut ou non que l'agent Traps empêche
l'exécution du fichier et avertisse un utilisateur lorsqu'une règles de restriction est déclenchée.
Vous pouvez créer ou modifier des règles de restriction sur la page de récapitulatif et gestion de Restriction
(Policies > Malware> Restrictions). La sélection d'une règle affiche d'autres informations sur la règle et les autres
actions que vous pouvez entreprendre (supprimer (Delete), activer/désactiver (Activate/Deactivate), ou modifier
(Edit) la règle). Pour plus d'informations, consultez la section Gérer les restrictions sur les exécutables.
Créez une nouvelle règle de restriction pour définir les limitations sur la méthode de lancement des exécutables
sur les points de terminaison.
restriction.
92
Sélectionnez Policies > Malware > Restriction et ajoutez (Add) une
nouvelle règle.
Ajouter une nouvelle règle de restriction (Suite)
Étape 2 Sélectionnez le type de règles de
restriction que vous voulez ajouter.
Sélectionnez l'un des éléments suivants, puis configurez les
paramètres en fonction du type de restriction :
• Local Folder Behavior — Pour plus d'informations, voir Dossiers
locaux en liste noire.
• Network Folder Behavior — Pour plus d'informations, voir
Dossiers réseau en liste blanche.
• External Media — Pour plus d'informations, voir Définir les
restrictions et exemptions pour les supports externes.
• Child Processes — Pour plus d'informations, voir Définir les
restrictions et exemptions pour les processus enfants.
• Java — Pour plus d'informations, voir Définir les restrictions et
exemptions pour Java.
• Unsigned Executables — Pour plus d'informations, voir Définir
les restrictions et exemptions pour les exécutables sans signature.
règle.
Étape 4 (En option) Définissez les Objets cibles Par défaut, ESM applique les nouvelles règles à toutes les objets au sein
auxquels s'applique la règle de restriction. de votre organisation. Pour définir un sous-groupe plus petit d'objets
cibles, sélectionnez l'onglet Objects, puis saisissez un ou plusieurs
utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités
d'organisation (Organizational units) ou points de terminaison
existants (Existing endpoints) dans les zones Inclure (Include) ou
Exclure (Exclude). Endpoint Security Manager interroge Active
Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités
d'organisation ou identifie les points de terminaison existants à partir
des messages de communication précédents.
Étape 6 Enregistrez la règles de restriction.
La console ESM génère automatiquement le nom et la description de
la règle en fonction des détails de la règle. Pour substituer le nom
sélectionnez la règle dans la page Policies > Malware >
Restrictions et cliquez sur Activate.
immédiatement.
Les règles enregistrées apparaissent dans la page Policies > Malware
> Restrictions. À partir de cette page, vous pouvez supprimer
93
Pour permet le lancement des exécutables à partir des dossiers locaux et des supports externes et permettre aux
processus enfants générés à partir de processus parents dans un dossier spécifique, vous pouvez configurer une
liste blanche globale. À l'instar de la fonctionnalité de liste blanche existante pour les processus Java, les
exécutables sans signature et l'injection de thread, vous pouvez spécifier des chemins complets et des variables
de chemin et vous pouvez aussi utiliser des caractères génériques pour la correspondance de motif (% pour faire
correspondre les termes similaires et * pour faire correspondre zéro ou plus caractères).
Les éléments dans la section liste blanche ont également la priorité sur tous les éléments en liste noire et sont
évalués en premier dans la stratégie de sécurité.
Étape 1 À partir de la console ESM, sélectionnez Policies > Malware > Restriction Settings.
Étape 2 Pour spécifier si Traps doit bloquer ou non l'exécutable lorsqu'il est ouvert à partir d'emplacements qui ne sont
pas en liste blanche, configurez le mode de terminaison (Termination Mode) :
• Monitor — Ne pas bloquer l'accès aux exécutables et processus, mais inscrire dans le journal lorsque les
fichiers sont ouverts à partir d'emplacement qui ne sont pas en liste blanche et signaler les évènements à ESM.
• Prevent — Bloquer les exécutables et processus.
Étape 3 Pour spécifier si Traps doit avertir ou non l'utilisateur lorsqu'un exécutable est ouvert à partir d'un emplacement
qui n'est pas en liste blanche, configurez le mode de notification (Notification Mode) :
• On — Avertir l'utilisateur.
• Off — Ne pas avertir l'utilisateur.
Étape 4 Cliquez sur l'icône d'ajout de dossier
à côté des zones de liste blanche Dossier local, Processus enfant ou
Contrôle de support et saisissez le chemin du dossier, par exemple C:\Windows\Temp*.
Étape 5 Cliquez sur Valider Vous pouvez revenir à la page Restriction Settings à tout moment pour modifier les
paramètres de la liste blanche globale.
94
De nombreux scénarios d'attaque sont basés sur l'écriture et l'exécution de fichiers exécutables malicieux dans
certains dossiers comme « temp » et « téléchargements ». Vous pouvez limiter l'accès aux dossiers locaux
courants en ajoutant le dossier à une liste noire. Lorsqu'un utilisateur tente d'ouvrir un exécutable à partir d'un
dossier en liste noire, Traps bloque la tentative et signale l'évènement de sécurité à ESM. Pour accorder une
exception à la restriction générale, ajoutez un dossier à une liste blanche (voir Gérer les listes blanches globales).
restriction.
nouvelle règle.
Étape 2 Définissez le comportement du dossier
local.
1.
Sélectionnez Local Folder Behavior dans le menu déroulant
Restrictions.
2.
Pour bloquer le lancement des exécutables à partir des dossiers
locaux, cochez la case, cliquez sur l'icône d'ajout de dossier
,
et ajoutez le chemin du dossier à la section Liste noire.
3.
Répétez si besoin pour ajouter plusieurs dossiers.
règle.
précédents.
95
Dossiers locaux en liste noire (Suite)
immédiatement.
Pour éviter les scénarios d'attaque qui sont basés sur l'écriture de fichiers exécutables malicieux dans des dossiers
distants, vous pouvez créer une règle de restriction de comportement de dossier réseau qui définit les
emplacements réseau autorisés à partir desquels les exécutables peuvent être lancés. Lorsqu'un utilisateur tente
d'ouvrir un exécutable à partir d'un dossier qui n'est pas spécifié dans la règle de restriction, Traps bloque la
tentative et signale l'évènement de sécurité à ESM.
restriction.
nouvelle règle.
Étape 2 Définissez le comportement du dossier
réseau.
1.
Sélectionnez Network Folder Behavior dans le menu déroulant
Restrictions.
2.
Pour autoriser le lancement des exécutables à partir des dossiers
réseau spécifiques, cochez la case, cliquez sur l'icône d'ajout de
dossier
, et ajoutez le chemin du dossier à la section Liste
blanche.
3.
Répétez si besoin pour ajouter plusieurs dossiers.
règle.
96
Dossiers réseau en liste blanche (Suite)
immédiatement.
Le code malicieux peut obtenir l'accès aux points de terminaison en utilisant des supports externes comme les
lecteurs amovibles et les lecteurs optiques. Pour vous protéger contre cela, vous pouvez définir des règles de
restriction qui empêche le lancement des exécutables à partir de lecteurs externes raccordés aux points de
terminaison. La définition d'une restriction sur les supports externes protège contre toute tentative de lancer un
exécutable à partir d'un lecteur externe.
restriction.
nouvelle règle.
1.
Étape 2 Définissez le comportement de
restriction pour les supports externes. Par
défaut, l'exécution d'applications non
2.
malicieuses et inconnues à partir de
lecteurs amovibles et optiques est
autorisée.
Sélectionnez External Media dans le menu déroulant
Restrictions.
Cochez la case pour le type de support externe à partir duquel
vous voulez empêcher l'exécution des applications.
• Lecteurs amovibles
• Lecteurs optiques
97
Définir les restrictions et exemptions pour les supports externes (Suite)
règle.
précédents.
immédiatement.
Lors d'une tentative de contrôle d'un point de terminaison, un pirate peut obliger un processus légitime à
engendrer des processus enfants malicieux. Définissez une règle de restriction pour empêcher le lancement de
processus enfants à partir d'un ou plusieurs processus.
restriction.
98
nouvelle règle.
Définir les restrictions et exemptions pour les processus enfants (Suite)
1.
Étape 2 Définissez le comportement de
restriction pour les processus enfants. Par
défaut, les processus enfants engendrés à 2.
partir d'un processus protégé sont
autorisés.
3.
Sélectionnez Child Processes dans le menu déroulant
Restrictions.
Sélectionnez le type de processus (Processes) que vous voulez
limiter, Protected pour afficher les processus que la stratégie de
sécurité protège activement ou Provisional & Unprotected pour
afficher les processus qui subissent un essai de fonctionnement et
les processus que la stratégie de sécurité ne protège pas activement.
Sélectionnez un ou plusieurs processus dans la liste — ceux qui
ne doivent pas engendrer de processus enfants — et cliquez sur
Add. Les processus sélectionnés apparaissent dans la liste
Selected Processes.
Tenez enfoncée la touche CTRL pendant la sélection
pour sélectionner plusieurs processus.
Pour modifier les listes de processus, voir Gérer les processus.
règle.
immédiatement.
99
L'un des points d'entrée courant pour le code malicieux est par l'intermédiaire de processus Java qui sont
importés à partir d'un hôte distant et exécutés dans les navigateurs Internet. Pour protéger contre ces attaques,
vous pouvez empêcher une applet Java d'exécuter des objets dans les navigateurs. En alternative, vous pouvez
placer en liste blanche des processus de confiance afin qu'ils puissent être exécutés. Utilisez l'option pour choisir
ponctuellement les types de fichiers, emplacements et chemins de registre que ces processus peuvent utiliser
pour la lecture et l'écriture.
restriction.
nouvelle règle.
Étape 2 Définissez les restrictions sur les
processus Java.
1.
Par défaut, les restrictions de
processus Java sont désactivées.
L'activation du paramètre EMP
Java vous permet de placer des
restrictions sur les processus Java
mais n'active ou ne désactive
aucune des règles EPM.
2.
Sélectionnez Java dans le menu déroulant Restrictions.
Sélectionnez Enable Java EPM dans les options Java EPM
settings.
3.
Dans la section Java Whitelisted Processes, cliquez sur le
bouton
pour spécifier les processus Java qui seront autorisés
à être exécutés à partir du navigateur, par exemple
AcroRd32.exe. Répétez pour ajouter d'autres processus.
4.
Pour spécifier si un processus Java peut modifier les paramètres
du registre, sélectionnez Enabled dans le menu déroulant
Registry Modifications, puis configurez les permissions du
registre :
a. Pour chaque chemin du registre, définissez si les permissions
de lecture (Read), d'écriture (Write) et de suppression
(Delete) doivent être autorisées (Allow), bloquées (Block) ou
adoptées (Inherit) (par défaut) si nécessaire.
b. Cliquez sur le bouton
registre.
5.
pour ajouter d'autres chemins du
Pour spécifier si un processus Java peut lire ou écrire dans un
fichier, sélectionnez Enabled dans le menu déroulant File
System Modifications, puis configurez les permissions du
fichier :
a. Pour chaque nouveau motif de fichier, définissez si les
permissions de lecture et d'écriture doivent être autorisées
(Allow), bloquées (Block) ou adoptées (Inherit) (par défaut)
si nécessaire.
b. Cliquez sur le bouton
fichier.
6.
100
pour ajouter un nouveau motif de
Dans la liste Browsers, sélectionnez ou désélectionnez les
navigateurs sur lesquels appliquer la protection Java.
Définir les restrictions et exemptions pour Java (Suite)
règle.
précédents.
immédiatement.
Un processus signé possède une signature numérique prouvant qu'il provient d'une source de confiance. La
meilleure pratique impose que toutes les applications légitimes soient signées. Les restrictions sur les processus
sans signature empêchent à tous les processus sans signature d'être exécutés, à l'exception de ceux que vous avez
explicitement autorisés. Vous pouvez aussi définir une période de report, qui empêche l'exécution des processus
sans signature pendant un certain nombre de minutes après la première écriture sur le disque du point de
terminaison. Puisqu'une attaque peut impliquer l'écriture d'un exécutable malicieux sur le disque et son
exécution immédiate, l'utilisation d'une période de report et la restriction des processus sans signature sont
efficaces pour prévenir les attaques de logiciels malveillants.
101
restriction.
nouvelle règle.
Étape 2 Définissez les restrictions sur les
exécutables sans signature.
1.
règle.
Sélectionnez Unsigned Executables dans le menu déroulant
Restrictions.
2.
Saisissez un nombre de minutes dans le champ Blacklist Period
pour empêcher l'exécution des processus sans signature
pendant cet intervalle après la première écriture du fichier
exécutable sur le disque du point de terminaison.
3.
Pour autoriser l'exécution immédiate d'un processus, sans attendre
le nombre de minutes défini, ajoutez le processus aux processus en
liste blanche (Whitelisted Processes) en cliquant sur
.
4.
Pour autoriser l'exécution immédiate de tous les processus dans
un dossier donné, sans attendre le nombre de minutes défini,
ajoutez le dossier aux chemins en liste blanche (Whitelisted
Paths) en cliquant sur
.
immédiatement.
102

Activation de WildFire

Règles WildFire

Configurer une règle WildFire
WildFire est la solution de sandbox de Palo Alto Networks pour l'analyse des fichiers inconnus, y compris les
exécutables inconnus en utilisant soit une machine WildFire locale soit le nuage WildFire. WildFire contient des
verdicts pour tous les fichiers examinés : bénin dans le cas d'un fichier sûr, ou malicieux dans le cas d'un logiciel
malveillant. L'intégration de WildFire avec Traps est un service en option qui intègre l'analyse WildFire dans la
solution pour point de terminaison Traps.
Lorsqu'un utilisateur ou une machine tente d'ouvrir un fichier exécutable sur le point de terminaison, Traps créé
un identifiant unique (appelé empreinte) et le vérifie avec la base de données WildFire. Si WildFire confirme que
le fichier est un logiciel malveillant connu, l'agent Traps bloque le fichier et avertit Endpoint Security Manager
(pour plus d'informations, voir Gérer les empreintes d'exécutable). Par défaut, l'intégration de WildFire est
désactivée.
Étape 1 Depuis la console ESM, sélectionnez Settings > General > WildFire.
Étape 2 Saisissez la fréquence en minutes à laquelle le serveur ESM renvoie les empreintes pour les fichiers inconnus à
WildFire. Un fichier peut avoir un verdict inconnu si c'est la première fois qu'un point de terminaison envoie
l'empreinte au serveur ou si WildFire n'a pas encore analysé le fichier. La valeur par défaut est de 30 minutes et
doit être comprise entre 1 et 20 160 minutes.
Étape 3 Saisissez la fréquence en minutes à laquelle le serveur ESM contrôle à nouveau la valeur des empreintes bénignes
ou malicieuses connues avec WildFire. La valeur par défaut est de 1 440 minutes (24 heures)et doit être comprise
entre 1 et 20 160 minutes.
103
Activation de WildFire (Suite)
Étape 4 Par défaut, (toutes les 24 heures ou selon la spécification dans Étape 3) le serveur ESM interroge WildFire pour
déterminer les verdicts (le cas échéant) ayant été modifiés au cours des 30 derniers jours. Pour modifier la
période de temps sur laquelle le serveur ESM demande la présence de modifications, définissez une valeur
comprise entre 1 et 30 jours dans le champ Verdict change check interval. Par exemple, si vous spécifiez une
valeur de 15, cela signifie que le serveur ESM demandera les verdicts qui ont été modifiés au cours des 15
derniers jours.
Étape 5 Activez les paramètres WildFire :
• Réglez Allow external communication with WildFire servers: true pour activer le contrôle des empreintes par
ESM avec WildFire.
• Réglez Allow upload executables to WildFire servers: true pour activer l'envoi des fichiers par ESM à
WildFire pour l'analyse. Réglez l'option sur false pour contrôler uniquement les verdicts.
Étape 6 Saisissez l'adresse web du serveur WildFire — machine locale WF-500 ou nuage WildFire
(https://wildfire.paloaltonetworks.com) — qui sera utilisée pour contrôler les empreintes et les fichiers.
Étape 7 Par défaut, le serveur ESM envoie des fichiers jusqu'à 10 Mo à WildFire pour l'analyse. Pour modifier la taille de
fichier maximum, saisissez une valeur comprise entre 1 et 100 Mo. Les fichiers qui dépassent la taille maximum
ne seront pas envoyés, automatiquement ou manuellement, à WildFire.
Règles WildFire
Configurez les règles WildFire pour peaufiner le comportement et les préférences relatifs à l'analyse des fichiers
exécutables pour différents groupes d'Objets cibles. Un objet cible peut être tout utilisateur, groupe, unité
d'organisation ou ordinateur qui apparaît dans Active Directory ou dans tout point de terminaison sur lequel Traps est
installé. Endpoint Security Manager identifie les points de terminaison par des messages qu'envoie Traps au serveur.
Pour chaque règle WildFire, vous pouvez configurer des paramètres pour envoyer les fichiers inconnus à
WildFire pour l'analyse, spécifier si Traps avertira l'utilisateur à propos de l'exécutable malicieux, spécifier le
comportement de Traps lorsqu'il n'y a aucune communication avec le serveur ou avec WildFire et configurer le
comportement de Traps lorsque WildFire ne reconnaît pas un processus. Vous pouvez créer ou modifier des
règles WildFire sur la page de récapitulatif et gestion de WildFire (Policies > Malware> WildFire). La sélection d'une
règle affiche d'autres informations sur la règle et les autres actions que vous pouvez entreprendre (supprimer
(Delete), activer/désactiver (Activate/Deactivate), ou modifier (Edit) la règle).
Pour plus d'informations, consultez la section Activation de WildFire.
Lorsque WildFire est activé, Traps créé une empreinte unique pour chaque exécutable et vérifie l'état du fichier
avec WildFire. La configuration des règles WildFire vous permet de peaufiner les préférences et d'activer la
fonctionnalité pour différents objets cibles. Pour chaque règle WildFire, vous pouvez configurer des paramètres
pour envoyer les fichiers inconnus à WildFire pour l'analyse, spécifier si Traps avertira l'utilisateur à propos de
l'exécutable malicieux, spécifier le comportement de Traps lorsqu'il n'y a aucune communication avec le serveur
ou avec WildFire et configurer le comportement de Traps lorsque WildFire ne reconnaît pas un processus.
104
Étape 1 Vérifiez que WildFire est activé.
Reportez-vous à la section Activation de WildFire.
Étape 2 Démarrez une nouvelle règle WildFire.
1.
Sélectionnez Policies > Malware > WildFire.
2.
Ajoutez (Add) une nouvelle règle ou sélectionnez et modifiez
(Edit) une règle existante.
1.
Étape 3 (En option) Configurez les paramètres
WildFire. Par défaut, WildFire adopte le
comportement de la stratégie par défaut.
Pour substituer les paramètres, configurez
les paramètres WildFire afin de satisfaire 2.
les exigences de votre organisation.
3.
À gauche, désactivez (Disable) ou activez (Enable) l'intégration
WildFire. L'activation de l'intégration WildFire permet à Traps
de créer et de contrôler les verdicts d'empreinte avec son cache
local d'empreintes.
Pour activer l'agent Traps afin de charger les fichiers inconnus
sur le serveur ESM, sélectionnez Enabled dans le menu
déroulant Executable Upload.
Sélectionnez le mode de terminaison (Termination Mode) — le
comportement de Traps lorsque WildFire confirme qu'un
fichier exécutable est malicieux.
• Sélectionnez Inherit pour utiliser le comportement défini par
la stratégie par défaut (la stratégie par défaut est d'utiliser le
mode apprentissage).
• Sélectionnez Terminate pour bloquer l'exécutable malicieux.
• Sélectionnez Notify pour permettre à l'utilisateur d'ouvrir
l'exécutable, inscrire le problème dans le journal et avertir
l'utilisateur.
• Sélectionnez Learning pour permettre à l'utilisateur d'ouvrir
un exécutable malicieux et d'inscrire le problème dans le
journal, mais sans avertir l'utilisateur.
4.
Dans le menu déroulant User Notification, spécifiez si Traps
avertira l'utilisateur de l'exécutable malicieux en sélectionnant
On ou Off.
5.
Sélectionnez l'une des options suivantes dans le champ No
Communication Behavior pour spécifier ce que le point de
terminaison doit faire s'il ne parvient pas à joindre le serveur
ESM ou WildFire. Par défaut, Traps tente d'interroger WildFire
toutes les 2 heures (120 minutes).
• Sélectionnez Continue pour permettre l'ouverture d'un
fichier exécutable si Traps ne parvient pas à joindre le serveur
ESM ou WildFire pour vérifier la sécurité du fichier.
• Sélectionnez Terminate pour bloquer un fichier exécutable si
Traps ne parvient pas à joindre le serveur ESM ou WildFire
pour vérifier la sécurité du fichier.
6.
Sélectionnez le comportement pour processus inconnu
(Unknown Process Behavior) — le comportement de Traps
lorsque WildFire ne reconnaît par un processus.
• Sélectionnez Continue pour permettre à l'utilisateur d'ouvrir
un exécutable inconnu.
• Sélectionnez Terminate pour bloquer une exécutable inconnu.
105
Configurer une règle WildFire (Suite)
règle.
Étape 5 (En option) Définissez les Objets cibles
auxquels s'applique la règle WildFire.
Par défaut, ESM applique les nouvelles règles à toutes les objets au
sein de votre organisation. Pour définir un sous-groupe plus petit
précédents.
Étape 7 Enregistrez la règles WildFire.
sélectionnez la règle dans la page Policies > Malware > WildFire et
cliquez sur Activate.
immédiatement.
Les règles WildFire apparaissent dans la page Policies > Malware >
WildFire. À partir de cette page, vous pouvez supprimer (Delete) ou
désactiver (Deactivate) la règle, si nécessaire.
106
Lorsque l'intégration WildFire est activée, Traps créé une empreinte unique pour les fichiers exécutables lancé
sur un point de terminaison et la contrôle avec WildFire. La page Hash Control affiche la réponse de WildFire
pour chaque empreinte envoyée à WildFire.
Si WildFire a déjà analysé un exécutable et déterminé qu'il s'agit d'un logiciel malveillant, il répond que
l'exécutable est malicieux (Malicious). Si WildFire a déjà analysé un exécutable et déterminé qu'il ne contient
aucun code ou comportement malicieux, il répond que l'exécutable est bénin (Benign). Si WildFire n'a pas
analysé l'exécutable au préalable, il répond que l'état du fichier est inconnu (Unknown). Si le serveur ESM ne
parvient pas à joindre WildFire, l'état du fichier indiqué est Absence de connexion (No Connection). Spécifiez les
actions associées aux verdicts malicieux, bénins, inconnus et d'absence de connexion dans les paramètres
d'intégration WildFire (voir Activation de WildFire).

Consulter et rechercher les empreintes

Affichage des rapports WildFire

Substituer une décision de WildFire

Révoquer une décision de WildFire

Charger un fichier sur WildFire pour l'analyse
Consulter et rechercher les empreintes
La page Hash Control affiche un tableau de toutes les empreintes d'exécutable que les agents Traps dans votre
organisation ont signalées, accompagnées de leurs verdicts. Un champ de recherche en haut de la page vous
permet de filtrer les résultats avec une chaîne partielle ou complète. La recherche demande les valeurs
d'empreinte et les noms de processus et renvoie tous les résultats correspondants. Les empreintes sont uniques
tandis que les noms de processus peuvent être indiquées plusieurs fois.
Exporter et importer des empreintes
La page Hash Control affiche des informations sur les empreintes et les verdicts qui sont associés à tous les
fichiers exécutables que les utilisateurs et/ou les machines ont tenté d'ouvrir dans votre organisation. Vous
pouvez sauvegarder périodiquement un ou plusieurs enregistrements d'empreinte en exportant les
107
enregistrements vers un fichier XML. L'exportation des enregistrements d'empreinte peut être aussi utile avant
la migration ou la mise à niveau vers un nouveau serveur. L'importation d'enregistrement d'empreinte ajoute
toutes les nouvelles empreintes au tableau Hash Control existant.
Exporter et importer les fichiers d'empreinte
Étape 1 À partir de la console ESM, sélectionnez Policies > Malware > Hash Control.
Étape 2 Effectuez l'une des actions suivantes :
• Exportez les enregistrements d'empreinte :
• Pour exporter tous les enregistrements, sélectionnez le menu
en haut du tableau, puis sélectionnez
Export all.
• Pour exporter un ou plusieurs enregistrements, cochez la case à côté du ou des enregistrements. Ensuite,
dans le menu
en haut du tableau, sélectionnez Export selected.
Endpoint Security Manager enregistre les règles sélectionnées dans un fichier XML.
• Pour restaurer ou importer de nouvelles règles de stratégie, sélectionnez Import hashes dans le menu
en
haut du tableau. Accédez au fichier de stratégie, puis cliquez sur Upload.
Affichage des rapports WildFire
ESM met en cache les rapports WildFire qui contiennent un récapitulatif de comportement pour tous les
fichiers exécutables que WildFire a analysé au préalable. Le rapport WildFire est disponible au format PDF et
inclut toutes les informations que vous pouvez utiliser pour décider de substituer ou non la décision de WildFire
pour un fichier exécutable.
Affichage des rapports WildFire à partir de la console ESM
Étape 2 Recherchez et sélectionnez l'empreinte pour laquelle vous voulez consulter le rapport.
108
Affichage des rapports WildFire à partir de la console ESM (Suite)
Étape 3 Cliquez sur Get Report. La console ESM affiche le rapport en cache.
Substituer une décision de WildFire
Vous pouvez substituer localement une décision de WildFire pour autoriser ou bloquer un fichier sans impacter
le verdict WildFire. Cela peut être utile lorsque vous avez besoin de créer une exception pour un fichier
spécifique sans altérer la stratégie de sécurité globale. Après la substitution du verdict, la console ESM affiche
tout changement dans le verdict WildFire sur la page Hash Control. La substitution reste en place jusqu'à ce que
vous la retiriez, et à ce moment-là elle revient au dernier verdict connu sur le serveur.
Par exemple, prenons un cas où WildFire renvoie un verdict sur une empreinte spécifique et indique que le
fichier est inconnu. Si votre stratégie de sécurité est configurée pour bloquer tous les fichiers inconnus et que
vous pensez que le fichier est bénin, vous pouvez substituer la stratégie pour autoriser l'exécution du fichier
spécifique sans altérer la stratégie globale. Plus tard, si WildFire renvoie un nouveau verdict indiquant que le
fichier a été analysé et s'est avéré malicieux, vous verrez la notification sur la page Hash Control. Dans ce cas,
vous pouvez supprimer la substitution et autoriser la stratégie de sécurité à bloquer le fichier malicieux.
Gérer la décision de WildFire
Étape 1 Substituer la décision locale de WildFire
pour une empreinte.
1.
Sur la console ESM, sélectionnez Policies > Malware > Hash
Control.
2.
(En option) Saisissez l'empreinte ou le nom du processus dans
la case de recherche et appuyez sur Entrée.
3.
Sélectionnez l'empreinte du processus. Pour substituer le
verdict de WildFire, cliquez sur Allow pour autoriser l'exécution
du fichier ou sur Block pour bloquer l'exécution du fichier.
109
Gérer la décision de WildFire (Suite)
Étape 2 Consultez les changements de verdict de
WildFire pour prendre des décisions
concernant la suppression ou non d'une
substitution locale.
À intervalles préconfigurés, le serveur ESM interroge WildFire pour
voir si le verdict a changé pour toutes les empreintes qui sont
stockées dans sa base de données. Examinez régulièrement les
modifications de verdict sur la page Policy > Malware > Hash
Control de la console ESM.
Étape 3 Supprimer une substitution locale pour
un verdict WildFire.
Les décisions substituées sont groupées par décisions d'autorisation
(le verdict a été remplacé pour autoriser l'exécution du fichier) et
décisions de blocage (le verdict a été remplacé pour bloquer
l'exécution du fichier).
1. Sur la console ESM, sélectionnez Policies > Malware >
Override Verdicts.
2.
Sélectionnez une ou plusieurs empreintes de processus, puis
cliquez sur Undo pour revenir au dernier verdict connu sur le
serveur.
Pour forcer le nouveau contrôle immédiat d'un verdict, révoquez l'empreinte sur le serveur ESM. Ceci est utile
lorsque vous soupçonnez que WildFire a changé le verdict d'un fichier et voulez forcer le serveur ESM à
interroger WildFire pour obtenir le verdict à jour. Après avoir reçu la réponse de WildFire, le serveur ESM met
à jour le cache du serveur. Ensuite, lors de la communication de pulsation suivante avec Traps, le serveur ESM
communique le verdict à tous les point de terminaison sur lesquels un utilisateur a tenté d'ouvrir le fichier
exécutable.
Étape 2 Pour consulter le verdict WildFire d'une empreinte spécifique, effectuez l'une des actions suivantes :
• Utilisez la recherche en haut de la page pour rechercher une valeur d'empreinte ou un nom de processus.
• Utilisez les contrôles de page en haut à droite de chaque page pour voir différentes portions du tableau.
Étape 3 Sélectionnez la ligne pour afficher des détails supplémentaires sur l'empreinte de processus, puis effectuez l'une
des actions suivantes :
• Sélectionnez Review List pour voir toutes les instances d'une empreinte de processus. L'option est disponible
lorsqu'il existe au moins cinq instances d'une empreinte de processus.
• Sélectionnez Revoke Hash pour demander à nouveau le verdict pour l'empreinte à WildFire.
110
Avant l'intégration de la solution Advanced Endpoint Protection, en règle générale WildFire n'analyse un
exécutable que s'il a été envoyé ou chargé à partir du pare-feu, ou s'il a été envoyé en utilisant le portail WildFire.
Cela signifie que certains exécutables, même courants, peuvent ne pas avoir été analysés au préalable car il était
rare de les envoyer en utilisant les méthodes traditionnelles. Pour réduire le nombre de fichiers exécutables
inconnus sur le serveur ESM et par WildFire, vous pouvez envoyer manuellement ou automatiquement le fichier
à WildFire pour une analyse immédiate. Pour envoyer automatiquement les fichiers inconnus à WildFire, voir
Activation de WildFire.
Si l'option d'envoyer automatiquement les fichiers inconnus est désactivée, vous pouvez en revanche charger
manuellement un fichier au cas par cas. Lorsqu'un utilisateur ouvre un exécutable inconnu, Traps charge le
fichier — qui ne doit pas dépasser la taille maximum configurée — dans le dossier d'investigation numérique.
Ensuite, lorsque vous lancez un chargement manuel du fichier, le serveur ESM envoie le fichier à partir du
dossier d'investigation numérique vers WildFire.
Une fois que WildFire a terminé l'analyse et renvoie le verdict et le rapport, le serveur ESM envoie le verdict
modifié à tous les agents Traps et applique la stratégie.
Puisque de plus en plus d'agents permettent le transfert automatique des fichiers inconnus ou l'envoi manuel, le
nombre global de fichiers inconnus est amené à diminuer considérablement pour tous les utilisateurs.
Étape 2 Pour consulter le verdict WildFire d'une empreinte spécifique, effectuez l'une des actions suivantes :
• Utilisez la recherche en haut de la page pour rechercher une valeur d'empreinte ou un nom de processus.
• Utilisez les contrôles de page en haut à droite de chaque page pour voir différentes portions du tableau.
• Pour filtrer les entrées du tableau, cliquer sur l'icône du filtre
à droite de la colonne pour spécifier jusqu'à
deux ensembles de critères selon lesquels filtrer les résultats. Par exemple, filtrez la colonne Verdict pour les
fichiers inconnus.
Étape 3 Sélectionnez la ligne pour afficher des détails supplémentaires sur l'empreinte de processus, puis chargez Upload
le fichier sur WildFire.
111
Les règles de prévention contre les logiciels malveillants vous permettent de limiter le comportement lié aux
logiciels malveillants. Lorsqu'ils sont activés, ces modules utilisent un modèle de liste blanche qui permet
l'injection de processus uniquement par les processus spécifiés dans la stratégie. Les stratégies par défaut de
prévention contre les logiciels malveillants qui sont préconfigurées avec le logiciel ESM accordent des
exceptions pour les processus légitimes courants qui doivent s'injecter dans d'autres processus et/ou modules.
Lorsque de nouvelles règles de prévention contre les logiciels malveillants sont ajoutées à la stratégie de sécurité, le
mécanisme de règle Traps fusionne toutes les règles configurées dans une stratégie efficace qui est évaluée pour
chaque point de terminaison. Dans le cas d'un potentiel conflit entre deux règles ou plus, il existe un ensemble de
considérations, comme la date de modification, qui déterminent la règle qui entre en vigueur. En d'autres termes,
la règle ayant été créée ou modifiée le plus récemment a la priorité sur la règle plus ancienne. Ainsi, toutes les
nouvelles règles de prévention contre les logiciels malveillants peuvent substituer la stratégie par défaut et la rendre
inefficace et/ou causer une instabilité sur le point de terminaison. De plus, les listes blanches définies par
l'utilisateur ne sont pas fusionnées entre les différentes règles et sont évaluées uniquement si la règles a la priorité.
Soyez prudent lors de la configuration de nouvelles règles de stratégie de prévention contre les
logiciels malveillants afin d'éviter la substitution de la stratégie par défaut et de causer une
instabilité sur le système d'exploitation.
Pour toute question supplémentaire concernant la configuration des règles de prévention contre
les logiciels malveillants, contactez l'équipe d'assistance ou votre ingénieur commercial.
Pour éviter la substitution accidentelle de la stratégie par défaut, nous recommandons de configurer de nouvelles
règles uniquement sur les processus qui ne sont pas couverts par la stratégie par défaut. Lors de la configuration
d'une nouvelle règle, vous pouvez activer la protection du module contre les logiciels malveillants pour le
processus parent et utiliser les paramètres de la stratégie par défaut ou vous pouvez personnaliser les paramètres
de règle pour votre organisation. Pour effectuer des modifications sur la stratégie de sécurité pour les processus
qui sont déjà protégés, nous recommandons d'importer et de modifier les stratégies par défaut au besoin pour
les adapter à votre stratégie de sécurité comme décrit dans les flux de travail suivants :

Règles de prévention contre les logiciels malveillants

Configurer la protection d'injection de thread

Configurer la protection de surveillance de suspension
Règles de prévention contre les logiciels malveillants
Une règle de prévention contre les logiciels malveillants empêche l'exécution d'un logiciel malveillant, souvent déguisé ou
intégré dans un fichier non malicieux, en utilisant des modules contre les logiciels malveillants afin de cibler le
comportement de processus courant déclenché par le logiciel malveillant.
Contrairement aux règles de prévention d'attaque qui sont activées par choix (vous activez les modules pour les
processus spécifiques que vous voulez protéger), les règles de prévention contre les logiciels malveillants sont
désactivées par choix (vous activez les modules pour protéger les processus et spécifiez le ou les processus qui
sont autorisés à suivre le comportement défini).
Vous pouvez activer l'injection des modules de prévention contre les logiciels malveillants dans tous les processus
ou activer la protection dans un ou plusieurs processus protégés au sein de votre organisation. Pour autoriser
l'exécution des processus légitimes vous pouvez placer en liste blanche les processus parents qui s'injectent dans
112
d'autres processus. Des options de liste blanche supplémentaires sont également disponible en mode ninja . Les
paramètres avancés de liste blanche permettent aux ingénieurs d'assistance et de vente Palo Alto Networks de
configurer des paramètres supplémentaires très fins pour chaque module contre les logiciels malveillants.
Le tableau suivant décrit les modules de prévention contre les logiciels malveillants :
Règles de prévention contre Description
les logiciels malveillants
Surveillance de suspension
Protège contre une technique de logiciel malveillant courante où le pirate créé des
processus à l'état en suspens afin d'injecter et d'exécuter du code avant le démarrage du
processus. Vous pouvez activer la surveillance de suspension sur un mode de processus
source et configurer la notification utilisateur, et placer en option des modules de fonction
en liste blanche pouvant appeler des processus enfants. Pour plus d'informations, consultez
la section Configurer la protection de surveillance de suspension.
Injection de thread
Le code malicieux peut aussi obtenir un accès en créant des threads et processus distants.
Vous pouvez activer l'injection de thread pour interrompre la création de threads et
processus distants et spécifier la limitation sur le processus ou thread de source ou de
destination. Placez des dossiers spécifiques en liste blanche pour effectuer des exceptions
à la règle de restriction générale. Pour plus d'informations, consultez la section
Configurer la protection d'injection de thread.
Un processus peuvent comprendre un ou plusieurs threads qui exécutent une partie du code du processus.
Certains scénarios d'attaque sont basés sur l'injection de code malicieux dans un processus cible afin de créer
des threads distants, de maintenir la persistance et de contrôler le système infecté.
La stratégie par défaut contient des règles prévues pour empêcher la création de threads distants malicieux et
autorise les processus légitimes qui doivent injecter des threads dans d'autres processus. Les règles de stratégie
par défaut pour l'injection de thread sont habituellement stockées dans le dossier C:\Program Files\Palo Alto
Networks\Endpoint Security Manager\Web\KnowledgeBase\Malware modules\ThreadInjection mais
peuvent se trouver ailleurs si vous avez spécifié un emplacement d'installation alternatif. Consultez les fichiers
dans ce dossier pour déterminer si un fichier de stratégie de base d'injection de thread existe pour le processus.
Soyez prudent lors de la configuration de nouvelles règles d'injection de thread afin d'éviter la
substitution de la stratégie par défaut et de causer une instabilité sur le système d'exploitation.
Si le processus n'est pas déjà protégé par la stratégie de sécurité par défaut, vous pouvez créer une nouvelle règle
qui active la protection d'injection de thread pour un processus en utilisant les paramètres d'injection de thread
par défaut ou vous pouvez configurer les paramètres au besoin pour votre stratégie de sécurité. Les paramètres
incluent le nom du processus, l'activation du module (Module Activation) (activer (Enable) ou désactiver (Disable)),
le mode du processus source (Source process mode) (terminer (Terminate) ou avertir (Notify)), la notification
utilisateur (User Notification) (activée (On) ou désactivée (Off)), et les processus cibles en liste blanche sur lesquels
le processus source peut effectuer l'injection.
113
Si le processus est déjà protégé par la stratégie de sécurité par défaut, nous recommandons d'importer l'injection
de thread par défaut comme nouvelle règle et d'effectuer les modifications selon les besoins de votre
organisation. De cette manière, lorsque la stratégie est activée, elle substitue la stratégie par défaut mais contient
encore les paramètres de configuration par défaut en plus de toutes les modifications que vous avez effectuées.
Étape 1 (En option) Importer une copie de 1.
la stratégie par défaut. Ceci est
2.
nécessaire uniquement pour les
3.
processus qui sont déjà protégés
par la configuration par défaut et
empêche le remplacement de la
stratégie par défaut.
Sélectionnez Policies > Malware > Protection Modules.
Dans le menu
, sélectionnez Import rules.
Accédez (Browse) aux fichiers de stratégie par défaut dans le dossier
Traps pour le processus source désiré, puis cliquez sur Upload.
La règle importée apparaît dans le tableau des règles de prévention
Étape 2 Démarrer ou modifier une règle de Ajoutez (Add) une nouvelle règle ou sélectionnez et modifiez (Edit) une
prévention contre les logiciels
règle existante.
malveillants.
Étape 3 Activer la protection d'injection de 1.
thread pour un processus individuel 2.
ou pour tous les processus.
1.
Étape 4 (En option) Définissez les
paramètres d'injection de thread en
utilisant les paramètres adoptés.
Pour utiliser les paramètres définis
par la stratégie par défaut, activez le
module, puis passez à Étape 5.
2.
En alternative, substituez les valeurs
par défaut pour personnaliser les
paramètres d'injection de thread
selon les besoins de votre
organisation.
Sélectionnez Thread Injection dans le menu déroulant.
(Nouvelles règles uniquement) Pour configurer la protection
d'injection de thread pour un processus parent, sélectionnez l'option
pour sélectionner un processus (Select a process), puis saisissez le
nom du processus dans le champ prévu. Vous pouvez aussi laisser la
valeur par défaut pour appliquer la protection d'injection de thread à
tous les processus (All Processes).
Activez (Enable) ou désactivez (Disable) le module d'injection de
thread sur un processus en sélectionnant l'activation du module
(Module Activation).
Vous pouvez configurer les paramètres du module
supplémentaire uniquement lorsque le module est activé.
Configurez les actions à entreprendre lorsqu'un processus source
tente de s'injecter dans un autre processus (Source process mode) :
• Inherit — Adopter le comportement de la stratégie par défaut.
• Terminate — Terminer le processus.
• Notify — Inscrire le problème dans le journal et autoriser le
processus à s'injecter dans un autre processus.
3.
Configurez le comportement de notification lorsque le processus
source tente de s'injecter dans un autre processus (User Notification).
• Inherit — Adopter le comportement de la stratégie par défaut.
• On — Avertir l'utilisateur lorsqu'un processus tente de s'injecter
dans un autre processus.
• Off — Ne pas avertir l'utilisateur lorsqu'un processus tente de
s'injecter dans un autre processus.
4.
114
Pour ajouter un processus cible à une liste blanche, cliquez sur l'icône
du mode ninja
et saisissez le mot de passe de supervision.
Ajoutez un ou plusieurs processus à la liste.
Configurer la protection d'injection de thread (Suite)
Étape 5 (En option) Ajoutez des Conditions Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier
à la règle.
une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la
condition dans la liste Conditions et cliquez sur Add. La condition est
ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter
d'autres conditions, si nécessaire. Pour ajouter une condition à la liste
Conditions, voir Définir les conditions d'activation pour une règle.
Étape 6 (En option) Définissez les Objets
cibles auxquels s'applique la règle de
malveillants.
Par défaut, ESM applique les nouvelles règles à toutes les objets au sein de
votre organisation. Pour définir un sous-groupe plus petit d'objets cibles,
sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs
(Users), ordinateurs (Computers), groupes (Groups), unités d'organisation
(Organizational units) ou points de terminaison existants (Existing
endpoints) dans les zones Inclure (Include) ou Exclure (Exclude).
Endpoint Security Manager interroge Active Directory pour vérifier les
utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les
points de terminaison existants à partir des messages de communication
précédents.
Étape 7 (En option) Examinez le nom et la La console ESM génère automatiquement le nom et la description de la
règle en fonction des détails de la règle. Pour substituer le nom généré
automatiquement, sélectionnez l'onglet Name, effacez l'option Auto
Description is Activated, puis saisissez un nom et une description de règle
de votre choix.
Étape 8 Enregistrez la règle de prévention
• Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez
la règle dans la page Policies > Malware > Protection Modules et cliquez
sur Activate.
immédiatement.
Les règles enregistrées apparaissent dans la page Policies > Malware >
Protection Modules. À partir de cette page, vous pouvez supprimer
La surveillance de suspension protège contre une technique de logiciel malveillant courante où le pirate créé des
processus à l'état en suspens afin d'injecter et d'exécuter du code avant le démarrage du processus. Lorsqu'il est
activé, le module de surveillance de suspension protège tous les processus contre les attaques de type suspension
de surveillance et utilise des listes blanches pour autoriser les processus légitimes courants à s'injecter dans
d'autres processus et/ou modules.
Les règles de stratégie par défaut pour la surveillance de suspension sont habituellement stockées dans le dossier
C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Web\KnowledgeBase\Malware
modules\SuspendGuard mais peuvent se trouver ailleurs si vous avez spécifié un emplacement d'installation
alternatif. Vous pouvez consulter les fichiers dans ce dossier pour déterminer si un fichier de stratégie de base
de surveillance de suspension existe pour le processus.
115
Soyez prudent lors de la configuration de nouvelles règles de surveillance de suspension afin
d'éviter la substitution de la stratégie par défaut et de causer une instabilité sur le système
d'exploitation.
Si le processus n'est pas déjà protégé par la stratégie de sécurité par défaut, vous pouvez créer une nouvelle règle
qui active la protection de surveillance de suspension pour un processus en utilisant les paramètres de
surveillance de suspension par défaut ou vous pouvez configurer les paramètres au besoin pour votre stratégie
de sécurité. Les paramètres incluent le nom du processus, l'activation du module (Module Activation) (activer
(Enable) ou désactiver (Disable)), le mode du processus source (Source process mode) (terminer (Terminate) ou
avertir (Notify)), la notification utilisateur (User Notification) (activée (On) ou désactivée (Off)), et les modules de
fonction en liste blanche qui peuvent appeler des processus enfants.
Si le processus est déjà protégé par la stratégie de sécurité par défaut, nous recommandons d'importer la stratégie
de surveillance de suspension par défaut comme nouvelle règle et d'effectuer les modifications selon les besoins
de votre organisation. De cette manière, lorsque la stratégie est activée, elle substitue la stratégie par défaut mais
contient encore les paramètres de configuration par défaut en plus de toutes les modifications que vous avez
effectuées.
1.
Étape 1 (En option) Importer une copie de la
stratégie par défaut. Ceci est nécessaire
2.
uniquement pour les processus qui sont
3.
déjà protégés par la configuration par
défaut et empêche le remplacement de la
stratégie par défaut.
Étape 2 Démarrer ou modifier une règle de
malveillants.
Dans le menu
, sélectionnez Import rules.
Accédez (Browse) puis chargez (Upload) les fichiers de stratégie
par défaut dans le dossier Traps pour le processus source désiré.
La règle importée apparaît dans le tableau des règles de
prévention contre les logiciels malveillants.
Ajoutez (Add) une nouvelle règle ou sélectionnez et modifiez (Edit)
une règle existante.
Étape 3 Activer la protection de surveillance de
1.
suspension pour un processus individuel 2.
ou pour tous les processus.
116
Sélectionnez Policies > Malware > Protection Modules.
Sélectionnez Suspend Guard dans le menu déroulant.
(Nouvelles règles uniquement) Pour configurer la protection de
surveillance de suspension pour un processus parent,
sélectionnez l'option pour sélectionner un processus (Select a
process), puis saisissez le nom du processus dans le champ
prévu. Vous pouvez aussi laisser la valeur par défaut pour
appliquer la protection de surveillance de suspension à tous les
processus (All Processes).
Configurer la protection de surveillance de suspension (Suite)
Étape 4 Définir les paramètres de la surveillance
de suspension.
1.
Pour adopter les paramètres de la stratégie
par défaut, activez le module, puis passez
à Étape 5.
En alternative, substituez les valeurs par
défaut pour personnaliser les paramètres
de surveillance de suspension selon les
besoins de votre organisation.
Activez (Enable) ou désactivez (Disable) le module de
surveillance de suspension sur un processus en sélectionnant
l'activation du module (Module Activation).
Vous pouvez configurer les paramètres du module
supplémentaire uniquement lorsque le module est activé.
2.
Configurez les actions à entreprendre lorsqu'un processus
source tente de s'injecter dans un autre processus (Source
process mode) :
• Inherit — Adopter le comportement de la stratégie par
défaut.
• Terminate — Terminer le processus.
• Notify — Inscrire le problème dans le journal et autoriser le
processus à s'injecter dans un autre processus.
3.
Configurez le comportement de notification lorsque le
processus source tente de s'injecter dans un autre processus
(User Notification).
• Inherit — Adopter le comportement de la stratégie par
défaut.
• On — Avertir l'utilisateur lorsqu'un processus tente de
s'injecter dans un autre processus.
• Off — Ne pas avertir l'utilisateur lorsqu'un processus tente
de s'injecter dans un autre processus.
4.
Par défaut, la liste blanche empêche tous les modules de
fonction du processus parent de s'injecter dans tout processus
enfant. En alternative, vous pouvez explicitement autoriser
l'injection dans les fonctions et processus enfants en les ajoutant
à une liste blanche. Pour configurer les paramètres de la liste
blanche, cliquez sur l'icône du mode ninja
et saisissez le
mot de passe de supervision.
5.
Adoptez les paramètres de liste blanche par défaut ou
configurez la fonction et les processus enfants spécifiques. Par
défaut, la liste blanche autorise à tous les modules de fonction
de lancer des processus enfants. En alternative, vous pouvez
configurer l'un des élément suivants et ajouter (Add) le nom du
module et de l'enfant à la liste blanche :
• Une fonction spécifique qui lance un processus enfant
• Tous les noms de fonctions qui lancent un processus
spécifique
• Un nom de fonction qui lance un processus spécifique
Répétez si nécessaire pour ajouter plusieurs combinaison par
processus parent.
117
Configurer la protection de surveillance de suspension (Suite)
règle.
auxquels s'applique la règle de prévention sein de votre organisation. Pour définir un sous-groupe plus petit
précédents.
Étape 8 Enregistrez la règle de prévention contre Effectuez l'une des actions suivantes :
les logiciels malveillants.
sélectionnez la règle dans la page Policies > Malware > Protection
Modules et cliquez sur Activate.
immédiatement.
> Protection Modules. À partir de cette page, vous pouvez supprimer
118
Gérer les points de terminaison
Les sujets suivants décrivent comment gérer les points de terminaison en utilisant Endpoint Security Manager :

Gérer les règles d'action Traps

Gérer les règles de paramètres d'agent
119
Utilisez des règles d'action pour effectuer des actions uniques sur l'agent Traps qui s'exécute sur chaque point de
terminaison.

Règles d'action Traps

Ajouter une nouvelle règle d'action

Gérer les données collectées par Traps

Éteindre ou suspendre la protection EPM

Désinstaller ou mettre à niveau Traps sur le point de terminaison

Mettre à jour ou révoquer la licence Traps sur le point de terminaison
Règles d'action Traps
Les règles d'action vous permettent d'effectuer des actions uniques sur l'agent Traps qui s'exécute sur chaque point
de terminaison. Pour chaque règle d'action, vous devez spécifier les objets cibles, les conditions et l'une des
actions d'administration suivantes à effectuer sur chaque point de terminaison.
Règles d'action
Description
Gérer les fichiers de
Chaque point de terminaison stocke des informations de prévention et de sécurité
données créés par l'agent incluant des données historiques, des vidages mémoire et des fichiers en quarantaine.
Traps
En utilisant ce type de règle d'action, vous pouvez effacer ou récupérer les fichiers de
données que l'agent Traps créé sur le point de terminaison. Pour plus d'informations,
consultez la section Gérer les données collectées par Traps.
Éteindre ou suspendre la Si une stratégie de sécurité interfère avec une application légitime, vous pouvez
protection EPM
temporairement éteindre ou suspendre la protection du module de prévention
d'attaque (EPM) sur le point de terminaison. Après avoir terminé la tâche nécessaire,
nous recommandons d'analyser l'évènement et de définir une règle de sécurité
spécifique à cette application, puis de réactiver la protection EPM. Pour plus
d'informations, consultez la section Éteindre ou suspendre la protection EPM.
Désinstaller ou mettre à
niveau le logiciel Traps
Créez une règle d'action pour désinstaller ou mettre à niveau Traps à partir de Endpoint
Security Manager. Pour mettre à niveau le logiciel Traps sur un point de terminaison,
chargez le fichier ZIP du logiciel sur le serveur Endpoint Security Manager et spécifiez
le chemin lors de la configuration de la règle d'action. Pour plus d'informations,
consultez la section Désinstaller ou mettre à niveau Traps sur le point de terminaison.
Mettre à jour ou révoquer Endpoint Security Manager distribue les licences à l'agent Traps. Vous pouvez
la licence Traps
révoquer ou mettre à jour la licence à tout moment sur un point de terminaison. Pour
plus d'informations, consultez la section Mettre à jour ou révoquer la licence Traps sur
Traps n'applique pas de règles d'action tant que l'agent n'a pas reçu la stratégie de sécurité à
jour, ce qui se produit habituellement avec la communication de pulsation suivante avec le
serveur. Pour récupérer manuellement la dernière stratégie de sécurité à partir du serveur ESM,
sélectionnez Update Now sur la console Traps.
120
Vous pouvez créer ou modifier des règles d'action sur la page de récapitulatif et gestion Actions (Settings > Agent
Actions). La sélection de la règle affiche d'autres informations sur la règle et les autres actions que vous pouvez
entreprendre (dupliquer (Duplicate), supprimer (Delete) ou activer/désactiver (Activate/Deactivate) la règle). Pour
plus d'informations, consultez la section Gérer les règles d'action Traps.
Pour chaque règle d'action, vous pouvez spécifier les objets d'organisation, les conditions et les actions à
effectuer sur chaque point de terminaison.
Étape 1 Démarrez une nouvelle règle
d'action.
Sélectionnez Settings > Agent Actions, puis ajoutez (Add) une nouvelle
règle.
Étape 2 Sélectionnez le type de tâche à
effectuer.
Sélectionnez l'un des éléments suivants dans le menu déroulant Tasks,
puis configurez les paramètres en fonction du type d'action :
• Agent Data — Pour plus d'informations, voir Gérer les données
collectées par Traps.
• Agent Service — Pour plus d'informations, voir Éteindre ou
suspendre la protection EPM.
• Agent Installation — Pour plus d'informations, voir Désinstaller ou
mettre à niveau Traps sur le point de terminaison.
• Agent License — Pour plus d'informations, voir Mettre à jour ou
révoquer la licence Traps sur le point de terminaison.
Étape 3 (En option) Ajoutez des Conditions Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier
à la règle.
une condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la
condition dans la liste Conditions et cliquez sur Add. La condition est
ajoutée à la liste Selected Conditions. Répétez l'opération pour ajouter
d'autres conditions, si nécessaire. Pour ajouter une condition à la liste
Conditions, voir Définir les conditions d'activation pour une règle.
Étape 4 (En option) Définissez les Objets
cibles auxquels s'applique la règle
d'action.
Par défaut, ESM applique les nouvelles règles à toutes les objets au sein de
votre organisation. Pour définir un sous-groupe plus petit d'objets cibles,
sélectionnez l'onglet Objects, puis saisissez un ou plusieurs utilisateurs
(Users), ordinateurs (Computers), groupes (Groups), unités d'organisation
(Organizational units) ou points de terminaison existants (Existing
endpoints) dans les zones Inclure (Include) ou Exclure (Exclude).
Endpoint Security Manager interroge Active Directory pour vérifier les
utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les
points de terminaison existants à partir des messages de communication
précédents.
La console ESM génère automatiquement le nom et la description de la
règle en fonction des détails de la règle. Pour substituer le nom généré
automatiquement, sélectionnez l'onglet Name, effacez l'option Auto
Description is Activated, puis saisissez un nom et une description de règle
de votre choix.
121
Ajouter une nouvelle règle d'action (Suite)
Étape 6 Enregistrez la règle d'action.
• Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez
la règle dans la page Settings > Agent Actions et cliquez sur Activate.
immédiatement.
Les règles enregistrées apparaissent dans la page Settings > Agent Actions.
À partir de cette page, vous pouvez dupliquer (Duplicate), supprimer
Utilisez l'assistant d'action pour effectuer les actions suivantes pour les fichiers de données créés par Traps sur
Action
Description
Clear History
Chaque point de terminaison stocke un historique des préventions de sécurité. Sélectionnez
cette option pour effacer les fichiers de données historiques qui s'affichent dans la console
Traps.
Erase Memory Dumps
Les vidages mémoire sont des enregistrements du contenu de la mémoire système lorsqu'un
évènement de prévention se produit. Sélectionnez cette option pour effacer les
enregistrement de mémoire du système sur les objets cibles.
Erase Quarantined Files
Lorsqu'un évènement de sécurité se produit sur un point de terminaison, Traps capture les
vidages mémoire et les fichiers récents associés à l'évènement et les stocke dans le dossier
d'investigation numérique sur le point de terminaison. Sélectionnez cette option pour
supprimer les fichiers associés à l'évènement de sécurité sur les objets cibles.
Retrieve Data that the
Agent Collects
Traps collecte l'historique des évènements de sécurité, les vidages mémoire et d'autres
informations associées à un évènement de sécurité. Sélectionnez cette option pour récupérer
toutes les informations enregistrées de tous les évènements qui se sont produits sur le point
de terminaison. Après l'exécution de cette règle, l'agent envoie toutes les données liées à la
prévention, en incluant un vidage mémoire du processus protégé dans le dossier
d'investigation numérique désigné.
Retrieve Logs that the
Agent Collects
Traps collecte les journaux de trace d'application détaillés et stocke les informations sur les
processus et les applications qui sont exécutés sur le point de terminaison. Utilisez le fichier
journal pour résoudre un problème avec une application ou enquêter sur un problème
spécifique qui s'inscrit dans le journal. La sélection de cette option créé une règle d'action
pour récupérer toutes les informations de trace d'application pour un point de terminaison.
Après l'exécution de cette règle, l'agent Traps envoie tous les journaux au dossier
122
Étape 1 Démarrez une nouvelle règle d'action.
Sélectionnez Settings > Agent Actions, puis ajoutez (Add) une
nouvelle règle.
Étape 2 Définissez les tâches à effectuer sur les
1.
données Traps stockées sur les points de 2.
terminaison.
Sélectionnez Agent Data dans le menu déroulant Tasks.
Sélectionnez une ou plusieurs options pour gérer les données
d'agent.
• Clear history
• Erase memory dumps
• Erase quarantined files
• Retrieve collected data from the agent
• Retrieve collected logs from the agent
règle.
auxquels s'applique la règle d'action.
précédents.
sélectionnez la règle dans la page Settings > Agent Actions et
immédiatement.
Les règles enregistrées apparaissent dans la page Settings > Agent
Actions. À partir de cette page, vous pouvez dupliquer (Duplicate),
supprimer (Delete) ou désactiver (Deactivate) la règle, si nécessaire.
123
Si une stratégie de sécurité interfère avec une application légitime, vous pouvez temporairement suspendre ou
éteindre l'injection du module de prévention d'attaque (EPM) sur un point de terminaison. Pour les points de
terminaison qui exécutent Traps version 3.1 ou supérieure, Traps n'injectera pas les EPM dans les processus tant
que la règle est active, mais continuera d'envoyer les notifications concernant les évènements de sécurité.
Après avoir terminé la tâche nécessaire, nous recommandons d'analyser l'évènement et de définir une règle de
sécurité spécifique à cette application, puis d'activer la protection EPM. En cas de suspension de l'EPM, la règle
active automatiquement la protection EPM après l'écoulement de la durée spécifiée. Dans le cas de l'extinction
de l'EPM, vous devez redémarrer manuellement le point de terminaison pour démarrer le service Traps sur le
point de terminaison et réactiver la protection EPM.
Étape 2 Définissez la durée de suspension de la
protection.
nouvelle règle.
1.
Sélectionnez Agent Service dans le menu déroulant Tasks.
2.
Sélectionnez Suspend protection for et spécifiez la durée en
minutes avec le menu déroulant — 10, 30, 60 ou 180 minutes —
pour suspendre temporairement l'injection des modules de
sécurité.
règle.
précédents.
124
Éteindre ou suspendre la protection EPM (Suite)
immédiatement.
Créez une nouvelle règle d'actions d'agent pour désinstaller Traps sur les objets cibles ou mettre à niveau Traps
en utilisant le logiciel accessible par la console ESM.
nouvelle règle.
Étape 2 Définissez les tâches à effectuer sur Traps Sélectionnez Agent Installation dans le menu déroulant Tasks et
sur les points de terminaison.
sélectionnez l'une des actions suivantes :
• Uninstall
• Upgrade from path — Accédez au fichier ZIP d'installation, puis
cliquez sur Upload.
règle.
précédents.
125
Désinstaller ou mettre à niveau Traps sur le point de terminaison (Suite)
immédiatement.
Créez une nouvelle règle d'action pour mettre à jour ou révoquer une licence du service Traps exécuté sur un
point de terminaison. La révocation d'une licence vous permet de réaffecter une licence à un autre point de
terminaison. Après la révocation d'une licence, Traps ne protègera plus le point de terminaison. Utilisez l'option
de mise à jour pour remplacer une licence sur le point de terminaison et relancer le service Traps.
nouvelle règle.
Étape 2 Définissez les tâches à effectuer sur la
licence Traps sur les points de
terminaison.
Sélectionnez Agent License dans le menu déroulant Tasks et
sélectionnez l'une des actions suivantes :
• Update — Mettre à jour la licence Traps sur un point de
terminaison.
• Revoke — Révoquer une licence et arrêter le service d'agent sur
un point de terminaison.
règle.
126
Mettre à jour ou révoquer la licence Traps sur le point de terminaison (Suite)
précédents.
immédiatement.
127
Utilisez les règles de paramètres d'agent pour modifier les préférences relatives à Traps à partir d'un emplacement
centralisé.

Règles de paramètres d'agent Traps

Ajouter une nouvelle règle de paramètres d'agent

Définir les préférences de journalisation d'évènement

Masquer ou limiter l'accès à la console Traps

Définir les paramètres de communication entre le point de terminaison et le serveur ESM

Collecter les informations sur les nouveaux processus

Gérer la protection de service

Modifier le mot de passe de désinstallation

Créer un message de prévention personnalisé

Créer un message de notification personnalisé
Règles de paramètres d'agent Traps
Les règles de paramètres d'agent vous permettent de modifier les préférences relatives à Traps à partir d'un
emplacement centralisé. Sur la page Settings > Agent Settings, vous pouvez créer des règles pour gérer les
paramètres de Traps suivants :
Règles de paramètres
d'agent
Description
Event logging settings
Déterminez comment l'agent Traps gère les journaux d'évènements. Ces paramètres
incluent le réglage d'un quota de taille pour les journaux du point de terminaison, ainsi que
l'envoi en option des journaux du point de terminaison au journal d'évènements Windows.
Pour plus d'informations, consultez la section Définir les préférences de journalisation
d'évènement.
User visibility and access Déterminez si et comment l'utilisateur final peut accéder à l'application de console Traps.
settings
En option, vous pouvez configurer la console de sorte qu'elle ne soit accessibles qu'aux
administrateurs. Pour plus d'informations, consultez la section Masquer ou limiter l'accès à
la console Traps.
Heartbeat settings
128
Déterminez la fréquence à laquelle l'agent Traps envoie le message de pulsation au serveur
ESM. La fréquence optimale est déterminée en fonction du nombre de points de
terminaison dans l'organisation et de la charge réseau type. La période de pulsation par
défaut est de cinq minutes. Pour plus d'informations, consultez la section Définir les
paramètres de communication entre le point de terminaison et le serveur ESM.
d'agent
Description
Collect new process
information
Configurez les agents Traps pour collecter les nouveaux processus sur les points de
terminaison. Lorsque cette option est activée, Traps signale chaque processus exécuté sur un
point de terminaison au serveur ESM. Vous pouvez consulter les processus dans l'affichage
Process Management des écrans Endpoint Security Manager et choisir de créer ou non des
règles de sécurité liées aux processus. Pour plus d'informations, consultez la section
Collecter les informations sur les nouveaux processus.
Service protection
Empêchez les tentatives de désactiver ou d'effectuer des modifications aux valeurs de
registre et fichiers de Traps. Lorsque cette option est activée, les utilisateurs ne peuvent pas
éteindre ni modifier le service de l'agent Traps. Pour plus d'informations, consultez la section
Gérer la protection de service.
Agent security
Par défaut, les utilisateurs et les administrateurs doivent saisir le mot de passe requis pour
désinstaller l'application Traps. Utilisez cette option pour modifier le mot de passe. Pour plus
d'informations, consultez la section Modifier le mot de passe de désinstallation.
Prevention message
Personnalisez le titre, le pied de page et l'image affichée pour les pop-ups de prévention que
Traps affiche lorsqu'un évènement de sécurité se produit sur le point de terminaison. Pour
plus d'informations, consultez la section Créer un message de prévention personnalisé.
Notification message
Personnalisez le titre, le pied de page et l'image affichée pour les pop-ups de notification que
Traps affiche lorsqu'un comportement de notification est déclenché sur le point de
terminaison. Pour plus d'informations, consultez la section Créer un message de notification
personnalisé.
Traps n'applique pas de règles de paramètres d'agent tant que l'agent Traps n'a pas reçu la
stratégie de sécurité à jour, ce qui se produit habituellement avec la communication de pulsation
suivante avec le serveur. Pour récupérer manuellement la dernière stratégie de sécurité à partir
du serveur ESM, sélectionnez Update Now sur la console Traps.
Vous pouvez créer ou modifier des règles de paramètres d'agent sur la page de récapitulatif et gestion Agent
Settings (Settings > Agent Settings). La sélection d'une règle affiche d'autres informations sur la règle et les autres
actions que vous pouvez entreprendre (supprimer (Delete), activer/désactiver (Activate/Deactivate), ou modifier
(Edit) la règle). Pour plus d'informations, consultez la section Gérer les règles de paramètres d'agent.
Pour chaque règle de paramètres d'agent, vous pouvez spécifier les objets d'organisation, les conditions et les
préférences de Traps à appliquer.
Étape 1 Démarrez une nouvelle
règle de paramètres
d'agent.
Sélectionnez Settings > Agent Settings, puis ajoutez (Add) une nouvelle règle.
129
Ajouter une nouvelle règle de paramètres d'agent (Suite)
Étape 2 Sélectionnez le type de
paramètre à modifier et
configurez vos
préférences.
Sélectionnez l'un des éléments suivants, puis configurez les paramètres en fonction
du type de préférence :
• Event Logging — Pour plus d'informations, voir Définir les préférences de
journalisation d'évènement.
• User Visibility & Access — Pour plus d'informations, voir Masquer ou limiter
l'accès à la console Traps.
• Heartbeat Settings — Pour plus d'informations, voir Définir les paramètres de
communication entre le point de terminaison et le serveur ESM.
• Process Management — Pour plus d'informations, voir Collecter les informations
sur les nouveaux processus.
• Service Protection — Pour plus d'informations, voir Gérer la protection de
service.
• Agent Security — Pour plus d'informations, voir Modifier le mot de passe de
désinstallation.
• Prevention Message — Pour plus d'informations, voir Créer un message de
prévention personnalisé.
• Notification Message — Pour plus d'informations, voir Créer un message de
notification personnalisé.
Étape 3 (En option) Ajoutez des Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une
Conditions à la règle.
condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans la
liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected
Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire. Pour
ajouter une condition à la liste Conditions, voir Définir les conditions d'activation
pour une règle.
Étape 4 (En option) Définissez
les Objets cibles auxquels
s'applique la règle de
paramètres d'agent.
Par défaut, ESM applique les nouvelles règles à toutes les objets au sein de votre
organisation. Pour définir un sous-groupe plus petit d'objets cibles, sélectionnez
l'onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs
(Computers), groupes (Groups), unités d'organisation (Organizational units) ou
points de terminaison existants (Existing endpoints) dans les zones Inclure (Include)
ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour
vérifier les utilisateurs, ordinateurs, groupes ou unités d'organisation ou identifie les
points de terminaison existants à partir des messages de communication précédents.
Étape 5 (En option) Examinez le La console ESM génère automatiquement le nom et la description de la règle en
nom et la description de fonction des détails de la règle. Pour substituer le nom généré automatiquement,
la règle.
sélectionnez l'onglet Name, effacez l'option Auto Description is Activated, puis
saisissez un nom et une description de règle de votre choix.
Étape 6 Enregistrez la règle de
• Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle dans
la page Settings > Agent Settings et cliquez sur Activate.
• Enregistrer et appliquer (Save & Apply) la règle pour l'activer immédiatement.
Les règles enregistrées apparaissent dans la page Settings > Agent Settings. À partir
de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la règle, si
nécessaire.
130
Le journal d'évènements Windows stocke les évènements d'application, de sécurité et du système qui vous
aident à diagnostiquer la source des problèmes du système. Utilisez l'assistant Agent Settings pour spécifier s'il
faut envoyer ou non les évènements de sécurité que rencontre Traps au journal d'évènements Windows et pour
définir un quota de taille pour le dossier de stockage local temporaire que Traps utilise pour stocker les
informations d'évènement.
règle de paramètres d'agent.
1.
Étape 2 Définissez les paramètres
de journalisation
2.
d'évènement pour les points
de terminaison.
Sélectionnez Event Logging dans le menu déroulant Agent Settings.
Effectuez une ou plusieurs des actions suivantes :
• Sélectionnez l'option Set disk quota (MB) pour spécifier la taille du dossier
de stockage local temporaire que Traps utilisera pour stocker les journaux
d'évènements. Spécifiez le quota en Mo. La valeur par défaut est 1000 Mo
(10 Go). Le maximum est 10 000 000 Mo (10 To).
• Sélectionnez l'option Write agent events in the Windows event log pour
envoyer les évènements de Traps au journal d'évènements Windows.
Étape 3 (En option) Ajoutez des
Par défaut, ESM n'applique aucune condition à une règle. Pour spécifier une
condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition dans
la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste Selected
Conditions. Répétez l'opération pour ajouter d'autres conditions, si nécessaire.
Pour ajouter une condition à la liste Conditions, voir Définir les conditions
d'activation pour une règle.
Objets cibles auxquels
points de terminaison existants (Existing endpoints) dans les zones Inclure
(Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active
d'organisation ou identifie les points de terminaison existants à partir des
messages de communication précédents.
Étape 5 (En option) Examinez le
nom et la description de la
règle.
La console ESM génère automatiquement le nom et la description de la règle en
fonction des détails de la règle. Pour substituer le nom généré automatiquement,
• Enregistrez (Save) la règle. Pour activer la règle plus tard, sélectionnez la règle
dans la page Settings > Agent Settings et cliquez sur Activate.
de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la règle,
si nécessaire.
131
Par défaut, un utilisateur peut accéder à la console Traps pour consulter les informations sur l'état actuel du point
de terminaison, les évènements de sécurité et les modifications à la stratégie de sécurité. Lorsqu'un évènement
de sécurité est déclenché, l'utilisateur reçoit également une notification sur l'évènement incluant le nom de
l'application, l'éditeur et une description de la prévention d'attaque ou la règle de restriction qui a déclenché la
notification.
Vous pouvez créer une règle de paramètres d'agent pour modifier l'accessibilité de la console et spécifier s'il faut
ou non masquer les notifications pour l'utilisateur.
Étape 2 Définissez les paramètres de 1.
visibilité et d'accès de
l'utilisateur pour les points 2.
de terminaison.
Sélectionnez User Availability & Access dans le menu déroulant Agent
Settings.
Sélectionnez une ou plusieurs des options suivantes :
• Hide tray icon — L'installation de Traps sur un point de terminaison
ajoute par défaut une icône dans la zone de notification. Utilisez cette
option pour masquer l'icône de la zone de notification sur le point de
terminaison.
• Disable access to the Traps console — Par défaut, l'utilisateur peut accéder
à la console Traps en la lançant depuis la zone de notification. Utilisez
cette option pour désactiver la possibilité de lancer la console.
• Hide Traps user notifications — Lorsque l'agent Traps rencontre un
évènement de prévention, l'utilisateur voit un message de notification
décrivant l'évènement. Utilisez cette option pour masquer les
notifications.
132
condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition
dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste
Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si
nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les
Masquer ou limiter l'accès à la console Traps (Suite)
règle.
Les règles enregistrées apparaissent dans la page Settings > Agent Settings. À
partir de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la
règle, si nécessaire.
Définir les paramètres de communication entre le point de terminaison et le
serveur ESM
Le point de terminaison communique de manière régulière avec Endpoint Security Manager en envoyant des
messages de pulsation et effectue des signalisation au serveur ESM. Durant la communication de pulsation,
l'agent Traps demande la stratégie de sécurité actuelle et envoie une réponse à Endpoint Security Manager pour
signaler l'état du point de terminaison. La fréquence à laquelle l'agent Traps envoie les messages de pulsation au
serveur ESM est appelée cycle de pulsation. La fréquence optimale est déterminée en fonction du nombre de
points de terminaison dans l'organisation et de la charge réseau type. La période de pulsation par défaut est de
cinq minutes.
L'agent Traps signale également les modifications dans le service, incluant les évènements de démarrage, arrêt
et plantage et les processus découverts sur le point de terminaison. La fréquence à laquelle l'agent Traps envoie
la notification de signalisation est appelée intervalle de signalisation.
Définir les paramètres de communication entre le point de terminaison et le serveur ESM
133
Définir les paramètres de communication entre le point de terminaison et le serveur ESM (Suite)
Étape 2 Définissez les paramètres de 1.
pulsation pour les points de 2.
terminaison.
Sélectionnez Heartbeat Settings dans le menu déroulant Agent Settings.
Sélectionnez une ou plusieurs des options suivantes :
• Set distinct heartbeat cycle — Spécifiez la fréquence en heures (Hours),
Minutes ou jours (Days).
• Set send reports interval — Spécifiez la fréquence en heures (Hours),
Minutes ou jours (Days).
règle.
En collectant les informations sur les nouveaux processus du point de terminaison, vous pouvez analyser s'il
faut ou non créer des règles de sécurité. Par défaut, l'agent Traps ne collecte pas d'informations sur les nouveaux
processus. Vous pouvez configurer Traps pour qu'il signale chaque processus exécuté sur un point de
terminaison à Endpoint Security Manager en activant le paramètre Process Management. La page Process
Management affiche tous les processus ajoutés manuellement ou découverts automatiquement.
134
Étape 2 Activez la collecte des
nouveaux processus sur les
points de terminaison.
1.
Sélectionnez Process Management dans le menu déroulant Agent Settings.
2.
Cochez la case Collect new process information.
Lorsque de nouveau processus sont détectés, ESM les affiche dans la page
Policies > Exploit > Process Management en tant que processus non protégés.
Définissez des règles pour protéger les nouveaux processus si nécessaire.
règle.
La protection de service vous permet de protéger le service Traps exécuté sur vos points de terminaison.
Lorsque la protection de service est activée, les utilisateurs ne peuvent pas modifier les valeurs de registre ou les
fichiers associés à Traps, ni arrêter ou modifier le service Traps d'aucune manière.
135
Sélectionnez Settings > Agent Settings, puis ajoutez (Add) une
nouvelle règle.
Étape 2 Activez la protection de service.
1.
Sélectionnez Service Protection dans le menu déroulant Agent
Settings.
2.
règle.
Sélectionnez activer la protection de service (Enable service
protection) ou désactiver la protection de service (Disable
service protection).
auxquels s'applique la règle de paramètres sein de votre organisation. Pour définir un sous-groupe plus petit
d'agent.
précédents.
Étape 6 Enregistrez la règle de paramètres
d'agent.
sélectionnez la règle dans la page Settings > Agent Settings et
immédiatement.
Settings. À partir de cette page, vous pouvez supprimer (Delete) ou
136
Par défaut, vous devez saisir le mot de passe de désinstallation spécifié durant l'installation afin de désinstaller
Traps d'un point de terminaison. Modifiez le mot de passe par défaut en créant une règle de paramètres d'agent.
nouvelle règle.
Étape 2 Modifiez le mot de passe.
1.
Sélectionnez Agent Security dans le menu déroulant. Cochez la
case Set uninstall password.
2.
Saisissez le mot de passe que l'utilisateur ou l'administrateur
devront saisir pour désinstaller Traps. Le mot de passe doit
contenir au moins huit caractères.
règle.
d'agent.
précédents.
d'agent.
immédiatement.
137
Traps affiche des messages de prévention lorsqu'un fichier ou un processus viole une stratégie de sécurité et le
comportement de terminaison est configuré pour bloquer le fichier et avertir l'utilisateur. Utilisez une règle de
paramètres d'agent pour personnaliser le titre, le pied de page et l'image affichée pour les pop-ups de prévention
que Traps affiche lorsqu'un évènement de sécurité se produit sur le point de terminaison.
nouvelle règle.
Étape 2 Personnalisez une ou plusieurs options de 1.
message de prévention.
2.
Sélectionnez Prevention Message dans le menu déroulant.
Lorsque vous effectuez des modifications, l'aperçu à droite des
paramètres de configuration affiche vos modifications.
• Prevention title — Saisissez un maximum de 50 caractères
dans le champ prévu pour afficher un titre de notification
personnalisé.
• Prevention action — Pour fournir un contact ou d'autres
informations au bas du message, saisissez jusqu'à 250
caractères dans le champ Notification action. Pour spécifier
une adresse e-mail, utilisez le format HTML standard, par
exemple <a
href="mailto://assistance@votre_organisation.com
"> Assistance</a>.
• Prevention image — Pour remplacer le logo Traps par une
nouvelle image, accédez (Browse) à une nouvelle image, puis
cliquez sur Upload.
règle.
d'agent.
précédents.
138
Créer un message de prévention personnalisé (Suite)
d'agent.
immédiatement.
Traps affiche des messages de notification lorsque le comportement de notification est configuré pour alerter
l'utilisateur. Utilisez une règle de paramètres d'agent pour personnaliser le titre, le pied de page et l'image affichée
pour les pop-ups de notification que Traps affiche lorsque le comportement déclenche une notification d'alerte.
139
Créer un message de notification personnalisé (Suite)
Étape 2 Personnalisez une ou
plusieurs options de
message de notification.
1.
Sélectionnez Notification Message dans le menu déroulant.
2.
Lorsque vous effectuez des modifications, l'aperçu à droite des paramètres de
configuration affiche vos modifications.
• Notification title — Saisissez un maximum de 50 caractères dans le champ
prévu pour afficher un titre de notification personnalisé.
• Notification action — Pour fournir un contact ou d'autres informations au
bas du message, saisissez jusqu'à 250 caractères dans le champ Notification
action. Pour spécifier une adresse e-mail, utilisez le format HTML
standard, par exemple <a
href="mailto://assistance@votre_organisation.com">
Assistance</a>.
• Notification image — Pour remplacer le logo Traps par une nouvelle
image, accédez (Browse) à une nouvelle image, puis cliquez sur Upload.
règle.
fonction des détails de la règle. Pour intervenir sur le nom généré
automatiquement, sélectionnez l'onglet Name, effacez l'option Auto Description is
Activated, puis saisissez un nom et une description de règle de votre choix.
de cette page, vous pouvez supprimer (Delete) ou désactiver (Deactivate) la règle,
si nécessaire.
140
Investigation numérique

Aperçu de l'investigation numérique

Gérer les règles et paramètres d'investigation numérique

Activer la collecte d'URI dans Chrome
141

Flux d'investigation numérique

Types de données d'investigation numérique
Flux d'investigation numérique

Phase 1 : Évènement de prévention déclenché

Phase 2 : Analyse automatisée

Phase 3 : Détection automatisée

Phase 4 : Collecte des données d'investigation numérique
Phase 1 : Évènement de prévention déclenché
Lorsqu'un pirate tente d'exploiter la vulnérabilité d'un logiciel, les modules de protection Traps entrent en action
pour interrompre le comportement du processus malicieux et enfin bloquer l'attaque. Par exemple, imaginez le
cas où un fichier tente d'accéder à des métadonnées de DLL cruciales à partir d'emplacements de code douteux.
Si le module de sécurité de DLL est activé pour protéger les processus dans votre organisation, Traps interrompt
immédiatement le processus qui tente d'accéder aux métadonnées de DLL. Traps enregistre l'évènement dans
son journal d'évènements et avertit l'utilisateur de l'évènement de sécurité. S'il est configuré, Traps affiche un
message de notification personnalisé (pour plus d'informations, voir Créer un message de prévention
personnalisé).
Après avoir interrompu une tentative d'exploitation avec succès, Traps collecte et analyse les données liées à
l'évènement, comme décrit dans Phase 2 : Analyse automatisée.
Phase 2 : Analyse automatisée
Lorsqu'un évènement de sécurité se produit sur un point de terminaison, Traps congèle le contenu de la
mémoire et le stocke dans un fichier de données appelé vidage mémoire. À partir de la console ESM, vous
pouvez peaufiner les paramètres de vidage mémoire qui spécifient la taille du vidage mémoire — petite,
moyenne ou complète (le jeu d'informations le plus grand et complet) — et si Traps doit automatiquement
charger le vidage mémoire dans le dossier d'investigation numérique. Pour plus d'informations, consultez la
section Définir les préférences de vidage mémoire.
142
Après la création du vidage mémoire, Traps déchiffre le fichier et extrait les informations pour identifier la cause
sous-jacente et pour vérifier la validité de la prévention. Utilisez les résultats de l'analyse pour diagnostiquer et
comprendre l'évènement.
Selon le type d'évènement, Traps peut aussi utiliser des outils de détection automatisés pour effectuer une
analyse de comportement malicieux, comme décrit dans Phase 3 : Détection automatisée.
Phase 3 : Détection automatisée
Après avoir analysé le vidage mémoire, Traps effectue automatiquement une analyse secondaire dont vous
pouvez utiliser les résultats pour vérifier la légitimité d'un évènement de prévention. L'analyse secondaire fournit
une meilleure vision de la nature de l'évènement en utilisant des outils de détection — incluant la détection de
chaîne ROP et la détection de heap spray — pour identifier les traces d'activité malicieuse supplémentaires.
Si les outils de détection parviennent à identifier des traces d'activité malicieuse, Traps stocke les informations
dans un fichier journal du système sur le point de terminaison en utilisant la syntaxe suivante : Préfixe
Traps-identifiant client unique-identifiant d'évènement. Traps signale également la détection au serveur ESM.
La console ESM affiche les résultats dans la section Traps Automatic Dump Analysis pour chaque enregistrement
d'évènement de prévention en incluant si chaque outil de détection est parvenu ou non à identifier une activité
malicieuse supplémentaire. Si Traps ne parvient pas à capturer la mémoire, créé un fichier de vidage de manière
incorrecte ou ne parvient pas à terminer l'analyse secondaire, la console ESM masque cette section dans
l'enregistrement d'évènement.
Si les outils de détection identifient une ou plusieurs traces d'activité malicieuse, il est fort probable que
l'évènement de prévention soit une menace légitime.
Pour résoudre ou analyser davantage les évènements de sécurité, consultez les données d'investigation
numérique que Traps collecte, comme décrit dans Phase 4 : Collecte des données d'investigation numérique.
Phase 4 : Collecte des données d'investigation numérique
Après l'analyse des fichiers, Traps avertit ESM de l'évènement de sécurité et peut envoyer des données
d'investigation numérique supplémentaires au dossier d'investigation numérique.
Si votre stratégie de sécurité contient une règle de collecte des données d'investigation numérique, Traps collecte
un ou plusieurs types de données spécifiés et charge les fichiers dans le dossier d'investigation numérique. Selon
les préférences, Traps peut collecter l'URI objet de l'accès, les pilotes, les fichiers et les DLL pertinents qui sont
chargées en mémoire sous le processus attaqué, ainsi que les processus parents du processus ayant déclenché
l'évènement de sécurité. Pour plus d'informations, consultez la section Définir les préférence de collecte
Par défaut, Traps utilise un dossier à service de transfert intelligent en arrière-plan (BITS) basé sur le web qui
emploie la bande passante réseau libre pour charger les données. Pour plus d'informations, consultez la section
Modifier le dossier d'investigation numérique par défaut.
Vous pouvez aussi récupérer manuellement les données d'investigation numérique pour un évènement de
sécurité en créant une règle d'action unique pour récupérer les données. Pour plus d'informations, consultez la
section Récupérer les données concernant un évènement de sécurité. Pour consulter l'état du chargement
d'investigation numérique, sélectionnez Monitor > Forensics Retrieval.
143
Types de données d'investigation numérique
Lorsqu'un évènement de sécurité se produit sur un point de terminaison, Traps peut collecter les informations
suivantes :
Type de données
d'investigation numérique
Description
Vidage mémoire
Contenu des emplacements de mémoire capturé au moment d'un évènement.
Fichiers consultés
Fichiers qui sont chargés en mémoire sous le processus attaqué pour une inspection
approfondie de l'évènement, incluant :
• Journaux de trace d'application détaillés
• Récupération des DLL pertinentes en incluant leur chemin
• Fichiers pertinents dans le dossier des fichiers Internet temporaires
• Fichiers ouverts (exécutables et non exécutables)
Modules chargés
Pilotes qui sont chargés sur le système au moment d'un évènement de sécurité.
URI consultés
Un identifiant uniforme de ressource (URI) permet l'interaction et aide à identifier la
ressource.
Ressources réseau qui ont été consultées au moment de l'évènement de sécurité et
informations sur l'URI incluant :
• URI de tous les principaux navigateurs y compris les liens cachés et les trames des
threads pertinents attaqués
• URI de source applet Java, noms de fichier et chemins, incluant les processus
parents, grands-parents et enfants
• Collecte des appels d'URI des plug-ins de navigateur, lecteurs multimédia et logiciels
clients de messagerie
Processus parents
Informations sur les processus parents — des processus de navigateurs, non
navigateurs, et applet Java — au moment de l'évènement de sécurité, incluant :
• Sources séparées et destinations pour l'injection de thread
• Parents et grands-parents du processus enfant restreint
144

Règles d'investigation numérique

Modifier le dossier d'investigation numérique par défaut

Créer une règle d'investigation numérique

Définir les préférences de vidage mémoire

Définir les préférence de collecte d'investigation numérique

Récupérer les données concernant un évènement de sécurité
Règles d'investigation numérique
Les règles d'investigation numérique vous permettent de collecter les données d'investigation numérique capturées
par Traps à partir d'un emplacement centralisé. Sur la page Policies > Forensics, vous pouvez créer des règles pour
gérer les paramètres d'investigation numérique suivants :
d'agent
Description
Paramètres de vidage
mémoire
Spécifiez les paramètres des fichiers incluant une taille pour le vidage mémoire et
autorisez Traps à envoyer automatiquement le vidage mémoire au serveur. Ce
paramètre ne s'applique qu'aux données collectées des évènements de prévention liés
aux processus protégés. Pour plus d'informations, consultez la section Définir les
préférences de vidage mémoire.
Collecte d'investigation
numérique
Autorisez Traps à collecter les données d'investigation numérique pour chaque
évènement de sécurité en incluant les fichiers consultés, les modules chargés en
mémoire, les URI consultés et les processus parents du processus qui a déclenché
l'évènement de sécurité. Pour plus d'informations, consultez la section Définir les
préférence de collecte d'investigation numérique.
Modifier le dossier d'investigation numérique par défaut

Modifier la destination du dossier d'investigation numérique en utilisant la console ESM

Modifier la destination du dossier d'investigation numérique en utilisant l'outil de configuration de base
de données
Pour vous permettre de résoudre ou d'analyse davantage les évènements de sécurité, comme une prévention ou
un plantage, Traps charge les données d'investigation numérique dans un dossier d'investigation numérique basé
sur le web. Durant l'installation de la console ESM, le programme d'installation active le service de transfert
intelligent en arrière-plan (BITS) qui emploie la bande passante réseau libre pour charger les données dans le
dossier d'investigation numérique.
145
Pour analyser un évènement de sécurité, créez une règle d'action pour récupérer les données d'investigation
numérique sur le point de terminaison (voir Gérer les données collectées par Traps). Lorsque Traps reçoit la
requête d'envoi des données, il copie les fichiers dans le dossier d'investigation numérique (également appelé
dossier de quarantaine dans Endpoint Security Manager), qui est un chemin local ou réseau que vous spécifiez
durant l'installation initiale.
Vous pouvez modifier le chemin du dossier d'investigation numérique à tout moment en utilisant Endpoint
Security Manager ou en utilisant l'outil de configuration de base de données (voir Modifier la destination du
dossier d'investigation numérique en utilisant l'outil de configuration de base de données). Tous les points de
terminaison doivent disposer des droits d'écriture dans ce dossier.
Étape 1 Sélectionnez Settings > General, puis sélectionnez Server Configuration dans le menu déroulant.
Étape 2 Saisissez l'URL web dans le champ Forensic Folder URL pour utiliser BITS afin de charger les données
d'investigation numérique. Par exemple, http://ESMserver:80/BitsUploads.
En cas d'utilisation de SSL, incluez le nom de domaine complètement qualifié (FQDN) dans le chemin,
par exemple, https://ESMserver.Domain.local:443/BitsUploads.
Modifier la destination du dossier d'investigation numérique en utilisant l'outil de
Pour vous permettre de résoudre ou d'analyse davantage les évènements de sécurité, comme une prévention ou
un plantage, Traps charge les données d'investigation numérique dans un dossier d'investigation numérique basé
sur le web. Durant l'installation de la console ESM, le programme d'installation active le service de transfert
intelligent en arrière-plan (BITS) qui emploie la bande passante réseau libre pour charger les données dans le
dossier d'investigation numérique.
Pour analyser un évènement de sécurité, créez une règle d'action pour récupérer les données d'investigation
numérique sur le point de terminaison (voir Gérer les données collectées par Traps). Lorsque Traps reçoit la
requête d'envoi des données, il copie les fichiers dans le dossier d'investigation numérique (également appelé
dossier de quarantaine dans Endpoint Security Manager), qui est un chemin local ou réseau que vous spécifiez
durant l'installation initiale.
Vous pouvez modifier le chemin du dossier d'investigation numérique à tout moment en utilisant Endpoint
Security Manager (voir Modifier la destination du dossier d'investigation numérique en utilisant la console ESM)
ou en utilisant l'outil de configuration de base de données.
qu'administrateur. L'outil de configuration de base de données est situé dans le dossier Server sur le serveur ESM.
146
Modifier la destination du dossier d'investigation numérique en utilisant l'outil de configuration de base de
données
Manager\Server
BitsUrl = https://CYVERASERVER.Domain.local:443/BitsUploads
MaxActions = 5000
Étape 4 Saisissez l'URL web du dossier d'investigation numérique.
BitsUrl http://ESMserver:80/BitsUploads
En cas d'utilisation de SSL, incluez le nom de domaine complètement qualifié (FQDN) dans le chemin,
par exemple, https://ESMserver.Domain.local:443/BitsUploads.
Étape 5 (En option) Pour vérifier le chemin du dossier d'investigation numérique, exécutez la commande dbconfig
server show :
PreventionsDestFolder = \\ESMServer-New\Quarantine
BitsUrl = HTTPS://ESMserver.Domain.local:443/BitsUploads
MaxActions = 5000
Créez une règle d'investigation numérique pour définir les préférences de vidage mémoire et de collecte
Sélectionnez Policies > Forensics puis cliquez sur Add.
147
Créer une règle d'investigation numérique (Suite)
Étape 2 Sélectionnez le type de règle que vous
voulez configurer.
Sélectionnez l'un des éléments suivants dans le menu déroulant
Forensics, puis configurez les paramètres en fonction du type de
règle :
• Memory Dump — Pour plus d'informations, voir Définir les
préférences de vidage mémoire.
• Forensics Collection — Pour plus d'informations, voir Définir les
préférence de collecte d'investigation numérique.
règle.
précédents.
Étape 6 Enregistrez la règle d'investigation
numérique.
sélectionnez la règle dans la page Policies > Forensics et cliquez
sur Activate.
immédiatement.
Les règles enregistrées apparaissent dans la page Policies > Forensics.
À partir de cette page, vous pouvez activer (Activate) ou désactiver
(Deactivate) la règle, si nécessaire.
148
Lorsqu'un processus protégé plante ou se termine de manière anormale, Traps enregistre les informations sur
l'évènement en incluant le contenu des emplacements de mémoire et d'autres données relatives à l'évènement
dans ce qu'on appelle un vidage mémoire.
Créez une règle d'investigation numérique pour déterminer comment Traps gère les vidages mémoire liés au
processus en incluant si faut ou non envoyer automatiquement les vidages mémoire au dossier d'investigation
numérique ou modifier la taille du vidage mémoire (petite, moyenne ou complète (le jeu d'informations le plus
grand et complet)).
Étape 1 Démarrez une nouvelle règle Sélectionnez Policies > Forensics puis cliquez sur Add.
Étape 2 Définissez les préférences de 1.
vidage mémoire lorsqu'un
évènement de prévention se
produit sur le point de
terminaison.
2.
Sélectionnez Memory Dump dans le menu déroulant Forensics et
sélectionnez l'une des préférences suivantes :
• Envoyez automatiquement les vidages mémoire au serveur en
sélectionnant Send the memory dumps automatically.
• Spécifiez la taille du fichier de vidage mémoire en sélectionnant l'option
Memory dump size, puis en sélectionnant Small, Medium, ou Full dans
le menu déroulant.
Sélectionnez une ou plusieurs applications. Traps appliquera le paramètre
aux applications sélectionnées.
condition, sélectionnez l'onglet Conditions. Sélectionnez ensuite la condition
dans la liste Conditions et cliquez sur Add. La condition est ajoutée à la liste
Selected Conditions. Répétez l'opération pour ajouter d'autres conditions, si
nécessaire. Pour ajouter une condition à la liste Conditions, voir Définir les
restriction.
règle.
149
Définir les préférences de vidage mémoire (Suite)
Étape 6 Enregistrez la règle
dans la page Policies > Forensics et cliquez sur Activate.
Les règles enregistrées apparaissent dans la page Policies > Forensics. À partir de
cette page, vous pouvez activer (Activate) ou désactiver (Deactivate) la règle, si
nécessaire.
Pour vous aider à mieux comprendre et trouver les implications concernant la nature réelle d'un évènement de
sécurité lorsqu'il se produit sur un point de terminaison, vous pouvez configurer les options de collecte
d'investigation numérique. Lors d'un évènement de sécurité, Traps peut signaler les fichiers consultés, les
modules chargés en mémoire, les URI consultés et les processus parents du processus qui a déclenché
l'évènement de sécurité.
Sélectionnez Policies > Forensics puis cliquez sur Add.
Étape 2 Définissez les préférence de collecte
Sélectionnez Forensics Collection dans le menu déroulant Forensics
et configurez les préférences dans les champs suivants :
• Report Accessed Files — Sélectionnez Enabled pour collecter les
informations sur les fichiers impliqués dans un évènement de
sécurité et les DLL pertinentes qui sont chargées en mémoire
sous le processus attaqué pour une inspection approfondie de
l'évènement.
• Report Loaded Modules — Sélectionnez Enabled pour signaler
les pilotes qui sont chargés sur le système au moment d'un
évènement de sécurité.
• Report Accessed URI — Sélectionnez Enabled pour collecter les
informations d'URI à partir des plug-ins web, des lecteurs
multimédia et des clients de messagerie.
• Report Ancestor Processes — Certaines applications peuvent
exécuter des applets Java en tant que processus enfant voire en
tant que processus enfant d'un processus enfant, etc. Sélectionnez
Enabled pour enregistrer les informations sur les processus
parents provenant des processus enfants de navigateurs, non
navigateurs et applet Java afin de pouvoir mieux comprendre la
racine d'un évènement.
En alternative, pour chaque type de données, vous pouvez désactiver
ou adopter les paramètres de la stratégie de sécurité par défaut.
150
Définir les préférence de collecte d'investigation numérique (Suite)
règle.
précédents.
Étape 6 Enregistrez la règle d'investigation
numérique.
sélectionnez la règle dans la page Policies > Forensics et cliquez
sur Activate.
immédiatement.
Les règles enregistrées apparaissent dans la page Policies > Forensics.
À partir de cette page, vous pouvez activer (Activate) ou désactiver
(Deactivate) la règle, si nécessaire.
Lorsqu'un évènement de sécurité se produit sur un point de terminaison, Traps collecte les données
d'investigation numérique en incluant le contenu de la mémoire et les stocke sur le point de terminaison. Utilisez
les données d'investigation numérique pour résoudre un problème ou enquêter sur un problème spécifique avec
une application. La sélection de cette option créé une règle de paramètres d'agent pour récupérer les
informations collectées par Traps. Une fois que Traps a reçu la règle de paramètres d'agent, l'agent envoie tous
les journaux au dossier d'investigation numérique.
151
Pour créer une règle générale afin de récupérer les données d'un ou plusieurs points de terminaison, voir Gérer
les données collectées par Traps.
Étape 1 Depuis la console ESM, sélectionnez Security Events > Threats pour afficher les évènements de sécurité liés
aux processus protégés, ou Monitor > Provisional Mode pour afficher les évènements de sécurité liés aux
processus provisoires.
Étape 2 Sélectionnez l'évènement de sécurité pour lequel vous voulez récupérer les données. L'évènement se développe
pour afficher d'autres détails et actions concernant l'évènement de sécurité.
Étape 3 Cliquez sur Retrieve. La console ESM remplit les paramètres pour une règle de paramètres d'agent.
Étape 4 Examinez les détails de la règle, puis cliquez sur Save and Apply pour activer la règle immédiatement ou sur Save
pour activer la règle ultérieurement. Lors de la prochaine pulsation, l'agent Traps reçoit la nouvelle règle et envoie
les données de prévention au dossier d'investigation numérique. Pour consulter l'état du chargement
d'investigation numérique, sélectionnez Monitor > Forensics Retrieval.
L'agent envoie toutes les données liées à l'évènement, en incluant un vidage mémoire du processus dans le
dossier d'investigation numérique désigné.
Étape 5 Accédez au dossier d'investigation numérique pour examiner les données de prévention.
152
Contrairement aux autres navigateurs, Chrome enregistre les URI de tous les onglets au sein d'un processus. Cela
signifie donc que vous devez installer une extension Chrome pour activer la collecte d'URI dans Chrome. Ceci
permet à Traps d'empêcher les tentatives d'exploitation sur ce navigateur. Après l'installation de l'extension,
Chrome enregistre un rappel pour chaque requête web et enregistre l'URI dans un tampon cyclique, de la même
manière que les autres mécanismes de collecte d'URI de Traps.
Pour activer la collecte d'URI, vous pouvez installer l'extension localement sur le point de terminaison ou en
utilisant le logiciel de gestion GPO. Les flux de travail suivants fournissent également des étapes pour la
configuration de l'extension Chrome dans la configuration en ligne ou hors ligne :

Installer l'extension Chrome sur le point de terminaison

Installer l'extension Chrome en utilisant GPO
Étape 1 Téléchargez et décompressez le fichier d'extension Traps Chrome Monitor de Palo Alto Networks.
Étape 2 Modifiez les fichiers d'extension :
• En ligne : Modifiez la dernière ligne du fichier Ext.reg avec le chemin exact du fichier traps.crx.xml :
"1"="mobnfjmemnepjkflncmogkbnhafgblic;https://clients2.google.com/service/update2/crx"
• Hors ligne :
1. Modifiez la dernière ligne du fichier Ext.reg avec le chemin exact du fichier traps.crx.xml :
"1"="mobnfjmemnepjkflncmogkbnhafgblic;file:c:/....../traps.crx.xml"
2. Dans le fichier traps.crx.xml, modifiez le chemin de fichier de updatecheck codebase avec le chemin
exact du fichier traps.crx :
<updatecheck codebase='file:c:/ChromeExtension/traps.crx' version='1.4' />
Étape 3 Enregistrez puis effectuez un double clic sur le fichier reg pour l'installer automatiquement en local.
Étape 4 Vérifiez l'installation de l'extension Chrome : Dans le navigateur Chrome, saisissez chrome://extensions et
appuyez sur Entrée. L'extension Traps Chrome Monitor de Palo Alto Networks doit s'afficher dans la liste des
extensions.
Installer l'extension Chrome en utilisant GPO
Étape 1 Décompressez le fichier d'extension.
1.
Téléchargez et décompressez le fichier d'extension Traps
Chrome Monitor de Palo Alto Networks.
153
Étape 1 Ajoutez chrome.adm comme modèle
dans le contrôleur de domaine.
Étape 2 Ajoutez le modèle au GPO.
1.
Sur le bureau, sélectionnez Démarrer, saisissez gpmc.msc dans
le champ de recherche, puis appuyez sur Entrée.
2.
Créez le GPO : Dans le gestionnaire de stratégie de groupe,
sélectionnez Forêt > Domaines. Effectuez un clic droit sur le
domaine et sélectionnez Créer un objet de stratégie de groupe
dans ce domaine. Renommez le GPO en
TrapsChromeExtention puis cliquez sur Enregistrer.
3.
Modifiez le GPO : Effectuez un clic droit sur le GPO et
sélectionnez Modifier. Développez la section des paramètres de
l'ordinateur du GPO. Cliquez sur Stratégies > Modèles
d'administration puis effectuez un clic droit sur Modèles
d'administration. Sélectionnez Ajout/Suppression de modèles.
4.
Ajoutez le modèle Chrome : Cliquez sur Ajouter puis sur
Parcourir et effectuez un double clic sur le fichier chrome.adm.
Le fichier « chrome » se charge dans la fenêtre des modèles.
Cliquez sur Fermer.
1.
Dans la section des paramètres de l'ordinateur sélectionnez
Stratégies > Modèles d'administration > Modèles
d'administration classiques > Google > Google Chrome
(paramètres pas par défaut) > Extensions.
2.
Sur le côté droit de l'écran, vous trouverez cinq règles GPO.
Effectuez un double clic sur Configurer la liste des extensions à
installation forcée.
3.
Vérifiez que le GPO est activé, puis cliquez sur Afficher (sur le
côté gauche de l'écran, au milieu).
• En ligne : Sur la ligne blanche, saisissez la chaîne suivante :
mobnfjmemnepjkflncmogkbnhafgblic;https://clients
2.google.com/service/update2/crx
• Hors ligne : Sur la ligne blanche, saisissez la chaîne suivante
(modifiez le dossier pour indiquer le dossier d'investigation
numérique, par exemple, //nomserveur/…/investigation) :
mobnfjmemnepjkflncmogkbnhafgblic;file:c:/…………/tr
aps.crx.xml
4.
Étape 3 Vérifiez l'installation de l'extension
Chrome.
154
Cliquez sur OK.
Ouvrez le navigateur Chrome sur le point de terminaison et saisissez
Vérifiez que l'extension Traps Chrome
Monitor de Palo Alto Networks s'affiche dans la liste des extensions.
chrome://extensions.
Rapports et journalisation
Endpoint Security Manager offre des rapports et des journaux qui sont utiles pour la surveillance des points de
terminaison dans votre organisation. Vous pouvez surveiller les journaux et filtrer les informations pour
interpréter un comportement inhabituel sur votre réseau. Après l'analyse d'un évènement de sécurité, vous
pouvez choisir de créer une règle personnalisée pour le point de terminaison ou le processus. Les sujets suivants
décrivent comment consulter et surveiller les rapports sur l'état de sécurité des points de terminaison.

Entretien des points de terminaison et de Traps

Utilisez le tableau de bord Endpoint Security Manager

Surveillance des évènement de sécurité

Surveiller la santé des points de terminaison

Surveiller les règles

Surveiller l'extraction d'investigation numérique

Surveiller les notifications de l'agent

Surveiller les notifications du serveur

Gérer les préférences de création de rapport et de journalisation
155
Effectuez les actions suivantes tous les jours ou toutes les semaines :

Examinez le tableau de bord pour vérifier que l'agent Traps est actif sur tous les points de terminaison où
il est installé. Reportez-vous à la section Utilisez le tableau de bord Endpoint Security Manager.

Examinez la page Notification et examinez les rapports de plantage et les évènement de sécurité. Après
l'analyse d'un évènement de sécurité, vous pouvez vouloir effectuer l'une des tâches suivantes :

–
Activer la protection pour une application non protégée. Reportez-vous à la section Afficher, modifier
ou supprimer un processus.
–
Désactiver temporairement les règles qui interfèrent avec le travail quotidien. Dans les cas où un
évènement de sécurité n'indique pas une attaque et interfère avec le travail quotidien, vous pouvez
désactiver une règle de prévention d'attaque ou de restriction sur un point de terminaison spécifique.
Reportez-vous à la section Exclure un point de terminaison d'une règle de prévention d'attaque.
–
Appliquer un correctif, mettre à niveau ou corriger un bogue dans un logiciel qui indique un
comportement erroné ou une vulnérabilité de sécurité. L'application d'un correctif ou la mise à niveau
des applications tierces ou encore la correction de bogues dans des applications qui sont développées
en interne peuvent réduire le nombre d'évènement de sécurité signalés à Endpoint Security Manager.
Examinez les processus non protégés dans l'affichage Process Management et décidez s'il faut activer la
protection pour ces processus. Reportez-vous à la section Afficher, modifier ou supprimer un processus.
Après une modification au sein de l'organisation ou dans les versions du logiciel Traps disponibles, vous
pouvez :

Ajouter une applications qui vient d'être installée à la liste des processus protégés. Reportez-vous à la
section Ajouter un processus Protégé, Provisoire ou Non protégé.

Installer Traps sur un nouveau point de terminaison. Reportez-vous à la section Installer Traps sur le point
de terminaison.

Mettre à niveau la version de l'agent Traps sur les points de terminaison. Reportez-vous à la section
Désinstaller ou mettre à niveau Traps sur le point de terminaison.

Mettre à jour la licence Traps sur les points de terminaison. Reportez-vous à la section Mettre à jour ou
révoquer la licence Traps sur le point de terminaison.
156
Le tableau de bord est la première page qui est affichée après la connexion à Endpoint Security Manager. Vous
pouvez aussi accéder ou actualiser cette page en cliquant sur Dashboard dans le menu supérieur.
Le tableau de bord affiche plusieurs graphiques qui présentent les statistiques des instances de l'agent Traps. Le
tableau de bord ne peut pas être configuré.
Le tableau suivant décrit chaque graphique :
Graphique du tableau de Description
bord
État du service
Affiche l'état des instances de l'agent Traps installées sur les points de terminaison en
nombre et en pourcentage. Les états possibles sont :
• Running — L'agent est en cours d'exécution.
• Stopped — Le service de l'agent a été arrêté.
• Disconnected — Le serveur n'a pas reçu un message de pulsation de la part de l'agent
pendant une période préconfigurée.
• Shutdown — Le point de terminaison a été éteint.
Client Distribution and
Version
Affiche la version des instances de l'agent Traps installées sur les points de terminaison
en nombre et en pourcentage.
License Capacity
Affiche l'utilisation de la licence Traps pour le serveur et le client par nombre de
licences utilisées et disponibles.
Most Targeted Applications Affiche les applications qui ont la plus grande distribution des préventions.
Most Targeted Machines
Affiche les points de terminaison qui ont la plus grande distribution des préventions.
Most Targeted Users
Affiche les préventions qui ont la plus grande distribution par utilisateur final.
157
Utilisez la page et les onglets Security Events pour gérer les alertes et détecter de nouvelles menaces.

Utiliser le tableau de bord Security Events

Affichage de l'historique d'évènement de sécurité sur un point de terminaison

Utiliser le tableau de bord Security Events
Utilisez le tableau de bord Security Events pour surveiller les informations de niveau supérieur relatives aux
évènement de sécurité qui se produisent sur les points de terminaison dans votre organisation. Sur cet affichage,
vous pouvez voir le nombre d'évènement qui se sont produits au cours de la dernière semaine ou du dernier
mois. Le tableau de bord Security Events affiche les évènements pour lesquels les tentatives d'attaque ont été
bloquées et les évènements qui n'ont déclenché que des notifications. Le tableau de bord affiche les
informations suivantes :
Composant du tableau
de bord
Description
Threats
Affiche toutes les menaces liées aux processus et exécutables protégés qui se sont produites
sur votre réseau. Pour plus de commodité, vous pouvez cliquer sur tout type de menace
affichée sur la page Summary pour filtrer par menaces de ce type. Pour plus d'informations,
consultez la section Consulter les détails des menaces.
158
Composant du tableau
de bord
Description
Provisional Mode
La zone Provisional Mode du tableau de bord Security Events inclut un récapitulatif de
niveau supérieur des évènements qui sont liés aux règles provisoires. Cliquez sur un
évènement la dans la zone Provisional Mode pour passer à un affichage filtré de la page
Monitor > Provisional Mode pour les évènements de ce type. Par défaut, la page Provisional
Mode affiche les évènements liés aux modules suivants :
• ProcessCrash
• WildFireUnknown
• WildFirePostUnknownDetection
• Protection contre le détournement de DLL
• Java
• Injection de thread
• Surveillance de suspension
Pour plus d'informations, consultez la section Affichage des détails du mode provisoire.
Security Error Log
Affiche toutes les erreurs et les problèmes récents que signalent les points de terminaison
dans votre organisation. Cliquez sur un type d'erreur dans la page Summary pour filtrer par
erreurs de ce type. Pour plus d'informations, consultez la section Affichage des détails du
journal d'erreur de sécurité.
Consulter les détails des menaces
Sélectionnez Security Events > Threats pour afficher une liste de menaces qui se sont produites sur votre réseau.
À partir de cette page, vous pouvez consulter les détails des évènement de sécurité, créer et consulter des notes
concernant les évènements, récupérer les données du journal concernant l'évènement à partir du point de
terminaison, ou créer une règle d'exclusion pour autoriser l'exécution du processus sur un point de terminaison
particulier. Par défaut, l'affichage des détails standard sur la page Threats présente un tableau des évènements
de sécurité avec des champs affichés en haut. La sélection d'un évènement dans le tableau Threats développe la
ligne pour révéler d'autres détails sur l'évènement de sécurité. Vous pouvez aussi exporter les journaux dans un
fichier CSV en cliquant sur l'icône du menu
, puis en sélectionnant Export Logs.
159
Le tableau suivant décrit les champs et les actions disponibles pour chaque menace.
Champ
Description
Affichage des détails
standard
Time
La date et l'heure auxquelles s'est produit l'évènement de prévention.
Computer
Le nom d'hôte du point de terminaison sur lequel l'évènement de prévention s'est produit.
User
Le nom de l'utilisateur pour lequel le processus (qui a causé l'évènement) était exécuté.
OS
Le système d'exploitation installé sur le point de terminaison.
Agent (Traps Version)
La version de Traps installée sur le point de terminaison.
Process
Le nom du processus qui a causé l'évènement.
EPM
Le modules de prévention d'attaque (EPM) ou la règle de restriction qui a déclenché la
prévention.
supplémentaires
Event Type
Type de menace (post-détection WildFire, logique, logiciel malveillant, actions suspectes ou
corruption de mémoire).
Prevention Mode
Action que la règle effectue (terminer le processus ou avertir l'utilisateur).
Architecture
Type d'architecture du système d'exploitation (OS). Par exemple, x64.
Prevention Key
Identifiant unique de l'évènement de sécurité. Lors de la récupération des données
concernant un évènement, Traps créé un fichier journal en utilisant cette clé de prévention
comme nom de dossier.
Trigger
Fichier ou fichiers qui ont déclenché l'évènement de sécurité.
Bouton View Notes
Afficher les notes concernant l'évènement de sécurité. S'il n'y a aucune note, cette option est
grisée.
160
Champ
Description
Bouton Create Note
Créer des notes concernant l'évènement de sécurité pour le suivi ultérieur.
Bouton Retrieve
Récupérer les données de prévention sur le point de terminaison. Créé une règle qui utilise
la clé de prévention et les informations de déclenchement pour demander à l'agent les
données concernant l'évènement de prévention. Les informations sont envoyées au dossier
Bouton Create
Créer automatiquement une règle d'exclusion à partir d'une prévention. La règle permet
l'exécution d'une application sur un point de terminaison spécifique sans la protection de la
règles de prévention d'attaque.
Bouton Block
(Préventions WildFire uniquement) Substituer le mode de terminaison par défaut pour
l'empreinte afin de bloquer le fichier.
Bouton Allow
l'empreinte afin d'autoriser le fichier.
Sélectionnez à nouveau la ligne pour réduire l'affichage des détails supplémentaires.
Affichage des détails du mode provisoire
Sélectionnez Monitor > Provisional Mode pour afficher une liste des évènements de sécurité liés aux modules
provisoires. Les modules provisoires sont configurés par défaut et incluent ProcessCrash, WildFireUnknown,
WildFirePostUnknownDetection, protection contre le détournement de DLL, Java, injection de thread et
surveillance de suspension.
À partir de la page Provisional Mode, vous pouvez consulter les détails des évènement de sécurité, créer et
consulter des notes concernant les évènements, récupérer les données du journal concernant l'évènement à
partir du point de terminaison, ou créer une règle d'exclusion pour autoriser l'exécution du processus sur un
point de terminaison particulier. Par défaut, l'affichage des détails standard sur la page Provisional Mode présente
un tableau des évènements de sécurité avec des champs affichés en haut. La sélection d'un évènement dans le
tableau Provisional Mode développe la ligne pour révéler d'autres détails sur l'évènement de sécurité. Vous
pouvez aussi exporter les journaux dans un fichier CSV en cliquant sur l'icône du menu
, puis en
sélectionnant Export Logs.
161
Le tableau suivant décrit les champs et les actions disponibles pour chaque évènement de sécurité en mode
provisoire.
Champ
Description
standard
Time
La date et l'heure auxquelles s'est produit l'évènement de prévention.
Computer
Le nom du point de terminaison sur lequel l'évènement de prévention s'est produit.
User
Le nom de l'utilisateur pour lequel le processus (qui a causé l'évènement) était exécuté.
OS
Agent (Traps Version)
La version de Traps installée sur le point de terminaison.
Process
Le nom du processus qui a causé l'évènement.
EPM
Le modules de prévention d'attaque (EPM) ou la règle de restriction qui a déclenché la
prévention.
supplémentaires
Event Type
Type de menace (post-détection WildFire, logique, logiciel malveillant, actions suspectes ou
corruption de mémoire).
Prevention Mode
Action que la règle effectue (terminer le processus ou avertir l'utilisateur).
Architecture
Prevention Key
Clé unique associée à l'évènement de sécurité. Lors de la récupération des données
concernant un évènement, Traps créé un fichier journal en utilisant cette clé de prévention
comme nom de dossier.
Trigger
Fichier ou fichiers qui ont déclenché l'évènement de sécurité.
Bouton View Notes
Afficher les notes concernant l'évènement de sécurité. S'il n'y a aucune note, cette option est
grisée.
Bouton Create Note
Créer des notes concernant l'évènement de sécurité pour le suivi ultérieur.
Bouton Retrieve
Récupérer les données de prévention sur le point de terminaison. Créé une règle qui utilise
la clé de prévention et les informations de déclenchement pour demander à l'agent les
données concernant l'évènement de prévention. Les informations sont envoyées au dossier
Bouton Create
Créer automatiquement une règle d'exclusion à partir d'une prévention. La règle permet
l'exécution d'une application sur un point de terminaison spécifique sans la protection de la
règles de prévention d'attaque.
Bouton Block
l'empreinte afin de bloquer le fichier.
Bouton Allow
l'empreinte afin d'autoriser le fichier.
162
Affichage des détails du journal d'erreur de sécurité
Sélectionnez Security Events > Security Error Log pour afficher les évènements liés au comportement de l'agent
et à la sécurité du point de terminaison. Les évènements incluent les modifications de service, comme le
démarrage ou l'arrêt d'un service. Dans de rares cas, le journal d'erreur de sécurité peut aussi montrer les
problèmes rencontrés durant la protection d'un processus lorsqu'une injection échoue ou plante.
Le tableau suivant décrit les champs affichés dans le journal d'erreur de sécurité.
Champ
Description
ID
Numéro d'identifiant unique associé à l'erreur de sécurité.
Machine Name
Nom du point de terminaison sur lequel l'évènement de prévention s'est produit.
Message
Texte du message de notification.
Severity
Gravité de l'erreur, qui dépend du type de rapport :
• High
• Medium
• Low
163
Champ
Description
Report Type
Type d'erreur ayant déclenché la notification. Les valeurs possibles sont :
• OneTimeActionCompletionStatus —Une action terminée sur le point de terminaison. La
gravité est faible si l'action se termine ou moyenne si l'action échoue.
• ProcessCrash — Un processus a planté sur le point de terminaison. Gravité faible.
• ProcessInjectionTimedOut — L'injection dans le processus a dépassé le délai. Gravité
moyenne.
• ServiceAlive — Le service de l'agent a démarré. Gravité faible.
• ServiceStopped — Le service de l'agent s'est arrêté. Gravité faible.
• SystemShutdown — Le point de terminaison a été éteint. Gravité faible.
• UnallocatedDEPAccess — Un pointeur d'instruction saute à un emplacement non alloué
en mémoire. Cela est habituellement dû à un bogue dans l'application, mais pourrait aussi
indiquer une tentative d'attaque (échouée). Gravité moyenne.
• NativeReportingServiceStartFailed — Le service de création de rapport n'est pas
parvenu à démarrer. Gravité élevée.
Time
Date et heure auxquelles Traps a signalé l'erreur.
Lorsqu'un utilisateur lance un processus sur le point de terminaison, Traps injecte un module de protection,
appelé module de prévention d'attaque (EPM), au sein du processus. Les règles de stratégie de sécurité du point
de terminaison déterminent les EPM qui sont injectés dans chaque processus. Durant l'injection, le nom du
processus apparaît sur le console en rouge. Après une injection réussie, la console inscrit dans le journal
l'évènement de sécurité sur l'onglet Events.
Chaque évènement de sécurité sur l'onglet Events affiche la date et l'heure de l'évènement, le nom du processus
affecté et l'EPM qui a été injecté dans le processus. Généralement, le mode indique si Traps a terminé ou non
le processus ou seulement averti l'utilisateur à propos de l'évènement.
164
Étape 1 Lancez la console Traps :
La console Traps se lance.
et sélectionnez
Étape 2 Affichez les évènement de sécurité :
1. Sélectionnez Advanced > Events pour afficher les évènement de sécurité sur le point de terminaison.
2. Utilisez les flèches haut et bas pour faire défiler la liste des évènements.
165

Afficher les détails de santé du point de terminaison

Afficher les détails d'état de Traps

Affichage de l'historique des règles sur un point de terminaison

Afficher les modifications à la stratégie de sécurité du point de terminaison

Affichage de l'historique d'état du service sur un point de terminaison

Supprimer un point de terminaison de la page Health
Afficher les détails de santé du point de terminaison
Depuis la console ESM, sélectionnez Monitor > Health pour afficher une liste des points de terminaison dans
l'organisation et leur état de sécurité correspondant.
Le tableau suivant décrit les champs et les actions disponibles pour chaque point de terminaison affiché sur la
page Health. Par défaut, l'affichage des détails standard sur la page Health présente un tableau des points de
terminaison avec des champs affichés en haut. La sélection d'un point de terminaison dans le tableau Health
développe la ligne pour révéler d'autres détails sur le point de terminaison et les actions que vous pouvez
effectuer. Vous pouvez aussi exporter les journaux dans un fichier CSV en cliquant sur l'icône du menu
,
puis en sélectionnant Export Logs.
Champ
Description
standard
Status
L'état de l'agent, qui peut être En exécution (Running), Arrêté (Stopped), Déconnecté
(Disconnected) ou Éteint (Shut down).
Heartbeat
La date et l'heure auxquelles le dernier message de pulsation a été envoyé par l'agent.
Computer
Le nom du point de terminaison.
Last User
Le nom du dernier utilisateur qui s'est connecté sur le point de terminaison.
166
Champ
Description
Agent
La version de l'agent Traps installé.
IP
L'adresse IP du point de terminaison.
Domain
Le nom de domaine du point de terminaison.
OS
supplémentaires
Architecture
Last heartbeat
Date et heure de la dernière communication du serveur avec Traps.
License expiration date
Date à laquelle la licence expire sur le point de terminaison.
Base DN
Chemin LDAP (Lightweight Directory Access Protocol) du point de terminaison.
Bouton Details
Sélectionnez les journaux Agent Policy ou Service Status dans le menu déroulant et
cliquez sur Details pour examiner la liste complète pour le point de terminaison. Pour
plus d'informations, voir Affichage de l'historique des règles sur un point de
terminaison et Affichage de l'historique d'état du service sur un point de terminaison.
Sélectionnez à nouveau la ligne pour réduire l'affichage des détails supplémentaires.
Afficher les détails d'état de Traps
La console affiche les services actifs et inactifs en affichant
ou
à gauche du type de service. Sélectionnez
l'onglet Advanced pour afficher d'autres onglets en haut de la console. Les onglets vous permettent de parcourir
les pages qui affichent d'autres détails sur les évènements de sécurité, les processus protégés et les mises à jour
de la stratégie de sécurité. Habituellement, un utilisateur n'a pas besoin d'exécuter la console Traps, mais les
informations peuvent être utiles lors de l'enquête sur un évènement lié à la sécurité. Vous pouvez choisir de
masquer l'icône de la zone de notification qui permet de lancer la console ou d'empêcher totalement son
lancement. Pour plus d'informations, voir Masquer ou limiter l'accès à la console Traps.
167
Élément du système
Description
exploits
Indique si des règles de prévention d'attaque sont actives ou non dans la stratégie de sécurité
du point de terminaison.
Indique si des modules de restriction et/ou de prévention contre les logiciels malveillants
sont activés ou non dans la stratégie de sécurité du point de terminaison.
Collecte des données
d'investigation
Indique si l'intégration WildFire est activée ou non.
Onglet Status
Affiche l'état de connexion (Connection) et le niveau de protection du point de terminaison.
La console Traps ouvre par défaut l'onglet Status au lancement.
Onglet Events
Affiche les évènements de sécurité qui se sont produits sur le point de terminaison.
Onglet Protection
Affiche les processus que l'agent Traps protège et qui sont en cours d'exécution sur le point
de terminaison.
Onglet Policy
Affiche les modifications à la stratégie de sécurité du point de terminaison en incluant la date
et l'heure de la mise à jour.
Onglet Verdict Updates
Affiche les modifications de verdict pour les exécutables qui ont été ouverts sur le point de
terminaison.
Paramètres
Affiche les options de langue que vous pouvez utiliser pour changer la langue de la console
Traps.
Lien Check-in now
Lance une mise à jour immédiate de la stratégie de sécurité.
Connexion
Affiche l'état de la connexion entre Traps et le serveur ESM.
Last Check-In
Affiche la date et l'heure de la dernière réception d'un message de pulsation par Traps.
Ouvrir le fichier journal... Ouvre le fichier de trace le plus récent sur le point de terminaison.
Envoyer le fichier de
support
Créé un fichier compressé des traces et l'envoie au dossier d'investigation numérique.
Par défaut, l'affichage des détails standard sur la page Health présente un tableau des points de terminaison avec
des champs affichés en haut. La sélection d'un point de terminaison dans le tableau Health développe la ligne
pour révéler d'autres détails sur le point de terminaison et vous permet d'afficher l'historique des règles pour les
objets dans votre organisation. Chaque règle dans la stratégie d'agent affiche la date et l'heure d'application de
la règle par Traps, la source de la règles de stratégie (locale ou distante), le nom et la description de la règle, et
l'état actuel de cette règle.
Étape 1 Ouvrez Endpoint Security Manager et sélectionnez Monitor > Health.
Étape 2 Sélectionnez la ligne du point de terminaison pour lequel vous voulez afficher l'historique des règles. La ligne se
développe pour afficher d'autres détails et les actions que vous pouvez effectuer.
168
Étape 3 Sélectionnez Agent Policy dans le menu déroulant à droite. Les informations sur l'état récent s'affichent dans la
section Agent Policy et Logs de la page.
Étape 4 Cliquez sur Details pour afficher le journal complet de l'historique de règle. L'état indique l'une des conditions
suivantes :
• Active — La règle est active dans la stratégie de sécurité du point de terminaison.
• Historic — La règle est une ancienne version d'une règle qui est active dans la stratégie de sécurité du point
de terminaison.
• Disabled — La règle a été désactivée dans la stratégie de sécurité.
L'onglet Policy sur la console Traps affiche les modifications à la stratégie de sécurité du point de terminaison.
Chaque règle affiche le numéro d'identifiant unique, le nom de la règle, la date et l'heure auxquelles Traps a reçu
la stratégie de sécurité à jour contenant la règle, et la description.
Chaque type de règle possède une page de gestion dédiée que vous pouvez utiliser pour afficher
et gérer les règles pour votre organisation. Pour créer un fichier texte contenant la stratégie de
sécurité active sur un point de terminaison, exécutez la commande suivante à partir d'une invite
de commandes :
cyveraconsole.exe export(641980) c:\{DossierCible}\policy.txt
Étape 1 Effectuez l'une des actions suivantes pour lancer la console Traps sur le point de terminaison :
et sélectionnez
• Exécutez CyveraConsole.exe à partir du dossier d'installation de la console Traps.
Étape 2 Affichez les stratégies de sécurité :
1. Si nécessaire, cliquez sur Advanced pour révéler des onglets supplémentaires. Cliquez ensuite sur l'onglet
Policy pour afficher les règles de protection en cours d'exécution sur le point de terminaison.
2. Utilisez les flèches haut et bas pour faire défiler la liste des règles de protection.
169
Par défaut, l'affichage des détails standard sur la page Health présente un tableau des points de terminaison avec
des champs affichés en haut. La sélection d'un point de terminaison dans le tableau Health développe la ligne
pour révéler d'autres détails sur le point de terminaison et vous permet d'afficher l'état de l'agent Traps sur le
point de terminaison. Un menu déroulant dans la section Agent Policy et Service Status vous permet d'afficher
une liste partielle des évènements d'état de service (Service Status). Depuis cette section, vous pouvez aussi
afficher le journal complet de l'historique d'état du service. Chaque évènement dans le journal affiche la date et
l'heure de modification du service, la version de Traps exécutée sur le point de terminaison et la modification
d'état (déconnecté, en exécution, éteint ou arrêté).
Étape 2 Sélectionnez la ligne du point de terminaison pour lequel vous voulez afficher l'historique des règles. La ligne se
développe pour afficher d'autres détails et les actions que vous pouvez effectuer.
Étape 3 Sélectionnez Service Status dans le menu déroulant à droite. Les informations sur l'état récent s'affichent dans
la section Agent Policy et Logs de la page.
Étape 4 Cliquez sur Details pour afficher le journal complet de l'état du service.
La page Health affiche un tableau de tous les points de terminaison qui ont réussi à se connecter à Endpoint
Security Manager. Dans les situations où vous devez supprimer un ou plusieurs points de terminaison de
Endpoint Security Manager, par exemple pour éliminer les doublons ou supprimer les points de terminaison qui
ne sont plus utilisés, vous pouvez utiliser l'option Delete selected dans le menu en haut du tableau.
Étape 2 Sélectionnez la ou les lignes des points de terminaison que vous voulez supprimer.
170
Supprimer un point de terminaison de la page Health (Suite)
Étape 3 Sélectionnez Delete selected dans le menu
suppression.
en haut du tableau Health. Cliquez sur OK pour confirmer la
La console ESM supprime le ou les points de terminaison de la page Health. Après la communication de
pulsation au point de terminaison, Traps signale une absence de connexion au serveur (No connection to server).
171
Chaque page de récapitulatif et gestion de règle affiche les règles actives et inactives pour votre organisation et
possède des outils que vous pouvez utiliser pour gérer les règles.

Affichage du récapitulatif de la règle

Afficher les détails des règles
Chaque type de règle possible une page de récapitulatif et gestion spécifique à la règle. Pour afficher un
récapitulatif des règles d'un certain type :
Étape 1 Depuis la console ESM, sélectionnez la page de gestion de règle pour ce type de règle, par exemple Policies >
Exploit > Protection Modules.
Étape 2 Pour afficher les entrées du tableau , utilisez les contrôles de page en haut à droite de chaque page pour voir
différentes portions du tableau.
Étape 3 (En option) Pour trier les entrées du tableau, sélectionnez l'en-tête de colonne pour effectuer le tri par ordre
croissant. Sélectionnez à nouveau l'en-tête de colonne pour effectuer le tri par ordre décroissant.
Étape 4 (En option) Pour filtrer les entrées du tableau, cliquer sur l'icône du filtre
jusqu'à deux ensembles de critères selon lesquels filtrer les résultats.
à droite de la colonne pour spécifier
Étape 5 (En option) Pour développer une entrée de règle, cliquez sur la flèche d'expansion à droite de la règle. Dans
l'affichage développé, vous pouvez voir d'autres détails sur la règle ou effectuer l'une des actions pour gérer la
règle. Reportez-vous à la section Enregistrer les règles.
Afficher les détails des règles
Chaque page de récapitulatif et gestion de règle dans la console ESM affiche les détails sur les règles qui
composent la stratégie de sécurité de votre organisation.
Le tableau suivant décrit les champs et les actions qui sont disponibles pour chaque page de gestion de règle, en
incluant la prévention d'attaque, la prévention contre les logiciels malveillants, la restriction, les paramètres
WildFire, les actions, les paramètres d'agent et les règles d'investigation numérique. L'affichage des détails
standard fournit des informations récapitulatives pour chaque règle et affiche un tableau des règles avec des
champs affichés en haut. La sélection d'une règle dans le tableau développe la ligne pour révéler d'autres détails
sur la règle et les actions que vous pouvez effectuer.
Champ
Description
standard
ID
172
Identifiant numérique unique pour la règle.
Champ
Description
Status
•
— Active
•
— Inactive
Type
• Exploit Protection
• Restriction
• Malware Protection
• WildFire
• Agent Action
• Agent Setting
• Investigation numérique
Date Modified
La date et l'heure de création ou dernière modification de la règle.
Nom
Le nom de la règle.
Description
La description de la règle.
Associated
Les objets cibles auxquels s'applique la règle.
Condition
Conditions devant être satisfaites (le cas échéant) pour que la règle s'applique.
supplémentaires
Creator
L'utilisateur ayant créé la règle.
Créé
La date et l'heure de création de la règle.
Modifier
Le compte utilisateur auteur de la dernière modification de la règle (si connu).
Processus
(Règles de prévention d'attaque uniquement) Les processus cibles de la règle.
EPMs
(Règles de prévention d'attaque uniquement) Le module de prévention d'attaque
(EPM) qui protège le processus.
One time action
(Règles d'action uniquement) L'action à effectuer sur le point de terminaison.
Restrictions
(Règles de restriction uniquement) Méthode de restriction qui protège contre les
exécutables malicieux.
Agent Settings
(Règles de paramètres d'agent uniquement) L'action à effectuer sur le logiciel Traps.
Dupliquer
(Règles d'action uniquement) Exécuter à nouveau la règle d'action.
Delete
Supprimer la règle.
Activate
Activer la règle (règles inactives uniquement).
Deactivate
Désactiver la règle (règles actives uniquement).
Edit
Modifier la règle (règle de prévention d'attaque, de restriction et de paramètres d'agent
uniquement).
173
Depuis la page Monitor > Forensics Retrieval, vous pouvez consulter les informations sur les fichiers de données
d'investigation numérique, y compris les journaux, les mises à jour WildFire, la collecte de vidage mémoire, et
gérer les fichiers de données à partir d'un emplacement centralisé.
Le tableau suivant décrit les champs et les actions disponibles pour chaque fichier de données d'investigation
numérique. La page Forensics Retrieval affiche un tableau avec des champs affichés en haut et des actions que
vous pouvez effectuer pour gérer l'extraction des données d'investigation numérique.
Champ
Description
Nom du fichier
Identifiant numérique unique pour la règle.
Upload State
État du chargement, par exemple échoué (Failed), en cours (In Progress), etc.
Nom de la machine
Nom de la machine sur laquelle les données d'investigation numérique ont été
collectées.
Type de fichier
Type de données d'investigation numérique, par exemple, journaux, WildFire ou
vidage.
File Size
Taille du fichier d'investigation numérique.
Date Created
La date et l'heure de création ou dernière modification de la règle d'extraction.
Bouton Download
Télécharger le fichier de données d'investigation numérique.
Bouton Delete
Supprimer le fichier de données d'investigation numérique.
Vous pouvez trier les entrées du tableau dans l'ordre croissant en sélectionnant l'en-tête de colonne. Sélectionnez
à nouveau l'en-tête de colonne pour trier les entrées du tableau dans l'ordre décroissant. Pour limiter les résultats,
cliquez sur l'icône du filtre à droite de la colonne et spécifiez jusqu'à deux ensembles de critères. Vous pouvez
aussi exporter les journaux dans un fichier CSV en cliquant sur l'icône du menu
, puis en sélectionnant
Export Logs.
174

Afficher les notifications sur les modification d'état de l'agent

Afficher les détails sur le journal de l'agent
Utilisez la page Agent Logs pour consulter les notifications sur les modifications d'état de l'agent incluant le
démarrage ou l'arrêt des services, des systèmes et des processus.
Étape 1 Depuis la console ESM, sélectionnez Monitor > Agent Logs.
Étape 5 (En option) Pour exporter les journaux dans un fichier CSV, cliquez sur l'icône du menu
Export Logs.
, puis sélectionnez
Afficher les détails sur le journal de l'agent
La page Agent Logs affiche les notifications sur les modifications d'état de l'agent incluant le démarrage ou l'arrêt
des services, des systèmes et des processus.
Le tableau suivant décrit les champs affichés sur la page Monitor > Agent Logs.
Champ
Description
ID
Identifiant numérique unique pour le message de notification.
Nom de la machine
Nom du point de terminaison ayant produit la notification.
Message
175
Champ
Description
Severity
Gravité de la notification, qui dépend du type de rapport :
• High
• Medium
• Low
Report Type
Type d'évènement ayant déclenché la notification.
• One time action completion status — Une action terminée sur le point de terminaison.
La gravité est faible si l'action se termine ou moyenne si l'action échoue.
• Process crash — Un processus a planté sur le point de terminaison. Gravité faible.
• Process injection timed out — L'injection dans le processus a dépassé le délai. Gravité
moyenne.
• Service alive — Le service de l'agent a démarré. Gravité faible.
• Service stopped — Le service de l'agent s'est arrêté. Gravité faible.
• System shutdown — Le point de terminaison a été éteint. Gravité faible.
• Unallocated DEP access — Un pointeur d'instruction saute à un emplacement non alloué
en mémoire. Cela est habituellement dû à un bogue dans l'application, mais pourrait aussi
indiquer une tentative d'attaque (échouée). Gravité moyenne.
• Native reporting service start failed — Le service de création de rapport n'a pas pu
démarrer. Gravité élevée.
Time
176
La date et l'heure d'envoi de la notification.

Afficher les notifications concernant le serveur ESM

Afficher les détails des journaux du serveur ESM
Étape 1 Depuis la console ESM, sélectionnez Monitor > ESM Logs.
Étape 5 (En option) Pour exporter les journaux dans un fichier CSV, cliquez sur l'icône du menu
Export Logs.
, puis sélectionnez
Afficher les détails des journaux du serveur ESM
La page ESM Logs affiche les notifications concernant le serveur ESM en incluant les échecs de chargement de
fichiers et les actions lancées à partir du serveur ESM. Le tableau suivant décrit les champs affichés sur la page
Monitor > ESM Logs.
Champ
Description
ID
Identifiant numérique unique pour le message de notification.
Message
Severity
Gravité de la notification, qui dépend du type de rapport :
• High
• Medium
• Faible
Report Type
Type d'évènement ayant déclenché la notification.
• File upload failure
• Enabled Protection
• Disabled Protection
Time
La date et l'heure d'envoi de la notification.
177
Gérer les préférences de création de rapport et de
journalisation

Activer la création de rapport externe en utilisant la console ESM

Activer la création de rapport externe en utilisant l'outil de configuration de base de données

Définir les paramètres de communication en utilisant la console ESM

Définir les paramètres de communication en utilisant l'outil de configuration de base de données
Endpoint Security Manager peut écrire les journaux sur une plate-forme de journalisation externe, comme la
gestion d'informations et d'évènements de sécurité (SIEM), les contrôles d'organisation de service (SOC) ou le
journal système (syslog), en plus du stockage interne de ses journaux. La spécification d'une plate-forme de
journalisation externe permet un affichage agrégé des journaux de tous les serveurs ESM. Vous pouvez activer
la création de rapport externe en utilisant l'outil de configuration de base de données (voir Activer la création
de rapport externe en utilisant l'outil de configuration de base de données) ou en utilisant Endpoint Security
Manager. Par défaut, la création de rapport externe est désactivée.
Étape 1 Accédez à la page External Reporting.
Sélectionnez Settings > General, puis sélectionnez External
Reportingdans le menu déroulant.
Étape 2 Configurez les paramètres de création de • Sélectionnez true dans le menu déroulant Enable Syslog.
rapport externe.
• Saisissez le nom d'hôte ou l'adresse IP du Syslog server.
• (En option) Saisissez le port de communication pour le serveur
syslog dans le champ Syslog port avec une valeur comprise entre 1
et 65535 (la valeur par défaut est 514).
• Sélectionnez true dans le menu déroulant Enable event log.
• (En option) Dans le champ Keep alive timeout, saisissez un
intervalle en minutes avec une valeur de 0 ou plus à laquelle le
point de terminaison envoie un message de maintien d'activité au
journal ou rapport (la valeur par défaut est 0).
• (En option) Dans le champ Send reports interval, saisissez la
fréquence des rapports envoyés par le point de terminaison en
minutes avec une valeur de 0 ou plus (la valeur par défaut est 10).
Spécifiez une valeur de 0 si vous ne voulez pas recevoir les
rapports du point de terminaison.
178
Activer la création de rapport externe en utilisant l'outil de configuration de
base de données
Endpoint Security Manager peut écrire les journaux sur une plate-forme de journalisation externe, comme la
gestion d'informations et d'évènements de sécurité (SIEM), les contrôles d'organisation de service (SOC) ou le
journal système (syslog), en plus du stockage interne de ses journaux. La spécification d'une plate-forme de
journalisation externe permet un affichage agrégé des journaux de tous les serveurs ESM. Vous pouvez activer
la création de rapport externe en utilisant Endpoint Security Manager (voir Activer la création de rapport
externe en utilisant la console ESM) ou en utilisant l'outil de configuration de base de données.
ESM.
Par défaut, la création de rapport externe est désactivée.
Manager\Server
Étape 3 (En option) Consultez les paramètres de la création de rapport existante :
C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting
show
EnableSyslog = True
SyslogServer = CyveraServer
SyslogPort = 514
EnableEventLog = True
KeepAliveTimeout = 0
SendReportsInterval = 10
MaximumReportsCount = 5000
MinReportsCount = 4000
Étape 4 Activez la création de rapport syslog :
enablesyslog true
179
Activer la création de rapport externe en utilisant l'outil de configuration de base de données (Suite)
Étape 5 Spécifiez l'adresse IP du serveur syslog:
syslogserver <adresseIP>
Étape 6 Spécifiez le port de communication pour le serveur syslog avec une valeur comprise entre 1 et 65535 (la valeur
par défaut est 514).
syslogport <numéroport>
Étape 7 (En option) Activez la journalisation d'évènement pour envoyer les évènements de sécurité que Traps rencontre
au journal d'évènements Windows :
enableeventlog true
Étape 8 (En option) Spécifiez un intervalle (en minutes) auquel le point de terminaison envoie un message de maintien
d'activité au journal ou rapport avec une valeur de 0 ou plus (la valeur par défaut est 0) :
keepalivetimeout <valeur>
Étape 9 (En option) Spécifiez la fréquence des rapports envoyés par le point de terminaison en minutes avec une valeur
de 0 ou plus (la valeur par défaut est 10) :
sendreportsinterval <valeur>
Spécifiez une valeur de 0 si vous ne voulez pas recevoir les rapports des points de terminaison.
Étape 10 (En option) Spécifiez le nombre minimum de notifications de rapport à conserver dans la base de données avec
une valeur de 0 ou plus (la valeur par défaut est 5000) :
minreportscount <valeur>
Par exemple, la spécification d'un nombre minimum de rapports de 1000 notifications signifie que Endpoint
Security Manager conserve les 1000 notifications les plus récentes après le nettoyage des anciens rapports.
Étape 11 (En option) Spécifiez le nombre maximum de notifications de rapport à conserver dans la base de données avec
une valeur de 0 ou plus (la valeur par défaut est 4000) :
maximumreportscount <valeur>
Par exemple, la spécification d'un nombre maximum de rapports de 5000 notifications signifie que Endpoint
Security Manager rejettera les notifications plus anciennes au-delà de 5000 notifications.
Le service Traps envoie périodiquement des messages au serveur Endpoint Security Manager (ESM) pour
signaler l'état de fonctionnement de l'agent, pour signaler les processus en exécution sur le point de terminaison
et pour demander la dernière stratégie de sécurité. Vous pouvez modifier la fréquence de communication entre
le serveur et le point de terminaison en utilisant l'outil de configuration de base de données (voir Définir les
paramètres de communication en utilisant l'outil de configuration de base de données) ou en utilisant la console
ESM.
180
Étape 1 Sélectionnez Settings > General, puis sélectionnez Server Configuration dans le menu déroulant.
Étape 2 (En option) Saisissez la fréquence (en minutes) à laquelle Traps envoie à Endpoint Security Manager la liste des
applications qui sont exécutées sur le point de terminaison dans le champ Inventory interval in minutes.
Étape 3 (En option) Saisissez la période de grâce admissible pour un dispositif qui n'a pas répondu (en secondes) dans
le champ Heartbeat period in seconds. La période de pulsation par défaut est de cinq minutes.
Définir les paramètres de communication en utilisant l'outil de configuration
de base de données
Le service Traps envoie périodiquement des messages au serveur ESM pour signaler l'état de fonctionnement
de l'agent, pour signaler les processus en exécution sur le point de terminaison et pour demander la dernière
stratégie de sécurité. Vous pouvez modifier la fréquence de communication entre le serveur et le point de
terminaison en utilisant Endpoint Security Manager (voir Définir les paramètres de communication en utilisant
la console ESM) ou en utilisant l'outil de configuration de base de données.
ESM.
Manager\Server
181
Définir les paramètres de communication en utilisant l'outil de configuration de base de données (Suite)
Étape 4 (En option) Spécifiez l'intervalle d'inventaire qui définit la fréquence (en minutes) à laquelle Traps envoie à
Endpoint Security Manager la liste des applications qui sont exécutées sur le point de terminaison :
inventoryinterval <valeur>
La spécification d'une valeur de 120, par exemple, cause l'envoi des informations de la part du point de
terminaison toutes les 2 heures (120 minutes).
Étape 5 (En option) Spécifiez la période de grâce admissible pour un dispositif qui n'a pas répondu (en secondes) :
heartbeatgraceperiod <valeur>
La spécification d'une valeur de 300, par exemple, signifie qu'au bout de cinq minutes (300 secondes) durant
lesquelles le serveur ESM ne reçoit aucune communication de la part du point de terminaison, Endpoint
Security Manager signale que l'état du point de terminaison est déconnecté.
182
Dépannage

Ressources de dépannage pour Advanced Endpoint Protection

Outil de configuration de base de données

Cytool

Résoudre les problèmes de Traps

Résoudre les problèmes de la console ESM
183
Ressources de dépannage pour Advanced Endpoint Protection
Dépannage
Ressources de dépannage pour Advanced Endpoint
Protection
Pour dépanner les composants Advanced Endpoint Protection, y compris Traps et Endpoint Security Manager,
utilisez les ressources suivantes :
Ressource
Description
Endpoint Security Manager
Interface web, qui fournit les rapports et journaux. Les informations sont utiles pour
la surveillance et le filtrage des journaux afin d'interpréter un comportement inhabituel
sur votre réseau. Après l'analyse d'un évènement de sécurité, vous pouvez choisir de
créer une règle personnalisée pour le point de terminaison ou le processus.
Journal DebugWeb
Indique les informations, avertissements, et erreurs liés à Endpoint Security Manager.
Le journal DebugWeb est situé dans le dossier %ProgramData%\Cyvera\Logs du
serveur ESM.
Journal Server
Indique les informations, avertissements et erreurs liés à la base de données Endpoint
et au serveur ESM. Le journal Server est situé dans le dossier
%ProgramData%\Cyvera\Logs du serveur ESM.
Journal Service
Indique les informations, avertissements, et erreurs liés au service Traps. Le journal
Service est situé dans le dossier suivant sur le point de terminaison :
• Windows Vista et versions supérieures : %ProgramData%\Cyvera\Logs
• Windows XP : C:\Document and Settings\All Users\Application
Data\Cyvera\Logs
Journal Console
Indique les informations, avertissements, et erreurs liés à la console Traps. Le journal
Console est situé dans le dossier suivant sur le point de terminaison :
• Windows Vista et versions supérieures :
C:\Utilisateurs\<nomutilisateur>\AppData\Roaming\Cyvera
• Windows XP : C:\Document and Settings\<nomutilisateur>\Application
Data\Cyvera\Logs
Outil de configuration de base Interface en ligne de commande qui fournit une alternative pour la gestion des
de données (dbconfig.exe)
paramètres de base du serveur en utilisant la console ESM. Vous pouvez accéder à
l'outil de configuration de base de données en utilisant une invite de commandes
MS-DOS Microsoft exécutée en tant qu'administrateur. Pour plus d'informations,
consultez la section Outil de configuration de base de données.
Outil de ligne de commande
superviseur (cytool.exe)
184
Vous permet d'énumérer les processus protégés, d'activer ou désactiver les
fonctionnalités de protection et d'activer ou désactiver les actions de gestion de Traps
à partir d'une interface en ligne de commande. Pour plus d'informations, consultez la
section Cytool.
Dépannage
qu'administrateur. L'outil de configuration de base de données est situé dans le dossier Server du serveur
Endpoint Security Manager (ESM).
Utilisez l'outil de configuration de base de données pour effectuer les fonctions suivantes :

Accéder à l'outil de configuration de base de données


Configuration de l'accès administrateur à Endpoint Security Manager en utilisant l'outil de



Exécutez l'outil de configuration de base de données à partir du dossier Server sur un serveur ESM pour
consulter la syntaxe et les exemples d'utilisation.
Manager\Server
185
Dépannage
Étape 3 Consulter l'utilisation et les options pour l'outil de configuration de base de données :
c:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig
Usage :
> DBConfig.exe importLicense [1]
Ajouter une nouvelle licence à la base de données.
1) CyveraLicense.xml full path
> DBConfig.exe [1] [2] [3]
Écrire une configuration dans la base de données.
1) Configuration Type (Server, Reflector, UserManagement, Reporting)
2) Key Name
3) Value
> DBConfig.exe [1] show
Afficher les valeurs d'une configuration spécifique.
1) Configuration Type (Server, Reflector, UserManagement, Reporting)
Exemples :
> DBConfig.exe importLicense c:\Foldername\CyveraLicense.xml
> DBConfig.exe server inventoryinterval 200
> DBConfig.exe server show
186
Dépannage
Cytool
Cytool
Cytool est une interface en ligne de commande qui est intégré dans Traps et vous permet d'interroger et de gérer
les fonctions de base de Traps. Les modifications effectuées avec Cytool sont actives jusqu'à ce que Traps
reçoive la communication de pulsation suivante de la part du serveur ESM.
Vous pouvez accéder à Cytool en utilisant une invite de commandes MS-DOS Microsoft exécutée en tant
qu'administrateur. Cytool est situé dans le dossier Traps sur le point de terminaison.
Utilisez Cytool pour effectuer les fonctions suivantes :

Accéder à Cytool


Gérer les paramètres de protection sur le point de terminaison

Gérer les pilotes et services Traps sur le point de terminaison

Afficher et comparer les stratégies de sécurité sur un point de terminaison
Accéder à Cytool
Pour consulter la syntaxe et les exemples d'utilisation pour les commandes Cytool, utilisez l'option /? après toute
commande.
Accéder à Cytool
Étape 2 Accédez au dossier qui contient Cytool :
C:\Utilisateurs\Administrator>cd C:\Program Files\Palo Alto Networks\Traps
187
Cytool
Dépannage
Accéder à Cytool
Étape 3 Consulter l'utilisation et les options pour Cytool :
c:\Program Files\Palo Alto Networks\Traps>cytool /?
Traps (R) supervisor tool 3.1
(c) Palo Alto Networks, Inc. All rights reserved
Usage : CYTOOL [/?] [/a] [commande [options]]
Options :
/?
Afficher ce message d'aide.
/a
Authentification en tant que superviseur.
commande
enum | protect | startup | runtime | policy
Pour plus d'informations sur une commande spécifique exécuter
CYTOOL commande /?
Pour afficher les processus qui sont actuellement protégés par Traps, utilisez la commande enum sur Cytool ou
consultez l'onglet Protection de la console Traps (voir Afficher les processus actuellement protégés par Traps).
Par défaut, la console Traps et Cytool affichent uniquement les processus protégés lancés par l'utilisateur actuel.
Pour afficher les processus protégés lancés par tous les utilisateurs, spécifiez l'option /a.
La consultation des processus protégés lancés par tous les utilisateurs exige la saisie du mot de passe superviseur
(désinstallation).
Étape 1 Ouvrez une invite de commandes en tant qu'administrateur et accédez au dossier Traps (voir Accéder à
Cytool).
Étape 2 Consultez les processus protégés lancés par l'utilisateur actuel en saisissant la commande cytool enum. Pour
consulter les processus protégés pour tous les utilisateurs sur le point de terminaison, spécifiez l'option /a, et
saisissez le mot de passe superviseur lorsqu'il est demandé.
c:\Program Files\Palo Alto Networks\Traps>cytool /a enum
Saisissez le mot de passe du superviseur :
Process ID
1000
1468
452
[...]
188
Agent Version
3.1.1546
3.1.1546
3.1.1546
Dépannage
Cytool
Gérer les paramètres de protection sur le point de terminaison
Par défaut, Traps applique la protection aux processus essentiels, clés de registre, fichiers Traps et services Traps
en fonction des règles de protection de service définies dans la stratégie de sécurité (pour plus d'informations
sur la configuration des règles de protection de service dans Endpoint Security Manager, voir Gérer la
protection de service). Vous pouvez utiliser Cytool pour substituer les règles et gérer les couches suivantes de
protection que Traps applique sur le point de terminaison :

Activer ou désactiver la protection de processus essentiel sur le point de terminaison

Activer ou désactiver les paramètres de protection du registre sur le point de terminaison

Activer ou désactiver les paramètres de protection des fichiers Traps sur le point de terminaison

Activer ou désactiver les paramètres de protection de service sur le point de terminaison

Utilisez la stratégie de sécurité pour gérer la protection de service
Activer ou désactiver la protection de processus essentiel sur le point de terminaison
Par défaut, Traps protège les processus essentiels incluant Cyserver.exe et CyveraService.exe en fonction des
règles de protection de service définies dans la stratégie de sécurité locale. Si nécessaire, vous pouvez substituer
le comportement de la protection de processus essentiel en utilisant la commande cytool protect
[enable|disable] process.
La modification des paramètres de protection nécessite la saisie du mot de passe superviseur (désinstallation).
Activer ou désactiver les paramètres de protection de processus essentiel sur le point de terminaison
Cytool).
189
Cytool
Dépannage
Activer ou désactiver les paramètres de protection de processus essentiel sur le point de terminaison (Suite)
Étape 2 Pour gérer les paramètres de protection des processus essentiels sur le point de terminaison, utilisez la
commande suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] process
L'exemple suivant affiche la sortie pour l'activation de la protection des processus essentiels. La colonne Mode
affiche l'état de protection revu (activé (Enabled) ou désactivé (Disabled) ou stratégie (Policy)) lors de
l'utilisation des paramètres dans la stratégie de sécurité locale pour protéger les processus essentiels.
C:\Program Files\Palo Alto Networks\Traps>cytool protect enable process
Protection
Mode
State
Process
Enabled
Enabled
Registry
Policy
Disabled
File
Policy
Disabled
Service
Policy
Disabled
Pour utiliser les paramètres de règle de stratégie par défaut afin de protéger les processus essentiels sur le point
de terminaison, voir Utilisez la stratégie de sécurité pour gérer la protection de service.
Pour empêcher les pirates d'altérer les clés de registre de Traps, utilisez la commande cytool protect enable
registry pour limiter l'accès aux clés de registre stockés dans HKLM\SYSTEM\Cyvera. Pour désactiver la
protection des clés de registre, utilisez la commande cytool protect disable registry.
Les modifications des paramètres de protection du registre exigent la saisie du mot de passe superviseur lorsqu'il
est demandé.
Cytool).
190
Dépannage
Cytool
Activer ou désactiver les paramètres de protection du registre sur le point de terminaison (Suite)
Étape 2 Pour gérer les paramètres de protection des clés de registre sur le point de terminaison, utilisez la commande
suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] registry
L'exemple suivant affiche la sortie pour l'activation de la protection des clés de registre. La colonne Mode affiche
l'état de protection revu (activé (Enabled) ou désactivé (Disabled) ou stratégie (Policy)) lors de l'utilisation des
paramètres dans la stratégie de sécurité locale pour protéger les clés de registre.
C:\Program Files\Palo Alto Networks\Traps>cytool protect enable registry
Protection
Mode
State
Process
Policy
Disabled
Registry
Enabled
Enabled
File
Policy
Disabled
Service
Policy
Disabled
Pour utiliser les paramètres dans la stratégie de sécurité locale afin de protéger les clés de registre sur le point de
terminaison, voir Utilisez la stratégie de sécurité pour gérer la protection de service.
Activer ou désactiver les paramètres de protection des fichiers Traps sur le point de
terminaison
Pour empêcher les pirates d'altérer les fichiers Traps, utilisez la commande cytool protect enable file pour
limiter l'accès aux fichiers système stockés dans %Program Files%\Palo Alto Networks\Traps et
%ProgramData%\Cyvera. Pour désactiver la protection des fichiers Traps, utilisez la commande cytool
protect disable file.
Les modifications des paramètres de protection des fichiers Traps exigent la saisie du mot de passe superviseur
lorsqu'il est demandé.
Activer ou désactiver les paramètres de protection des fichiers Traps sur le point de terminaison
Cytool).
191
Cytool
Dépannage
Activer ou désactiver les paramètres de protection des fichiers Traps sur le point de terminaison (Suite)
Étape 2 Pour gérer les paramètres de protection des fichiers Traps sur le point de terminaison, utilisez la commande
suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] file
L'exemple suivant affiche la sortie pour l'activation de la protection des fichiers. La colonne Mode affiche l'état
de protection revu (activé (Enabled) ou désactivé (Disabled) ou stratégie (Policy)) lors de l'utilisation des
paramètres dans la stratégie de sécurité locale pour protéger les fichiers Traps.
C:\Program Files\Palo Alto Networks\Traps>cytool protect enable file
Protection
Mode
State
Process
Policy
Disabled
Registry
Policy
Disabled
File
Enabled
Enabled
Service
Policy
Disabled
Pour utiliser les paramètres de règle de stratégie par défaut afin de protéger les fichiers Traps sur le point de
Pour substituer la stratégie de sécurité de Traps, les pirates peuvent tenter de désactiver ou de modifier l'état des
services Traps. Utilisez la commande cytool protect enable service pour protéger les services Traps. Pour
désactiver la protection des services Traps, utilisez la commande cytool protect disable service.
Les modifications des paramètres de protection de service exigent la saisie du mot de passe superviseur lorsqu'il
est demandé.
Cytool).
192
Dépannage
Cytool
Activer ou désactiver les paramètres de protection de service sur le point de terminaison (Suite)
Étape 2 Pour gérer les paramètres de protection des services Traps sur le point de terminaison, utilisez la commande
suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] service
L'exemple suivant affiche la sortie pour l'activation de la protection des services. La colonne Mode affiche l'état
de protection revu (activé (Enabled) ou désactivé (Disabled) ou stratégie (Policy)) lors de l'utilisation des
paramètres dans la stratégie de sécurité locale pour protéger les services Traps.
C:\Program Files\Palo Alto Networks\Traps>cytool protect enable service
Protection
Mode
State
Process
Policy
Disabled
Registry
Policy
Disabled
File
Policy
Disabled
Service
Enabled
Enabled
Pour utiliser les paramètres de règle de stratégie par défaut afin de protéger les services Traps sur le point de
Après la modification des paramètres de protection en utilisant Cytool, vous pouvez rétablir la stratégie de
sécurité par défaut à tout moment en utilisant la commande cytool protect policy <feature>.
Cytool).
193
Cytool
Dépannage
Utilisez la stratégie de sécurité pour gérer la protection de service (Suite)
Étape 2 Pour utiliser les règles dans la stratégie de sécurité pour gérer la protection de service, utilisez la commande
suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool protect policy <feature>
où <feature> peut être process, registry, file ou service.
L'exemple suivant affiche la sortie pour la gestion de la protection des fichiers Traps en utilisant la stratégie de
sécurité locale. La colonne Mode affiche l'état de protection revu Stratégie (Policy).
C:\Program Files\Palo Alto Networks\Traps>cytool protect policy file
Protection
Mode
State
Process
Enabled
Enabled
Registry
Enabled
Enabled
File
Policy
Disabled
Service
Enabled
Enabled
Gérer les pilotes et services Traps sur le point de terminaison
Lorsqu'un point de terminaison démarre, Traps démarre les pilotes (Cyverak, Cyvrmtgn et Cyvrfsfd) et les
services (Cyvera et CyveraService) par défaut. Vous pouvez utiliser Cytool pour substituer le comportement par
défaut et gérer le démarrage ou l'état actuel des pilotes et services de manière globale ou individuelle. Les
modifications du comportement de démarrage par défaut prennent effet lorsque le point de terminaison
redémarre. Les modifications du comportement d'exécution prennent effet immédiatement.

Afficher les composants de démarrage de Traps sur le point de terminaison

Activer ou désactiver le démarrage des composants Traps sur le point de terminaison

Afficher les composants d'exécution de Traps sur le point de terminaison

Démarrer ou arrêter les composants d'exécution de Traps sur le point de terminaison
Utilisez la commande cytool startup query pour afficher l'état des composants de démarrage sur le point de
terminaison. Lorsqu'un service ou un pilote est désactivé, Cytool indique que le composant est Désactivé.
Lorsqu'un pilote est activé, Cytool indique que le composant est System. Lorsqu'un service est activé, Cytool
indique que le composant est Startup ou Automatic.
Cytool).
194
Dépannage
Cytool
Afficher les composants de démarrage de Traps sur le point de terminaison (Suite)
Étape 2 Pour afficher le comportement de démarrage actuel des pilotes et services de Traps, utilisez la commande
suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool startup query
Service
Startup
cyverak
System
cyvrmtgn
System
cyvrfsfd
System
cyserver
Automatic
CyveraService
Automatic
Utilisez la commande cytool startup [enable|disable] suivie en option du nom du composant pour
substituer le comportement par défaut pour le démarrage des pilotes et services de Traps sur un point de
terminaison.
Les modifications du comportement de démarrage exigent la saisie du mot de passe superviseur lorsqu'il est
demandé.
Les modifications des pilotes et services de Traps ne prennent effet que lorsque le système
redémarre. Pour appliquer immédiatement les modifications aux pilotes et services de Traps, voir
Démarrer ou arrêter les composants d'exécution de Traps sur le point de terminaison.
Cytool).
195
Cytool
Dépannage
Activer ou désactiver le démarrage des composants Traps sur le point de terminaison (Suite)
Étape 2 Pour modifier le comportement de démarrage d'un pilote ou service spécifique, utilisez la commande suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool startup [enable|disable] <component>
où <component> est soit un pilote : cyverak, cyvrmtgn, cyvrfsfd, soit un service : cyserver, CyveraService.
En alternative, vous pouvez omettre <component> de la commande afin de modifier le comportement de
démarrage pour tous les pilotes et services.
L'exemple suivant affiche la sortie pour la désactivation du comportement de démarrage du pilote cyvrmtgn. La
colonne Startup affiche l'état de protection revu Désactivé (Disabled).
C:\Program Files\Palo Alto Networks\Traps>cytool startup disable cyvrmtgn
Service
Startup
cyverak
System
cyvrmtgn
Disabled
cyvrfsfd
System
cyserver
Automatic
CyveraService
Automatic
Afficher les composants d'exécution de Traps sur le point de terminaison
Utilisez la commande cytool runtime query pour afficher l'état des composants de Traps sur le point de
terminaison. Lorsqu'un service ou un pilote est actif, Cytool indique que le composant est En cours d'exécution
(Running). Lorsqu'un service ou un pilote n'est pas exécuté, Cytool indique que le composant est Arrêté
(Stopped).
Cytool).
Étape 2 Pour afficher l'état d'exécution actuel des pilotes et services de Traps, utilisez la commande suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool runtime query
196
Service
State
cyverak
Running
cyvrmtgn
Running
cyvrfsfd
Running
cyserver
Running
CyveraService
Stopped
Dépannage
Cytool
Dans des situations où vous n'avez pas la permission de modifier le comportement de Traps à partir de
Endpoint Security Manager mais où où vous devez résoudre un problème urgent lié aux pilotes et services de
Traps, vous pouvez utiliser la commande cytool startup [enable|disable] pour substituer le comportement
d'exécution par défaut. La commande est utile lorsque vous devez prendre des mesures immédiates pour
démarrer ou arrêter tous les composants de Traps ou bien démarrer ou arrêter un pilote ou service spécifique
de Traps.
Les modifications du comportement d'exécution des pilotes et services de Traps sont
réinitialisées lorsque le système redémarre. Pour effectuer des changements au comportement
de démarrage des pilotes et services de Traps, voir Activer ou désactiver le démarrage des
composants Traps sur le point de terminaison.
Les modifications du comportement d'exécution exigent la saisie du mot de passe superviseur lorsqu'il est
demandé.
Cytool).
Étape 2 Pour démarrer ou arrêter un pilote ou service, utilisez la commande suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool runtime start <component>
où <component> est soit un pilote : cyverak, cyvrmtgn, cyvrfsfd, soit un service : cyserver, CyveraService.
En alternative, vous pouvez omettre <component> de la commande afin de modifier le comportement
d'exécution pour tous les pilotes et services.
L'exemple suivant affiche la sortie pour l'arrêt du service cyserver. La colonne Startup affiche l'état du
composant revu (en cours d'exécution (Running) ou arrêté (Stopped)).
C:\Program Files\Palo Alto Networks\Traps>cytool runtime stop cyserver
Service
Startup
cyverak
Running
cyvrmtgn
Running
cyvrfsfd
Running
cyserver
Stopped
CyveraService
Running
Afficher et comparer les stratégies de sécurité sur un point de terminaison
En utilisant Cytool, vous pouvez afficher les détails des stratégies de sécurité sur le point de terminaison.

Afficher les détails sur une stratégie active

Comparer les stratégies
197
Cytool
Dépannage
Utilisez la commande cytool policy query <process> pour afficher les détails sur les stratégies associées à un
processus spécifique. La sortie est utile lorsque vous voulez vérifier qu'une stratégie est implémentée de la
manière dont vous souhaitiez la configurer.
Pour afficher les détails de la stratégie, vous devez saisir le mot de passe superviseur lorsqu'il est demandé.
Cytool).
Étape 2 Pour afficher la stratégie active pour un processus, utilisez la commande suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool policy query <process>
où <process> est soit le nom du processus, soit l'identifiant du processus (PID). Par exemple, pour afficher les
détails d'une stratégie pour le bloc-notes, saisissez cytool policy query notepad. L'exemple suivant affiche
les détails de stratégie pour un processus dont le PID est 1234.
C:\Program Files\Palo Alto Networks\Traps>cytool policy query 1234
Générique
Enable
0x00000001
SuspendOnce
0x00000001
AdvancedHooks
0x00000001
[...]
À intervalles réguliers, Traps demande à Endpoint Security Manager une stratégie de sécurité à jour et la
mémorise dans le registre du système. Lorsqu'un utilisateur démarre un processus, Traps détermine s'il faut ou
non protéger le processus en fonction des paramètres de la stratégie de sécurité.
Dans les scénarios de dépannage où Traps ne se comporte pas comme prévu, utilisez la commande cytool
policy compare pour consulter les différences entre les stratégies qui sont appliquées aux processus exécutés
sur le point de terminaison. En utilisant la commande, vous pouvez comparer la stratégie d'un processus avec
la stratégie de sécurité par défaut ou comparer la stratégie d'un processus avec la stratégie d'un autre processus.
Dans les ceux cas, vous pouvez spécifier soit le nom du processus, soit l'identifiant du processus (PID). La
spécification du nom du processus simule l'application de la stratégie au processus. La spécification du PID
demande la stratégie effective pour le processus exécuté. Cytool affiche les paramètres de stratégie côte à côte
et indique en rouge toutes les différences entre les stratégies.
Pour comparer les stratégies, vous devez saisir le mot de passe superviseur lorsqu'il est demandé.
198
Dépannage
Cytool
Cytool).
Étape 2 Comparez les détails des deux stratégies :
• Pour comparer la stratégie avec la stratégie par défaut, utilisez la commande suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool policy compare <process> default
où <process> est soit le nom du processus, soit l'identifiant du processus (PID).
L'exemple suivant affiche la sortie pour la comparaison d'une stratégie qui s'applique au bloc-notes avec la
stratégie par défaut. Les différences entre les deux stratégies sont affichées en rouge.
C:\Program Files\Palo Alto Networks\Traps>cytool policy compare notepad default
Générique
Enable
SuspendOnce
AdvancedHooks
0x00000001
0x00000001
0x00000001
0x00000001
0x00000001
0x00000001
0x00000001
0x00000001
0x00000000
0x000000011
[...]
DllSec
Enable
Optimize
[...]
• Pour comparer les stratégies pour deux processus, utilisez la commande suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool policy compare <process1> <process2>
où <process1> et <process2> sont soit le nom du processus, soit l'identifiant du processus (PID). Par
exemple, pour comparer la stratégie appliquée à iexplorer avec la stratégie appliquée à chrome, saisissez
cytool policy compare iexplorer chrome. Vous pouvez aussi comparer les stratégies pour deux PID
ou comparer la stratégie d'un processus à la stratégie d'un PID.
L'exemple suivant affiche la sortie pour la comparaison des stratégies appliquées à deux PID, 1592 et 1000.
Les différences entre les deux stratégies sont affichées en rouge.
C:\Program Files\Palo Alto Networks\Traps>cytool policy compare 1592 1000
Générique
Enable
SuspendOnce
AdvancedHooks
0x00000001
0x00000001
0x00000001
0x00000001
0x00000001
0x00000001
0x00000001
0x00000001
0x00000000
0x000000011
[...]
DllSec
Enable
Optimize
[...]
199
Dépannage
Ce sujet traite des problèmes suivants liés à Traps :

Pourquoi ne puis-je pas installer Traps ?

Pourquoi ne puis-je pas mettre à niveau ou désinstaller Traps ?

Pourquoi Traps ne parvient pas à se connecter au serveur ESM ?

Comment puis-je résoudre une erreur de certification du serveur Traps ?
Pourquoi ne puis-je pas installer Traps ?
Symptôme
L'installation de Traps indique l'erreur suivante : Échec du démarrage du service « Traps » (CyveraService).
Vérifiez que vous disposez des privilèges suffisants.
Causes possibles

Vous ne disposez pas des privilèges d'administration pour démarrer des services sur le point de terminaison.
Solution
Après chaque étape de la procédure suivante, vérifiez si vous pouvez installer Traps. Si Traps indique encore une
erreur, effectuez l'étape qui suit jusqu'à la résolution du problème.
Solution : Pourquoi ne puis-je pas installer Traps ?
Étape 1 Vérifiez que vous disposez des privilèges d'administration sur le point de terminaison :
• Windows 7 : Cliquez sur Démarrer > Panneau de configuration > Comptes d'utilisateurs > Gérer les comptes.
Sur l'onglet utilisateurs, vérifiez que votre nom d'utilisateur se trouve dans le groupe Administrateurs.
• Windows 8 : Cliquez sur Démarrer > Panneau de configuration > Comptes d'utilisateurs > Modifier les
comptes. Vérifiez que votre compte apparaît en tant qu'administrateur.
Ouvrez une session sur le point de terminaison en tant qu'administrateur valide.
200
Dépannage
Solution : Pourquoi ne puis-je pas installer Traps ?
Étape 2 Le fichier journal du service contient des informations, avertissements, et erreurs liés au service Traps. Pour un
dépannage plus approfondi du problème lié au service Traps, ouvrez le fichier
C:\ProgramData\Cyvera\Logs\Service.log file dans un éditeur de texte et examinez toutes les erreurs dans le
fichier journal qui se sont produites au moment de l'évènement.
Par défaut, le dossier ProgramData peut être masqué. Pour afficher le dossier dans l'explorateur
Windows, sélectionnez Organiser > Options des dossiers et de recherche > Affichage > Afficher les
fichiers, dossiers et lecteurs cachés.
Étape 3 Si le problème persiste, contactez le support de Palo Alto Networks.
Pourquoi ne puis-je pas mettre à niveau ou désinstaller Traps ?
Symptôme
L'installation de Traps indique l'erreur suivante : Échec du démarrage du service « Traps » (CyveraService).
Vérifiez que vous disposez des privilèges suffisants.
Causes possibles
Dans les versions antérieures de Traps, la fonctionnalité de protection de service vous empêche de modifier ou
d'altérer les fichiers système Traps.
Solution
Solution : Pourquoi ne puis-je pas mettre à niveau Traps ?
Étape 1 Créez une règle d'action pour désactiver la protection de service (voir Gérer la protection de service).
Étape 2 Vérifiez que vous pouvez installer ou désinstaller Traps.
Étape 3 Supprimez la règle d'action (voir Enregistrer les règles).
201
Dépannage
Solution : Pourquoi ne puis-je pas mettre à niveau Traps ? (Suite)
Étape 4 Essayez de mettre à niveau Traps. Pour un dépannage approfondi d'un problème lié au service Traps, consultez
les journaux pour voir si Traps indique une erreur spécifique :
• Depuis la console Traps, sélectionnez Open Log File.
• Depuis la console Traps, sélectionnez Send Support File pour envoyer le journal au serveur ESM
• Créez une règle d'action pour récupérer les journaux sur le point de terminaison (voir Gérer les données
collectées par Traps).
Étape 5 Si le problème persiste, contactez le support de Palo Alto Networks.
Pourquoi Traps ne parvient pas à se connecter au serveur ESM ?
Symptôme
Traps ne parvient pas à communiquer avec le serveur ESM pour récupérer la dernière stratégie de sécurité et
indique un état No connection to server!.
Causes possibles

Les spécifications du serveur ou du point de terminaison ne possèdent pas la configuration et les critères
requis pour l'installation.

Le service Traps est en panne sur le point de terminaison.

Le service du noyau Endpoint Security Manager est en panne sur le serveur ESM.

Le point de terminaison n'est pas connecté au réseau.

Le trafic entrant n'est pas autorisé sur le port pour le serveur ESM (la valeur par défaut est 2125).

Le pare-feu Windows est activé sur le serveur ESM et empêche le serveur de communiquer avec le client.

Le certificat sur le point de terminaison ne correspond pas au certificat sur le serveur ESM (voir Comment
puis-je résoudre une erreur de certification du serveur Traps ?).
Solution
Après chaque étape de la procédure suivante, vérifiez si Traps peut se connecter au serveur ESM en
sélectionnant Check-in now. Si Traps ne parvient toujours pas à se connecter au serveur, assez à l'étape qui suit
jusqu'à la résolution du problème.
202
Dépannage
Solution : Pourquoi Traps ne parvient pas à se connecter au serveur ESM ?
Étape 1 Vérifiez que le serveur et le point de
terminaison possèdent la configuration
requise.
Reportez-vous à la section Configuration requise.
Étape 2 Vérifiez que le service Traps est exécuté
sur le point de terminaison.
1.
• Windows XP : Dans le menu Démarrer, sélectionnez
Panneau de configuration > Outils d'administration >
Services.
• Windows Vista et versions supérieures : Dans le menu
Démarrer, sélectionnez Panneau de configuration > Système
et sécurité > Outils d'administration > Services.
2.
Repérez le service Traps (appelé CyveraService dans les
anciennes versions de Traps) et vérifiez que l'état du service est
Démarré.
3.
Si l'état du service est Arrêté, effectuez un double clic sur le
service, puis sélectionnez Démarrer. Cliquez sur Fermer.
Étape 3 Vérifiez que le service du noyau Endpoint 1.
Security Manager est en cours d'exécution
sur le serveur ESM.
sélectionnez Panneau de configuration > Outils
sélectionnez Panneau de configuration > Système et sécurité
> Outils d'administration > Services.
2.
repérez le service du noyau Endpoint Security Manager (appelé
CyveraServer dans les anciennes versions de Endpoint Security
Manager) et vérifiez que l'état du service est Démarré
(Windows Server 2008) ou En cours d'exécution (Windows
Server 2012).
3.
Si l'état du service est Arrêté ou En pause, effectuez un double
clic sur le service, puis sélectionnez Démarrer. Cliquez sur
Fermer.
Étape 4 Vérifiez que vous pouvez accéder au
serveur ESM à partir du point de
terminaison.
Depuis le point de terminaison, ouvrez une invite de commandes et
effectuez un ping sur l'adresse IP ou le nom d'hôte du serveur ESM.
Si le serveur ESM est inaccessible, examinez les paramètres de
connectivité réseau entre les dispositifs.
Étape 5 Vérifiez que vous pouvez accéder au
point de terminaison à partir du serveur
ESM.
Depuis le serveur ESM, ouvrez une invite de commandes et
effectuez un ping sur l'adresse IP ou le nom d'hôte du point de
terminaison. Si le point de terminaison est inaccessible, examinez les
paramètres de connectivité réseau entre les dispositifs.
203
Dépannage
Solution : Pourquoi Traps ne parvient pas à se connecter au serveur ESM ? (Suite)
Étape 6 Vérifiez que le port pour le serveur ESM 1.
est ouvert sur le pare-feu Windows (la
valeur par défaut est 2125).
Pour contrôler l'accès au port à partir du point de terminaison :
a. Ouvrez une invite de commandes en tant qu'administrateur.
b. Saisissez la commande suivante sur le port telnet 2125 du
serveur ESM :
C:\>telnet <esmservername> 2125
où <esmservername> est le nom d'hôte ou l'adresse IP du
serveur ESM.
2.
Si vous ne parvenez pas à utiliser telnet sur le port 2125, créez
une règle entrante pour ouvrir ce port :
a. Ouvrez les paramètres avancés du pare-feu Windows :
– Windows Server 2008 : Dans le menu Démarrer,
sélectionnez Panneau de configuration > Pare-feu
Windows > Paramètres avancés.
– Windows Server 2012 : Dans le menu Démarrer,
sélectionnez Panneau de configuration > Système et
sécurité > Pare-feu Windows > Paramètres avancés.
b. Sélectionnez Règles de trafic entrant.
c. Créez une nouvelle règle pour autoriser Traps à
communiquer avec Endpoint Security Managersur le port
2125 en sélectionnant l'assistant Nouvelle règle et en suivant
les instructions pas à pas.
Étape 7 Désactivez temporairement le pare-feu
Windows.
3.
Vérifiez que vous pouvez à présent utiliser telnet sur le port
2125 du serveur ESM à partir du point de terminaison.
1.
Ouvrez Modifier les paramètres du Centre de maintenance :
sélectionnez Panneau de configuration. Effectuez un double
clic sur Centre de maintenance et sélectionnez Modifier les
paramètres du Centre de maintenance.
sélectionnez Panneau de configuration > Système et sécurité.
Effectuez un double clic sur Centre de maintenance et
sélectionnez Modifier les paramètres du Centre de
maintenance.
Étape 8 Vérifiez que la connectivité est rétablie
entre Traps et le serveur ESM.
204
2.
Décochez l'option Pare-feu réseau.
3.
Cliquez sur OK.
Depuis la console Traps, cliquez sur Check-in now. Si la connectivité
est établie, l'état de connexion indiqué est Successful.
Dépannage
Solution : Pourquoi Traps ne parvient pas à se connecter au serveur ESM ? (Suite)
Étape 9 Consultez les journaux pour voir si Traps • Depuis la console Traps, sélectionnez Open Log File.
indique une erreur spécifique :
• Depuis la console Traps, sélectionnez Send Support File pour
envoyer le journal au serveur ESM
• Créez une règle d'action pour récupérer les journaux sur le point
de terminaison (voir Gérer les données collectées par Traps).
Étape 10 Si le problème persiste, contactez
l'assistance Palo Alto Networks.
Comment puis-je résoudre une erreur de certification du serveur Traps ?
Symptôme
L'erreur suivant apparaît dans le services.log sur le point de terminaison.
« Une erreur s'est produire durant la requête HTTP à https://<hostname>:2125/CyveraServer/. Cela pourrait
être dû au fait que le certificat du serveur n'est pas configuré correctement avec HTTP.SYS dans le cas HTTPS.
Elle pourrait être aussi causée par une disparité dans la liaison de sécurité entre le client et le serveur ».
Causes possibles
Lors de l'installation du logiciel du serveur ESM, les paramètres de configuration de certificat suivants sont
disponibles : Aucun certificat (No SSL) et Certificat externe (SSL). Pour installer Traps, vous devez sélectionner
SSL si vous avez sélectionné Certificat externe durant l'installation du logiciel serveur ESM ou No SSL si vous
avez sélectionné Aucun certificat. La disparité dans les paramètres provoque l'erreur signalée au service.log.
Solution
Solution : Comment puis-je résoudre une erreur de certification du serveur Traps ?
Étape 1 Réinstallez le logiciel Traps.
Vérifiez les paramètres SSL pour le serveur ESM puis réinstallez
Traps sur le point de terminaison en prenant soin de sélectionner le
paramètre SSL approprié durant l'installation (voir Installer Traps
sur le point de terminaison).
Étape 2 Vérifiez que l'erreur n'apparaît pas dans le Depuis la console Traps, sélectionnez Open Log File, ou ouvrez
journal.
services.log sur le point de terminaison et examinez toutes les
erreurs récentes. Si l'erreur de certificat du serveur persiste,
contactez l'assistance Palo Alto Networks.
205
Dépannage
Ce sujet traite des problèmes suivants liés à la console Endpoint Security Manager (ESM) :

Pourquoi m'est-il impossible d'ouvrir une session sur la console ESM ?

Pourquoi est-que j'obtiens une erreur du serveur au lancement de la console ESM ?

Pourquoi tous les points de terminaison apparaissent déconnectés dans la console ESM ?
Pourquoi m'est-il impossible d'ouvrir une session sur la console ESM ?
Symptôme
La console Endpoint Security Manager (ESM) affiche un message d'erreur indiquant que le nom d'utilisateur ou
le mot de passe sont invalides.
Causes possibles

Le nom d'utilisateur ou le mot de passe n'ont pas été saisis correctement.

L'utilisateur spécifié durant l'installation initiale ne dispose pas de privilèges de propriétaire de base de
données.

L'utilisateur n'a pas été ajoutés en tant qu'administrateur.

L'utilisateur ayant installé le serveur n'était pas un administrateur local sur le serveur.
Solution
Solution : Pourquoi m'est-il impossible d'ouvrir une session sur la console ESM ?
Étape 1 Vérifiez que vous avez saisi le nom d'utilisateur et le mot de passe corrects.
Étape 2 Vérifiez que l'utilisateur possède des privilèges de propriétaire de base de données (voir Configurer la base de
données du serveur MS-SQL).
206
Dépannage
Solution : Pourquoi m'est-il impossible d'ouvrir une session sur la console ESM ?
Étape 3 Ouvrez une session en tant qu'administrateur et vérifiez que le mode d'authentification est correct et que le
compte utilisateur apparaît sur la page Gestion utilisateur. Pour ajouter un nouvel utilisateur administrateur, voir
Configuration de l'accès administrateur à Endpoint Security Manager en utilisant la console ESM. En alternative,
vous pouvez ajouter l'administrateur en utilisant l'outil de configuration de base de données (voir Configuration
de l'accès administrateur à Endpoint Security Manager en utilisant l'outil de configuration de base de données).
Étape 4 Si vous ne pouvez pas ouvrir une session en tant qu'administrateur, réinstallez Endpoint Security Manager en
tant qu'administrateur local.
Étape 5 Redémarrez IIS : Cliquez sur Démarrer > Exécuter, saisissez IISReset, puis cliquez sur OK.
Étape 6 Vérifiez que vous pouvez ouvrir une session sur la console Endpoint Security Manager en utilisant le compte.
Si le problème persiste, contactez le support de Palo Alto Networks.
Pourquoi est-que j'obtiens une erreur du serveur au lancement de la console ESM ?
Symptôme
Lors de l'ouverture de la console Endpoint Security Manager (ESM), vous recevez une erreur dans le navigateur
indiquant une Erreur du serveur dans l'application /CyveraManagement ou /EndpointSecurityManager.
Causes possibles
Le serveur ne possède pas la configuration requis pour .NET Framework 4.0 avec le correctif KB2468871.
Solution
Installez .NET Framework 4.0 et le correctif KB2468871.
207
Dépannage
Pourquoi tous les points de terminaison apparaissent déconnectés dans la
console ESM ?
Symptôme
La page Health de la console Endpoint Security Manager (ESM) signale que tous les points de terminaison sont
déconnectés même si le point de terminaison peut accéder au serveur ESM.
Causes possibles

Le serveur ESM ne possède pas la configuration requise.

Le service du noyau Endpoint Security Manager est arrêté et doit être redémarré. Cela se produit si vous
attendez plus d'une heure avant d'installer la clé de licence après l'installation initiale du logiciel de la console
ESM.

Le trafic entrant n'est pas autorisé sur le port associé au serveur ESM (la valeur par défaut est 2125).
Solution
Après chaque étape de la procédure suivante, vérifiez si Traps peut se connecter au serveur ESM en
sélectionnant Check-in now. Si Traps ne parvient toujours pas à se connecter au serveur, assez à l'étape qui suit
jusqu'à la résolution du problème.
Solution : Pourquoi tous les points de terminaison apparaissent déconnectés dans la console ESM ?
Étape 1 Vérifiez que le serveur possède Reportez-vous à la section Configuration requise pour installer le serveur
la configuration requise.
ESM.
Étape 2 Vérifiez que le service Traps est 1.
exécuté sur le point de
terminaison.
• Windows XP : Dans le menu Démarrer, sélectionnez Panneau de
configuration > Outils d'administration > Services.
• Windows Vista et versions supérieures : Dans le menu Démarrer,
sélectionnez Panneau de configuration > Système et sécurité > Outils
208
2.
Repérez le service Traps (appelé CyveraService dans les anciennes
versions de Traps) et vérifiez que l'état du service est Démarré.
3.
Si l'état du service est Arrêté, effectuez un double clic sur le service, puis
sélectionnez Démarrer. Cliquez sur Fermer.
Dépannage
Solution : Pourquoi tous les points de terminaison apparaissent déconnectés dans la console ESM ? (Suite)
Étape 3 Vérifiez que le service du noyau 1.
Endpoint Security Manager est
en cours d'exécution sur le
serveur ESM.
• Windows Server 2008 : Dans le menu Démarrer, sélectionnez Panneau
de configuration > Outils d'administration > Services.
de configuration > Système et sécurité > Outils d'administration >
Services.
2.
repérez le service du noyau Endpoint Security Manager (appelé
CyveraServer dans les anciennes versions de Endpoint Security Manager)
et vérifiez que l'état du service est Démarré (Windows Server 2008) ou En
cours d'exécution (Windows Server 2012).
3.
Si l'état du service est Arrêté ou En pause, effectuez un double clic sur le
service, puis sélectionnez Démarrer. Cliquez sur Fermer.
1.
Étape 4 Vérifiez que le port pour le
serveur ESM est ouvert sur le
pare-feu Windows (la valeur par
défaut est 2125).
Pour contrôler l'accès au port à partir du point de terminaison :
a. Ouvrez une invite de commandes en tant qu'administrateur.
b. Saisissez la commande suivante sur le port telnet 2125 du serveur
ESM :
C:\>telnet <esmservername> 2125
où <esmservername> est le nom d'hôte ou l'adresse IP du serveur
ESM.
2.
Si vous ne parvenez pas à utiliser telnet sur le port 2125, créez une règle
entrante pour ouvrir ce port :
a. Ouvrez les paramètres avancés du pare-feu Windows :
– Windows Server 2008 : Dans le menu Démarrer, sélectionnez
Panneau de configuration > Pare-feu Windows > Paramètres avancés.
– Windows Server 2012 : Dans le menu Démarrer, sélectionnez
Panneau de configuration > Système et sécurité > Pare-feu Windows
> Paramètres avancés.
b. Sélectionnez Règles de trafic entrant.
c. Créez une nouvelle règle pour autoriser Traps à communiquer avec
Endpoint Security Managersur le port 2125 en sélectionnant l'assistant
Nouvelle règle et en suivant les instructions pas à pas.
3.
Vérifiez que vous pouvez à présent utiliser telnet sur le port 2125 du
serveur ESM à partir du point de terminaison.
209
Dépannage
Solution : Pourquoi tous les points de terminaison apparaissent déconnectés dans la console ESM ? (Suite)
Étape 5 Désactivez temporairement le
pare-feu Windows.
1.
Ouvrez Modifier les paramètres du Centre de maintenance :
de configuration. Effectuez un double clic sur Centre de maintenance
et sélectionnez Modifier les paramètres du Centre de maintenance.
de configuration > Système et sécurité. Effectuez un double clic sur
Centre de maintenance et sélectionnez Modifier les paramètres du
Centre de maintenance.
2.
Décochez l'option Pare-feu réseau.
3.
Cliquez sur OK.
Étape 6 Vérifiez que la connectivité est Depuis la console Traps, cliquez sur Check-in now. Si la connectivité est établie,
rétablie entre Traps et le serveur l'état de connexion indiqué est Successful. Si le problème persiste, contactez le
ESM.
support de Palo Alto Networks.
210

Advanced Endpoint Protection Administrator`s Guide Version 3.2

Transcription

Documents pareils

SPIDER TRAPS

Télécharger le PDF complet

Procédure pour consulter le compte annuel de la taxe scolaire en

Modifiez la forme d`une image

Projet1:Mise en page 1

Traps MORE flies with NO FLY TRAP ODOR! Economical