Traps™ Administrator`s Guide Version 3.3

Transcription

Guide de
l’administrateur
Traps™
Version 3.3
Coordonnées de contact
Siège social de l’entreprise :
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054
https://www.paloaltonetworks.fr/company/contact-us.html
À propos de ce guide
Le présent guide décrit l’installation initiale et la configuration de base de la solution Traps de Palo Alto Networks,
qui comprend Endpoint Security Manager (ESM), une base de données, le serveur ESM et le logiciel de prévention
de l’agent Traps. Les sujets abordés incluent les configurations requises, les meilleures pratiques et les procédures à
suivre pour l’installation et la gestion des composants de Traps en vue de sécuriser les points de terminaison de votre
organisation. Pour plus d’informations, reportez-vous aux sources qui suivent :

Pour obtenir des informations sur la configuration des autres composants de la plateforme de sécurité nouvelle
génération de Palo Alto Networks, rendez-vous au portail sur la documentation technique, à l’adresse :
https://www.paloaltonetworks.com/documentation ou cherchez le document.

Pour accéder à la base de connaissances, aux documentations complètes, aux forums de discussion et aux vidéos,
consultez le site https://live.paloaltonetworks.com.

Pour contacter le support, obtenir des informations sur les programmes de support, gérer votre compte ou vos
périphériques, ou ouvrir un dossier d’assistance, consultez le site
https://www.paloaltonetworks.com/support/tabs/overview.html.

Pour obtenir les notes de version à jour de Traps 3.3, consultez le site
https://www.paloaltonetworks.com/documentation/33/endpoint/endpoint-release-notes.html.
Pour nous communiquer vos remarques sur la documentation, écrivez-nous à l’adresse :
[email protected].
Palo Alto Networks, Inc.
www.paloaltonetworks.fr
© 2015-2016 Palo Alto Networks, Inc. Palo Alto Networks est une marque déposée de Palo Alto Networks, Inc. La liste de nos marques est
disponible sur le site http://www.paloaltonetworks.com/company/trademarks.html. Toutes les autres marques mentionnées dans le
présent document appartiennent à leur propriétaire respectif.
Revision Date: août 22, 2016
2 • Traps 3.3 Guide de l’administrateur
© Palo Alto Networks, Inc.
Table des matières
Présentation de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Présentation de Traps. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Prévention d’attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Prévention contre les logiciels malveillants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Composants de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Console Endpoint Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Serveur Endpoint Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Base de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Points de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Agent Traps. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Plate-forme de journalisation externe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Dossier d’investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
14
14
14
15
15
15
16
16
Scénarios de déploiement de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Déploiement autonome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Composants du déploiement autonome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Exigences du déploiement autonome. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Petits déploiements. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Déploiement sur petit site individuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Déploiement sur petit site multiple. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Grands déploiements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Déploiement sur grand site individuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Grand déploiement sur site multiple avec un Endpoint Security Manager . . . . . . . . . . . . . 24
Grand déploiement sur site multiple avec plusieurs Endpoint Security Managers . . . . . . . 25
Grand déploiement de site multiple avec agents itinérants (sans VPN) . . . . . . . . . . . . . . . . 26
Grand déploiement de site multiple avec agents itinérants (avec VPN) . . . . . . . . . . . . . . . . 28
Configuration requise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Configuration requise pour installer la console ESM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Configuration requise pour installer le serveur ESM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Configuration requise pour installer la base de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Configuration requise pour installer Traps sur un point de terminaison . . . . . . . . . . . . . . . . . . . 33
Configuration de l’infrastructure Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Configuration de l’infrastructure du point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Configurer Endpoint Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Considérations pour l’installation de l’infrastructure du point de terminaison . . . . . . . . . . 37
Activer les services Web sur la console ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Activer le cryptage SSL pour les composants de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Configurer la base de données du serveur MS-SQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Traps 3.3 Guide de l’administrateur • 3
Table des matières
Installer le logiciel du serveur Endpoint Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Installer le logiciel de la console Endpoint Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . 46
Configuration des points de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Considérations pour le déploiement de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Options d’installation de Traps. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Installer Traps sur le point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Installer les composants de Traps en utilisant Msiexec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Installer les composants de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Désinstaller les composants de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Vérifier une installation réussie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Vérifier la connectivité à partir du point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Vérifier la connectivité à partir de la console ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Gérer les Traps dans un Environment IBV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57
Présentation de l’IBV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Applications virtualisées et ordinateurs de bureau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Modes IBV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Considérations pour l’installation d’IBV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Licences d’Agent IBV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Meilleures pratiques pour les déploiements IBV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Configurer les Traps dans un Environment IBV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Configuration de la politique principale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Configuration des paramètres des Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Configurer les Traps pour un scénario de stockage non persistant . . . . . . . . . . . . . . . . . . . . 66
Configurer les Traps pour un scénario de stockage persistant . . . . . . . . . . . . . . . . . . . . . . . . 68
Affinez et Testez la stratégie IBV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Administrer le serveur ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .73
Gérer plusieurs serveurs ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Configuration système requise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Limitations connues avec les déploiements Multi-ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Gérer plusieurs serveurs ESM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Configuration des paramètres du serveur RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Définir les paramètres de communication en utilisant la console ESM . . . . . . . . . . . . . . . . . 76
Définir les paramètres de communication en utilisant la console ESM . . . . . . . . . . . . . . . . . 77
LicencesTraps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
A propos des LicencesTraps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Gérer les licences en utilisant la console ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Gérer les licences en utilisant la console ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Retirer une licence Traps. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Gérer l’accès administrateur de la console ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Rôles d’administrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Utilisateurs Administratifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Authentification des administrateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Configuration de l’authentification et des comptes administrateurs . . . . . . . . . . . . . . . . . . . 83
Exporter et importer les fichiers de stratégie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Table des matières
Surveillance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Entretien des points de terminaison et de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Utiliser le tableau de bord Endpoint Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Surveillance des évènement de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Utiliser le tableau de bord Security Events (Événements de sécurité) . . . . . . . . . . . . . . . . . 92
Affichage de l’historique d’évènement de sécurité sur un point de terminaison . . . . . . . . 98
Surveiller les points de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Afficher les détails de santé du point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Afficher les notifications sur les modifications d’état de l’agent . . . . . . . . . . . . . . . . . . . . . 100
Afficher les détails sur le journal de l’agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Consulter le status de l’agent à partir de la console Traps . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Affichage de l’historique des règles sur un point de terminaison . . . . . . . . . . . . . . . . . . . . 103
Afficher les modifications à la stratégie de sécurité à partir de la console Traps . . . . . . . 104
Affichage de l’historique d’état du service sur un point de terminaison. . . . . . . . . . . . . . . 104
Supprimer un point de terminaison de la page Health (Santé) . . . . . . . . . . . . . . . . . . . . . . . 105
Retirez une licence d’un point de terminaison de la page Health (Santé) . . . . . . . . . . . . . . 105
Surveiller les serveurs ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Afficher la santé des serveurs ESM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Afficher les détails sur la santé des serveurs ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Afficher les notifications concernant le serveur ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Afficher les détails des journaux du serveur ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Surveiller les règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Affichage du récapitulatif de la règle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Afficher les détails des règles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Surveiller l’extraction d’investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Prise en main des règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .113
Vue d’ensemble de la règle de stratégie du point de terminaison. . . . . . . . . . . . . . . . . . . . . . . . 114
Types de règle de stratégie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Application de la stratégie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Composants et actions communs des règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Conditions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Objets cibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Nommer ou renommer une règle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Enregistrer les règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Gérer les règles enregistrées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Filtrer les règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Désactiver ou activer toutes les règles de protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Afficher ou Masquer les règles de stratégie par défaut. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Protection contre les attaques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125
Gérer les processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Protection des processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Ajouter un processus Protégé, Provisoire ou Non protégé. . . . . . . . . . . . . . . . . . . . . . . . . . 127
Importer ou exporter un processus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Afficher, modifier ou supprimer un processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Afficher les processus actuellement protégés par Traps. . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Table des matières
Gérer les règles de protection contre les attaques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132
Règles de protection contre les attaques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132
Hiérarchie des règles de protection contre les attaques . . . . . . . . . . . . . . . . . . . . . . . . . . . .133
Modules de protection contre les attaques (EPM) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .133
Stratégie de protection contre les attaques par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135
Créer une règle de protection contre les attaques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .136
Exclure un point de terminaison d’une règle de protection contre les attaques . . . . . . . .139
Prévention contre les logiciels malveillants . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Flux de prévention contre les logiciels malveillants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .142
Phase 1 : Évaluation des verdicts d’empreinte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .143
Phase 2 : Évaluation de la politique de restriction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .145
Phase 3 : Évaluation de la politique de prévention de Malware . . . . . . . . . . . . . . . . . . . . . .146
Gérer les règles et paramètres WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147
Activation de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147
Règles du WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148
Configurer une règle WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149
Gérer les Hashes des fichiers exécutables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151
Consulter et rechercher les empreintes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151
Exportation et importation d’Hashes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .152
Affichage d’un rapport WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .152
Remplacer un verdict WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .153
Revérifier une décision WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .154
Signaler un verdict incorrect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155
Charger un fichier sur WildFire pour l’analyse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155
Gérer les restrictions sur les fichiers exécutables. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157
Règles de restriction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157
Wildcards et variables dans les règles de restriction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159
Ajouter une nouvelle règle de restriction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .163
Gérer les listes blanches globales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .164
Dossiers locaux en liste noire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .166
Dossiers réseau en liste blanche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .167
Définir les restrictions et exemptions pour les supports externes . . . . . . . . . . . . . . . . . . . .168
Définir les restrictions de processus enfants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169
Définir les restrictions et exemptions pour Java . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .170
Définir les exceptions et limitations des fichiers exécutables non signés . . . . . . . . . . . . . .171
Gérer les règles de protection de Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .174
Gérer les règles de protection de Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .174
Configurer la vaccination de thread. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .175
Gérer la liste blanche d’injection de thread . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .177
Configurer la protection de surveillance de suspension. . . . . . . . . . . . . . . . . . . . . . . . . . . . .178
Gérer la Whitelist de Suspendre la garde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .180
Gérer les points de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Gérer les règles d’action Traps. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .184
Règles d’action Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .184
Ajouter une nouvelle règle d’action. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185
Gérer les données collectées par Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .186
Table des matières
Désinstaller ou mettre à niveau Traps sur le point de terminaison . . . . . . . . . . . . . . . . . . . 188
Mettre à jour ou révoquer la licence Traps sur le point de terminaison . . . . . . . . . . . . . . . 189
Gérer les règles de paramètres d’agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
Règles de paramètres d’agent Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
Ajouter une nouvelle règle de paramètres d’agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Définir les préférences de journalisation d’évènement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
Masquer ou limiter l’accès à la console Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
Définir les paramètres de communication entre le point de terminaison et le
serveur ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Collecter les informations sur les nouveaux processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
Gérer la protection de service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Modifier le mot de passe de désinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Créer un message d’alerte aux utilisateurs personnalisé . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
Investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .207
Aperçu de l’investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Flux d’investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Types de données d’investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Gérer les règles et paramètres d’investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Règles d’investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Modifier le dossier d’investigation numérique par défaut. . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Créer une règle d’investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
Définir les préférences de vidage mémoire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
Définir les préférence de collecte d’investigation numérique . . . . . . . . . . . . . . . . . . . . . . . 216
Récupérer les données concernant un évènement de sécurité . . . . . . . . . . . . . . . . . . . . . . 217
Requête aux agents. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Flux des requêtes aux agents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Chercher un fichier, un dossier ou une clé de registre sur les points de terminaison. . . . 219
Afficher les résultats d’une requête aux agents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
Activer la collecte d’URI dans Chrome. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
Installer l’extension Chrome sur le point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
Installer l’extension Chrome en utilisant GPO. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
Rapports et journalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .225
Types de journalisations d’évènements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
Évènements de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
Stratégies - Général . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Stratégies - Règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Stratégies - Gestion des processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
Stratégies - Paramètres de restriction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
Stratégies - Contrôle des empreintes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
Surveillance - Agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Surveillance de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
Paramètres - Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
Paramètres - Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
Paramètres - ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
Paramètres - Conditions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
Paramètres - Licences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
Table des matières
Transfert de journaux vers un serveur Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .236
Activer le transfert des journaux vers un serveur Syslog. . . . . . . . . . . . . . . . . . . . . . . . . . . .236
Activer le transfert de journaux vers un serveur Syslog à l’aide de l’outil de
configuration de base de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .237
Format CEF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .240
Format LEEF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .249
Format Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .258
Journaux de transfert vers courriel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .266
Activez le transfert de journaux vers courriel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .266
Format courriel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .267
Dépannage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
Ressources de dépannage pour Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .280
Outil de configuration de base de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .281
Accéder à l’outil de configuration de base de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . .281
Cytool. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .283
Accéder à Cytool. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .283
Afficher les processus actuellement protégés par Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . .284
Gérer les paramètres de protection sur le point de terminaison . . . . . . . . . . . . . . . . . . . . .284
Gérer les pilotes et services Traps sur le point de terminaison. . . . . . . . . . . . . . . . . . . . . . .290
Afficher et comparer les stratégies de sécurité sur un point de terminaison . . . . . . . . . . .294
Résoudre les problèmes de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .296
Pourquoi ne puis-je pas installer Traps ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .296
Pourquoi ne puis-je pas mettre à niveau ou désinstaller Traps ? . . . . . . . . . . . . . . . . . . . . .297
Pourquoi Traps ne parvient pas à se connecter au serveur ESM ?. . . . . . . . . . . . . . . . . . . .298
Comment puis-je résoudre une erreur de certification du serveur Traps ? . . . . . . . . . . . .301
Résoudre les problèmes de la console ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .302
Pourquoi m’est-il impossible d’ouvrir une session sur la console ESM ? . . . . . . . . . . . . . . .302
Pourquoi est-que j’obtiens une erreur du serveur au lancement de la console ESM ? . . .303
Pourquoi tous les points de terminaison apparaissent déconnectés dans la
console ESM ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .304
Présentation de Traps
Traps™ est une solution qui empêche les menaces persistantes avancées (advanced persistent threats ;
APTs) et les attaques au jour zéro. Traps protège également vos points de terminaison en bloquant les
vecteurs d’attaque avant tout lancement de logiciel malveillant, exploitation d’une vulnérabilité des logiciels
ou déclenchement d’un bogue.
Les rubriques suivantes décrivent la solution Traps plus en détails.


Composants de Traps
Les cyberattaques sont des attaques effectuées sur des réseaux ou points de terminaison pour infliger des
dommages, voler des informations ou parvenir à d’autres fins qui impliquent la prise de contrôle sur des
systèmes informatiques qui n’appartiennent pas aux pirates. Les adversaires perpètrent les cyberattaques
soit en causant l’exécution involontaire d’un fichier exécutable malicieux par un utilisateur, soit en exploitant
une faille dans un fichier exécutable légitime afin d’exécuter un code malicieux en arrière-plan sans que
l’utilisateur n’en soit conscient.
L’une des manière d’éviter ces attaques est d’identifier les fichiers exécutables, les bibliothèques de liens
dynamiques (dynamic-link libraries ; DLL) ou d’autres éléments de code en tant qu’éléments malicieux, puis
d’empêcher leur exécution en testant chaque module dont le code est potentiellement malicieux avec une
liste spécifique de signatures de menaces connues. Le point faible de cette méthode est que les solutions
basées sur signature mettent du temps à identifier les nouvelles menaces connues uniquement du pirate
(également appelée attaques au jour zéro ou exploitations) et à les ajouter aux listes des menaces connues,
laissant le point de terminaison vulnérable jusqu’à ce que les signatures soient mises à jour.
La solution Traps, qui comprend un Endpoint Security Manager centralisé (un serveur ESM, une console ESM
et une base de données) et le logiciel de protection appelé agent Traps installé sur chaque point de
terminaison, rend plus efficace l’approche adoptée pour prévenir les attaques. Au lieu de tenter de suivre le
rythme d’une liste de menaces connues en croissance perpétuelle, Traps établit une série de barrages routiers
qui empêchent les attaques dès leurs points d’entrée initiaux—soit le point où les fichiers exécutables
légitimes sont sur le point de laisser inconsciemment un accès malicieux au système.
Traps cible les vulnérabilités des logiciels dans les processus qui ouvrent des fichiers non exécutables en
utilisant les techniques de prévention d’attaque. Traps utilise également des techniques de prévention
contre les logiciels malveillants pour empêcher l’exécution de fichiers exécutables malicieux. En utilisant
cette double approche, la solution Traps peut empêcher tous les types d’attaques, qu’il s’agisse de menaces
connues ou inconnues.
Tous les aspects des paramètres de sécurité du point de terminaison—les points de terminaison et groupes
auxquels les paramètres sont appliqués, les applications qu’ils protègent, les règles définies, les restrictions
et les actions—peuvent être configurés de manière approfondie. Cela permet à chaque organisation
d’adapter Traps à ces exigences afin que ce dernier puisse fournir la meilleure protection en perturbant le
moins possible les activités quotidiennes.

Prévention d’attaque

Prévention contre les logiciels malveillants
Prévention d’attaque
Une attaque est une séquence de commandes qui profitent d’un bogue ou d’une vulnérabilité dans une
application logicielle ou un processus. Les pirates utilisent ces attaques comme moyen d’accès à un système
afin de l’utiliser à leur avantage. Pour prendre le contrôle d’un système, le pirate doit tirer profit d’une chaîne
de vulnérabilités au sein du système. Le blocage de toute tentative d’exploiter une vulnérabilité dans la
chaîne bloquera totalement la tentation d’attaque.
Dans un scénario d’attaque type, un pirate tente de prendre le contrôle d’un système en corrompant ou
contournant d’abord l’allocation mémoire ou les gestionnaires. En utilisant des techniques de corruption de
mémoire comme les dépassements de tampon et la corruption du tas, un pirate peut déclencher un bogue
dans un logiciel ou exploiter une vulnérabilité dans un processus. Le pirate doit ensuite manipuler un
programme pour exécuter le code fourni ou spécifié par le pirate tout en échappant à la détection. Si le pirate
obtient l’accès au système d’exploitation, il peut ensuite charger des programmes malveillants, tels que des
chevaux de Troie (des programmes qui contiennent des fichiers exécutables malveillants), ou utiliser d’une
autre manière le système à son avantage. Traps empêche ces tentatives d’attaque en employant des barrages
routiers ou trappes à chaque étape d’une tentative d’exploitation.
Lorsqu’un utilisateur ouvre un fichier non exécutable, comme un PDF ou un document Word, et que le
processus qui a ouvert le fichier est protégé, l’agent Traps injecte de manière transparente du code dans le
logiciel. Cette injection se produit le plus tôt possible avant le chargement en mémoire de tout fichier
appartenant au processus. L’agent Traps active ensuite un ou plusieurs Modules de protection contre les
attaques (EPM) à l’intérieur du processus qui est protégé. L’EPM cible une technique d’exploitation spécifique
et il est conçu pour éviter les attaques sur les vulnérabilités du programme basées sur la corruption de mémoire
ou des failles logiques.
Les exemples d’attaques que les EPM peuvent prévenir incluent le détournement de bibliothèque de liens
dynamiques (DLL) (remplacement d’une DLL par une DLL malicieuse du même nom), le détournement du flux
de contrôle d’un programme, et l’introduction de code malicieux en tant que gestionnaire d’exception.
En plus de la protection automatique des processus contre ces attaques, Traps signale tous les évènements
de prévention à Endpoint Security Manager et effectue des actions supplémentaires en fonction des
paramètres des règles de stratégie. Les actions courantes qu’effectue Traps incluent la collecte de données
d’investigation numérique et l’avertissement de l’utilisateur à propos de l’évènement. Traps n’effectue
aucune action d’analyse ou de surveillance supplémentaire.
La stratégie de sécurité par défaut du point de terminaison protège les applications les plus vulnérables et
les plus couramment utilisées, mais vous pouvez aussi ajouter d’autres applications de tiers et propriétaires
à la liste des processus protégés. Pour plus d’informations, consultez la section Ajouter un processus
Protégé, Provisoire ou Non protégé.
Pour plus d’informations, consultez la section Gérer les règles de protection contre les attaques.
Les fichiers exécutables malveillants, appelés logiciels malveillants, ont souvent l’apparence de fichiers
inoffensifs ou sont intégrés à ceux-ci. Ces fichiers peuvent tenter de prendre le contrôle, de recueillir des
informations de nature délicate ou de perturber le bon fonctionnement du système.
Pour protéger les points de terminaison contre les fichiers malveillants, Traps utilise un autre type de barrage
routier de sécurité, nommé le moteur de prévention contre les logiciels malveillants. En utilisant une
combinaison des techniques d’atténuation suivantes, le moteur de prévention contre les logiciels
malveillants empêche les logiciels malveillants de s’exécuter et, lorsqu’il n’est pas en mesure de prévenir
l’attaque, il interrompt le comportement malveillant.



WildFire integration (Intégration WildFire)—Permet la détection automatique des logiciels malveillants
inconnus et bloque rapidement les menaces avant que les données d’une entreprise ne soient compromises.
Malware protection modules (Modules de protection contre les logiciels malveillants)—Ciblent des
comportements malveillants donnés et vous permettent de bloquer la création de threads distants.
Policy-based restrictions (Restrictions fondées sur la stratégie)—Vous permettent d’empêcher des
fichiers de s’exécuter à partir de dossiers locaux, de dossiers réseaux ou de supports externes
spécifiques ; de restreindre ou de bloquer les processus enfants ; de bloquer ou de mettre en liste blanche
les processus Java lancés dans les navigateurs Web ; et de bloquer l’exécution des processus sans
signature.
Lorsqu’un événement de sécurité se produit, Traps recueille également les données d’investigation
numérique et signale l’événement à l’utilisateur.
Pour plus d’informations, voir Flux de prévention contre les logiciels malveillants.
Composants de Traps
Composants de Traps
La solution Traps tourne autour de Endpoint Security Manager (ESM), qui se compose d’une console ESM,
d’une base de données, d’un serveur ESM et du logiciel de protection de l’agent Traps. L’agent Traps est
installé sur chaque point de terminaison de votre organisation, et, ensemble, ces composants gèrent les
règles de stratégie de sécurité, distribuent la stratégie de sécurité aux points de terminaison et appliquent la
stratégie sur les points de terminaison. Le diagramme suivant présente les composants de Traps ainsi que les
liens qui les unissent entre eux ainsi qu’aux autres composants de sécurité.
Les rubriques suivantes décrivent les composants de Traps ainsi que d’autres composants plus en détails.

Console Endpoint Security Manager

Serveur Endpoint Security Manager

Base de données

Points de terminaison

Agent Traps

Plate-forme de journalisation externe

WildFire

Dossier d’investigation numérique
Composants de Traps
Console Endpoint Security Manager
La console Endpoint Security Manager (ESM) est une interface Web qui vous permet de gérer les événements
de sécurité, de surveiller la santé des points de terminaison et de configurer des règles de stratégie à partir d’un
navigateur Web. Vous pouvez installer la console ESM sur le même serveur que le serveur ESM, sur un serveur
à part ou sur un serveur sur le nuage. La console ESM communique avec la base de données indépendamment
du serveur ESM.
Pour plus d’informations sur les exigences matérielles et logicielles de la console ESM, voir Configuration
requise pour installer la console ESM.
Serveur Endpoint Security Manager
Le serveur Endpoint Security Manager (ESM) fait office de serveur de connexion qui relaie les informations
entre les composants ESM, y compris l’agent Traps, et WildFire. Chaque serveur ESM prend en charge
jusqu’à 10 000 agents Traps. Le serveur ESM récupère régulièrement la stratégie de sécurité dans la base
de données et la distribue à tous les agents Traps, et chaque agent Traps relaie les informations liées aux
évènements de sécurité au serveur ESM. Le tableau suivant affiche les types de messages que l’agent Traps
envoie au serveur ESM :
Type de message
Description
État de Traps
L’agent Traps envoie périodiquement des messages au serveur ESM pour indiquer
qu’il est opérationnel et pour demander la dernière stratégie de sécurité. Endpoint
Security Manager comprend des notifications et des pages de santé affichant l’état
de chacun des terminaux. La durée entre les messages, appelée période de pulsation,
peut être configurée.
Notifications
L’agent Traps envoie des messages de notification concernant les modifications dans
l’agent, comme le moment où un service démarre ou s’arrête, au serveur ESM.
Le serveur consigne ces notifications dans la base de données ; vous pouvez
consulter les notifications dans la console ESM.
Mises à jour
Un utilisateur final peut demander une mise à jour immédiate de la stratégie en
cliquant sur Check-in now (Vérifier maintenant) sur la console Traps. L’agent Traps
est ainsi forcé de demander la dernière stratégie de sécurité au serveur ESM sans
attendre la fin de la période de pulsation.
Rapports de prévention
Si un évènement de prévention se produit sur un point de terminaison où l’agent
Traps est installé, l’agent Traps signale toutes les informations relatives à l’évènement
au serveur ESM en temps réel.
Base de données
La base de données stocke les informations d’administration, les règles de stratégie de sécurité, l’historique
du point de terminaison et d’autres informations relatives aux évènements de sécurité. Cette base de
données est gérée à partir de la plateforme MS-SQL. Chaque base de données exige une licence et peut
communiquer avec un ou plusieurs serveur ESM. La base de données peut être installée sur le même serveur
que la console ESM et le serveur ESM, comme dans un environnement autonome, ou peut être installée sur
un serveur dédié. Pour plus d’informations sur les exigences matérielles et logicielles, reportez-vous à la
section Configuration requise pour installer la base de données.
Composants de Traps
Lors de l’évaluation, nous vous recommandons d’utiliser SQL Server Express, qui vous permettra
de facilement faire migrer la base de données vers SQL Server Standard ou vers SQL Server
Enterprise. SQLite est également pris en charge, mais ne fournit pas de chemin de migration
vers SQL Server.
Points de terminaison
Un point de terminaison est un ordinateur sous Windows, un serveur, une machine virtuelle ou un dispositif
mobile exécutant l’application de protection côté client appelée Traps. Pour la configuration requise, voir
Configuration requise pour installer Traps sur un point de terminaison.
Agent Traps
Le logiciel de protection de l’agent Traps protège le point de terminaison en appliquant la stratégie de sécurité
de votre organisation, telle qu’elle est définie dans Endpoint Security Manager. Selon la configuration, Traps
peut vous protéger contre des attaques qui visent à profiter des vulnérabilités et des bogues du logiciel et peut
empêcher des fichiers exécutables malveillants de s’exécuter sur vos points de terminaison.
Lorsqu’un événement de sécurité survient sur un point de terminaison, Traps recueille les données
d’investigation numérique à propos de cet événement et peut également avertir l’utilisateur de l’événement. Il
peut même afficher un message de notification personnalisé. Traps communique régulièrement l’état du point
de terminaison et transmets les données liées aux événements de sécurité à Endpoint Security Manager.
La console Traps est une interface utilisateur qui procure un aperçu des processus, de l’historique des
événements et des règles de stratégie de sécurité actuelles ; elle est généralement accessible à partir de la
zone des notifications du point de terminaison. Habituellement, un utilisateur n’a pas besoin d’exécuter la
console Traps, mais les informations peuvent être utiles lors de l’enquête sur un évènement lié à la sécurité.
Au besoin, vous pouvez choisir de masquer l’icône de la console qui permet de lancer la console ou
d’empêcher totalement les utilisateurs de lancer la console à partir d’un point de terminaison.
Plate-forme de journalisation externe
En utilisant une plate-forme de journalisation externe, comme la gestion d’informations et d’évènements
de sécurité (security information and event management ; SIEM), les contrôles d’organisation de service
(Service Organization Controls ; SOC) ou un périphérique syslog, vous pouvez obtenir une vue agrégée
des journaux à partir de tous les serveurs ESM. Lorsque activée, la console ESM transmet les journaux
à la plate-forme de journalisation externe en plus d’effectuer le stockage interne des journaux.
Vous pouvez aussi intégrer votre serveur syslog à des outils de suivi tiers, comme Splunk, pour analyser
les données du journal. Téléchargez l’application Splunk pour Palo Alto Networks à l’adresse
https://apps.splunk.com/app/491/.
Pour ajouter une plate-forme de journalisation externe, voir Transfert de journaux vers un serveur Syslog.
Composants de Traps
WildFire
L’agent Traps est conçu pour bloquer les attaques avant l’exécution de tout code malicieux sur le point de
terminaison. Tandis que cette approche garantit la sécurité des données et de l’infrastructure, elle permet la
collecte des preuves d’investigation numérique au moment de la prévention. Ainsi, elle ne peut pas révéler
complètement le but de l’attaque ni son flux complet.
Le service WildFire est un environnement facultatif d’analyse des logiciels malveillants en nuage qui convertit
les menaces inconnues en incidents connus qui peuvent être évités. L’activation de l’intégration WildFire
permet à Endpoint Security Manager d’envoyer les fichiers exécutables inconnus à WildFire, qui peut les
analyser, au besoin, et répondre en donnant un verdict. Si WildFire détermine que le fichier exécutable est
malveillant, l’agent Traps bloque l’exécution du fichier et signale l’évènement à Endpoint Security Manager.
Lorsque WildFire détecte un nouveau logiciel malveillant, il génère une nouvelle signature dans l’heure qui
suit. Les pare-feu Palo Alto Networks de future génération dotés d’un abonnement WildFire peuvent
recevoir les nouvelles signatures en quelques minutes, alors que les pare-feu qui sont seulement dotés de
l’abonnement à la prévention des menaces peuvent tout de même recevoir les nouvelles signatures lors de
la mise à jour suivante de la signature antivirus, soit dans un délai de 24-48 heures.
Si l’intégration WildFire est activée dans la console ESM, la page Status (État) de la console Traps affiche
à côté de Forensic Data Collection (Collecte de données d’investigation numérique). Si WildFire n’est pas activé,
la console Traps affiche
à côté de Forensic Data Collection (Collecte de données d’investigation numérique).
Pour plus d’informations, reportez-vous aux sections Activation de WildFire et Flux de prévention contre les
logiciels malveillants.
Dossier d’investigation numérique
Lorsque Traps rencontre un évènement lié à la sécurité, comme l’exécution d’un fichier ou une attaque par
exploitation, il inscrit en temps réel dans le journal les détails d’investigation numérique relatifs à l’évènement
sur le point de terminaison. Les données d’investigation numérique incluent le vidage mémoire et d’autres
informations associées à l’évènement. Vous pouvez récupérer les données d’investigation numérique en créant
une règle d’action pour collecter les données à partir du point de terminaison. Lorsque le point de terminaison
a reçu la stratégie de sécurité qui inclut la règle d’action, l’agent Traps envoie toutes les informations
d’investigation numérique au dossier d’investigation numérique, qui est parfois appelé dossier de quarantaine.
Durant l’installation initiale, vous spécifiez le chemin du dossier d’investigation numérique que Endpoint
Security Manager utilise pour stocker les informations d’investigation numérique qu’il récupère des points
de terminaison. Endpoint Security Manager prend en charge plusieurs dossiers d’investigation numérique et
active le service de transfert intelligent en arrière-plan (BITS) (BITS) sur le dossier durant l’installation. Si le
dossier d’investigation numérique spécifié durant l’installation n’est pas accessible, Traps utilise par défaut
le dossier d’investigation numérique spécifié dans la console ESM. Vous pouvez modifier le dossier par
défaut à tout moment en utilisant la console ESM.
Pour plus d’informations, voir Flux d’investigation numérique.
Scénarios de déploiement de Traps
Vous pouvez déployer la solution Traps dans une vaste gamme d’environnements. Les sujets suivants
décrivent les scénarios types de déploiement qui tiennent compte du nombre d’agents et de sites :

Déploiement autonome

Petits déploiements

Grands déploiements
Pour les configurations requises et les considérations d’installation, voir Configuration requise.

Composants du déploiement autonome

Exigences du déploiement autonome
Composants du déploiement autonome
Pour une preuve de concept (POC) initiale ou un petit site avec moins de 250 agents Traps, utilisez un
déploiement autonome pour installer les composants de Endpoint Security Manager (ESM) suivants sur un
serveur individuel ou une machine virtuelle :

Serveur ESM

Console ESM

Dossier d’investigation numérique (quarantaine)

Base de données

(En option) Équilibreur de charge pour la répartition du trafic sur les serveurs ESM

(En option) Plateforme de journalisation externe, par ex. SIEM ou syslog

(En option) Intégration WildFire
Pour les meilleures pratiques sur l’utilisation d’une approche par phases pour l’installation de Traps sur les
points de terminaison, voir Considérations pour le déploiement de Traps.
Exigences du déploiement autonome
Le tableau suivant indique les exigences pour le serveur autonome.
Configuration requise
Valeur
Processeur
Pentium 4 et supérieur
Valeur
Mémoire
512 Mo de RAM
Espace disque
100 Mo
Application base de
données
SQLite (POC uniquement) ou MS-SQL
Pour les exigences de Traps, voir Configuration requise pour installer Traps sur un point de terminaison.

Déploiement sur petit site individuel

Déploiement sur petit site multiple
Déploiement sur petit site individuel
Ce scénario de développement prend en charge jusqu’à 10 000 agents Traps au sein d’un environnement de
site individuel et comprend les composants suivants :

Un serveur de base de données dédié

Une console ESM pour la gestion de la stratégie de sécurité et des agents Traps


Deux serveurs ESM, un primaire et un de secours, sur le même segment réseau que le serveur de base de
données et la console ESM
Un dossier d’investigation numérique accessible par tous les points de terminaison pour le stockage des
détails d’investigation numérique en temps réel concernant les évènements de sécurité



Dans ce scénario de déploiement, un site individuel contient la base de données, la console ESM pour la
gestion des stratégies locales et des points de terminaison, et des serveurs ESM redondants. Dans le cas où
le serveur ESM primaire serait inaccessible, les agents Traps se connectent au Endpoint Security Manager en
utilisant le serveur de secours. Les deux serveurs obtiennent la stratégie de sécurité de la part de la base de
données et distribuent la stratégie aux agents.
Déploiement sur petit site multiple
Ce scénario de développement prend en charge jusqu’à 20 000 agents Traps (10 000 par serveur ESM) au
sein d’un environnement de site multiple et comprend les composants suivants :




Un serveur de base de données dédié dans l’un des sites
Une console ESM au même emplacement que la base de données pour la gestion de la stratégie de
sécurité et des agents Traps
Un serveur ESM par site ou deux serveurs ESM par site pour la redondance
Un dossier d’investigation numérique accessible par tous les points de terminaison pour le stockage des
détails d’investigation numérique en temps réel concernant les évènements de sécurité



Dans ce scénario de déploiement, le site A contient un serveur ESM, une base de données et une console
ESM pour la gestion des stratégies locales et des points de terminaison. Le site B contient un deuxième
serveur ESM qui peut prendre en charge jusqu’à 10 000 agents supplémentaires (20 000 agents Traps au
total). Les deux serveurs obtiennent la stratégie de sécurité de la part de la base de données situé sur le site
A et distribuent la stratégie aux agents. Les agents se connectent au serveur ESM primaire sur leur site tandis
que le serveur ESM de l’autre site fait office de serveur secondaire de secours.

Déploiement sur grand site individuel

Grand déploiement sur site multiple avec un Endpoint Security Manager

Grand déploiement sur site multiple avec plusieurs Endpoint Security Managers

Grand déploiement de site multiple avec agents itinérants (sans VPN)

Grand déploiement de site multiple avec agents itinérants (avec VPN)
Déploiement sur grand site individuel
sein d’un environnement de site individuel et comprend les composants suivants :




Un serveur ESM pour chaque tranche de 10 000 agents Traps (par exemple, il faut compter quatre
serveurs ESM pour 35 000 agents Traps)
Un dossier d’investigation numérique pour chaque serveur ESM accessible par tous les points de
terminaison pour le stockage des détails d’investigation numérique en temps réel concernant les
évènements de sécurité



Dans cet exemple, 40 000 agents Traps au maximum peuvent se connecter à Endpoint Security Manager.
Pour soutenir ce scénario, les points de terminaison se connectent à quatre serveurs ESM par l’intermédiaire
d’un équilibreur de charge en option. Chaque serveur ESM se connecte à une base de données centrale qui
est gérée par une console ESM dédiée.
Grand déploiement sur site multiple avec un Endpoint Security Manager
sein d’un environnement de site multiple qui comprend les composants suivants :




Un serveur ESM pour chaque tranche de 10 000 agents Traps (par exemple, il faut compter trois
serveurs ESM pour 25 000 agents Traps)



Dans cet exemple, les sites A, B, C et D doivent prendre en charge un maximum de 10 000 agents Traps
chacun. Pour soutenir ce scénario, chaque site contient un serveur ESM qui récupère la stratégie de sécurité
dans la base de données située sur le site A. Les agents se connectent à Endpoint Security Manager en
utilisant leurs serveurs ESM locaux comme serveur primaire et utilisent les serveurs ESM des autres sites
comme serveurs secondaires.
Grand déploiement sur site multiple avec plusieurs Endpoint Security
Managers
sein d’un environnement de site multiple qui comprend les composants suivants :


Un Endpoint Security Manager par site :
– Une base de données dédiée (avec licence)
– Une console ESM au même emplacement que la base de données pour la gestion de la stratégie de
– Des serveurs ESM, un tous les 10 000 agents Traps sur chaque site



Dans cet exemple, les sites A, B, C et D doivent prendre en charge un maximum de 10 000 agents Traps chacun.
Pour soutenir ce scénario, chaque site gérer les stratégies de sécurité de manière indépendante des autres sites
en utilisant un Endpoint Security Manager local qui comprend un serveur ESM, une base de données et une
console ESM. Les agents se connectent à Endpoint Security Manager en utilisant leurs serveurs ESM locaux
comme serveur primaire et utilisent les serveurs ESM des autres sites comme serveurs secondaires.
Nous ne recommandons pas l’utilisation d’une solution de base de données en cluster complet en
raison du potentiel de collisions de base de données. Dans les cas où la solution de base de
données est déjà en place, configurez les agents Traps pour qu’ils utilisent une adresse IP virtuelle
(VIP) individuelle pour accéder au cluster de base de données.
Grand déploiement de site multiple avec agents itinérants (sans VPN)
sein d’un environnement de site multiple et comprend les composants suivants :



Des serveurs ESM, un tous les 10 000 agents Traps sur chaque site

Un serveur ESM avec un enregistrement DNS destiné au public qui accepte les connexions provenant des
agents Traps itinérants qui sont configurés de l’une ou l’autre des façons suivantes :
– configuré avec un port qui accepte les connexions provenant des réseaux externes;
– installé dans une DMZ avec une connexion au serveur de base de données interne.
Ce serveur peut aussi faire office de serveur secondaire de secours.




Dans cet exemple, les sites A, B, C et D doivent chacun prendre en charge un maximum de 10 000 agents Traps
et 10 000 agents itinérants supplémentaires. Pour soutenir ce scénario, chaque site contient un serveur ESM
qui récupère la stratégie de sécurité dans la base de données située sur le site A. Les points de terminaison
internes se connectent à Endpoint Security Manager en utilisant leurs serveurs ESM locaux. Les points de
terminaison externes se connectent par l’intermédiaire d’un serveur ESM disponible au public situé dans une
DMZ ou par l’intermédiaire d’un port qui est configuré pour permettre le trafic en provenance des réseaux
externes. Si un point de terminaison est en itinérance et ne peut pas se connecter au serveur ESM, Traps
collecte les données de prévention en local jusqu’à ce que l’agent puisse établir une connexion au dossier
d’investigation numérique.
Grand déploiement de site multiple avec agents itinérants (avec VPN)
Ce scénario de déploiement prend en charge jusqu’à 40 000 agents Traps (10 000 par serveur ESM)
qui peuvent se connecter par l’intermédiaire de sites locaux et à partir d’emplacements hors site par
l’intermédiaire d’un tunnel VPN. Cet environnement de site multiple comprend les composants suivants :





Des serveurs ESM, un tous les 10 000 agents Traps sur chaque site
GlobalProtect ou une autre connexion VPN pour fournir aux utilisateurs itinérants une adresse IP interne
l’accès au serveur ESM



Dans cet exemple, les sites A, B, C et D doivent chacun prendre en charge un maximum de 10 000 agents Traps,
dont certains peuvent être situés hors site. Pour soutenir ce scénario, chaque site contient un serveur ESM qui
récupère la stratégie de sécurité dans la base de données située sur le site A. Les points de terminaison internes
se connectent à Endpoint Security Manager en utilisant leurs serveurs ESM locaux. Les points de terminaison
externes se connectent par l’intermédiaire d’un tunnel VPN qui fournit au point de terminaison une adresse IP
interne pour la connexion au site. Si un point de terminaison est en itinérance et ne peut pas se connecter par
VPN, Traps collecte les données de prévention en local jusqu’à ce que l’agent puisse établir une connexion au
dossier d’investigation numérique.
Les sujets suivants décrivent la configuration requise pour l’installation de l’infrastructure Traps :

Configuration requise pour installer la console ESM

Configuration requise pour installer le serveur ESM

Configuration requise pour installer la base de données

Configuration requise pour installer Traps sur un point de terminaison
Avant d’installer le logiciel de la console ESM 3.3, assurez-vous que le serveur possède la configuration
requise suivante :
 Le serveur ESM et la console ESM doivent être de la même version.
 Processeur Intel Xeon E5-2660 V2 2.2GHz à 4 cœurs 2,2 GHz ou plus puissant
 3 Go d’espace disque plus espace supplémentaire pour le dossier d’investigation numérique
 8 Go de RAM
 Serveur Windows physique ou virtuel. Utilisez l’un des choix suivants :
–
–
–
Windows Server 2008 R2
Windows Server 2012
 Internet Information Services (IIS) 7.0 ou supérieur avec ASP.NET et composants Static Content
Compressions
 .NET Framework 4.5.1, version complète
 Certificat SSL provenant d’une autorité de certification de confiance (CA) avec authentification de
serveur et authentification de client (recommandé).
 Autorisez la communication sur le port TCP entre les clients et le serveur (le port par défaut est le
port 2125)
 Dossier d’investigation numérique avec BITS activé
 Autorisez la communication sur le port HTTP (80) ou sur le port HTTPS (443) entre les clients et le
dossier de quarantaine
 L’un des navigateurs suivants :
–
–
–
–
Internet Explorer 10 ou version ultérieure
Chrome 30 ou version ultérieure
Firefox 35 ou version ultérieure
Opera 25 ou version ultérieure
Chaque serveur ESM prend en charge jusqu’à 10 000 agents Traps.
Avant d’installer le serveur ESM 3.3, assurez-vous que le serveur possède la configuration requise suivante :
 Le serveur ESM et la console ESM doivent être de la même version.
 (Serveur ESM 3.3.0) 2 Go d’espace disque ; (Serveur ESM 3.3.1 et versions ultérieures) 3 Go d’espace disque
 8 Go de RAM
 Version anglaise d’un serveur Windows physique ou virtuel. Utilisez l’un des choix suivants :
–
–
–
Windows Server 2012
 .NET Framework 4.5.1, version complète
 Certificat SSL provenant d’une autorité de certification de confiance (CA) avec authentification de
serveur et authentification de client (recommandé).
 Autorisez la communication sur le port TCP entre les clients et le serveur (le port par défaut est le
port 2125)
 Internet Information Services (IIS) 7.0 ou supérieur avec ASP.NET et composants Static Content
Compressions
Les applications côté serveur exigent une base de données SQL qui peut être soit une base de données locale
installée sur le même serveur que la console ESM ou le serveur ESM, soit une base de données externe
installées sur une autre machine. Si vous prévoyez déployer plusieurs serveurs ESM, installez la base de
données sur la console ESM ou utilisez une base de données externe.
Consultez l’équipe d’assistance Palo Alto Networks si l’intégration avec une base de données
existante est requise.
Configurez un serveur de base de données qui possède la configuration requise suivante :
 Application base de données. Utilisez l’un des choix suivants :
–
–
–
–
SQLite 3.7.14 lors de l’évaluation uniquement. Pour utiliser SQLite, vous devez installer le serveur ESM
et la console ESM sur le même serveur. Trouvez le fichier d’installation de SQLite dans le dossier Tools
de votre package d’installation du point de terminaison, ou téléchargez-le à partir d’Internet.
Il n’y a pas de chemin de migration de SQLite vers SQL Server. Lors de l’évaluation, nous vous
recommandons d’utiliser SQL Server Express, qui vous permettra de faire migrer facilement la
base de données vers SQL Standard ou vers SQL Enterprise.
SQL Server Express 2008 R2, 2012 ou 2014 lors de l’évaluation ou de la production. Une base de
donnée configurée avec SQL Server Express peut prendre en charge un maximum de 350 agents.
Pour des déploiements à plus grande échelle, utilisez SQL Server Enterprise ou Standard.
SQL Server Enterprise 2008, 2012, 2012 avec une configuration toujours active ou 2014 lors de la
production
SQL Server Standard 2008, 2012 ou 2014 lors de la production
 8 Go de RAM
 Espace disque :
–
–
–
–
–
Jusqu’à 1 000 points de terminaison : 500 Mo (première année), 1 Go (deuxième année),
2 Go (troisième année)
Jusqu’à 5 000 points de terminaison : 2,5 Go (première année), 5 Go (deuxième année),
Jusqu’à 10 000 points de terminaison : 5 Go (première année), 10 Go (deuxième année),
 Serveur Windows physique ou virtuel. Utilisez l’un des choix suivants :
–
–
–
Windows Server 2012
Configuration requise pour installer Traps sur un point de
terminaison
Avant d’installer Traps 3.3, assurez-vous que le point de terminaison cible possède la configuration requise
suivante :
 Le serveur ESM et la console ESM doivent être de la même version que l’agent Traps ou d’une version
ultérieure
 200 Mo d’espace disque ; 20 Go d’espace disque recommandés
 512 Mo de mémoire ; 2 Go de mémoire recommandés
 Système d’exploitation :
–
–
–
–
–
–
–
–
–
–
–
–
Windows XP (32 bits, SP3 ou supérieur)
Windows Vista (32 bits, 64 bits et SP1 ou ultérieure ; mode FIPS)
Windows 7 (32-bit, 64-bit, RTM et SP1 ; mode FIPS ; toutes les éditions sauf Home)
Windows 8 (32 bits, 64 bits)
Windows 8.1 (32 bits, 64 bits ; mode FIPS)
Windows 10 RTM (32 bits et 64 bits)
Windows Server 2003 (32-bit, SP2 ou supérieur)
Windows Server 2003 R2 (32-bit, SP2 ou supérieur)
Windows Server 2008 (32 bits, 64 bits ; mode FIPS)
Windows Server 2008 R2 (32 bits, 64 bits ; mode FIPS)
Windows Server 2012 (toutes les éditions ; mode FIPS)
Windows Server 2012 R2 (toutes les éditions ; mode FIPS)
 Environnement virtuels :
–
–
–
–
–
VDI
Citrix
VM
ESX
VirtualBox/Parallels
 Plates-formes physiques :
–
–
SCADA
Tablettes Windows
 .NET 3.5 SP1
 Autorisez la communication sur le port 2125 TCP entre les clients et le serveur
 Client BITS
 Accessoires Windows (Bloc-Notes) pour afficher les journaux
Configuration de l’infrastructure Traps
Les sujets suivants décrivent comment configurer les composants de l’infrastructure Traps :

Configuration de l’infrastructure du point de terminaison

Configurer Endpoint Security Manager

Configuration des points de terminaison

Installer les composants de Traps en utilisant Msiexec

Vérifier une installation réussie
Utilisez le flux de travail suivant pour configurer l’infrastructure du point de terminaison ou utilisez le flux de
travail décrit dans le Guide des nouvelles caractéristiques de Traps 3.3 pour mettre à niveau l’infrastructure
existante de votre point de terminaison :
Tâche
Pour plus d’informations
Step 1
Examinez les considérations pour
l’installation du logiciel.
Considérations pour l’installation de l’infrastructure du point de
terminaison
Step 2
Examinez les étapes d’implémentation
recommandées.
Considérations pour le déploiement de Traps
Step 3
(En option) Configurez les services
d’information Internet (IIS) avec les
services .NET.
Activer les services Web sur la console ESM
Activer le cryptage SSL pour les composants de Traps
Step 4
(En option) Configurez le serveur
MS-SQL.
Configurer la base de données du serveur MS-SQL
Step 5
Installez le logiciel du serveur ESM.
Installer le logiciel du serveur Endpoint Security Manager
(En option) Installer les composants de Traps en utilisant Msiexec
Step 6
Installez le logiciel de la console ESM.
Installer le logiciel de la console Endpoint Security Manager
Step 7
Installez l’agent Traps sur les points de
terminaison.
Configuration requise pour installer Traps sur un point de
terminaison
Installer Traps sur le point de terminaison
Step 8
Vérifiez que l’installation a réussi.

Considérations pour l’installation de l’infrastructure du point de terminaison





Considérations pour l’installation de l’infrastructure du point de terminaison
Pour installer ou mettre à niveau les composants ESM, tenez compte des points suivants :


Le serveur ESM et la console ESM doivent être de la même version.
Le serveur ESM et la console ESM prennent en charge différentes versions de Traps et sont également
rétrocompatibles avec les versions antérieures. Par exemple, un serveur ESM et une console ESM de
version 3.3 peuvent prendre en charge une combinaison d’agents Traps 3.1 et Traps 3.3.
Voir aussi : Configuration requise.
Pour exécuter les services Web sur la console ESM, vous devez activer le rôle des services d’information
Internet (IIS) et .NET sur un serveur Windows. IIS vous permet de partager des informations avec les
utilisateurs sur Internet, sur un intranet ou sur un extranet. Les serveurs Windows avec IIS 7.5 fournissent
une plate-forme web unifiée qui intègre IIS, ASP.NET et WCF (Windows Communication Foundation).
Pour accéder à Endpoint Security Manager sur le Web, activez IIS avec .NET.

Activer les services Web sur Windows Server 2008 R2

Activer les services Web sur Windows Server 2012
Pour activer les services Web sur Windows Server 2008 R2, installez .NET Framework 4 avec le correctif
KB2468871.
Step 1
Ouvrez le gestionnaire de serveur du
serveur Windows sur lequel vous
installerez la console ESM.
Sélectionnez Gestionnaire de serveur ou cherchez le gestionnaire
de serveur dans le menu Démarrer.
Activer les services Web sur Windows Server 2008 R2 (Continued)
Step 2
Step 3
Step 4
Ajoutez un nouveau rôle.
Définissez les services de rôle.
Confirmez l’installation des services.
1.
Effectuez un clic droit sur Rôles > Ajouter des rôles (puis
cliquez sur Suivant.
2.
Sélectionnez l’option Serveur Web (IIS), puis cliquez sur
Suivant.
3.
Sélectionnez Services de rôle dans le menu à gauche.
1.
Sélectionnez l’option Dévelopment d’applications.
2.
Laisser les options restantes à leurs réglages par défaut.
3.
Cliquez sur Suivant.
1.
Vérifiez que les services Application Development
(Développement d’applications) apparaissent dans la liste des
sélections pour l’installation, puis cliquez sur Installer.
2.
Fermez (Close) l’assistant.
Pour activer les services Web sur Windows Server 2012, installez .NET Framework 3.5 et 4.5.
Step 1
Ouvrez le gestionnaire de serveur du
serveur Windows sur lequel vous
installerez la console ESM.
1.
Sélectionnez Gestionnaire de serveur dans le menu Démarrer.
2.
Sélectionnez Ajouter des rôles et fonctionnalités, puis cliquez
sur Suivant.
Step 2
Sélectionnez le type d’installation.
Sélectionnez Installation basée sur un rôle ou une fonctionnalité,
puis cliquez sur Suivant.
Step 3
Spécifiez le serveur.
Sélectionnez le serveur dans le Pool de serveurs, puis cliquez sur
Suivant.
Activer les services Web sur Windows Server 2012 (Continued)
Step 4
Step 5
Ajoutez le rôle et les fonctionnalités des 1.
services Web.
2.
Confirmez l’installation des services.
Sélectionnez l’option Serveur Web (IIS).
Cliquez sur Ajouter des fonctionnalités.
3.
4.
Sélectionnez Fonctionnalités de .NET Framework 3.5.
5.
Sélectionnez Fonctionnalités de .NET Framework 4.5 et
ASP.NET 4.5.
6.
Cliquez sur Suivant, puis cliquez de nouveau sur Suivant.
7.
Dans Serveur Web, sélectionnez Développement
d’applications puis développez la fonctionnalité pour révéler
d’autres sélections. Sélectionnez les fonctionnalités suivantes.
Si cela vous est demandé, cliquez sur Ajouter des
fonctionnalités.
• ASP.NET 3.5
• ASP.NET 4.5
• Extensions ISAPI
• Filtres ISAPI
• Extensibilité .NET 3.5
• Extensibilité .NET 4.5
8.
1.
Vérifiez que les fonctionnalités apparaissent dans la liste des
sélections pour l’installation puis cliquez sur Installer.
2.
Cliquez sur Fermer pour quitter l’assistant.
Secure Sockets Layer (couche de sockets sécurisés; SSL) permet de crypter la communication entre le
serveur ESM et les agents Traps. Nous vous recommandons d’activer SSL pour permettre aux clients de faire
confiance à l’identité du serveur et pour permettre aux clients et au serveur de savoir que les messages n’ont
pas été modifiés lors du transit.
Pour sécuriser votre console ESM et protéger les données à l’aide de SSL, installez un certificat de serveur,
puis ajoutez une liaison HTTPS sur le port 443.
Configurer SSL sur la console ESM
Step 1
Ouvrez le gestionnaire IIS :
1.
Cliquez sur Démarrer, puis sur Panneau de configuration.
2.
Effectuez l’une des actions suivantes :
• Cliquez sur Système et sécurité > Outils d’administration.
• Dans Rechercher, saisissez inetmgr et cliquez sur ENTRÉE.
Step 2
(En option) Si votre site exige SSL,
Pour demander ou installer un certificat de serveur, voir :
installez un certificat SSL sur le serveur • Demander un certificat de serveur Internet
qui exécute la console ESM.
• Installer un certificat de serveur Internet
Le certificat du serveur permet aux
utilisateurs de confirmer l’identifier
d’un serveur web avant de transmettre
des données sensibles et utilise les
informations de la clé publique du
serveur pour crypter les données et
les renvoyer au serveur.
Vous pouvez sauter cette étape si votre
site n’exige pas SSL ou si vous avez déjà
installé le certificat SSL.
Step 3
Ajoutez une liaison HTTPS.
1.
Dans Connections (Connexions), développez le nœud Sites
dans l’arborescence, puis sélectionnez le site pour lequel vous
voulez ajouter une liaison.
2.
Dans Actions > Edit Site (Modifier le site), cliquez sur Bindings
(Liaisons) > Add (Ajouter).
3.
Spécifier le type https et ajouter les informations de liaison
restantes en incluant l’adresse IP (IP address), le Port (la valeur
par défaut est 443), et le nom d’hôte (Host name).
4.
(En option pour Windows Server 2012 uniquement)
Sélectionnez l’option pour exiger l’indication du nom du
serveur (Require Server Name Indication).
5.
Sélectionnez le certificat SSL dans le menu déroulant, puis
cliquez sur OK.
Endpoint Security Manager exige une base de données qui est gérée sur la plate-forme SQL Server (pour
connaîre les versions de SQL Server qui sont prises en charge, voir Configuration requise pour installer la
base de données). Endpoint Security Manager utilise la base de données pour stocker des informations
d’administration, les règles de stratégie de sécurité, des informations sur les évènements de sécurité et
d’autres informations.
Durant la page de preuve de concept, les bases de données SQLite et SQL Express sont également
prises en charge. Si vous utilisez SQLite, vous ne pouvez transférer de contenu développé lors
de la phase de preuve du concept vers une solution Traps complètement fonctionnelle. Nous
recommandons plutôt de commencer avec SQL Express, qui peut facilement être migré vers
SQL Server.
Avant d’installer Endpoint Security Manager, configurez la base de données SQL avec les autorisations
requises. En cas d’utilisation de authentification Windows comme méthode d’authentification d’utilisateur,
le propriétaire doit avoir les privilèges Ouvrir une session en tant que service et être un administrateur local sur
le serveur ESM.
La procédure suivante est recommandée comme meilleure pratique pour la création et la configuration de la
base de données du serveur MS-SQL.
Step 1
Step 2
Créer une nouvelle base de données.
Configurez les paramètres de base de
données.
Le propriétaire de base de données que
vous spécifiez doit déjà exister en tant
qu’administrateur local ou de domaine.
1.
Sélectionnez SQL Server Management Studio dans le menu
Démarrer.
2.
Cliquez sur Connecter (Connecter) pour ouvrir Microsoft SQL
Server Management Studio.
3.
Effectuez un clic droit sur Databases (Bases de données), puis
sélectionnez New Database (Nouvelle base de données).
1.
Saisissez le nom de la base de données (Database name).
2.
Sélectionnez le propriétaire de la base de données (Owner) :
a. Cliquez sur le symbole (
).
b. Saisissez le nom de l’objet au format [domain\user] ou
accédez (Browse) à un nom d’objet.
c. Sélectionnez Check Names (Vérifier les noms) pour valider
le propriétaire de la base de données.
3.
Cliquez sur OK, puis cliquez de nouveau sur OK.
Configurer la base de données du serveur MS-SQL (Continued)
Step 3
Vérifiez les privilèges du propriétaire de
la base de données.
1.
Développez la base de données que vous avez créée, puis
sélectionnez Security (Sécurité) > Users (Utilisateurs).
2.
Effectuez un double clic sur dbo.
3.
Sélectionnez la page Owned Shemas (Schémas appartenant à
un rôle), puis sélectionnez db_owner (propriétaire de la base
de données).
4.
Sélectionnez la page Membership (Appartenance), puis
sélectionnez db_owner (propriétaire de la base de données).
5.
Cliquez sur OK.
Avant d’installer le logiciel du serveur Endpoint Security Manager (ESM), vérifiez que le système possède la
configuration requise décrite à la section Configuration requise pour installer le serveur ESM.
Installer le logiciel du serveur ESM
Avant de commencer :
• Vérifiez que le système possède la configuration requise décrite
à la section Configuration requise pour installer le serveur ESM.
• Procurez-vous le logiciel et le fichier de licence auprès de votre
responsable de compte Palo Alto Networks, de votre revendeur
ou sur https://support.paloaltonetworks.com.
Installer le logiciel du serveur ESM (Continued)
Step 1
Step 2
Lancez l’installation du logiciel du
serveur ESM. Vous pouvez également
installer le serveur ESM à l’aide de
Msiexec (voir Installer les composants
de Traps en utilisant Msiexec).
1.
Effectuez un double clic sur le fichier d’installation ESMCore.
2.
Cliquez sur Next (Suivant) pour commencer le processus
d’installation.
3.
Dans la boîte de dialogue de l’Accord de licence utilisateur
final, cochez la case I accept the terms in the License
Agreement (J’accepte les conditions de l’accord de licence)
puis cliquez sur Next (Suivant).
4.
Laissez le dossier d’installation par défaut ou cliquez sur
Change (Modifier) pour spécifier un dossier d’installation
différent, puis cliquez sur Next (Suivant).
Configurez les paramètres qui
1.
permettent la communication entre le
serveur ESM et la base de données.
Pour configurer l’accès à la base de
données, vous devez spécifier la
méthode d’authentification et le nom
d’un utilisateur qui possède des
privilèges administratifs pour gérer la
base de données. Le nom d’utilisateur
(et le mode de passe) que vous saisissez
dépendent du type de méthode
d’authentification que vous
sélectionnez :
• Pour utiliser l’authentification
Windows (recommandé), spécifiez
l’utilisateur du domaine qui possède
les autorisations nécessaires pour
gérer la base de données.
• Pour utiliser l’authentification du
serveur SQL, saisissez le compte de
l’utilisateur local sur le serveur SQL qui
possède les autorisations nécessaires
pour gérer la base de données.
2.
Sélectionnez le type de base de données que vous installez
pour l’utilisation avec Endpoint Security Manager.
Si vous sélectionnez une version de SQL Server, vous devez
fournir les informations de configuration suivantes :
• Serveur Name (Nom du serveur)—Nom de domaine
complet ou l’adresse IP du serveur de base de données.
• Database (Base de données)—Nom de la base de données.
Si votre SQL Server utilise une instance autre que celle
définie par défaut, vous devez également inclure le nom
de l’instance au format <instance>/<databasename>.
• Sélectionnez la méthode d’authentification :
– Windows Authentication (Authentification Windows)—
Authentifiez à l’aide d’un compte utilisateur de domaine
Windows qui possède les privilèges nécessaires pour se
connecter au serveur de la base de données. Il doit
également s’agir d’un compte administrateur de la base
de données.
– SQL Server Authentication (Authentification SQL
Server)—Authentifiez à l’aide d’un compte utilisateur local
sur le serveur de la base de données. Il doit également
s’agir d’un compte administrateur de la base de données.
• User Name (Nom d’utilisateur)—Saisissez les informations
d’authentification d’un compte qui possède les
autorisations nécessaires pour créer une base de données
sur le serveur. Pour l’authentification Windows, vous devez
inclure le nom de domaine avant le nom d’utilisateur
(par exemple, mondomaine\administrateur). Pour
l’authentification SQL Server, vous devez inclure le nom
du serveur de la base de données avant le nom d’utilisateur
(par exemple, mysqlserver\administrator).
Cliquez sur Next (Suivant).
Step 3
Step 4
Step 5
Spécifiez le niveau de sécurité pour la
communication entre le serveur ESM
et les agents Traps.
Pour crypter la communication par SSL,
utilisez un fichier de certificat
serveur-client (format PFX) et inscrivez
le mot de passe de décryptage de la clé
privée.
1.
Sélectionnez le mode de configuration du certificat :
• Select External Certificate (SSL) (Sélectionner le certificat
externe (SSL))—Cryptez la communication entre le serveur
et les agents par SSL (par défaut). Puis accédez au certificat
serveur-client et saisissez le mot de passe requis pour
décrypter la clé privée.
• No Certificate (no SSL) (Aucun certificat (pas de SSL))—
Ne cryptez pas la communication entre le serveur et les
agents (non recommandé).
2.
Configurez les paramètres de l’utilisateur 1.
administrateur.
Choisissez le type d’authentification à utiliser :
• Machine—Endpoint Security Manager effectue
l’authentification en utilisant les utilisateurs et les groupes
sur la machine locale.
• Domain (Domaine)—Endpoint Security Manager effectue
l’authentification en utilisant les utilisateurs et les groupes
appartenant au domaine de la machine.
2.
Saisissez le nom de compte pour l’utilisateur qui administrera
le serveur dans le champ Please specify an administrative
user (Veuillez spécifier un utilisateur administrateur), puis
cliquez sur Next (Suivant).
Configurez les paramètres
1.
supplémentaires pour votre serveur ESM.
Précisez le port du serveur ESM (ESM Server port) à utiliser
pour accéder au serveur ou conservez le paramètre défini par
défaut (2125).
2.
Saisissez un mot de passe de désinstallation d’au moins huit
caractères et confirmez. Vous devrez inscrire ce mot de passe
chaque fois que vous tenterez de désinstaller un logiciel ESM
ou Traps.
Après avoir installé le logiciel du serveur ESM, vous
pouvez Modifier le mot de passe de désinstallation
ultérieurement en créant une regle de paramètres
d’agent à l’aide de la console ESM.
3.
Step 6
Step 7
Importez une licence.
Terminez l’installation.
1.
Accédez (Browse) au fichier de licence, puis cliquez sur Open
(Ouvrir). Si vous n’avez pas de licence, communiquez avec
votre responsable de compte ou votre revendeur, ou
rendez-vous au https://support.paloaltonetworks.com.
Le programme d’installation affiche les détails de la licence
correspondant au fichier de licence.
2.
1.
Cliquez sur Install (Installer).
2.
Lorsque l’installation est terminée, cliquez sur Finish
(Terminer).
Vous pouvez installer le logiciel de la console ESM sur un serveur dédié ou sur le même serveur que le logiciel
du serveur ESM. Chaque console ESM doit posséder sa propre licence.
Installer le logiciel de la console ESM
• Vérifiez que le système possède la configuration requise décrite
à la section Configuration requise pour installer la console ESM.
• Procurez-vous le logiciel auprès de votre responsable de compte
Palo Alto Networks, de votre revendeur ou sur
https://support.paloaltonetworks.com
Step 1
1.
Effectuez un double clic sur le fichier d’installation
ESMConsole.
2.
Cliquez sur Next (Suivant) pour commencer le processus
d’installation.
3.
Cochez la case I accept the terms of the License Agreement
(J’accepte les conditions de l’accord de licence), puis cliquez
sur Next (Suivant).
Step 2
Lancez l’installation du logiciel de la
console ESM. Vous pouvez également
installer la console ESM à l’aide de
Msiexec (voir Installer les composants
de Traps en utilisant Msiexec).
Spécifiez le dossier d’installation pour la Laissez le dossier d’installation par défaut ou cliquez sur Change
console ESM.
(Modifier) pour spécifier un dossier d’installation différent, puis
cliquez sur Next (Suivant).
Installer le logiciel de la console ESM (Continued)
Step 3
Configurez les paramètres qui
1.
permettent la communication entre la
console ESM et la base de données.
Pour configurer l’accès à la base de
données, vous devez spécifier la méthode
d’authentification et le nom d’un
utilisateur qui possède des privilèges
administratifs pour gérer la base de
données. Le nom d’utilisateur (et le mode
de passe) que vous saisissez sont fonction
du type de méthode d’authentification
que vous sélectionnez :
• Pour utiliser l’authentification
Windows (recommandé), spécifiez
l’utilisateur du domaine qui possède
les autorisations nécessaires pour
gérer la base de données.
• Pour utiliser l’authentification du
serveur SQL, saisissez le compte de
l’utilisateur local sur le serveur SQL qui
possède les autorisations nécessaires
pour gérer la base de données.
2.
Sélectionnez le type de base de données que vous avez installé
pour l’utilisation avec le serveur ESM.
Si vous sélectionnez une version de SQL Server, vous devez
fournir les informations de configuration suivantes :
• Server Name (Nom du serveur) : Nom de domaine complet
ou l’adresse IP du serveur de base de données.
• Database (Base de données) : Nom de la base de données.
Si votre SQL Server utilise une instance autre que celle
définie par défaut, vous devez également inclure le nom
de l’instance au format <instance>/<databasename>.
• Sélectionnez la méthode d’authentification :
– Windows Authentication (Authentification Windows)
(recommandé)—Authentifiez à l’aide d’un compte
utilisateur de domaine Windows qui possède les
privilèges nécessaires pour se connecter au serveur de
la base de données. Il doit également s’agir d’un compte
administrateur de la base de données.
– SQL Server Authentication (Authentification SQL
Server)—Authentifiez à l’aide d’un compte utilisateur local
qui se trouve sur le serveur de la base de données. Il doit
également s’agir d’un compte administrateur de la base de
données.
• User Name (Nom d’utilisateur) : Pour l’authentification
Windows, vous devez inclure le nom de domaine avant le nom
d’utilisateur (par exemple, mondomaine\administrateur).
Pour l’authentification SQL Server, vous devez inclure le nom
du serveur de la base de données avant le nom d’utilisateur
(par exemple, mysqlserver\administrator). Le compte
utilisateur que vous spécifiez doit avoir des privilèges
pour créer une base de données sur le serveur.
Les paramètres de la base de données
doivent être les mêmes que vous avez saisis
lors de l’installation du serveur ESM.
Installer le logiciel de la console ESM (Continued)
Step 4
Step 5
Step 6
Spécifiez le niveau de sécurité pour la
1.
communication entre l’administrateur et
la console ESM.
Pour crypter la communication par
SSL, utilisez un fichier de certificat
serveur-client (format PFX) et inscrivez
le mot de passe de décryptage de la
clé privée.
Spécifiez le dossier d’investigation
numérique.
Terminez l’installation.
Sélectionnez le mode de configuration du certificat :
• Select External Certificate (SSL) (Sélectionner le certificat
externe (SSL))—(Recommandé) Cryptez la communication
vers la console ESM et depuis cette dernière par SSL (par
défaut). Puis accédez au certificat serveur-client et saisissez
le mot de passe requis pour décrypter la clé privée.
• No Certificate (no SSL) (Aucun certificat (pas de SSL)—
Ne cryptez pas la communication vers la console ESM,
ni depuis cette dernière.
2.
1.
Conservez le chemin d’accès au dossier d’investigation
numérique ou accédez (Browse) à l’emplacement d’un autre
dossier, puis cliquez sur OK.
Le programme d’installation active automatiquement
BITS pour ce dossier.
2.
1.
Cliquez sur Install (Installer).
2.
Lorsque l’installation est terminée, cliquez sur Finish (Terminer).
Pour configurer Traps sur les points de terminaison au sein de votre organisation, voir les sujets suivants :


Options d’installation de Traps

Le logiciel Traps est habituellement déployé sur les points de terminaison d’un réseau après une preuve de
concept (POC) initiale qui simule l’environnement de production de l’entreprise. Durant la POC ou l’étape de
déploiement, vous analysez les évènements de sécurité pour déterminer ceux qui sont déclenchés par une
activité malicieuse et ceux qui sont causés par des processus légitimes se comportant de manière risquée ou
incorrecte. Vous simuler également le nombre et le type de points de terminaison, les profils d’utilisateur et
les types d’applications qui s’exécutent sur les points de terminaison de votre organisation et, selon ces
facteurs, vous définissez, testez et ajustez la stratégie de sécurité de votre organisation.
L’objectif de ce processus en plusieurs étapes est de fournir une protection maximale pour l’organisation,
sans interférer avec les flux de travail légitimes.
Une fois que vous avez réussi avec succès la POC initiale, nous recommandons d’effectuer une implémentation
en plusieurs étapes dans l’environnement de production de l’entreprise pour les raisons suivantes :



La POC ne reflète pas toujours tous les variables qui existent dans votre environnement de production.
Il existe une rare possibilité que l’agent Traps affecte des applications d’entreprise, qui peuvent révéler
des vulnérabilités dans le logiciel en tant que prévention d’attaque.
Pendant la POC, il est beaucoup plus facile d’isoler les problèmes qui surviennent et de trouver une
solution avant l’implémentation complète dans un environnement étendu, où les problèmes pourraient
toucher un grand nombre d’utilisateurs.
Une approche de déploiement en plusieurs étapes assure une implémentation fluide et le déploiement de
la solution Traps dans l’ensemble de votre réseau. Servez-vous des étapes suivantes pour obtenir une
assistance et un contrôle plus importants sur la protection ajoutée.
Étape
Durée
Plan
Step 1
Installez Traps sur les
points de terminaison.
1 semaine
Installez Endpoint Security Manager (ESM) en incluant une base de
données MS SQL, la console ESM et le serveur ESM, et installez
l’agent Traps sur un petit nombre de points de terminaison (de 3 à 10).
Testez le comportement normal des agents Traps (injection et stratégie)
et confirmez l’absence de changement dans l’expérience utilisateur.
Step 2
Étendez le déploiement
de Traps.
2 semaines
Élargissez graduellement la distribution des agents à des groupes
plus importants ayant des attributs similaires (matériel, logiciel et
utilisateurs). À la fin des deux semaines, Traps peut être déployé sur
un maximum de 100 points de terminaison.
Step 3
Terminez l’installation
de Traps.
2 semaines
ou plus
Distribuez largement l’agent Traps au sein de l’organisation jusqu’à
ce tous les points de terminaison soient protégés.
Étape
Durée
Plan
Step 4
Définissez la stratégie
d’entreprise et les
processus protégés.
Jusqu’à une Ajoutez des règles de protection pour les applications tierces ou
semaine
internes, puis testez-les.
Step 5
Affinez la stratégie
Jusqu’à une Déployez les règles de stratégie de sécurité à un petit nombre de
semaine
points de terminaison qui utilisent fréquemment les applications.
Peaufinez la stratégie, au besoin.
Step 6
Finalisez la stratégie
Quelques
minutes
Déployez les règles de protection de manière globale.
Options d’installation de Traps
Vous pouvez installer Traps selon les méthodes suivantes :



Install from the endpoint (Installer à partir du point de terminaison)—Dans les situations où vous devez
installez Traps sur un petit nombre de points de terminaison, vous pouvez installer manuellement le
logiciel Traps en utilisant le flux de travail décrit dans Installer Traps sur le point de terminaison.
Install using Msiexec (Installer à l’aide de Msiexec)—Pour installer Traps en ligne de commande, utilisez
l’utilitaire Msiexec pour effectuer les opérations sur un programme d’installation Windows comme décrit
dans Installer les composants de Traps en utilisant Msiexec. Vous pouvez aussi utiliser les options
d’installation de Msiexec avec un logiciel de déploiement MSI comme Policy System Center Configuration
Manager (SCCM), Altiris ou objet de stratégie de groupe (GPO). L’utilisation d’un logiciel de déploiement MSI
est recommandée pour installer Traps dans une organisation ou sur de nombreux points de terminaison.
Install using an action rule (Installer à l’aide d’une règle d’action)—Si Traps est déjà installé sur les points
de terminaison de votre organisation, vous pouvez mettre à niveau le logiciel Traps en configurant une
règle d’action comme décrit dans Désinstaller ou mettre à niveau Traps sur le point de terminaison.
Avant d’installer Traps, vérifiez que le système possède la configuration requise décrite dans Configuration
requise pour installer Traps sur un point de terminaison.
Step 1
Step 2
Lancez l’installation du logiciel Traps.
Vous pouvez également installer Traps
à l’aide de Msiexec (voir Installer les
composants de Traps en utilisant
Msiexec).
La ou les versions de Traps que
vous installez sur vos points de
terminaison doivent être les mêmes
ou des versions antérieures à la
version du serveur ESM et de la
console ESM.
1.
Procurez-vous le logiciel auprès de votre responsable de
compte Palo Alto Networks, de votre revendeur ou sur
https://support.paloaltonetworks.com
2.
Décompressez le fichier zip et effectuez un double clic sur le
fichier d’installation Traps ; choisissez la version x64 (64 bits)
ou x86 (32 bits) selon le système d’exploitation qui est installé
sur votre point de terminaison.
3.
4.
Sélectionnez I accept the terms in the license agreement
(J’accepte les conditions du contrat de licence), puis cliquez
deux fois sur Next (Suivant).
Configurez les agents Traps pour la
connexion au serveur ESM.
1.
Fournissez les informations suivantes pour le serveur ESM :
• Host Name (Nom d’hôte)—Saisissez le nom d’hôte ou
l’adresse IP du serveur ESM.
• Port—Modifiez le numéro de port si nécessaire (la valeur
par défaut est 2125).
• Use (Utilisation)—Sélectionnez SSL pour crypter la
communication avec le serveur ou No SSL pour ne pas
crypter la communication (non recommandé).
2.
Cliquez sur Next (Suivant) > Install (Installer).
Nous recommandons de redémarrer le point de terminaison
une fois que vous avez terminé l’installation.
Plutôt que d’utiliser les fichiers d’utilisation, vous pouvez utiliser Windows Msiexec pour installer le logiciel des
composants de Traps suivants : le serveur ESM, la console ESM et l’agent Traps. Msiexec fournit un contrôle
complet du processus d’installation et vous permet d’installer, modifier et effectuer des opérations sur un
programme d’installation Windows à partir de l’interface de la ligne de commande (CLI). Vous pouvez également
utiliser MSIXEC pour consigner au journal les problèmes que vous avez rencontrés au cours de l’installation.
De plus, pour installer Traps sur de multiples points de terminaison pour la première fois, vous pouvez utiliser
Msiexec avec un System Center Configuration Manager (SCCM), Altiris ou un objet de stratégie de groupe
(GPO), ou avec tout autre logiciel de déploiement MSI. Après avoir réussi à installer Traps sur un point de
terminaison et à établir une connection initiale avec le serveur ESM, vous pouvez mettre Traps à niveau ou
le désinstaller d’un ou de plusieurs points de terminaison en créant une règle d’action (voir Désinstaller ou
mettre à niveau Traps sur le point de terminaison).
Avant d’installer Traps, vérifiez que le système possède la configuration requise décrite dans Configuration
requise pour installer Traps sur un point de terminaison.

Installer les composants de Traps

Désinstaller les composants de Traps
Installer les composants de Traps
Step 1
Ouvrez une invite de commande en tant qu’administrateur :
• Sélectionnez Démarrer > Tous les programmes > Accessoires. Effectuez un clic droit sur Invite de
commandes, puis sélectionnez Exécuter en tant qu’administrateur.
• Sélectionnez Démarrer. Dans la case Rechercher les programmes et fichiers, saisissez cmd. Ensuite,
pour ouvrir l’invite de commande en tant qu’administrateur, appuyez sur CTRL+MAJ+ENTRÉE.
Installer les composants de Traps en utilisant Msiexec (Continued)
Step 2
Exécutez la commande msiexec suivie d’une ou de plusieurs des options ou des propriétés suivantes :
• Option d’installation affichage et journalisation :
• /i installpath\installerfilename.msi—Installe un package. Par exemple, msiexec /i
C:\install\traps.msi.
• /qn—Ne pas afficher l’interface utilisateur (installation silencieuse). Au minimum, vous devez aussi
spécifier le nom du serveur hôte ou l’adresse IP en utilisant la propriété CYVERA_SERVER.
• /L*v logpath\logfilename.txt—Enregistre la sortie détaillée dans un fichier. Par exemple, /L*v
C:\logs\install.txt.
Pour une liste complète des paramètres de Msiexec, voir
https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/msiexec.mspx
• Propriétés publiques :
• CYVERA_SERVER=servername—Nom ou adresse IP du serveur hôte primaire (la valeur par défaut est
ESMserver)
• CYVERA_SERVER_PORT=serverport—Port du serveur hôte primaire (la valeur par défaut est 2125)
• USE_SSL_PRIMARY=[0|1]—(Installation silencieuse uniquement) Définissez les préférences de cryptage
sur le serveur primaire en spécifiant 0 pour ne pas utiliser SSL (non recommandé) ou 1 pour utiliser
SSL (par défaut)
Par exemple, pour installer Traps sans interface utilisateur, spécifiez un serveur nommé TrapsServer qui n’utilise
pas le cryptage SSL sur le port 3135, et créez un journal d’installation dans le dossier C:\temp, saisissez ce qui suit :
msiexec /i C:\install\traps.msi /qn CYVERA_SERVER=TrapsServer USE_SSL_PRIMARY=0
CYVERA_SERVER_PORT=3135 /l*v C:\temp\trapsinstall.log
Nous recommandons de redémarrer le périphérique une fois que vous avez terminé l’installation.
Désinstaller les composants de Traps
Désinstaller les composants de Traps en utilisant Msiexec
Step 1
• Sélectionnez Démarrer. Dans la case Rechercher les programmes et fichiers, saisissez cmd. Ensuite,
pour ouvrir l’invite de commande en tant qu’administrateur, appuyez sur CTRL+MAJ+ENTRÉE.
Désinstaller les composants de Traps en utilisant Msiexec (Continued)
Step 2
Exécutez la commande msiexec suivie d’une ou de plusieurs des options ou des propriétés suivantes :
• Options de désinstallation et de journalisation :
• /x installpath\installerfilename.msi.txt—Désinstalle un package. Par exemple, msiexec /x
C:\install\traps.msi.
• /L*v logpath\logfilename.txt—Enregistre la sortie détaillée dans un fichier. Par exemple, /L*v
C:\logs\uninstall.txt.
Pour une liste complète des paramètres de Msiexec, voir
https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/msiexec.mspx
• Propriétés publiques :
• UNINSTALL_PASSWORD=uninstallpassword—Spécifiez le mot de passe d’administrateur.
Pour désinstaller Traps et inscrire la sortie détaillée dans un fichier appelé uninstall LogFile.txt, saisissez la
commande suivante :
msiexec /x C:\install\traps.msi UNINSTALL_PASSWORD=[palo@lt0] /l*v
C:\install\uninstallLogFile.txt
Vous devez spécifier la propriété UNINSTALL_PASSWORD pour désinstaller correctement un package.
Vous pouvez vérifier la réussite des installations sur le serveur ESM et sur le point de terminaison en vérifiant
la connectivité entre le serveur et chaque point de terminaison des deux côtés de la connexion.

Vérifier la connectivité à partir du point de terminaison

Vérifier la connectivité à partir de la console ESM
Après avoir installé correctement Traps, l’agent Traps doit être capable de se connecter au serveur qui
exécute Endpoint Security Manager.
Step 1
Lancez la console Traps à partir de la barre des tâches :
• Depuis le Gestionnaire des tâches Windows, effectuez un double clic sur l’icône Traps
clic droit sur l’icône et sélectionnez Console).
• Exécutez CyveraConsole.exe à partir du dossier d’installation de Traps.
(ou effectuez un
Step 2
Vérifiez l’état de la connexion au serveur. Si Traps est connecté au serveur, l’état Connection (Connexion)
signale que la connexion est réussie. Si l’agent Traps ne parvient pas à établir une connexion avec le serveur
primaire ou secondaire, la console Traps signale un état déconnecté.
Step 3
Vérifier la connectivité à partir de la console ESM.
Après avoir vérifié correctement que le point de terminaison peut accéder au serveur ESM, vérifiez que le
point de terminaison apparaît dans la liste des ordinateurs sur la page Monitor (Surveillance) > Agent (Agent) >
Health (Santé) de la console ESM.
Step 1
Depuis la console ESM, sélectionnez Monitor (Surveillance) > Agent (Agent) > Health (Santé) de la console ESM.
Step 2
Trouvez le nom du point de terminaison dans la liste des ordinateurs et vérifiez l’état. Une icône
indique
que Traps est en cours d’exécution sur le point de terminaison. Pour afficher d’autres détails sur le point de
terminaison, sélectionnez la ligne du point de terminaison.
Gérer les Traps dans un Environment
IBV

Présentation de l’IBV

Configurer les Traps dans un Environment IBV

Configuration des paramètres des Traps

Affinez et Testez la stratégie IBV
Gérer les Traps dans un Environment IBV
Votre environnement commercial en évolution rapide exige une infrastructure flexible pour supporter les
ordinateurs de bureau, les applications et l’accès aux données en constante évolution de votre personnel.
En mettant en œuvre une infrastructure de bureau virtuel (IBV), vous permettez à vos employés de travailler
indépendamment de l’emplacement en utilisant une variété de dispositifs.
Bien qu’une solution IBV présente de nombreux avantages, y compris la sécurité de contrôle centralisée, une
complexité réduite et une gestion efficace de l’accès des utilisateurs et des privilèges, il est essentiel de
veiller à ce que l’ensemble du IBV soit sécurisé. La sécurisation de ce nouvel environnement centralisé est
de plus en plus difficile. Une seule adresse IP peut représenter des milliers d’utilisateurs différents accédant
à toutes leurs applications et données en utilisant une variété de dispositifs. Les utilisateurs peuvent
également avoir accès à d’autres applications de votre centre de données en plus de leur bureau virtuel.
En utilisant les Traps pour sécuriser votre environnement IBV, vous pouvez profiter des avantages suivants :



Protection avancée des terminaux dans le cadre de la solution Traps qui empêche l’exploitation des
vulnérabilités et des attaques sophistiquées entraînées par des malwares inconnus.
Pour ce faire, Traps intègre un agent aussi léger qu’évolutif dont l’approche innovante permet de
détourner les attaques sans nécessiter au préalable de connaissances particulières sur ces menaces.
Un logiciel qui ne dépend pas de la numérisation ou de maintenir des mises à jour externes.
Les sujets suivants décrivent les déploiements IBV plus en détails :

Applications virtualisées et ordinateurs de bureau

Modes IBV
Applications virtualisées et ordinateurs de bureau

XenApp

XenDesktop
XenApp
Un XenApp est une application virtuelle que vous pouvez gérer à l’aide d’un serveur XenApp. Pour sécuriser
les applications virtuelles, vous devez installer les Traps sur le serveur XenApp qui gère les sessions. Au lieu
d’utiliser la licence IBV sur le serveur XenApp, vous devez installer un seul serveur Traps (le plus courant) ou
une licence de station de travail basée sur le système d’exploitation du serveur XenApp. Dans ce cas, la seule
installation de Traps protège toutes les sessions simultanées.
XenDesktop
Un XenDesktop fournit des applications et des bureaux virtuels à tout appareil. Pour sécuriser le poste de
travail virtuel, installer les Traps sur chaque instance de bureau virtuel et installer une licence IBV à partir
de la console ESM. En outre, nous vous recommandons d’installer l’agent Traps sur chaque système
d’exploitation hôte. Le système d’exploitation hôte nécessite une licence non IBV séparée en fonction
du système d’exploitation de l’hôte : une licence serveur ou station de travail.
Remplacer le logiciel antivirus basé sur l’hôte avec des Traps peut réduire la consommation
globale de la ressource.
Modes IBV

Mode IBV Non Persistant

Lorsqu’un utilisateur accède à un bureau virtuel non persistant et se déconnecte à la fin de la journée,
aucun de ses paramètres de données, y compris les raccourcis de bureau, fonds d’écran, ou de nouvelles
applications, ne sont préservées. A la fin d’une session, le bureau virtuel est nettoyé et revient à l’état vierge
original de l’image maître. La prochaine fois que l’utilisateur se connecte, ils reçoit une nouvelle image.
Les procédures de ce document portent principalement sur le déploiement de Traps dans un mode IBV non
persistant.
Un bureau virtuel persistant est un mappage un-à-un d’une machine virtuelle à un utilisateur et chaque
bureau virtuel stocke et utilise sa propre image de disque. Dans ce modèle, un ordinateur de bureau
persistant conserve toutes les modifications de configuration et des paramètres de personnalisation qu’un
utilisateur fait lors d’une session (comme des changements de fond, des raccourcis enregistrés, et les
applications nouvellement installées).
Lorsque l’utilisateur termine une session et se déconnecte du bureau virtuel, l’ordinateur virtuel conserve
tout et toutes les modifications et la prochaine fois que l’utilisateur se connecte à l’ordinateur de bureau,
ces changements sont toujours en vigueur.
Le processus de déploiement de Traps en mode IBV persistant est très similaire au déploiement de Traps sur
un serveur standard ou un poste de travail. Pour installer l’agent Traps, vous pouvez installer le logiciel Traps
sur l’image principale et l’exécuter sur le bureau virtuel de la même façon que tout autre application IBV et,
tout comme dans un déploiement standard, Traps continue de communiquer avec le serveur ESM tout au
long du cycle de vie de l’instance IBV.
Considérations pour l’installation d’IBV

Licences d’Agent IBV

Meilleures pratiques pour les déploiements IBV
La console ESM prend en charge des licences dédiées aux environnements pour l’infrastructure de bureau
virtuel (IBV) et affiche la capacité de licence IBV sur le tableau de bord. En utilisant un modèle de licence
flottante, la console ESM délivre des licences à des clients actifs dans un environnement IBV non persistant.
Ensuite, lorsqu’une instance IBV redémarre ou arrive à expiration, le serveur ESM révoque la licence et peut
l’allouer à un autre utilisateur.
Les agents Traps exécutant des versions antérieures à 3.3 peuvent utiliser le même type de
licence pour tous les postes de travail, serveurs, instances et IBV. Lors de la mise à niveau de la
Console ESM à la version 3.3, vous devez acquérir une nouvelle licence IBV pour toutes les
instances IBV existantes. Pour les considérations d’octroi de licence, contactez l’assistance ou
votre ingénieur commercial.
Les processus de mise à niveau et d’installation nécessaires à votre environnement IBV dépendent de la
version de l’agent Traps et de la version de l’ESM. Le tableau suivant présente les actions requises et les
exigences de licence par Traps et version d’ESM.
Agents Traps
actuels et
versions ESM
Agents Traps
Action
cibles et mise à
jour des versions
ESM
Exigences de Licence
Nouvelle
installation
(N/A)
Traps 3.3 ;
ESM 3.3
PAN-TRAPS-V
Traps 3.2.3 ;
ESM 3.2.3
Traps 3.2.3 ;
ESM 3.3
Marquez l’image maître comme une instance IBV en
utilisant l’outil Traps IBV (voir Step 8 dans
Configuration de la politique principale).
PAN-TRAPS-V
Traps 3.2.3 ;
ESM 3.2.3
Traps 3.2.3 ;
ESM 3.3
La Console ESM 3.3 délivre un Traps de poste de
Aucune licence
travail ou une licence de serveur à l’instance IBV aussi supplémentaire n’est
longtemps que vous n’utilisez pas l’outil Traps IBV
nécessaire.
pour marquer l’image maître de Traps 3.2.3 comme
une instance IBV. Toutefois, pour mettre les agents
au niveau à 3.3, vous devez importer la licence IBV et
marquer l’image maître comme une instance IBV en
utilisant l’outil Traps IBV (voir Step 8 dans
Configuration de la politique principale).
Agents
postérieurs à
3.2.3
Traps 3.3 ;
ESM 3.3
PAN-TRAPS-V
Meilleures pratiques pour les déploiements IBV
 Optimiser la politique de session par défaut sur le banc d’essai IBV pour assurer la reproduction d’une
session stable lorsque l’IBV est recompilé.
 Chaque nouvelle création d’IBV va commencer avec la politique initiale configurée sur l’image maître.
Lorsque l’image principale est en communication avec le Serveur ESM, tester la politique sur le banc
d’essai IBV et poussez-la aux agents Traps IBV. Puis affiner la politique.
 Les questions sur les sessions non persistantes restreintes sont plus difficiles à étudier car il n’y a pas de
données légales quand la session se ferme. Envisagez les options suivantes pour assurer que les données
légale soient disponibles :
–
–
Activez Send the memory dumps automatically les paramètres d’agent sur tous les noms d’hôte non
persistants.
Reproduisez le problème sur une session persistante pour réunir des journaux, des vidages de
mémoire et permettre un dépannage additionnel.
 Définir un nombre fixe de noms d’hôtes de session (non aléatoires) sous licences émises par la console
ESM selon le nom d’hôte. Depuis Traps 3.3, nous traitons toute convention de dénomination.
 Le serveur ESM révoque automatiquement une licence lorsqu’un agent se déconnecte d’une session
d’IBV. Dans les cas où une session IBV n’est pas correctement fermée, le serveur attend l’ESM pour un
délai d’attente avant de révoquer automatiquement la licence pour la rendre disponible pour d’autres
agents IBV. Si une autre session IBV a besoin d’utiliser la licence avant l’expiration du délai d’attente,
forcez la console ESM à Retirer une licence Traps.
Step 1
Passez en revue les considérations
Considérations pour l’installation de l’infrastructure du point de
d’installation et les conditions préalables terminaison
du logiciel.
Limitations
Step 2
Configurez le serveur de base de
données.
Step 3
Configurez le serveur ESM.
Step 4
Configurez la console ESM.
(Facultatif) Activer les services Web sur la console ESM
(Facultatif) Activer le cryptage SSL pour les composants de Traps
Step 5
Téléchargez la licence IBV dédiée.
Gérer les licences en utilisant la console ESM
Step 6
Installer des Traps sur l’image principale
avec la stratégie par défaut.
Configuration de la politique principale
Step 7
Configurer les paramètres de Traps
supplémentaires en fonction de votre
scénario de déploiement d’IBV.
(Recommandée) Configurer les Traps pour un scénario de stockage
non persistant
ou
Configurer les Traps pour un scénario de stockage persistant
Step 8
Configurer la stratégie initiale de l’image • Configurer les Traps pour effacer toutes les données de
maître.
prévention et d’histoire de l’agent. Pour ce faire, créer une règle
d’action d’agent (voirGérer les données collectées par Traps).
Si votre organisation prend en charge un
environnement mixte d’instances de IBV • Activer les Traps pour envoyer des vidages de mémoire
et non IBV, appliquer les Critères pour
automatiquement. Pour ce faire, créer une règle d’action d’agent
une Machine IBV pour chaque règle. Cela
(voirDéfinir les préférences de vidage mémoire).
garantit que les règles soient applicables • Configurer le pouls de l’agent et des intervalles de rapports à
aux seules instances IBV.
une minute. Pour ce faire, créer une règle d’action d’agent
(voirDéfinir les paramètres de pulsation entre l’agent et le
serveur ESM).
Step 9
Déployer le banc d’essai IBV.
Step 10 Recompilez l’image maître.
1.
Redémarrez l’image maître.
2.
Vérifiez que l’image maître puisse de connecter au serveur ESM.
3.
Arrêter l’image maître, puis recompilez-la.
Pour configurer la stratégie de l’image principale, d’abord recueillir tous les exécutables portables (EP) des
fichiers en utilisant l’utilitaire Windows Sysinternals appelé Sigcheck. Ensuite, vous pouvez utiliser l’outil
Traps IBV pour créer un fichier de cache WildFire contenant les verdicts pour tous les fichiers EP détectés
sur l’image principale, y compris ceux que WildFire a déterminé être malveillants. En remplaçant le fichier
original de cache avec le nouveau fichier, vous pouvez éviter de nombreux verdicts inconnus initiaux sur
l’instance de IBV. Vous pouvez également utiliser l’outil Traps IBV pour identifier l’image maître comme une
instance IBV dans le Registre Windows. Après avoir identifié l’image maître comme une instance IVB, la
console ESM reconnaîtra le client et utilisera le modèle de licence flottante pour attribuer une licence.
Step 1
Step 2
1.
Installez tout logiciel supplémentaire que vous prévoyez
d’avoir sur les instances d’IBV.
2.
Installer des Traps sur l’image principale (voir Installer Traps
sur le point de terminaison).
3.
Vérifiez que l’image maître puisse de connecter au ESM.
4.
Télécharger Sigcheck (un utilitaire Windows Sysinternals)
à partir de https://technet.microsoft.com/en-us/
sysinternals/bb897441.aspx.
Recueillir tous les fichiers EP disponibles
1.
sur l’image principale en utilisant Sigcheck.
Cet outil crée un fichier que vous pouvez
utiliser comme entrée pour l’outil
2.
Traps IBV.
Ouvrez une invite de commande en tant qu’administrateur
et accédez au répertoire dans lequel vous avez téléchargé
Sigcheck.
Exécutez sigcheck récursivement pour trouver les fichiers
exécutables indépendamment de l’extension et sortir les
hashes au format séparés par des virgules dans un dossier et
le nom de votre choix :
sigcheck /accepteula -s -h -e -q -c C:\ >
C:\temp\outfilename.csv
Les paramètres Sigcheck sont sujets à changement.
Pour afficher directives d’utilisation disponibles,
exécutez la sigcheck commande sans options.
(Continued)Configuration de la politique principale
Step 3
Utilisez l’outil Traps IBV pour alimenter
1.
tous les fichiers EP (recueillis àStep 2) à
2.
WildFire pour inspection et pour créer un
cache local qui contienne tous les verdicts
disponibles à partir de WildFire.
L’outil Traps IBV envoie d’abord tous les
hashes au serveur ESM et obtient leurs
verdicts. S’il y a des hashes inconnus, l’outil
Traps IBV télécharge le fichier associé au
hachage au serveur ESM, qui envoie le
fichier inconnu à WildFire pour analyse.
Toutes les 10 minutes, l’outil Traps IBV
demande des verdicts pour la liste des
hashes inconnus. Une fois que l’outil Traps
IBV ait obtenu des verdicts pour tous
les fichiers, il crée le cache WildFire.
L’outil Traps IBV stocke ces fichiers dans le
même emplacement que l’outil Traps IBV.
Ouvrez l’outil Traps IBV.
Configurez les paramètres suivants :
• ESM server address—adresse IP ou le nom d’hôte du
serveur ESM utilisé pour vérifier les hashes. Ce serveur
doit être en mesure de se connecter à WildFire.
• Serveur ESM de liaison SSL—Définissez la valeur Vraie si
le serveur utilise un SSL de liaison (par défaut, c’est Faux).
• Input file—Chemin du fichier de valeurs séparées par des
virgules (CSV) que vous avez créé dans Step 2 qui
contient tous les hashes.
• Output file path—Entrez le nom du fichier que l’outil
Traps IBV utilisera pour créer la sortie de cache WildFire :
WildFireCache.xml.
• ESM server port—Numéro de port du serveur ESM (par
défaut : 2125).
• Hash bulk size—Hashes seront signalés au serveur dans
des fragments de cette taille (valeur par défaut : 300 ;
plage de 1 à 500).
• Tool timeout in hours—Temps en heures d’attente pour
que l’outil Traps IBV termine l’obtention des verdicts. Si
l’outil Traps IBV dépasse le délai d’attente, il arrête la
génération du cache WildFire (par défaut : 24 heures).
• Wait for WildFire verdicts—Sélectionnez Vrai (Par
défaut) pour envoyer les hashes inconnus et d’attendre le
verdict de WildFire ou Faux pour sauter le
téléchargement de hashes inconnus et la création du
fichier de cache.
• WildFire verdicts check interval—le temps en minutes
entre les enquêtes pour vérifier les nouveaux verdicts
(valeur par défaut : 10).
• Write malware to cache—Sélectionnez Vrai pour écrire
des verdicts de logiciels malveillants dans le fichier de
cache (par défaut Faux).
3.
Cliquez Start.
4.
L’outil Traps IBV utilise les résultats de la recherche de
verdict pour créer le fichier WildFireCache.xml. Ce fichier
contient une liste des types de hachages suivants :
• Hashes inconnus que l’outil Traps IBV télécharge vers le
serveur ESM
• Hashes inconnus que l’outil Traps IBV ne peut télécharger
• Hashes malveillants trouvés par WildFire.
(Continued)Configuration de la politique principale
Step 4
Examinez tous les fichiers EP que WildFire 1.
estime être malveillants.
Ouvrez le fichier texte Malware créé par l’outil Traps IBV.
Ce fichier contient la liste des hashes pour lesquels WildFire
a rendu un verdict malveillant.
2.
Effectuez l’une des actions suivantes pour chaque fichier EP
illicite :
• Supprimez les fichiers EP illicites de l’image principale.
• Si vous croyez que le verdict WildFire est incorrecte,
remplacer le verdict du fichier PE sur la Hash Control
page de la console ESM et de changer le verdict bénigne
dans le WildFireCache.xml.
Step 5
Terminez le service d’agent et l’utilisation
des pilotes Cytool.
Voir Démarrer ou arrêter les composants d’exécution de Traps
sur le point de terminaison.
Step 6
Remplacez le cache WildFire parle fichier
généré par l’outil Traps IBV.
1.
Localisez le cache WildFire généré par le fichier par l’outil
Traps IBV. Le fichier se trouve dans le chemin que vous avez
spécifié dans le Output file path champ.
2.
Remplacez le fichier WildFireCache.xml avec le nouveau
fichier dans %ProgramData%\Cyvera\Local System\.
Step 7
Démarrez le service d’agent et les pilotes
en utilisant Cytool.
Voir Démarrer ou arrêter les composants d’exécution de Traps
Step 8
Utilisez l’outil Traps IBV pour identifier
l’image maître comme une instance IBV.
1.
Ouvrez l’outil Traps IBV.
2.
Cliquez sur Menudans le coin supérieur gauche et
sélectionnez Mark as IBV.
3.
Entrez le mot de passe de désinstallation de Traps et
cliquez : Marquez comme IBV.
L’outil identifie la machine dans le Registre Windows comme
une instance IBV.
Step 9
Vérifiez que le serveur ESM puisse accéder Depuis le serveur ESM, ouvrez un navigateur à l’adresse
à WildFire.
suivante : https://wildfire.paloaltonetworks.com.
Avant de configurer les paramètres de Traps supplémentaires, vous devez Configuration de la politique
principale. Ensuite, configurer les paramètres en fonction de votre type de déploiement IBV :

Configurer les Traps pour un scénario de stockage non persistant

Dans un scénario de stockage non persistant, les services Traps utilisent un départ différé automatique.
En outre, vous devez configurer les services pour redémarrer après un échec pour faire en sorte que l’agent
Traps envoie un battement de coeur au serveur ESM peu après le démarrage du service pour obtenir la
dernière politique.
Step 1
Configurer les services Traps sur l’image 1.
principale.
Ouvrir services.msc : Cliquer Start > Run, entrez les
services.msc, puis appuyez sur Enter.
2.
Clic-droit sur Traps service et sélectionnez Propriétés.
3.
Depuis le menu Startup type déroulant, sélectionnez
Automatique (départ différé).
4.
Cliquez sur Appliquer et ensuite OK.
5.
Répétez le processus pour le service d’Analyse de vidage des
Traps et du service de Reporting des Traps.
(Continued)Configurer les Traps pour un scénario de stockage non persistant
Step 2
Configurez les Recovery propriétés du
service Traps.
1.
Configurez les paramètres suivants :
• Premier échec—Redémarrez le service
• Deuxième échec—Redémarrez le service
• Défaillances suivantes—Redémarrez le service
• Reset fail count after—0 jours
• Redémarrez le service après—1 minutes
2.
Cliquez sur Appliquez et ensuite OK.
(Continued)Configurer les Traps pour un scénario de stockage non persistant
Step 3
Configurez le service Traps avec une
dépendance du service Spooler (ou
l’un des autres derniers services de
chargement) par Microsoft KB suivant :
http://support.microsoft.com/kb/1938
88.
1.
Ouvrez le Registre Windows et recherchez la clé de
CyveraService dans HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\
2.
Double-clic sur DependOnService multichaîne.
3.
Ajoutez Spooler à la liste des données de valeur.
4.
Cliquez sur OK.
Si vous utilisez une machine IBV pour décharger une zone de stockage local, vous devez apporter des
modifications supplémentaires à l’image principale, y compris les modifications apportées aux propriétés
du service Traps et les scripts de démarrage et d’arrêt.
Step 1
Step 2
Créer un lien symbolique à partir du
lecteur standard de la machine pour le
stockage local de la machine à chaque
démarrage IBV.
Sur l’image maître, exécutez le Script de démarrage utilisant
les GPO ou planifier son exécution comme une tâche ou
d’une politique locale.
Pour configurer GPO pour les scripts de démarrage :
1.
Exécutez gpmc.msc (Group Policy Management) sur votre
contrôleur de domaine, puis créer un nouveau GPO.
2.
Donner au GPO un nom significatif et cliquez sur OK.
3.
Effectuez un clic droit sur le GPO et sélectionnez Modifier.
4.
Dans le volet gauche de l’éditeur de gestion de stratégie de
groupe, accédez à Scripts (Startup/Shutdown), puis aller à la
fenêtre de droite et double-cliquez sur Startup.
5.
Cliquez Ajouter, accédez à votre script, sélectionnez votre
script, puis cliquez sur OK.
6.
Fermez les deux composants logiciels enfichables de gestion
de stratégie de groupe.
Réinitialiser l’état des services avant que Sur l’image principale, créez un fichier de commandes en utilisant le
l’image soit scellé et migrée dans un
Script d’arrêt puis exécutez-le.
environnement de test ou de production.
(Continued)Configurer les Traps pour un scénario de stockage persistant
Step 3
Configurer les paramètres des Traps
1.
Ouvrir services.msc : Cliquer Start > Run, entrez les
services.msc, puis appuyez sur Enter.
2.
Clic-droit sur Traps service et sélectionnez Propriétés.
3.
Depuis le menu type de démarrage déroulant, sélectionnez
Automatique (départ différé).
4.
Cliquez sur Appliquez et ensuite OK.
5.
Répétez le processus pour la service d’Analyse de vidage des
Traps etservice de Reporting des Traps.
Script de démarrage
set drivepath=D:\
set datapath=%drivepath%\ProgramData\Cyveraset
set policypath=%ProgramData%\CyveraNotInUse\LocalSystem\ClientPolicy.xml
IF EXIST %drivepath% (
IF EXIST %ProgramData%\Cyvera (
rename %ProgramData%\Cyvera CyveraNotInUse
)
%windir%\system32\cmd.exe /c mklink /J %ProgramData%\Cyvera %datapath% 2>&1
IF NOT EXIST %datapath% (
mkdir %datapath%
)
IF NOT EXIST %datapath%\Everyone\Data (
mkdir %datapath%\Everyone\Data
)
IF NOT EXIST %datapath%\Everyone\Temp (
mkdir %datapath%\Everyone\Temp
)
IF NOT EXIST %datapath%\LocalSystem (
mkdir %datapath%\LocalSystem
)
IF EXIST %datapath%\LocalSystem\ClientPolicy.xml (
del /F %datapath%\LocalSystem\ClientPolicy.xml
)
copy %policypath% %datapath%\LocalSystem\ClientPolicy.xml
IF NOT EXIST %datapath%\LocalSystem\Data (
mkdir %datapath%\LocalSystem\Data
)
IF NOT EXIST %datapath%\Logs (
mkdir %datapath%\Logs
)
IF NOT EXIST %datapath%\Prevention (
mkdir %datapath%\Prevention
)
)
sc start cyserver
sc start cyveraservice
sc start TrapsDumpAnalyzer
time /t >> %datapath%\Logs\gpolog.txt
Script d’arrêt
::Stop Cyvera services
net stop CyveraService
net stop TrapsDumpAnalyzer
net stop CyServer
rd C:\ProgramData\Cyvera /q
ren C:\ProgramData\CyveraNotInUse Cyvera
net start CyveraService
net start TrapsDumpAnalyzer
net start CyServer
Step 1
Installer des Traps sur une machine de test (soit l’image principale ou une instance non-IBV) et affiner
l’exploit et les politiques de protection des logiciels malveillants.
Utilisez la condition intégrée IBV d’appliquer des règles seulement à des instances IBV.
Step 2
Utilisez l’image principale pour reproduire une petite réserve de sessions persistantes (2 ou 3). Déployer
les sessions dans un environnement de production pour imiter le comportement attendu au jour le jour
par l’utilisateur, telles que la navigation, le développement et l’utilisation de l’application dédiée).
Step 3
Recueillir des informations supplémentaires durant cette période afin d’optimiser davantage la politique de
session par défaut et tester les restrictions spéciales appliquées aux sessions non persistantes. Typiquement,
les clients déployés en mode persistant permettent une meilleure collection légale de clients que ceux
déployés en mode non-persistant.
Step 4
Résoudre les problèmes de stabilité sur la machine d’essai et sur la banc test IBV qui ont été causés par les
politiques d’exploitation et de protection des logiciels malveillants.
Step 5
Une fois que le serveur IBV engendre une session à partir de l’image maître et se connecte au serveur ESM,
déconnectez l’image maître. Ensuite, révisez la politique d’IBV afin que l’intégration WildFire soit activée,
l’injection EPM est réglée en fonction de la configuration testée sur les paramètres d’image maître, le rythme
et les rapports utilisent des intervalles plus longs (60 minutes est recommandé), et les vidages de mémoire
sont envoyés automatiquement.
Les Traps vont remplacer la politique maître initiale avec la politique IBV révisée. Modifier la politique d’IBV
affecte toutes les sessions engendrées au prochain redémarrage.
Step 6
Connectez-vous à la console ESM et de vérifier la santé des instances IBV sur la Monitor > Agent > Health
page. Si votre entreprise utilise un environnement mixte, vous pouvez filtrer la colonne Type de machine pour
afficher les instances IBV seulement. Le statut des instances IBV doit être connecté.
Administrer le serveur ESM

Gérer plusieurs serveurs ESM

Configuration des paramètres du serveur RADIUS

LicencesTraps

Gérer l’accès administrateur de la console ESM

Exporter et importer les fichiers de stratégie
Pour prendre en charge des déploiements à grande échelle ou multi-sites, vous pouvez configurer et gérer
plusieurs serveurs Endpoint Security Manager (ESM) à partir de la Console ESM. Chaque serveur ESM se
connecté à une base de données partagée qui mémorise les stratégies de sécurité et les informations sur les
agents Traps et les évènements, prend en charge jusqu’à 50.000 agents Traps et peut charger des données
d’investigation numérique vers un dossier d’investigation numérique. L’ajout de serveurs ESM supplémentaires
vous permet de répartir le nombre de connexions Traps qui peuvent se connecter à votre réseau.
À intervalle régulier, chaque serveur ESM interroge la base de données pour obtenir une liste des serveurs
connus et envoie cette liste d’agents Traps lors de la pulsation suivante. L’agent Traps va utiliser le temps de
réponse pour déterminer à quel Serveur ESM, il va tenter de se connecter. Si les Traps ne peuvent pas établir
une connexion avec le serveur ESM préféré, il se déplace vers le bas de la liste jusqu’à ce qu’il soit capable
de réussir à établir une connexion au serveur de gestion opérationnelle. Si vous retirez ou désactivez
temporairement un serveur ESM, la console ESM met à jour la liste des serveurs ESM disponibles et l’envoie
aux agents Traps lors de la pulsation suivante.
Dans un scénario qui utilise un équilibreur de charge pour gérer le trafic entre plusieurs serveurs ESM, vous
pouvez configurer vos agents Traps pour utiliser l’adresse IP de l’équilibreur de charge lorsque vous installez
le logiciel Traps. Les agents Traps peuvent ensuite établir des connexions par l’intermédiaire de l’équilibreur
de charge au lieu de se connecter directement aux serveurs ESM.
Vous pouvez également définir le dossier par défaut que les Traps utilisent quand ils sont incapables
d’atteindre le dossier associée au serveur ESM auquel l’agent Traps est actuellement connecté.

Configuration système requise

Limitations connues avec les déploiements Multi-ESM

Configuration système requise
Chaque serveur ESM doit satisfaire les exigences spécifiées dans Configuration requise pour installer le
serveur ESM.
Limitations connues avec les déploiements Multi-ESM
Les déploiements d’ESM multiples possèdent les limitations suivantes :


Pour utiliser un équilibreur de charge, vous devez indiquer l’adresse IP de l’équilibreur de charge lorsque
vous installez l’agent Traps. Cela permet à l’équilibreur de charge de répartir le trafic vers les serveurs
ESM qui sont effectivement connectés à l’équilibreur de charge au lieu de laisser l’agent Traps se
connecter directement à un seul serveur ESM.
Chaque serveur ESM doit avoir une adresse IP fixe.
Après l’installation de chaque serveur ESM (voir Installer le logiciel du serveur Endpoint Security Manager),
la console ESM affiche les informations d’identification de chaque serveur sur la page Settings > Multi ESM.
Vous pouvez modifier les paramètres de configuration pour les serveurs ESM à tout moment. Vous pouvez
aussi temporairement désactiver ou retirer les serveurs ESM, si nécessaire.
Action
Étapes
Modifier les paramètres d’un
serveur ESM
1.
Sélectionnez la ligne du serveur ESM et cliquez sur Modifier.
Ensuite, modifiez l’un des paramètres suivants :
• Nom—Nom d’hôte du serveur
• Adresse interne et port du serveur (par exemple, http://ESMServer1:2125/)
• Adresse externe et port du serveur que le Traps utilise pour communiquer
avec le serveur (par exemple, http://10.5.0124.73:2125/)
• URL légale du serveur—Pour chiffrer les données légales, nous recommandons
fortement que vous utilisiez la SSL pour communiquer avec le dossier légal. En
cas d’utilisation de SSL, incluez le nom de domaine complètement qualifié
(NDCQ) dans le chemin, par exemple,
https://ESMserver.Domain.local:443/BitsUploads. Si vous n’utilisez pas de
SSL, spécifiez le port 80 (par exemple http://ESMSERVER:80/BitsUploads).
Pour spécifier le dossier d’investigation numérique à utiliser lorsque le dossier
associé au serveur ESM n’est pas accessible, sélectionnez Paramètres >
Général > Configuration du serveur, puis saisissez le URL légale du serveur.
2.
Enregistrez vos modifications (Save).
Désactiver un serveur ESM
Sélectionnez Désactiver dans le menu
en haut de la page. La console ESM
modifie le statut du serveur en Désactivé. Cette action supprime temporairement le
serveur ESM du pool de serveurs disponibles des serveurs ESM auxquels les agents
Traps peuvent se connecter; cette option permet de réactiver le serveur ESM à une
date ultérieure.
Désactiver un serveur ESM
Pour supprimer un serveur ESM du service, sélectionnez Supprimer la sélection du
menu
action en haut de la page Cette action supprime définitivement le serveur
ESM de la console ESM et du pool de serveurs ESM disponibles auxquels les agents
Traps peuvent se connecter; vous ne pouvez pas réactiver un serveur ESM supprimé,
sauf si vous l’avez d’abord réinstallé.
Sélectionnez Désactiver dans le menu
en haut de la page Cette action ajoute le
serveur ESM dans le pool de serveurs disponibles.
Configuration des paramètres
du serveur RADIUS
Reportez-vous à la section Configuration des paramètres du serveur RADIUS.
(Gérer les paramètres du serveur ESM)

Définir les paramètres de communication en utilisant la console ESM

Le service Traps envoie périodiquement des messages sur le serveur ESM dans le cadre de trois tâches
principales :

Signaler l’état de fonctionnement de l’agent

Rapport sur les processus en cours d’exécution vers le point final.

Demander la dernière politique de sécurité.
Vous pouvez modifier la fréquence de communication entre le serveur et le point de terminaison en utilisant
l’outil de configuration de base de données (voir Définir les paramètres de communication en utilisant la
console ESM) ou en utilisant la console ESM.
Step 1
Depuis la console ESM, sélectionnez Paramètres > ESM > Paramètres.
Step 2
Configurez les paramètres du serveur suivants :
• Chemin d’accès au réseau de quarantaine—(Traps 3.1 et versions antérieures dossier légal par défaut à
utiliser lorsque l’agent Traps ne peut pas atteindre le dossier associé au serveur de gestion fonctionnel
auquel l’agent est connecté.
• Inventaire des intervalles (Minutes)—Entrez la fréquence à laquelle Traps envoie une liste au serveur
l’ESM pour signaler les applications qui sont en cours d’exécution bers le point final.
• Délai de battement de coeur (secondes)—Entrezle délai autorisé pour un agent Traps qui n’a pas répondu
(la gamme vade 300 à 86.400; par défaut, c’est 300).
• URL du dossier légal—URL du dossier légal en BITS exécutables.
URL légale du serveur—Pour chiffrer les données légales, nous recommandons fortement que
vous utilisiez la SSL pour communiquer avec le dossier légal. En cas d’utilisation de SSL, incluez le
nom de domaine complètement qualifié (NDCQ) dans le chemin, par exemple,
https://ESMserver.Domain.local:443/BitsUploads. Si vous n’utilisez pas de SSL, spécifiez le port 80
(par exemple http://ESMSERVER:80/BitsUploads).
• Délai d’expiration d’éveil Spécifiez un intervalle (en minutes) auquel le point de terminaison envoie un
message de maintien d’activité au journal ou rapport avec une valeur de 0 ou plus (la valeur par défaut
est 0) :
• Mise à jour du package d’adresses du serveur—URL du serveur de mise à jour du paquet
• Utilisez le DNS pour la résolution d’adresse—Sélectionnez cette option pour activer le DNS pour la
résolution d’adresses. Par défaut, cette option est désactivée pour empêcher l’enregistrement d’erreurs
excessives de DNS.
Step 3
Sauvegardez vos modifications
Le service Traps envoie périodiquement des messages sur le serveur ESM dans le cadre de trois tâches
principales:

Signaler l’état de fonctionnement de l’agent

Rapport sur les processus en cours d’exécution vers le point final.

Demander la dernière politique de sécurité.
Vous pouvez modifier la fréquence de communication entre le serveur et le point de terminaison en utilisant
(voir Définir les paramètres de communication entre le point de terminaison et le serveur ESM) ou en
utilisant l’outil de configuration de base de données.
L’outil de configuration de base de données est une interface de commande en ligne qui fournit une
alternative pour la gestion des paramètres de base du serveur en utilisant la console ESM. Vous pouvez
accéder à l’outil de configuration de base de données en utilisant une invite de commandes MS-DOS
Microsoft exécutée en tant qu’administrateur. L’outil de configuration de base de données est situé dans
le dossier serveur sur le serveur ESM.
Toutes les commandes exécutées à l’aide de l’outil de configuration de base de données sont
sensibles à la casse.
Step 1
Ouvrez une invite de commande en tant qu’administrateur de deux façons :
• Sélect Démarrer et, dans Démarrer la recherche boîte, type cmd mais n’appuyez pas sur Enter, encore.
Ensuite, pour ouvrir l’invite de commande en tant qu’administrateur, appuyez sur CTRL+MAJ+ENTRÉE.
Step 2
Accédez au dossier qui contient l’outil de configuration de base de données :
C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security
Manager\Server
Step 3
(En option) consultez les paramètres du serveur existant :
C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server show
PreventionsDestFolder = \\ESMServer\Quarantine
InventoryInterval = 284
HeartBeatGracePeriod = 300
NinjaModePassword = Password2
Step 4
(En option) Spécifiez l’intervalle d’inventaire qui définit la fréquence (en minutes) à laquelle Traps envoie la
liste des applications qui se terminent au serveur ESM :
C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server
inventoryinterval <valeur>
La spécification d’une valeur de 120, par exemple, provoque l’envoi des informations de la part du point de
terminaison toutes les 2 heures (120 minutes).
Step 5
(En option) Spécifier le délai autorisé, en secondes, d’un point principal qui ne répond plus (se situe entre 300
à 86 400 ; valeur par défaut est 300) :
heartbeatgraceperiod <valeur>
Par exemple, une valeur de 300 signifie que, si le serveur ESM de gestion opérationnel ne reçoit pas
decommunication entre le point de terminaison dans les cinq minutes (300 secondes), les rapports du Manager
Principal de Sécurité considère le point de terminaison comme déconnecté.
LicencesTraps
LicencesTraps

A propos des LicencesTraps



Retirer une licence Traps
A propos des LicencesTraps
La licence Trap impose la date d’expiration et le nombre maximum de points de terminaison que vous pouvez
gérer. Les terminaux récupèrent leurs licences à partir du serveur ESM et chaque licence spécifie le type de
licence (serveur, poste de travail, ou VDI), la taille d’équipe de l’agent, et la date d’expiration.
Chaque instance de base de données nécessite une licence valide qui vous donne le droit de gérer la stratégie
de sécurité du point de terminaison, d’activer WildFire et d’obtenir une assistance. Pour acheter des licences,
contactez votre responsable de compte Palo Alto Networks ou votre revendeur.
Vous pouvez installer Traps selon les méthodes suivantes :




Voir la licence d’utilisation—Utilisez le Capacité de Licence tableau de bord pour voir l’utilisation actuelle
de toutes les licences client, serveur et VDI.
Ajouter une licence Traps—Utilisez la Paramètres > Licence la page pour ajouter le support de
fonctionnalités supplémentaires pour les utilisateurs. Reportez-vous à la section Gérer les licences en
utilisant la console ESM. (Gérer les paramètres du serveur ESM)
Mise à jour d’une Licence—Pour mettre à jour la licence pour un terminal, créer une règle d’action
précisant les paramètres cibles qui nécessitent une mise à jour de la licence. Reportez-vous à la section
Mettre à jour ou révoquer la licence Traps sur le point de terminaison. (Gérer les paramètres du
serveur ESM)
Retirer une licence—Pour révoquer temporairement un licence à partir d’un terminal, vous pouvez Retirer
une licence Traps le faire à partir d’un terminal sur la console ESM. Cette action met à jour immédiatement
le groupe de licences disponibles et libère la licence d’utilisation pour un autre agent Traps. L’agent Traps
reste sans licence jusqu’à ce que les Traps ou les services finaux redémarrent. A ce moment, l’agent tente
d’établir une communication avec le serveur ESM et demande une nouvelle licence. Pour révoquer
définitivement une licence à partir d’un terminal, vous pouvez créer une règle d’action pour le critère cible
(voir : Mise à jour ou Révoquer les licences de pièges sur un terminal. Mettre à jour ou révoquer la licence
Traps sur le point de terminaison) Lorsque Traps reçoit une règle d’action lors de la prochaine
communication de pulsation avec le serveur ESM, Traps libère la licence et désactive la protection contre les
Traps.
LicencesTraps
Avant de pouvoir commencer à utiliser les Traps pour protéger votre point de terminaison, vous devez
installer une clé de licence valide.
Avant de commencer : Pour acheter des licences, contactez votre responsable de compte chez Palo Alto Networks ou
votre revendeur.
Step 1
Sélectionnez Paramètres > Licence, puis (Ajouter) une nouvelle licence.
Step 2
Sélectionnez Parcourir pour chercher le fichier de licence, puis mettre à jourpour le charger. La console ESM
affiche les informations sur la nouvelle licence, y compris les caractéristiques de la licence, la taille de l’équipe
de l’agent, le nombre de terminaux auxquels la licence a été délivrée, la date à laquelle vous avez ajouté la
licence, et la date d’expiration de la licence.
Step 3
(En option) Pour vérifier l’utilisation de la licence Traps, sélectionnez Tableau de bord et consultez la capacité
de la licence (Capacité de licence).
Step 4
(En option) Pour envoyer la nouvelle licence aux points de terminaison dont la date d’expiration de la licence
est proche ou dépassée, créez une règle d’action (voir Mettre à jour ou révoquer la licence Traps sur le point
de terminaison).
Step 5
(En option) Pour exporter les informations de licence dans un fichier CSV, cliquez sur l’icône du menu
puis sélectionnez Export Logs.
Step 6
Si vous n’avez pas installé la clé de licence lors de l’installation de la console ESM, vérifiez que le service de
base Manager Endpoint Security est en cours d’exécution sur le serveur ESM :
1. Ouvrez le gestionnaire de services :
• Dans le menu Démarrer, sélectionnez Panneau de configuration > Outils d’administration > Services.
• Dans le menu Démarrer, sélectionnez Panneau de configuration > Système et sécurité > Outils
d’administration > Services.
2. Repérez le service du noyau (appelé CyveraServer dans les anciennes versions de) et vérifiez que l’état du
service est Démarré (Windows Server 2008) ou En cours d’exécution (Windows Server 2012).
3. Si l’état du service est Arrêté ou En pause, effectuez un double clic sur le service, puis sélectionnez
Démarrer.
4. Cliquez sur Fermer.
,
En utilisant l’outil de configuration de la base de données Outil de configuration de base de données, vous
pouvez gérer les paramètres de base du serveur ESM, y compris la possibilité d’installer une licence. Vous
pouvez accéder à l’outil de configuration de base de données en utilisant une invite de commandes MS-DOS
Microsoft exécutée en tant qu’administrateur. L’outil de configuration de base de données est situé dans le
dossier Serveur sur le serveur ESM.
LicencesTraps
Avant de commencer : Pour acheter des licences, contactez votre responsable de compte chez Palo Alto Networks ou
votre revendeur.
Step 1
• Sélectionner Démarrer > Tous les programmes > Accessoires, clic-droit Invite de commande (prompt),
et sélectionnez Ouvrir en tant qu’administrateur.
• Sélect Démarrer et, dans Démarrer la recherche boîte, type cmd mais n’appuyez pas sur Enter, encore.
Ensuite, pour ouvrir l’invite de commande en tant qu’administrateur, appuyez sur CTRL+MAJ+ENTRÉE.
Step 2
Manager\Server
Step 3
Chargez la nouvelle licence :
C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig importlicense
C:\<PathtoLicenseFile>\<LicenseFilename>.xml
L’outil de configuration de base de données charge le fichier de licence. Pour vérifier la licence en utilisant la
console ESM, voir Gérer les licences en utilisant la console ESM.
Step 4
(En option) Si nécessaire, créer une règle d’action dans la console ESM pour pousser la nouvelle licence aux
extrémités (Mettre à jour ou révoquer la licence Traps sur le point de terminaison).
Retirer une licence Traps
Cette action met à jour immédiatement le groupe de licences disponibles et libère la licence d’utilisation
pour un autre agent Traps. L’agent Traps reste sans licence jusqu’à ce que les Traps ou les services finaux
redémarrent. A ce moment, l’agent tente d’établir une communication avec le serveur ESM et demande une
nouvelle licence. Le retrait d’une licence peut être utile dans les environnements VDI si une session de VDI
ne se fermait pas correctement et ne relâcherait pas la licence flottante.
Pour révoquer définitivement une licence à partir d’un terminal, vous pouvez créer une règle d’action pour
le critère cible (voir : Mise à jour ou Révoquer les licences de Traps sur un terminal. Mettre à jour ou révoquer
la licence Traps sur le point de terminaison) Cette action libère la licence et désactiver la protection des Traps
lors de la prochaine communication de pulsation avec l’agent Traps.
Retirer une licence Traps.
Step 1
Sélectionner Moniteur > Agent > Santé.
Step 2
Localisez le point final à partir duquel vous souhaitez révoquer la licence.
Pour localiser rapidement un terminal, comme un ordinateur, utilisez les commandes de filtre en haut de
la colonne de l’ordinateur.
Step 3
Dans le tableau de la santé de l’agent, sélectionnez la case à cocher pour un ou plusieurs points d’extrémité.
Step 4
Cliquez sur le menu d’action
, puis sélectionnez Retirer la Licence. Le serveur ESM renvoie
immédiatement la licence à l’équipe disponible et la conserve pour une utilisation par un autre agent Traps.
Lorsque vous installez la console, spécifiez le compte administrateur et le type d’authentification que les
administrateurs utiliseront pour accéder au serveur. La console ESM peut authentifier les utilisateurs définis sur
le serveur local ESM ou en utilisant les comptes de domaine (y compris les groupes et unités d’organisation)
définis dans Active Directory (AD). Après l’installation, vous pouvez modifier le mode d’authentification,
personnaliser les rôles avec des privilèges d’accès, et attribuer ces rôles à des comptes administratifs.

Rôles d’administrateur

Utilisateurs Administratifs

Authentification des administrateurs

Configuration de l’authentification et des comptes administrateurs
Rôles d’administrateur
Le contrôle d’accès basé sur les rôles (CABR) vous permet d’utiliser des rôles pré-configurés ou de définir des
rôles personnalisés pour attribuer des droits d’accès aux utilisateurs administratifs. Chaque rôle étend les
privilèges spécifiques aux utilisateurs auxquels vous attribuez un rôle et chaque privilège définit l’accès aux
paramètres et aux pages de configuration spécifiques à l’intérieur de la console ESM. En personnalisant un
rôle et l’attribution de privilèges spécifiques, vous pouvez appliquer la séparation de l’information entre les
domaines fonctionnels ou régionaux de votre organisation afin de protéger la confidentialité des données
sur la console ESM.
La façon dont vous configurez l’accès administratif dépend des exigences de sécurité de votre organisation.
Utilisez des rôles à attribuer des privilèges d’accès spécifiques aux comptes d’utilisateur de l’administrateur.
Par défaut, la console ESM a des rôles intégrés avec des droits d’accès spécifiques qui ne peuvent pas être
modifiés. Lorsque de nouvelles fonctionnalités sont ajoutées au produit, la console ESM ajoute
automatiquement les nouvelles fonctionnalités pour les définitions de rôle par défaut. Le tableau suivant
répertorie les privilèges d’accès associés aux rôles intégrés qui permettent d’accéder à la console ESM:
Rôle
Privilèges
Super utilisateur
Accès total en lecture-écriture sur la console ESM.
Administrateur SNMP
Accès lire-écrire pour surveiller les paramètres de configuration des pages et accès en
lecture seule à toutes les autres pages de la console ESM; ne comprend pas la possibilité
de désactiver toute protection.
Administrateur de la
sécurité
Accès lire-écrire à la politique de configuration, au suivi et aux paramètres de pages dans
la console ESM, y compris la possibilité de désactiver toute protection. Ce rôle inclut
également l’accès en lecture seule aux pages de la santé de l’agent mais pas l’accès à la
santé du serveur ou aux pages de licences.
Bien que vous ne pouvez pas modifier les privilèges associés aux rôles intégrés, vous pouvez créer des rôles
personnalisés qui fournissent un contrôle d’accès plus granulaire aux domaines fonctionnels de l’interface
web. Pour ces rôles, vous pouvez attribuer un accès en lecture-écriture, lecture seule, ou pas d’accès à toutes
les fonctions et aux pages de configuration de la console ESM.
Un exemple d’utilisation d’un rôle personnalisé est celui des administrateurs de sécurité qui doivent être en
mesure d’afficher les journaux sur l’état des points de terminaison, mais qui n’ont pas besoin de configurer
des règles de sécurité.
Utilisateurs Administratifs
Un utilisateur administratif est un compte local ou un domaine utilisateur qui a accès aux fonctions
administratives et de rapports spécifiques sur la console ESM. En utilisant un contrôle d’accès basé sur les
rôles (CABR), vous pouvez attribuer des privilèges et des responsabilités spécifiques à un rôle, puis attribuer
ce rôle à un ou plusieurs utilisateurs qui ont besoin des mêmes autorisations d’accès.
Comme meilleures pratiques, créez un compte administrateur séparé pour chaque personne qui
a besoin d’accéder à la console ESM Cela vous protège mieux contre les configurations (ou les
modifications) non autorisées et vous propose la journalisation des opérations de chaque
administrateur individuel.
Utilisez la console ESM pour attribuer un accès administratif à tous les types de comptes suivants :
Type de compte
Description
Utilisateur
(Authentication authentification de machine ou de domaine) domaine existant ou
compte d’utilisateur local utilisé pour se connecter à la console ESM. La console ESM
authentifie l’utilisateur dans l’une des deux manières :
• Authentification de domaine—authentifie en utilisant les informations
d’identification stockées dans le directoire actif.
• Authentification de machine—authentifie en utilisant les informations
d’identification stockées sur le système local sur lequel la console ESM est installée.
Groupe
(Seulement authentification de domaine) Etend l’accès administrateur à tous les
membres d’un groupe de sécurité et utilise les informations d’authentification définis
dans le directoire actif pour authentifier l’utilisateur.
Unité d’organisation
(Seulement authentification de domaine) Etend l’accès administrateur à tous les
membres d’un groupe de sécurité et utilise les informations d’authentification définis
dans le directoire actif pour authentifier l’utilisateur.
La console ESM ne conserve pas les informations d’identification pour un compte administrateur.
Pour modifier les informations d’identification d’un compte administrateur, vous devez les
modifier sur la machine locale si vous utilisez l’authentification de la machine ou dans le directoire
actif.si vous utilisez l’authentification de domaine.
Authentification des administrateurs
administrateurs utiliseront pour accéder au serveur. Vous pouvez modifier ces préférences en utilisant l’outil
de configuration de base de données Outil de configuration de base de données (voir Configuration de
l’accès administrateur à en utilisant l’outil de configuration de la base de données) ou en utilisant la console
ESM Configuration d’un mode d’authentification :. Vous pouvez aussi spécifier un groupe d’authentification
à utiliser pour l’accès administrateur. Par défaut, aucun groupe n’est spécifié.
Vous pouvez configurer les types d’authentification administrateur suivants :
Type de compte
Description
Domaine
Utilise les comptes définis dans le directoire actif, y compris utilisateurs, des groupes
et des unités d’organisation pour l’accès administrateur.
Machine
Utilise les comptes locaux sur le serveur de Console ESM pour l’accès administrateur.
Configuration de l’authentification et des comptes administrateurs

Configurer l’authentification administrateur

Configurer les utilisateurs, les groupes et les unités d’organisation administrative

Configuration d’un mode d’authentification :

Configuration de l’accès administrateur à en utilisant l’outil de configuration de la base de données

Changer le mot de passe du Mode Ninja
Sur la Administration > Rôles page, vous pouvez voir tous les rôles intégrés et
personnalisés pour votre organisation. La création de rôles personnalisés
vous permet de personnaliser les autorisations d’accès en fonction des
exigences de sécurité de votre organisation.
Chaque rôle indique le nom du rôle et sa description, le nombre
d’utilisateurs qui sont affectés au rôle, et la date à laquelle le rôle a été créé.
Sélectionner la ligne pour un rôle élargit cette ligne pour afficher les détails
et les actions supplémentaires. Les actions que vous pouvez effectuer sur le
rôle varient à la fois des rôles intégrés et des rôles personnalisés.
Alors que vous ne pouvez pas modifier ou supprimer les rôles intégrés, vous
pouvez visualiser les privilèges d’accès qui sont associés au rôle. Vous pouvez,
toutefois, ajouter, modifier ou supprimer un rôle personnalisé. Vous pouvez
également bloquer tout rôle pour empêcher les utilisateurs qui sont affectés
à ce rôle de se connecter à la console ESM. De même, la suppression d’un rôle
personnalisé supprime les privilèges d’accès associés à ce rôle depuis la
console ESM et empêche les utilisateurs de se connecter à la console ESM si
ils sont affectés à ce rôle. La console ESM indique les rôles bloqués avec une
icône rouge
dans la colonne d’état
Step 1
Depuis la console ESM, sélectionnez Paramètres > Général > WildFire. La console ESM affiche tous les rôles
intégrés et personnalisés pour votre organisation.
Step 2
Sélectionnez Modifier un rôle existant ou Ajouter un nouveau.
Step 3
Définissez le nom du rôle et entrez sa description.
Step 4
Sélectionnez est active option pour activer le rôle ou désélectionnez l’option pour désactiver le rôle.
Step 5
Sélectionnez un privilège pour basculer entre les différents niveaux d’accès pour ce privilège. Par défaut, tous
les privilèges sont désactivés. La sélection du privilège change une fois que le réglage pour Seulement lire
(Autoriser); et en sélectionnant le privilège d’un état activé désactivé le privilège.
Step 6
Clicquez sur Enregistrer. La console ESM affiche le rôle nouveau ou modifié dans le tableau.
Step 7
Affectez le rôle à un administrateur. Reportez-vous à la section Configurer les utilisateurs, les groupes et les
unités d’organisation administrative. (Gérer les paramètres du serveur ESM)
Depuis la Paramètres > Administration > Utilisateurs page, vous pouvez voir tous les
comptes qui fournissent un accès administratif à la console ESM. Un compte peut être
un utilisateur, un groupe ou une unité d’organisation. Pour fournir un accès
administratif à un groupe ou une unité d’organisation, le compte doit exister sur le
domaine. Pour fournir un accès administratif à un utilisateur, vous pouvez, soit ajouter
un utilisateur sur la machine locale ou un utilisateur sur le domaine. La console ESM
utilise le domaine ou les informations d’identification définies sur la machine locale
pour authentifier l’utilisateur.
Comme meilleure pratique, créez un compte administrateur séparé pour chaque personne qui a
besoin d’accéder à la console ESM.
Pour chaque compte, la console ESM affiche l’état du compte (Bloqué ou Débloqué), du compte Nom, le
assigné Rôle, et la date à laquelle le compte a été créé. La sélection de la ligne pour un compte élargira la ligne
pour afficher les détails et les actions additionnelles, y compris qui a créé le rôle (système, DbConfig, ou le
compte administratif qui est connecté à la console ESM). Les actions que vous pouvez effectuer sur un rôle
varient selon l’endroit où le rôle a été créé. Si vous disposez des autorisations pour le faire, vous pouvez
modifier, bloquer, débloquer, ou supprimer tout compte créé par d’autres utilisateurs administratifs, mais
vous ne pouvez pas bloquer ou supprimer des comptes qui ont été créés à partir de dbconfig.
Le blocage du compte empêche de se connecter à la console ESM. De même, la suppression d’un compte
supprime le compte et les paramètres de la console ESM et empêche le compte de se connecter à la console
ESM. Lorsqu’un rôle associé à un compte est bloqué, la console ESM affiche le Rôle comme <nom du rôle>
(inactif). Lorsqu’un rôle associé à un compte est bloqué, la console ESM affiche le Rôle comme <nom du
dans la colonne d’état
rôle> (inactif). La console ESM indique les rôles bloqués avec une icône rouge
et indique un rôle supprimé ou bloqué avec une icône rouge
à côté Rôle nom de.
Step 1
Depuis la console ESM, sélectionnez Paramètres > Général > WildFire. La console ESM affiche les comptes
de votre organisation, y compris les utilisateurs, les groupes et les unités organisationnelles.
Step 2
Cliquez Ajouter un utilisateur, Ajouter un Groupe, ou Ajouter une unité organisationnelle. pour créer un nouveau
compte. Sinon, sélectionnez la ligne d’un compte existant et cliquez sur Modifier pour modifier les paramètres du
compte. De ce point de vue, vous pouvez également Bloquer, Débloquer ou Supprimer un compte.
Step 3
Entrez le Nom d’un compte existant. Si vous utilisez l’authentification de la machine, vous ne pouvez ajouter
des utilisateurs existants sur la machine locale. Si vous utilisez l’authentification de domaine, vous pouvez
ajouter un utilisateur existant du domaine, un groupe ou une unité d’organisation.
Step 4
Sélectionnez est active option pour activer le rôle ou désélectionnez l’option pour désactiver le rôle.
Step 5
Sélectionnez le rôle dans la liste pour attribuer des privilèges d’accès au compte. Pour créer un nouveau profil,
reportez-vous à la section Configurer l’authentification administrateur.
Step 6
Sauvegardez vos modifications La console ESM affiche le rôle nouveau ou modifié dans le tableau.
Configuration d’un mode d’authentification :
administrateurs utiliseront pour accéder au serveur. Vous pouvez modifier ces préférences en utilisant l’outil
de configuration de base de données Outil de configuration de base de données (voir Configuration de l’accès
administrateur à en utilisant l’outil de configuration de la base de données) ou en utilisant la console ESM.
Configuration de l’accès administrateur en utilisant la console ESM
Step 1
Depuis la console ESM, sélectionnez Paramètres > ESM > Paramètres.
Step 2
Sélectionnez le Mode d’Authentification :
• Machine—authentifie les utilisateurs en utilisant un compte local.
ou
• Domaine—authentifie les utilisateurs en utilisant le directoire actif
Step 3
Sauvegardez vos modifications.
Configuration de l’accès administrateur à en utilisant l’outil de configuration de la base
de données
administrateurs utiliseront pour accéder au serveur. Vous pouvez aussi spécifier un groupe d’authentification
à utiliser pour l’accès administrateur. Par défaut, aucun groupe n’est spécifié. Vous pouvez modifier ces
préférences en utilisant la console ESM (voir Configuration d’un mode d’authentification :) ou en utilisant
l’outil de configuration de base de données.
L’outil de configuration de base de données est une interface de commande en ligne qui fournit une
le dossier Serveur sur le serveur ESM.
Step 1
et sélectionnez Exécuter en tant qu’administrateur.
• Sélect ionnez Démarrer et, dans Démarrer la recherche boîte, type cmd mais n’appuyez pas sur Enter,
encore. Ensuite, pour ouvrir l’invite de commande en tant qu’administrateur, appuyez sur
CTRL+MAJ+ENTRÉE.
Step 2
Manager\Server
Step 3
(En option) Consultez les paramètres administrateur existants :
C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig
usermanagement show
AuthMode = Machine
AllowedUsers = Administrator
AllowedGroups =
Step 4
(En option) Spécifiez le mode d’authentification, soit domaine soit machine.
usermanagement authmode [domain|machine]
Step 5
(En option) Spécifiez les utilisateurs administrateurs supplémentaires. Utilisez un point-virgule pour séparer
plusieurs valeurs. Par exemple, administrateur ; administrateur2.
usermanagement allowedusers <username1>;<username2>
Les utilisateurs administratifs que vous spécifiez remplacent toutes les valeurs définies auparavant.
Pour conserver les valeurs actuelles, vous devez les spécifier dans la commande.
Step 6
(En option) Spécifiez les groupes administrateurs supplémentaires. Pour utiliser les groupes pour l’accès
administratif, vous devez utiliser l’authentification de domaine et de spécifier un groupe existant défini
dans le directoire actif. Utilisez un point-virgule pour séparer plusieurs valeurs. Par exemple,
adminsécurité;adminpointterminaison.
usermanagement allowedusers <groupname1>;<groupname2>
Les groupes administrateurs que vous spécifiez remplacent toutes les valeurs définies auparavant.
Pour conserver les valeurs actuelles, vous devez les spécifier dans la commande.
Pour afficher et modifier les paramètres avancés dans la console ESM, vous devez entrer le mot de passe du
mode ninja. Pour modifier le mot de passe, utilisez l’outil de configuration de base de données.
Modifier le mot de passe du mode ninja en utilisant l’outil de configuration de base de données
Step 1
et sélectionnez Exécuter en tant qu’administrateur.
• Sélect ionnez Démarrer et, dans Démarrer la recherche boîte, type cmd mais n’appuyez pas sur Enter,
encore. Ensuite, pour ouvrir l’invite de commande en tant qu’administrateur, appuyez sur
CTRL+MAJ+ENTRÉE.
Step 2
Manager\Server
Step 3
(En option) consultez les paramètres du serveur existant :
Step 4
Spécifiez le nouveau mot de passe du mode ninja.
ninjamodepassword <password>
Les fonctions d’exportation et importation dans la console vous permettent de sauvegarder les règles avant
la migration ou la mise à niveau vers un nouveau serveur ou le déploiement d’une stratégie vers plusieurs
serveurs indépendants. Vous pouvez exporter les règles de stratégie de manière globale ou individuelle et
les enregistrer dans un fichier XML.
L’importation de règles de stratégie ajoute les règles à la stratégie existante et affecte un numéro
d’identifiant unique à chaque nouvelle règle. Chaque type de règle de stratégie possède sa propre page
de gestion à partir de laquelle vous pouvez sauvegarder ou importer les règles de stratégie de ce type.
Lors du chargement d’un fichier de stratégie qui contient des règles de différents types (règles
d’action et règles de prévention d’attaque, par exemple), la console ESM charge puis affiche les
stratégies dans leurs pages de gestion respectives.
Step 1
Sélectionnez la page de gestion des politiques pour l’ensemble de règles que vous importez. Par exemple,
Politiques > Exploitez > Modules de Protection.
Step 2
Choisissez l’une des actions suivantes :
• Pour sauvegarder ou exporter les règles de stratégie, cochez la case à côté des règles que vous voulez
exporter. Dans le menu
eu haut du tableau, sélectionnez Export Sélectionné. La console ESM
enregistre les processus dans un fichier XML.
• Pour restaurer ou importer de nouvelles règles de stratégie, sélectionnez Importer règles dans le menu
en haut du tableau. Accédez au fichier de stratégie, puis cliquez sur Emettre.
Surveillance
La console ESM fournit des informations qui sont utiles pour surveiller les serveurs, les points de terminaison
et la stratégie de sécurité de votre organisation. Vous pouvez surveiller les journaux et filtrer les informations
pour interpréter un comportement inhabituel sur votre réseau. Après l’analyse d’un évènement de sécurité,
vous pouvez choisir de créer une règle personnalisée pour le point de terminaison ou le processus. Les sujets
suivants décrivent comment consulter et surveiller les rapports sur l’état de sécurité des points de terminaison.

Entretien des points de terminaison et de Traps

Utiliser le tableau de bord Endpoint Security Manager

Surveillance des évènement de sécurité

Surveiller les points de terminaison

Surveiller les serveurs ESM

Surveiller les règles

Surveiller l’extraction d’investigation numérique
Surveillance
Effectuez les actions suivantes tous les jours ou toutes les semaines :
 Examiner le tableau de bord pour vérifier que l’agent Traps est actif sur tous les points de terminaison.
Reportez-vous à la section Utiliser le tableau de bord Endpoint Security Manager.
 Examiner les événements de sécurité (Security Events) signalés par Traps. Après l’analyse d’un
évènement de sécurité, vous pouvez vouloir effectuer l’une des tâches suivantes :
–
–
–
–
Chercher les points de terminaison devant faire l’objet d’une Requête aux agents et chercher à savoir
si les indicateurs sont liés à des fichiers exécutables malveillants.
Désactiver temporairement les règles qui interfèrent avec le travail quotidien. Dans les cas où un
évènement de sécurité n’indique pas une attaque et interfère avec le travail quotidien, vous pouvez
désactiver une règle de prévention d’attaque ou de restriction sur un point de terminaison
spécifique. Reportez-vous à la section Exclure un point de terminaison d’une règle de protection
contre les attaques.
Appliquer un correctif, mettre à niveau ou corriger un bogue dans un logiciel qui indique un
comportement erroné ou une vulnérabilité de sécurité. L’application d’un correctif ou la mise à niveau
des applications tierces ou encore la correction de bogues dans des applications qui sont développées
en interne peuvent réduire le nombre d’évènement de sécurité signalés à la console ESM.
Activer la protection pour une application non protégée. Reportez-vous à la section Afficher,
modifier ou supprimer un processus.
 Examiner les pages Monitor (Surveillance) et examinez les rapports de plantage et les évènement
de sécurité.
 Si vous avez configuré votre console ESM pour qu’elle Collecter les informations sur les nouveaux
processus, revoir les processus non protégés et décider s’il faut activer la protection pour ces processus.
Reportez-vous à la section Afficher, modifier ou supprimer un processus.
Après une modification au sein de l’organisation ou dans les versions du logiciel Traps disponibles, vous
pouvez :
 Ajouter une applications qui vient d’être installée à la liste des processus protégés. Reportez-vous à la
section Ajouter un processus Protégé, Provisoire ou Non protégé.
 Installer Traps sur un nouveau point de terminaison. Reportez-vous à la section Installer Traps sur le
point de terminaison.
 Mettre à niveau la version de l’agent Traps sur les points de terminaison. Reportez-vous à la section
Désinstaller ou mettre à niveau Traps sur le point de terminaison.
 Mettre à jour la licence Traps sur les points de terminaison. Reportez-vous à la section Mettre à jour ou
révoquer la licence Traps sur le point de terminaison.
Surveillance
Le tableau de bord est la première page qui est affichée après la connexion à Endpoint Security Manager.
Vous pouvez aussi accéder ou actualiser cette page en cliquant sur Dashboard (Tableau de bord) dans le menu
supérieur.
Le tableau de bord affiche plusieurs graphiques qui présentent les statistiques des instances de l’agent Traps.
Le tableau de bord ne peut pas être configuré.
Le tableau suivant décrit chaque graphique :
Graphique du tableau
de bord
Description
SERVICE STATUS
(État du service)
Affiche l’état des instances de l’agent Traps installées sur les points de terminaison en
nombre et en pourcentage. Les états possibles sont :
• Running (En cours d’exécution)—L’agent est en cours d’exécution.
• Stopped (Arrêté)—Le service de l’agent a été arrêté.
• Disconnected (Déconnecté)—Le serveur n’a pas reçu de message de pulsation
de la part de l’agent pendant une période préconfigurée.
• Shutdown (Éteint)—Le point de terminaison a été éteint.
COMPUTER DISTRIBUTION Affiche la version des instances de l’agent Traps installées sur les points de
AND VERSION (Distribution terminaison en nombre et en pourcentage.
informatique et version)
LICENSE CAPACITY
(Capacité de la licence)
Affiche l’utilisation de la licence Traps pour le serveur et le client par nombre de
licences utilisées et disponibles.
MOST TARGETED
APPLICATIONS
(Applications les
plus ciblées)
Affiche les applications qui ont la plus grande distribution des préventions.
MOST TARGETED
COMPUTERS (Ordinateurs
les plus ciblés)
Affiche les points de terminaison qui ont la plus grande distribution des préventions.
MOST TARGETED USERS
Affiche les préventions qui ont la plus grande distribution par utilisateur final.
(Utilisateurs les plus ciblés)
Surveillance
Utilisez la page et les onglets Security Events (Événements de sécurité) pour gérer les alertes et détecter de
nouvelles menaces.

Utiliser le tableau de bord Security Events (Événements de sécurité)

Affichage de l’historique d’évènement de sécurité sur un point de terminaison

Exclure un point de terminaison d’une règle de protection contre les attaques
Utiliser le tableau de bord Security Events (Événements de sécurité)
Utilisez le tableau de bord Security Events (Événements de sécurité) (Security Events (Événements de sécurité) >
Summary (Résumé)) pour surveiller les informations de niveau supérieur relatives aux évènement de sécurité
qui se produisent sur les points de terminaison dans votre organisation. Sur cet affichage, vous pouvez voir le
nombre d’évènement qui se sont produits au cours de la dernière journée, de la dernière semaine ou du dernier
mois. Le tableau de bord Security Events (Événements de sécurité) affiche les évènements pour lesquels les
tentatives d’attaque ont été bloquées et les évènements qui n’ont déclenché que des notifications.
Le tableau suivant présente les divers éléments du tableau de bord de façon plus détaillée.
Composant du tableau
de bord
Description
THREATS (Menaces)
Affiche toutes les menaces aux processus et aux fichiers exécutables protégés qui se
sont produites sur votre réseau. Pour votre commodité, vous pouvez cliquer tous les
types de règles afin d’afficher les détails additionnels sur le type d’événements. Vous
pouvez également cliquer sur le nombre d’événements qui se sont produits pour
afficher uniquement ces événements. Pour plus d’informations, voir Consulter les
détails des menaces.
Surveillance
Composant du tableau
de bord
Description
PROVISIONAL MODE
(Mode provisoire)
La zone Provisional Mode (Mode provisoire) du tableau de bord Security Events
(Événements de sécurité) inclut un récapitulatif de niveau supérieur des évènements
qui sont liés aux types d’événements suivants :
• Échec du processus
• WildFire inconnu
• WildFire après la détection inconnue
• Protection contre le détournement de DLL
• Java
• Injection de thread
• Surveillance de suspension
Cliquez sur un évènement de la zone Provisional Mode (Mode provisoire) pour
passer à un affichage filtré de la page Monitor (Surveillance) > Provisional Mode
(Mode provisoire) pour les évènements de ce type.
Pour plus d’informations, voir Affichage des détails du mode provisoire.
SECURITY ERROR LOG
(Journal d’erreur de
sécurité)
Affiche toutes les erreurs et les problèmes récents que Traps signale relativement aux
points de terminaison dans votre organisation. Cliquez sur un type d’erreur ou sur le
nombre d’erreurs de sécurité afin d’afficher une liste des erreur filtrées à partir de
la page Monitor (Surveillance) > Security Errors Log (Journal d’erreur de sécurité).
Pour plus d’informations, voir Affichage des détails du journal d’erreur de sécurité.
Consulter les détails des menaces
Sélectionnez Security Events (Événements de sécurité) > Threats (Menaces) pour afficher une liste des
menaces qui se sont produites sur votre réseau. L’affichage par défaut de la page des menaces présente
les événements de prévention et ceux de notification. Le menu qui se trouve sur le côté de la page Threats
(Menaces) fournit également des liens vers des listes de menaces filtrées par événement (Preventions
(Préventions) et Notifications (Notifications)) ainsi que par type de règle.
Par défaut, l’affichage des détails standard sur la page Threats (Menace) présente un tableau des évènements
de sécurité avec des champs affichés en haut. La sélection d’un évènement dans le tableau Threats
développe la ligne pour révéler d’autres détails sur l’évènement de sécurité. En plus d’afficher les détails sur
les événements liés aux menaces, vous pouvez créer et consulter des notes concernant les évènements,
récupérer les données du journal concernant l’évènement à partir du point de terminaison, ou créer une règle
d’exclusion pour autoriser l’exécution du processus sur un point de terminaison particulier. Vous pouvez
aussi exporter les événements dans un fichier CSV en cliquant sur l’icône du menu
, puis en sélectionnant
Export Selected (Sélection de l’exportation) ou supprimer les événements en sélectionnant Delete Selected
(Sélection de la suppression).
Le tableau suivant décrit les champs et les actions disponibles pour chaque menace.
Champ
Surveillance
Description
Standard Details View
(Affichage des détails
standard)
Time (Heure)
La date et l’heure auxquelles s’est produit l’évènement de prévention.
Computer (Ordinateur)
Le nom d’hôte du point de terminaison sur lequel l’évènement de prévention s’est
produit.
User (Utilisateur)
Le nom de l’utilisateur pour lequel le processus (qui a causé l’évènement) était
exécuté.
OS (Système
d’exploitation)
Le système d’exploitation installé sur le point de terminaison.
Agent (Version)
La version de Traps installée sur le point de terminaison.
Process (Processus)
Le nom du processus qui a causé l’évènement.
EPM
Le modules de prévention d’attaque (EPM) ou la règle de restriction qui a déclenché
la prévention.
Additional Details View
supplémentaires)
Sélectionnez à nouveau la ligne pour réduire l’affichage des détails supplémentaires.
Type d’événement
Type de menace (post-détection WildFire, logique, logiciel malveillant, actions
suspectes ou corruption de mémoire).
Module
Module qui a déclenché l’événement de prévention ou de notification.
Action
Action que la règle effectue (terminer le processus ou avertir l’utilisateur).
Architecture
Type d’architecture du système d’exploitation (OS). Par exemple, x64.
Source Process
(Processus source)
Processus source qui a déclenché l’événement.
Source Path (Chemin
d’accès source)
Chemin d’accès vers le processus source qui a déclenché l’événement.
Source Version
(Version source)
Version du processus ou du fichier exécutable qui a déclenché l’événement.
Source Triggered By
(Source déclenchée par)
Fichier ou fichiers qui ont déclenché l’évènement de sécurité.
Prevention Key
(Clé de prévention)
Identifiant unique de l’évènement de sécurité. Lors de la récupération des données
concernant un évènement, Traps créé un fichier journal en utilisant cette clé de
prévention comme nom de dossier.
Bouton View Notes
(Afficher les notes)
Afficher les notes concernant l’évènement de sécurité. S’il n’y a aucune note, cette
option est grisée.
Bouton Create Note
(Créer une note)
Créer des notes concernant l’évènement de sécurité pour le suivi ultérieur.
Surveillance
Champ
Description
Bouton Retrieve Data
(Extraire les données)
Récupérer les données de prévention sur le point de terminaison. Créé une règle qui
utilise la clé de prévention et les informations de déclenchement pour demander à
l’agent les données concernant l’évènement de prévention. Les informations sont
envoyées au dossier d’investigation numérique.
Bouton Create Rule
(Créer une règle)
(Evénements liés à une attaque uniquement) Créer automatiquement une règle
d’exclusion à partir d’une prévention. La règle permet l’exécution d’une application
sur un point de terminaison spécifique sans la protection de la règles de prévention
d’attaque.
Bouton WildFire Report
(Rapport WildFire)
(Événements WildFire uniquement) Réviser un rapport d’analyse par WildFire du
fichier exécutable.
Bouton Hash Control
(Contrôle des empreintes)
(Événements WildFire uniquement) Afficher des informations sur les empreintes, y
compris le verdict WildFire et la possibilité de substituer le mode de terminaison afin
d’autoriser ou de bloquer le fichier exécutable.
Affichage des détails du mode provisoire
Sélectionnez Monitor (Surveillance) > Provisional Mode (Mode provisoire) pour afficher une liste d’évènements
de sécurité liés aux modules provisoires. Les modules provisoires sont configurés par défaut et incluent
ProcessCrashed, WildFireUnknown, WildFirePostUnknownDetection, protection contre le détournement
de DLL, Java, injection de thread et surveillance de suspension.
À partir de la page Provisional Mode (Mode provisoire), vous pouvez consulter les détails des évènements
de sécurité, créer et consulter des notes concernant les évènements, récupérer les données du journal
concernant l’évènement à partir du point de terminaison, ou créer une règle d’exclusion pour autoriser
l’exécution du processus sur un point de terminaison particulier. Par défaut, l’affichage des détails standard
sur la page Provisional Mode (Mode provisoire) présente un tableau des évènements de sécurité avec des
champs affichés en haut. La sélection d’un évènement dans le tableau Provisional Mode (Mode provisoire)
développe la ligne pour révéler d’autres détails sur l’évènement de sécurité. Vous pouvez aussi exporter les
journaux dans un fichier CSV en cliquant sur l’icône du menu
, puis en sélectionnant Export Logs (Exporter
les journaux).
Le tableau suivant décrit les champs et les actions disponibles pour chaque évènement de sécurité en mode
provisoire.
Champ
Description
standard)
Time (Heure)
La date et l’heure auxquelles s’est produit l’évènement de prévention.
Surveillance
Champ
Description
Le nom du point de terminaison sur lequel l’évènement de prévention s’est produit.
User (Utilisateur)
Le nom de l’utilisateur pour lequel le processus (qui a causé l’évènement) était
exécuté.
OS (Système
d’exploitation)
Agent (Traps Version)
La version de Traps installée sur le point de terminaison.
Process (Processus)
Le nom du processus qui a causé l’évènement.
EPM
Le modules de prévention d’attaque (EPM) ou la règle de restriction qui a déclenché
la prévention.
supplémentaires)
Event Type (Type
d’événement)
Type de menace (post-détection WildFire, logique, logiciel malveillant, actions
suspectes ou corruption de mémoire).
Module
Module qui a déclenché l’événement de prévention ou de notification.
Prevention Mode
(Mode de prévention)
Action que la règle effectue (terminer le processus ou avertir l’utilisateur).
Architecture
Source Process
(Processus source)
Processus source qui a déclenché l’événement.
Source Path (Chemin
d’accès source)
Chemin d’accès vers le processus source qui a déclenché l’événement.
Source Version
(Version source)
Version du processus ou du fichier exécutable qui a déclenché l’événement.
Source Triggered By
(Source déclenchée par)
Fichier ou fichiers qui ont déclenché l’évènement de sécurité.
Prevention Key
(Clé de prévention)
Clé unique associée à l’évènement de sécurité. Lors de la récupération des données
concernant un évènement, Traps créé un fichier journal en utilisant cette clé de
prévention comme nom de dossier.
Bouton View Notes
(Afficher les notes)
Afficher les notes concernant l’évènement de sécurité. S’il n’y a aucune note, cette
option est grisée.
Bouton Create Note
(Créer une note)
Créer des notes concernant l’évènement de sécurité pour le suivi ultérieur.
Bouton Retrieve Data
(Récupérer les données)
Récupérer les données de prévention sur le point de terminaison. Créé une règle qui
utilise la clé de prévention et les informations de déclenchement pour demander à
l’agent les données concernant l’évènement de prévention. Les informations sont
envoyées au dossier d’investigation numérique.
Surveillance
Champ
Description
Bouton Create Rule
(Créer une règle)
(Evénements liés à une attaque uniquement) Créer automatiquement une règle
d’exclusion à partir d’une prévention. La règle permet l’exécution d’une application
sur un point de terminaison spécifique sans la protection de la règle de prévention
d’attaque.
Bouton WildFire Report
(Rapport WildFire)
(Événements WildFire uniquement) Réviser un rapport d’analyse par WildFire du
fichier exécutable.
Bouton Hash Control
(Contrôle des empreintes)
(Événements WildFire uniquement) Afficher des informations sur les empreintes, y
compris le verdict WildFire et la possibilité de substituer le mode de terminaison afin
d’autoriser ou de bloquer le fichier exécutable.
Affichage des détails du journal d’erreur de sécurité
Sélectionnez Monitor (Surveillance) > Security Error Log (Journal d’erreur de sécurité) pour afficher les
événements liés au comportement de l’agent et la sécurité du point de terminaison. Les évènements incluent
les modifications de service, comme le démarrage ou l’arrêt d’un service. Dans de rares cas, le journal d’erreur
de sécurité peut aussi montrer les problèmes rencontrés durant la protection d’un processus lorsqu’une
injection échoue ou plante.
Le tableau suivant décrit les champs affichés dans le journal d’erreur de sécurité.
Champ
Description
ID
Numéro d’identifiant unique associé à l’erreur de sécurité.
Nom du point de terminaison sur lequel l’évènement de prévention s’est produit.
Message
Texte du message de notification.
Severity (Gravité)
Gravité de l’erreur, qui dépend du type de rapport :
• High (Élevée)
• Medium (Moyenne)
• Low (Faible)
Surveillance
Champ
Description
Report type (Type de
rapport)
Type d’erreur ayant déclenché la notification. Les valeurs possibles sont :
• One Time Action Completion Status (État de la progression d’une action
ponctuelle)—Une action terminée sur le point de terminaison. La gravité est faible
si l’action se termine ou moyenne si l’action échoue.
• Process crash (Plantage du processus)—Un processus a planté sur le point de
terminaison. Gravité faible.
• Process injection timed out (Dépassement du délai de l’injection dans le
processus)—L’injection dans le processus a dépassé le délai. Gravité moyenne.
• Agent Service Alive (Service de l’agent en cours)—Le service de l’agent a démarré.
Gravité faible.
• Agent Service stopped (Service de l’agent arrêté)—Le service de l’agent s’est
arrêté. Gravité faible.
• System Shutdown (Arrêt du système)—Le point de terminaison a été éteint.
Gravité faible.
• Unallocated DEP Access (Accès DEP non alloué)—Un pointeur d’instruction saute
à un emplacement non alloué en mémoire. Cela est habituellement dû à un bogue
dans l’application, mais pourrait aussi indiquer une tentative d’attaque (échouée).
Gravité moyenne.
• Native Reporting Service Start Failed (Échec du démarrage du service de création
de rapports)—Le service de création de rapports n’a pas pu démarrer. Gravité
élevée.
Time (Heure)
Date et heure auxquelles Traps a signalé l’erreur.
Lorsqu’un utilisateur lance un processus sur le point de terminaison, Traps injecte du code dans le processus
et active un module de protection, appelé module de prévention d’attaque (EPM), au sein du processus. Les
règles de stratégie de sécurité du point de terminaison déterminent les EPM qui sont injectés dans chaque
processus. Durant l’injection, le nom du processus apparaît sur le console en rouge. Après une injection
réussie, la console inscrit dans le journal l’évènement de sécurité sur l’onglet Events.
Chaque évènement de sécurité sur l’onglet Events affiche la date et l’heure de l’évènement, le nom du
processus affecté et l’EPM qui a été injecté dans le processus. Généralement, le mode indique si Traps a
terminé ou non le processus ou seulement averti l’utilisateur à propos de l’évènement.
Step 1
Step 2
Lancez la console Traps :
• Depuis la zone de notification de Windows, effectuez une clic droit sur l’icône Traps
Console, ou effectuez un double clic sur l’icône.
La console Traps se lance.
et sélectionnez
Affichez les évènement de sécurité :
1. Sélectionnez Advanced (Avancé) > Events (Événements) pour afficher les évènement de sécurité sur le
2. Utilisez les flèches haut et bas pour faire défiler la liste des évènements.
Surveillance

Afficher les détails de santé du point de terminaison

Afficher les notifications sur les modifications d’état de l’agent

Afficher les détails sur le journal de l’agent

Consulter le status de l’agent à partir de la console Traps

Affichage de l’historique des règles sur un point de terminaison

Afficher les modifications à la stratégie de sécurité à partir de la console Traps

Affichage de l’historique d’état du service sur un point de terminaison

Supprimer un point de terminaison de la page Health (Santé)
Afficher les détails de santé du point de terminaison
Depuis la console ESM, sélectionnez Monitor (Surveillance) > Agent > Health (Santé) pour afficher une liste
des points de terminaison dans l’organisation et leur état de sécurité correspondant.
Le tableau suivant décrit les champs et les actions disponibles pour chaque point de terminaison affiché sur
la page Health (Santé). Par défaut, l’affichage des détails standard sur la page Health (Santé) présente un
tableau des points de terminaison avec des champs affichés en haut. La sélection d’un point de terminaison
dans le tableau Health (Santé) développe la ligne pour révéler d’autres détails sur le point de terminaison et
les actions que vous pouvez effectuer. Vous pouvez aussi exporter les journaux dans un fichier CSV en
cliquant sur l’icône du menu
, puis en sélectionnant Export Logs (Exporter les journaux).
Champ
Description
standard)
Status (États)
L’état de l’agent, qui peut être En exécution (Running), Arrêté (Stopped), Déconnecté
(Disconnected) ou Éteint (Shut down).
Last Heartbeat
(Dernière pulsation)
La date et l’heure auxquelles le dernier message de pulsation a été envoyé par l’agent.
Le nom du point de terminaison.
Type
Le type de point de terminaison, soit Workstation (Poste de travail), Server (Serveur),
ou VDI (virtual desktop infrastructure ; infrastructure de bureau virtuel).
Surveillance
Champ
Description
Last User (Dernier
utilisateur)
Le nom du dernier utilisateur qui s’est connecté sur le point de terminaison.
Version
La version de l’agent Traps installé.
IP (Adresse IP)
L’adresse IP du point de terminaison.
Domain (Domaine)
Le nom de domaine du point de terminaison.
supplémentaires)
OS (Système
d’exploitation)
Architecture
Last Heartbeat (Agent
Local Time) (Dernière
pulsation (Heure locale
de l’agent))
La date et l’heure de modification de la stratégie ou la date et l’heure de modification
de l’état, selon l’heure affichée sur le point de terminaison.
Last Heartbeat (Server
Local Time) (Dernière
pulsation (Heure locale
de serveur))
La date et l’heure de modification de la stratégie politique ou la date et l’heure de
modification de l’état, selon l’heure affichée sur la console ESM.
License expiration date
(Dat d’expiration de la
licence)
Date à laquelle la licence expire sur le point de terminaison.
Base DN (ND de base)
Chemin Lightweight Directory Access Protocol (protocole allégé d’accès annuaire ;
LDAP) du point de terminaison.
Bouton Details (Détails)
Sélectionnez les journaux Agent Policy (Stratégie de l’agent) ou Service Status (État
du service) dans le menu déroulant et cliquez sur Details (Détails) pour examiner la
liste complète pour le point de terminaison. Pour plus d’informations, reportez-vous
à aux sections Affichage de l’historique des règles sur un point de terminaison et
Affichage de l’historique d’état du service sur un point de terminaison.
Utilisez la page Monitor (Surveillance) > Agent > Logs (Journaux) pour consulter les notifications sur les
modifications d’état de l’agent incluant le démarrage et l’arrêt des services, des systèmes, et des processus.
Step 1
Depuis la console ESM, sélectionnez Monitor (Surveillance) > Agent > Logs (Journaux).
Step 2
Pour afficher les entrées du tableau, utilisez les contrôles de page en haut à droite de chaque page pour voir
différentes portions du tableau.
Surveillance
Step 3
(En option) Pour trier les éléments du tableau, sélectionnez l’en-tête de colonne pour effectuer le tri par ordre
croissant. Sélectionnez à nouveau l’en-tête de colonne pour effectuer le tri par ordre décroissant.
Step 4
(En option) Pour filtrer les entrées du tableau, cliquez sur l’icône du filtre à droite de la colonne pour
spécifier jusqu’à deux ensembles de critères selon lesquels filtrer les résultats.
Step 5
(En option) Afin d’exporter les journaux vers un fichier CSV, cliquez sur l’icône de menu
Export Logs (Exporter les journaux).
, puis sélectionnez
Afficher les détails sur le journal de l’agent
La page Agent Logs (Journaux de l’agent) affiche les notifications sur les modifications d’état de l’agent
incluant le démarrage ou l’arrêt des services, des systèmes et des processus.
Le tableau suivant décrit les champs affichés sur la page Monitor (Surveillance) > Agent > Logs (Journaux).
Champ
Description
ID
Identifiant numérique unique pour le message de notification.
Machine Name
(Nom de la machine)
Nom du point de terminaison ayant produit la notification.
Message
Severity (Gravité)
Gravité de la notification, qui dépend du type de rapport :
• High (Élevée)
• Low (Faible)
Report type
(Type de rapport)
Type d’évènement ayant déclenché la notification.
• One time action completion status (État de la progression d’une action ponctuelle)—
Une action terminée sur le point de terminaison. La gravité est faible si l’action se
termine ou moyenne si l’action échoue.
• Process crash (Plantage du processus)—Un processus a planté sur le point de
terminaison. Gravité faible.
• Process injection timed out (Dépassement du délai de l’injection dans le processus)—
L’injection dans le processus a dépassé le délai. Gravité moyenne.
• Service Alive (Service cours)—Le service de l’agent a démarré. Gravité faible.
• Service stopped (Service arrêté)—Le service de l’agent s’est arrêté. Gravité faible.
• System shutdown (Arrêt du système)—Le point de terminaison a été éteint.
Gravité faible.
• Unallocated DEP Access (Accès DEP non alloué)—Un pointeur d’instruction saute à un
emplacement non alloué en mémoire. Cela est habituellement dû à un bogue dans
l’application, mais pourrait aussi indiquer une tentative d’attaque (échouée). Gravité
moyenne.
• Native Reporting Service Start Failed (Échec du démarrage du service de création de
rapports)—Le service de création de rapports n’a pas pu démarrer. Gravité élevée.
Time (Heure)
La date et l’heure d’envoi de la notification.
Surveillance
Consulter le status de l’agent à partir de la console Traps
La console affiche les services actifs et inactifs en affichant
ou
à gauche du type de service.
Sélectionnez l’onglet Advanced (Avancé) pour afficher d’autres onglets en haut de la console. Les onglets vous
permettent de parcourir les pages qui affichent d’autres détails sur les évènements de sécurité, les processus
protégés et les mises à jour de la stratégie de sécurité. Habituellement, un utilisateur n’a pas besoin
d’exécuter la console Traps, mais les informations peuvent être utiles lors de l’enquête sur un évènement
lié à la sécurité. Vous pouvez choisir de masquer l’icône de la zone de notification qui permet de lancer la
console ou d’empêcher totalement son lancement. Pour plus d’informations, voir Masquer ou limiter l’accès
à la console Traps.
Élément du système
Description
Anti-Exploit Protection
(Protection contre les
attaques)
Indique si des règles de prévention d’attaque sont actives ou non dans la
stratégie de sécurité du point de terminaison.
Anti-Malware Protection Indique si des modules de restriction et/ou de prévention contre les logiciels
malveillants sont activés ou non dans la stratégie de sécurité du point de
logiciels malveillants)
terminaison.
Forensic Data Collection
(Collecte des données
d’investigation)
Indique si l’intégration WildFire est activée ou non.
Onglet Status (État)
Affiche l’état de connexion (Connection) et le niveau de protection du point de
terminaison. La console Traps ouvre par défaut l’onglet Status (État) au
lancement.
Onglet Events
(Événements)
Affiche les évènements de sécurité qui se sont produits sur le point de
terminaison.
Onglet Protection
Affiche les processus que l’agent Traps protège et qui sont en cours d’exécution
Onglet Policy (Stratégie)
Affiche les modifications à la stratégie de sécurité du point de terminaison en
incluant la date et l’heure de la mise à jour.
Onglet Verdict Updates
Affiche les modifications de verdict pour les exécutables qui ont été ouverts sur
(Mises à jour des verdicts) le point de terminaison.
Settings (Paramètres)
Affiche les options de langue que vous pouvez utiliser pour changer la langue
de la console Traps.
Surveillance
Élément du système
Description
Lien Check-in now
(Vérifier maintenant)
Lance une mise à jour immédiate de la stratégie de sécurité.
Connexion
Affiche l’état de la connexion entre Traps et le serveur ESM.
Last Check-In
(Dernière vérification)
Affiche la date et l’heure de la dernière réception d’un message de pulsation par
Traps.
Open Log File... (Ouvrir
le fichier journal...)
Ouvre le fichier de trace le plus récent sur le point de terminaison.
Send Support File
(Envoyer le fichier de
support)
Créé un fichier compressé des traces et l’envoie au dossier d’investigation
numérique.
Par défaut, l’affichage des détails standard sur la page Health (Santé) présente un tableau des points de
terminaison avec des champs affichés en haut. La sélection d’un point de terminaison dans le tableau Health
(Santé) développe la ligne pour révéler d’autres détails sur le point de terminaison et vous permet d’afficher
l’historique des règles pour les objets dans votre organisation. Chaque règle dans la stratégie d’agent affiche
la date et l’heure d’application de la règle par Traps, la source de la règles de stratégie (locale ou distante),
le nom et la description de la règle, et l’état actuel de cette règle.
Step 1
Ouvrez le Endpoint Security Manager et sélectionnez Monitor (Surveillance) > Agent > Health (Santé).
Step 2
Sélectionnez la ligne du point de terminaison pour lequel vous voulez afficher l’historique des règles. La ligne
se développe pour afficher d’autres détails et les actions que vous pouvez effectuer.
Step 3
Sélectionnez Agent Policy (Stratégie de l’agent) dans le menu déroulant à droite. Les informations sur l’état
récent s’affichent dans la section Agent Policy (Stratégie de l’agent) et Logs (Journaux) de la page.
Step 4
Cliquez sur Details (Détails) pour afficher le journal complet de l’historique de règle. L’état indique l’une des
conditions suivantes :
• Active—La règle est active dans la stratégie de sécurité du point de terminaison.
• Historic (Historique)—La règle est une ancienne version d’une règle qui est active dans la stratégie de
sécurité du point de terminaison.
• Disabled (Désactivée)—La règle a été désactivée dans la stratégie de sécurité.
Surveillance
Afficher les modifications à la stratégie de sécurité à partir de la console Traps
L’onglet Policy (Stratégie) sur la console Traps affiche les modifications à la stratégie de sécurité du point
de terminaison. Chaque règle affiche le numéro d’identifiant unique, le nom de la règle, la date et l’heure
auxquelles Traps a reçu la stratégie de sécurité à jour contenant la règle, et la description.
Chaque type de règle possède une page de gestion dédiée que vous pouvez utiliser pour afficher
et gérer les règles pour votre organisation. Pour créer un fichier texte contenant la stratégie de
sécurité active sur un point de terminaison, exécutez la commande suivante à partir d’une invite
de commandes :
cyveraconsole.exe export(641980) C:\{DossierCible}\policy.txt
Afficher les modifications à la stratégie de sécurité du point de terminaison
Step 1
Effectuez l’une des actions suivantes pour lancer la console Traps sur le point de terminaison :
• Depuis la zone de notification de Windows, effectuez une clic droit sur l’icône Traps
et sélectionnez
Console, ou effectuez un double clic sur l’icône.
• Exécutez CyveraConsole.exe à partir du dossier d’installation de la console Traps.
Step 2
Affichez les stratégies de sécurité :
1. Si nécessaire, cliquez sur Advanced (Avancé) pour révéler des onglets supplémentaires. Cliquez ensuite
sur l’onglet Policy (Stratégie) pour afficher les règles de protection en cours d’exécution sur le point de
terminaison.
2. Utilisez les flèches haut et bas pour faire défiler la liste des règles de protection.
Par défaut, l’affichage des détails standard sur la page Monitor (Surveillance) > Agent > Health (Santé)
présente un tableau des points de terminaison avec des champs affichés en haut. La sélection d’un point de
terminaison dans le tableau Health (Santé) développe la ligne pour révéler d’autres détails sur le point de
terminaison et vous permet d’afficher l’état de l’agent Traps sur le point de terminaison. Un menu déroulant
dans la section Agent Policy (Stratégie de l’agent) et Service Status (État du service) vous permet d’afficher
une liste partielle des évènements d’état de service (Service Status). Depuis cette section, vous pouvez aussi
afficher le journal complet de l’historique d’état du service. Chaque évènement dans le journal affiche la date
et l’heure de modification du service, la version de Traps exécutée sur le point de terminaison et la
modification d’état (déconnecté, en exécution, éteint ou arrêté).
Step 1
Depuis la console ESM, sélectionnez Monitor (Surveillance) > Agent (Agent) > Health (Santé) de la console
ESM..
Step 2
Sélectionnez la ligne du point de terminaison pour lequel vous voulez afficher l’historique des règles. La ligne
se développe pour afficher d’autres détails et les actions que vous pouvez effectuer.
Step 3
Sélectionnez Service Status (État du service) dans le menu déroulant à droite. Les informations sur l’état
récent s’affichent dans la section Agent Policy (Stratégie de l’agent) et Logs (Journaux) de la page.
Step 4
Cliquez sur Details pour afficher le journal complet de l’état du service.
Surveillance
La page Monitor (Surveillance) > Agent > Health (Santé) affiche un tableau de tous les points de terminaison
qui ont réussi à se connecter à Endpoint Security Manager. Dans les situations où vous devez supprimer un
ou plusieurs points de terminaison de Endpoint Security Manager, par exemple pour éliminer les doublons
ou supprimer les points de terminaison qui ne sont plus utilisés, vous pouvez utiliser l’option Delete selected
(Supprimer sélectionné) dans le menu en haut du tableau.
Step 1
Depuis la console ESM, sélectionnez Monitor (Surveillance) > Agent (Agent) > Health (Santé) de la
console ESM.
Step 2
Sélectionnez une ou plusieurs lignes de points de terminaison que vous aimeriez supprimer.
Step 3
Sélectionnez Delete selected (Supprimer les éléments sélectionnés) dans le menu
Health (Santé). Cliquez sur OK pour confirmer la suppression.
en haut du tableau
La console ESM supprime le ou les points de terminaison de la page Health (Santé). Après la communication
de pulsation au point de terminaison, l’état de la connexion sur la console Traps signale une absence de
connexion au serveur (No connection to server).
Retirez une licence d’un point de terminaison de la page Health (Santé)
La page Monitor (Surveillance) > Agent > Health (Santé) affiche un tableau de tous les points de terminaison
qui ont réussi à se connecter à Endpoint Security Manager. Dans les situations où vous devez retirer une
licence d’un ou plusieurs points de terminaison, par exemple pour éliminer les doublons ou supprimer les
points de terminaison qui ne sont plus utilisés, vous pouvez utiliser l’option Detach License (Retirer la licence)
dans le menu en haut du tableau.
Retirer une licence d’un point de terminaison de la page Health (Santé)
Step 1
Depuis la console ESM, sélectionnez Monitor > Agent > Health (Surveiller > Agent > Santé).
Step 2
Sélectionnez une ou plusieurs lignes de points de terminaison que vous aimeriez supprimer.
Surveillance
Retirer une licence d’un point de terminaison de la page Health (Santé) (Continued)
Step 3
Sélectionnez Detach License (Retirer la licence) dans le menu
sur OK pour confirmer la suppression.
en haut du tableau Health (Santé). Cliquez
La console ESM retire la licence du point de terminaison ou des points de terminaison à partir de la page
Health (Santé) et libère la licence pour qu’elle puisse être utilisée par un autre agent. Après la communication
de pulsation au point de terminaison, l’état de la connexion sur la console Traps signale une absence de
connexion au serveur (No connection to server).
Surveillance
Depuis la console ESM vous pouvez surveiller la santé des serveurs ESM de votre organisation et consulter
les modifications d’état qui se produisent.

Afficher la santé des serveurs ESM

Afficher les détails sur la santé des serveurs ESM

Afficher les notifications concernant le serveur ESM

Afficher les détails des journaux du serveur ESM
Utilisez la page Monitor (Surveillance) > ESM > Health (Santé) pour consulter les notifications par rapport aux
changements qui se produisent dans la santé du serveur ESM, y compris le nombre d’agents qui sont
connectés au serveur ou déconnectés du serveur.
Step 1
Depuis la console ESM, sélectionnez Monitor (Surveillance) > ESM (Agent) > Health (Santé).
Step 2
Step 3
Step 4
Step 5
Step 6
(En option) Pour afficher une liste des agents qui sont connectés au serveur ESM, développez la ligne du
serveur, puis cliquez sur Agent List (Liste des agents), qui se trouve à côté du champ connected (connecté) ou
disconnected (déconnecté). S’il n’y a aucun agent, cette option est grisée.
Afficher les détails sur la santé des serveurs ESM
Depuis la console ESM, sélectionnez Monitor (Surveillance) > ESM > Health (Santé) pour afficher une liste des
serveurs ESM dans l’organisation et leur état de sécurité correspondant.
Le tableau suivant décrit les champs et les actions disponibles pour chaque serveur affiché sur la page Health
(Santé). Par défaut, l’affichage des détails standard sur la page Health (Santé) présente un tableau des
serveurs avec des champs affichés en haut. La sélection d’un serveur dans le tableau Health (Santé)
développe la ligne pour révéler d’autres détails sur le serveur et les actions que vous pouvez effectuer.
Vous pouvez aussi exporter les journaux dans un fichier CSV en cliquant sur l’icône du menu
, puis en
sélectionnant Export Logs (Exporter les journaux).
Champ
Surveillance
Description
standard)
Status (État)
L’état du serveur, qui est soit actif (Active) ou inactif (Inactive).
AUTRE ?
Last Heartbeat
(Dernière pulsation)
La date et l’heure auxquelles le dernier message de pulsation a été envoyé par l’agent.
Name (Nom)
Nom du serveur ESM.
Internal Address
(Adresse interne)
L’adresse interne du serveur ESM.
Connected (Connecté)
Nombre d’agents Traps qui sont connectés au serveur ESM.
Disconnected
(Déconnecté)
Nombre d’agents Traps qui sont déconnectés du serveur ESM.
supplémentaires)
OS (Système
d’exploitation)
Le système d’exploitation installé sur le serveur.
Architecture
Version ESM
La version du logiciel ESM Core.
External Address
(Adresse externe)
L’adresse externe du serveur.
Last WildFire Connection
(Dernière connexion
WildFire)
Heure et date de la dernière communication avec WildFire.
Bouton Agent List
(Liste d’agents)
Affiche le nombre d’agents qui sont déconnectés du serveur ESM ou qui sont
connectés au serveur ESM.
Step 1
Depuis la console ESM, sélectionnez Monitor (Surveillance) > ESM > Logs (Journaux).
Step 2
Step 3
Surveillance
Step 4
Step 5
Afficher les détails des journaux du serveur ESM
La page Monitor (Surveillance) > ESM > Logs (Journaux) affiche des notifications à propos d’un ou de plusieurs
serveurs ESM et des actions lancées à partir d’un ou de plusieurs serveurs ESM, notamment des
changements administratifs, des changements de licence, des changements de gestion de serveurs, des
changements de gestion de politiques, et des changements WildFire).
Le tableau suivant décrit les champs affichés sur la page Monitor (Surveillance) > ESM > Logs (Journaux).
Champ
Description
ID
Identifiant numérique unique pour le message de notification.
Message
Severity (Gravité)
Gravité de la notification, qui dépend du type de rapport :
• High (Élevée)
• Low (Faible)
Report type
(Type de rapport)
Changements administratifs :
• User Login (Connexion utilisateur)
• User Added/Edited (Utilisateur ajouté/modifié)
Changements de licence :
• Agent License Request (Demande d’une licence d’agent)
• Agent License Revoked (Licence d’agent révoquée)
• License Sent to Agent (Licence envoyée à l’agent)
Gestion de serveurs
• ESM Configuration Changed (Configuration ECMP modifiée)
Gestion de stratégie :
• Rule Deleted (Règle supprimée)
• Rule Added/Edited (Règle ajoutée/modifiée)
• Condition Added/Edited (Condition ajoutée/modifiée)
• Enabled Protection (Protection activée)
• Disabled Protection (Protection désactivée)
Gestion de WildFire :
• Verdict Changed - Any to Any (Verdict modifié - Passage de tout à tout)
• Hash Added (Empreinte ajoutée)
• Agent File Upload Failed (Échec du chargement du fichier par l’agent)
Time (Heure)
La date et l’heure d’envoi de la notification.
Surveillance
Chaque page de récapitulatif et gestion de règle affiche les règles actives et inactives pour votre organisation
et possède des outils que vous pouvez utiliser pour gérer les règles.

Affichage du récapitulatif de la règle

Afficher les détails des règles
Chaque type de règle possède une page de récapitulatif et de gestion propre à la règle. Pour afficher un
récapitulatif des règles d’un certain type :
Step 1
Depuis la console ESM, sélectionnez la page de gestion de règle pour ce type de règle, par exemple Policies
(Politiques) > Exploit (Attaque) > Protection Modules (Modules de protection).
Step 2
Step 3
Step 4
Step 5
(En option) Pour développer une entrée de règle, cliquez sur la flèche d’expansion à droite de la règle. Dans
l’affichage développé, vous pouvez voir d’autres détails sur la règle ou effectuer l’une des actions pour gérer
la règle. Reportez-vous à la section Enregistrer les règles.
Afficher les détails des règles
Chaque page de récapitulatif et de gestion de règle dans la console ESM affiche les détails sur les règles qui
composent la stratégie de sécurité de votre organisation.
Le tableau suivant décrit les champs et les actions qui sont disponibles pour chaque page de gestion de règle,
en incluant la prévention d’attaque, la prévention contre les logiciels malveillants, la restriction, les
paramètres WildFire, les actions, les paramètres d’agent et les règles d’investigation numérique. L’affichage
des détails standard fournit des informations récapitulatives pour chaque règle et affiche un tableau des
règles avec des champs affichés en haut. La sélection d’une règle dans le tableau développe la ligne pour
révéler d’autres détails sur la règle et les actions que vous pouvez effectuer.
Champ
Description
standard)
ID
Identifiant numérique unique pour la règle.
Surveillance
Champ
Description
Status (État)
•
•
Type
• Exploit Protection (Protection contre les attaques)
—Actif
—Inactif
• Restriction
• Malware Protection (Protection contre les logiciels malveillants)
• WildFire
• Agent Action (Action de l’agent)
• Agent settings (Paramètres de l’agent)
• Forensics (Investigation numérique)
Date Modified (Date de
modification)
La date et l’heure de la création ou de la dernière modification de la règle.
Name (Nom)
Le nom de la règle.
Description
La description de la règle.
Associated (Lié)
Les objets cibles auxquels s’applique la règle.
Condition
Conditions devant être satisfaites (le cas échéant) pour que la règle s’applique.
supplémentaires)
Creator (Créateur)
L’utilisateur ayant créé la règle.
Created (Créé)
La date et l’heure de création de la règle.
Modifier (Modificateur)
Le compte utilisateur auteur de la dernière modification de la règle (si connu).
Processes (Processus)
(Règles de prévention d’attaque uniquement) Les processus cibles de la règle.
EPMs (EPM)
(Règles de prévention d’attaque uniquement) Le module de prévention d’attaque
(EPM) qui protège le processus.
One time action
(Règles d’activités uniquement) L’action à effectuer sur le point de terminaison.
Restrictions
(Règles de restriction uniquement) Méthode de restriction qui protège contre les
exécutables malveillants.
Agent settings
(Paramètres d’agent)
(Règles de paramètres d’agent uniquement) L’action à effectuer sur le logiciel Traps.
Duplicate (Dupliquer)
(Règles d’action uniquement) Exécuter à nouveau la règle d’action.
Delete (Supprimer)
Supprimer la règle.
Activate (Activer)
Activer la règle (règles inactives uniquement).
Deactivate (Désactiver)
Désactiver la règle (règles actives uniquement).
Edit (Modifier)
Modifier la règle (règles de prévention d’attaque, de restrictions et de paramètres
d’agent uniquement).
Surveillance
Depuis la page Monitor (Surveillance) > Forensics Retrieval (Extraction d’investigation numérique), vous
pouvez consulter les informations sur les fichiers de données d’investigation numérique, y compris les
journaux, les mises à jour WildFire, la collecte de vidage mémoire, et gérer les fichiers de données à partir
d’un emplacement centralisé.
Le tableau suivant décrit les champs et les actions disponibles pour chaque fichier de données d’investigation
numérique. La page Forensics Retrieval (Extraction d’investigation numérique) affiche un tableau avec des
champs affichés en haut et des actions que vous pouvez effectuer pour gérer l’extraction des données
Champ
Description
File Name (Nom du
fichier)
Identifiant numérique unique pour la règle.
Upload State (État du
chargement)
État du chargement, par exemple échoué (Failed), en cours (In Progress), etc.
Machine Name
(Nom de la machine)
Nom de la machine sur laquelle les données d’investigation numérique ont été
collectées.
File Type (Type de fichier) Type de données d’investigation numérique, par exemple, journaux, WildFire ou
vidage.
File Size (Taille du fichier) Taille du fichier d’investigation numérique.
Date Created
(Date de création)
La date et l’heure de la création ou de la dernière modification de la règle d’extraction.
Bouton Download
(Télécharger)
Télécharger le fichier de données d’investigation numérique.
Bouton Delete
(Supprimer)
Supprimer le fichier de données d’investigation numérique.
Vous pouvez trier les entrées du tableau dans l’ordre croissant en sélectionnant l’en-tête de colonne.
Sélectionnez à nouveau l’en-tête de colonne pour trier les entrées du tableau dans l’ordre décroissant. Pour
limiter les résultats, cliquez sur l’icône du filtre à droite de la colonne et spécifiez jusqu’à deux ensembles
de critères. Vous pouvez aussi exporter les journaux dans un fichier CSV en cliquant sur l’icône du menu
,
puis en sélectionnant Export Logs (Exporter les journaux).
Prise en main des règles
Les sujets suivants décrivent les composants de base et les processus associés à chaque règle :

Vue d’ensemble de la règle de stratégie du point de terminaison

Composants et actions communs des règles
Vue d’ensemble de la règle de stratégie du point de
terminaison

Types de règle de stratégie

Application de la stratégie
Types de règle de stratégie
Une stratégie de sécurité du point de terminaison complète englobe des stratégies qui ciblent des moyens
de protection spécifiques. Les règles qui composent chacune des ces stratégies vous permettent d’appliquer
une protection, de gérer les paramètres de Traps et d’effectuer des actions sur chaque point de terminaison.
Vous pouvez configurer des règles qui ciblent des objets spécifiques ou qui s’appliquent lorsqu’elles
concordent avec des conditions spécifiques de correspondance. Ensemble, ces règles vous aident à sécuriser
les points de terminaison de votre organisation.
Le tableau suivant décrit les types de stratégies que vous pouvez configurer dans la console ESM :
Politique
Description
Exploit protection
attaques)
Les règles de protection contre les attaques déterminent la méthode de protection des
processus exécutés sur vos points de terminaison. Chaque règle dans la stratégie de
prévention d’attaque spécifie le type de modules de protection qui servent à protéger les
processus. Pour plus d’informations, voir Règles de protection contre les attaques.
Malware Protection
logiciels malveillants)
Les règles de protection contre les fichiers malveillants se servent des modules de
protection pour bloquer des comportements courants déclenchés par des fichiers
exécutables malveillants. Chaque règle dans la stratégie de protection contre les fichiers
malveillants spécifie le type de module de protection qui sert à bloquer les actions
suspectes. La règle peut également comprendre une liste blanche qui précise les
exceptions à la règle. Pour plus d’informations, voir Gérer les règles de protection de
Malware.
Restriction
Les règles de restriction limitent la portée d’une attaque en spécifiant l’endroit où les
fichiers exécutables peuvent s’exécuter sur les points de terminaison ainsi que la façon
de faire. Pour plus d’informations, voir Règles de restriction.
WildFire
Les règles WildFire permettent l’analyse des fichiers exécutables pré-intervention et
post-prevention en envoyant les empreintes de fichier exécutable et, en option, les
empreintes des fichiers inconnus au nuage WildFire. Pour plus d’informations, voir Règles
du WildFire.
Forensics (Investigation
numérique)
Les règles d’investigation numérique vous permettent de définir des préférences
concernant le vidage mémoire et la collecte de fichier d’investigation numérique. Pour plus
d’informations, voir Règles d’investigation numérique.
Agent settings
(Paramètres d’agent)
Les règles de paramètres d’agent vous permettent de modifier les valeurs des paramètres de
l’agent Traps relatives à la journalisation, à la fréquence de pulsation et à l’accessibilité de la
console. Pour plus d’informations, consultez la section Règles de paramètres d’agent Traps.
Politique
Description
Action
Les règles d’action vous permettent d’effectuer des activités d’administration sur les points
de terminaison. Les actions de gestion unique incluent la désinstallation et la mise à niveau
de Traps, la mise à jour des licences, la protection du logiciel Traps et l’effacement des
fichiers de données. Pour plus d’informations, consultez la section Règles d’action Traps.
Application de la stratégie
Traps évalue les règles selon le type de stratégie qui est associée à la règle. Les règles de protection contre
les attaques, de protection contre les fichiers malveillants et de restriction ne font l’objet d’une évaluation
que lorsqu’un processus ou un fichier exécutable est lancé et que la règle correspond aux Objets cibles, aux
Conditions et aux paramètres. Un objet cible peut être tout utilisateur, groupe, unité d’organisation ou
ordinateur qui apparaît dans Active Directory ou dans tout point de terminaison sur lequel Traps est installé.
Endpoint Security Manager identifie les points de terminaison en fonction des messages qu’envoie Traps au
serveur. Une condition peut être une correspondance exacte avec un fichier, un fichier et une version de
fichier, ou un chemin du registre qui doivent exister sur le point de terminaison. Vous pouvez aussi définir
une condition pour une version spécifique d’un fichier exécutable défini dans le chemin de fichier.
À intervalles de pulsation réguliers, l’agent Traps demande la stratégie de sécurité la plus récente sur le
serveur ESM. Vous pouvez définir la fréquence à laquelle la stratégie de sécurité se met à jour sur le point
de terminaison en réglant le paramètre de pulsation. De plus, vous pouvez manuellement récupérer la
stratégie de sécurité la plus récente à partir de la console Traps. Traps applique les paramètres d’agent ou les
règles de stratégie d’action lorsque le point de terminaison reçoit la mise à jour de stratégie de sécurité et
qu’une règle correspondant aux Objets cibles, aux Conditions et aux paramètres du point de terminaison.
Traps évalue chaque règle en séquence dans la stratégie de sécurité par numéro d’identifiant : un numéro
d’identifiant plus élevé indique une plus grande priorité de la règle. Les règles qui ont été récemment créées
ou modifiées reçoivent un numéro d’identifiant plus élevé et sont donc évaluées en premier. Contrairement
aux pare-feu Palo Alto Networks, qui évaluent les règles de manière hiérarchique, Traps évalue toutes les
règles de la stratégie de sécurité du point de terminaison de manière séquentielle.
Si plusieurs règles possèdent la même configuration de base (par exemple, plusieurs règles configurées pour
le même module de protection contre les logiciels malveillants), Traps détermine la règle qui est prioriaire
afin d’éviter tout conflit de règles. Pour ce faire, Traps examine la spécificité de la règle et le numéro
d’identification. Si la portée d’une règle est plus restreinte que celle d’une autre règle, par exemple une règle
de protection contre les attaques configurée pour un processus donné par rapport à une règle de protection
contre les attaques configurée pour tous les processus, c’est la règle qui a la portée la plus retreinte (plus
spécifique) qui primera. Si les règles ont la même portée, Traps donne préséance à la règle qui possède le
numéro d’identification le plus élevé (ce qui indique une date de création plus récente).
Chaque type de règle possède un ensemble spécifique de champs obligatoires et en option que vous pouvez
personnaliser pour satisfaire les exigences de la stratégie de sécurité de votre organisation.
Le tableau suivant décrit les étapes communes pour la création d’une règle de stratégie de sécurité du point
de terminaison.
Gérer les règles
Sujet
Définissez les paramètres et les actions qui sont spécifiques Pour plus de détails sur les paramètres
au type de règle.
spécifiques requis pour chaque type de
règle, voir :
• Gérer les règles de protection contre les
attaques
• Gérer les règles de protection de Malware
• Gérer les règles et paramètres WildFire
• Gérer les restrictions sur les fichiers
exécutables
• Gérer les règles d’action Traps
• Gérer les règles de paramètres d’agent
• Gérer les règles et paramètres d’investigation
numérique
Ajoutez des conditions d’activation à la règle—des conditions Conditions
que le point de terminaison doit satisfaire pour qu’une règle
soit appliquée.
Définissez les objets cibles (utilisateurs, ordinateurs, unités
d’organisation, groupes et points de terminaison).
Objets cibles
Fournissez un nom de description pour la règle.
Nommer ou renommer une règle
Enregistrez et activez en option la règle.
• Enregistrer les règles
• Gérer les règles enregistrées
Filtrez les règles qui figurent sur la page.
Filtrer les règles
Désactivez ou activez toutes les règles de protection.
Désactiver ou activer toutes les règles de
protection
Conditions

Définir les conditions d’activation pour une règle

Inclure ou exclure des points de terminaison à l’aide de conditions

Supprimer ou modifier une condition de règle
Les conditions d’activation de règle sont les conditions que le point de terminaison doit satisfaire pour
appliquer cette règle sur le point de terminaison. Pour chaque condition, vous pouvez spécifier un chemin
de fichier exécutable, un chemin de fichier exécutable et une version de fichier, ou un chemin du registre qui
doivent exister sur le point de terminaison.
Step 1
Sélectionnez Settings (Paramètres) > Conditions (Conditions). La page Conditions affiche le numéro
d’identifiant (ID) unique, le nom (Name), la Description et le chemin d’accès (Path) (le cas échéant) pour
chaque condition.
Step 2
Ajoutez (Add) une nouvelle condition.
Step 3
Saisissez le nom (Name) et la descriptions (Description) de la condition.
Step 4
Configurez le type de condition qui doit correspondre au chemin d’accès d’un fichier exécutable spécifique,
à une version spécifique ou à une plage de versions d’un fichier exécutable spécifique ou à une clé de registre
spécifique :
• Pour faire correspondre à un fichier exécutable spécifique (ou à une version spécifique d’un fichier
exécutable), spécifiez le chemin d’accès (Path) d’un fichier exécutable qui existe sur le point de terminaison.
Vous pouvez également utiliser des variables de système dans le chemin d’accès. Par exemple, spécifiez
%windir%\system32\calc.exe pour appliquer la règle, si le ficher exécutable du calculateur est lancé
à partir de cet emplacement.
• Si vous avez spécifié un fichier exécutable dans le champ Path (chemin d’accès), vous pouvez également
définir une condition de correspondance pour une version ou une plage de versions de ce fichier
exécutable. Si vous spécifiez une valeur de version, Traps n’appliquera la règle que si l’exécutable est lancé
de l’emplacement spécifié dans le champ Path (Chemin d’accès) et qu’il correspond à la valeur de Version.
Par défaut, la condition correspond à toutes les versions du fichier. Pour restreindre le nombre de versions,
sélectionnez l’une des options Version Comparison (Comparaison de versions) suivantes, puis saisissez le
numéro de la Version :
• Equal (Égal)—Correspond à une version exacte.
• Greater (Supérieur à)—Correspond à toute version qui est égale ou ultérieure à la version spécifiée.
• Lesser (Inférieur à)—Correspond à toute version qui est égale ou antérieure à la version spécifiée.
• Between (Entre)—Correspond à toute version qui correspond aux deux valeurs spécifiées ou qui se situe
entre ces deux valeurs. Par exemple, pour établir une condition qui correspond aux versions 8 et 9 d’Internet
Explorer et à celles qui se situent entre ces deux versions, saisissez C:\Program Files\Internet
Explorer\iexplore.exe dans le champ Path (Chemin d’accès), sélectionnez Version
Comparison:Between (Comparaison de versions : entre), puis saisissez 8 et 9 dans les champs Version.
• Regex—Correspond à une version à l’aide des expressions régulières de .NET Framework 4.
(Voir la page Éléments du langage des expressions régulières à l’adresse
https://msdn.microsoft.com/fr-ca/library/az24scfc(v=vs.100).aspx).
Par exemple, pour faire correspondre à toute version 3.1.x, y compris la version 3.1, utilisez l’expression
régulière suivante : 3\.1(\.[0-9]+)?
Pour ne faire correspondre qu’aux versions 3.1.0 à 3.1.9, utilisez :
3\.1\.[0-9]
Pour ne faire correspondre qu’aux versions 3.2 et 3.4, utilisez :
3\.[24]
Définir les conditions d’activation pour une règle (Continued)
• Spécifiez un chemin du registre (Registry Path) pour une entrée du registre, en commençant pas l’une des
options suivantes : LocalMachine, ClassesRoot, Users, PerformanceData, CurrentConfig
or DynData.
Vous ne pouvez spécifier de chemins de registre CurrentUser, étant donné que Traps fonctionne
en tant que système local.
Traps n’appliquera la règle que si le point de terminaison contient le chemin spécifié dans son registre. Vous
pouvez également configurer une clé (Key) ou une valeur de données (Data) de registre spécifique (châine
et DWord uniquement) en tant que condition de correspondance.
Par exemple, pour appliquer une règle à des points de terminaison pour lesquels IPv6 est activé, configurez
une condition qui correspond aux paramètres de registre suivants :
• Registry Path (Chemin du registre) :
LocalMachine\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters\EnableICSI
Pv6.
• Key (Clé) : DisabledComponents
• Data (Données) : 0
Step 5
Enregistrez (Save) la condition.
Vous pouvez maintenant utiliser la condition comme critère de correspondance pour inclure ou exclure des
points de terminaison de la réception d’une règle. Reportez-vous à la section Inclure ou exclure des points de
terminaison à l’aide de conditions.
En configurant des conditions, vous pouvez activer les règles uniquement pour les points de terminaison qui
correspondent à la condition. Par exemple, songez à une condition qui correspond aux systèmes clients
Windows XP. Lorsque vous ajoutez cette condition à une liste d’inclusion, la règle ne s’appliquera que si le
système client utilise Windows XP. Inversement, si vous ajoutez cette même condition à une liste d’exclusion,
la règle s’appliquera à tous les systèmes clients, à l’exception de ceux qui utilisent Windows XP. Après avoir
ajouté une condition à une liste (d’inclusion ou d’exclusion), vous ne pouvez l’utiliser dans l’autre liste.
Utilisez le flux de travail suivant pour inclure ou exclure un point de terminaison d’une règle à l’aide de
conditions.
Step 1
À la page de configuration des règles, sélectionnez l’onglet Conditions.
Step 2
Sélectionnez une condition et ajoutez-la (Add) à la liste d’inclusion ou d’exclusion. Pour sélectionner plusieurs
conditions, appuyez sur la touche Ctrl et maintenez-la enfoncée pendant que vous effectuez votre sélection.
Step 3
Configurez les paramètres de la règle, puis enregistrez (Save) ou appliquez (Apply) la règle (voir Enregistrer les
règles).
Supprimer ou modifier une condition de règle
Les conditions d’activation de règle sont les conditions que le point de terminaison doit satisfaire pour qu’une
règle s’applique à ce point de terminaison. Après avoir créé une condition, vous pouvez la supprimer ou la
modifier à partir de la page Conditions (Conditions).
Modifier ou supprimer une condition de règle
Step 1
Sélectionnez Settings (Paramètres) > Conditions (Conditions). La page Conditions affiche le numéro
d’identifiant (ID) unique, le nom (Name) et la Description pour chaque condition.
Step 2
Sélectionnez la condition à modifier ou supprimer.
Step 3
Effectuez l’une des actions suivantes.
• Cliquez sur Delete (Supprimer) pour supprimer la condition.
• Modifiez les paramètres de condition, puis enregistrez (Save) les modifications.
Objets cibles
Les objets cibles définissent la portée d’une règle et les points de terminaison auxquels une règle s’applique.
Un objet peut être l’un des éléments suivants :
Objet cible
Description
Users (Utilisateurs)
Un utilisateur défini dans Active Directory.
Groups (Groupes)
Un groupe d’utilisateurs défini dans Active Directory.
Computers (Ordinateurs)
Le nom d’une ordinateur ou d’un dispositif mobile défini dans Active Directory.
Organizational Unit (Unité Une subdivision au sein d’Active Directory dans laquelle vous pouvez placer des
d’organisation)
utilisateurs, des groupes, des ordinateurs et d’autres unités d’organisation.
Existing Endpoints (Points Un ordinateur ou dispositif mobile sur lequel l’agent Traps est installé. Endpoint
de terminaison existants) Security Manager identifie les points de terminaison existants par des messages de
communication qu’il reçoit par les agents Traps.
Pour les objets définis dans Active Directory, la console ESM fournit la saisie automatique au fur et à mesure
que vous tapez.
Les ordinateurs peuvent faire l’objet d’une saisie automatique même s’ils n’exécutent pas Traps
à ce moment-là.
Vous pouvez appliquer les règles à tous les objets, à des objets sélectionnés ou à tous les objets à l’exception
de ceux qui sont dans la liste d’exclusion (Exclude).
Les règles que vous définissez pour les utilisateurs et les groupes s’appliqueront aux utilisateurs et aux
groupes sans tenir compte du point de terminaison sur lequel ils sont connectés.
Nommer ou renommer une règle
La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la
règle et de l’heure de la création. Pour substituer le nom généré automatiquement, sélectionnez l’onglet
Name (Nom), effacez l’option Activate automatic description (Activer la description automatique), puis saisissez
votre propre nom et description de règle.
La règle qui a fait l’objet de la plus récente modification a préséance sur les règles les plus
anciennes de même type. Par conséquent, la modificatioon du nom d’une règle change la date de
modification de la règle, ce qui peut faire en sorte que la règle modifiée peut substituer des règles
plus anciennes.
Les motifs de la création d’une règle peuvent être inclus dans la description de la règle. Par
exemple, vous pourriez inclure un numéro d’identification d’incident ou un lien vers un billet
d’assistance.
Enregistrer les règles
Pour enregistrer une règle, vous devez remplir tous les champs obligatoires pour ce type de règle. Les onglets
avec des champs obligatoires sont indiqués par un onglet fond rouge.
Remplissez les champs obligatoires avant de tenter d’enregistrer ou de modifier une règle.
Après avoir spécifié les champs obligatoires pour une règle, vous pouvez sélectionner une ou plusieurs des
actions suivantes :
Action
Description
Save (Enregistrer)
Enregistrer la règle sans l’activer. L’état de la règle affiché est Inactive, et vous pouvez
l’activer plus tard. Cette option n’est offerte que pour les nouvelles règles ou pour
celles qui sont inactives ou clonées.
Apply (Appliquer)
Enregistrer la règle et l’activer immédiatement. Le serveur ESM envoie la règle mise
à jour lors de la communication de pulsation suivante avec l’agent Traps. Vous pouvez
cependant déclencher une mise à jour de stratégie en cliquant sur Check-in now
(Vérifier maintenant) sur la console Traps installée sur un point de terminaison.
Gérer les règles enregistrées
Après l’enregistrement de la règle, le nom et la description apparaissent dans les journaux et tables du
système appropriés.
Sélectionnez la règle pour consulter les détails et effectuer l’une des actions suivantes :
Action
Description
Duplicate (Dupliquer)
(Règles d’action uniquement) Créer une nouvelle règle à partir d’une règle existante.
Delete (Supprimer)
Supprimez la règle ; la règle est éliminée du système.
Pour supprimer plusieurs règles en même temps, sélectionnez les règles, puis
sélectionnez Delete selected non-Default Rules (Supprimer les règles
personnalisées sélectionnées) dans le menu d’action
en haut du tableau.
Activate/Deactivate
(Activer/Désactiver)
Si la règle a déjà été enregistrée, mais pas encore appliquée, vous pouvez activer
(Activate) la règle pour l’ajouter à la stratégie de sécurité actuelle. Si la règle est active,
vous pouvez la désactiver (Deactivate) pour supprimer la règle de la stratégie de
sécurité actuelle, mais pas du système.
Pour activer ou désactiver plusieurs règles en même temps, sélectionnez les règles,
puis sélectionnez Activate Selected (Activer les règles sélectionnées) ou Deactivate
Selected (Désactiver les règles sélectionnées) dans le menu
en haut du tableau.
Pour désactiver ou activer toutes les règles d’attaque, de logiciel malveillant ou
d’investigation numérique, voir Désactiver ou activer toutes les règles de protection.
Edit (Modifier)
Modifier la définition de la règle. La sélection de cette option ouvre la boîte de
dialogue Configuration de la règle et vous permet de modifier la définition de la règle.
Pour plus d’informations, voir Créer une règle de protection contre les attaques.
Import rules/Export
selected (Règles
d’importation/exportation
sélectionnées)
Dans le menu d’action
en haut du tableau, vous pouvez importer des règles ou
exporter les règles sélectionnées. L’exportation des règles enregistre les règles
sélectionnées dans un fichier XML. Pour plus d’informations, consultez la section
Exporter et importer les fichiers de stratégie.
Show Default Rules/Hide
Default Rules (Montrer les
règles par défaut/Masquer
les règles par défaut)
Dans le menu d’action
en haut du tableau, vous pouvez développer les règles par
défaut ou masquer les règles par défaut. La sélection d’une règle dans le tableau révèle
d’autres détails sur la règle et offre l’option de cloner la règle. Le clonage vous permet
de créer une nouvelle règle qui substitue les paramètres de la stratégie par défaut. Pour
plus d’informations, voir Afficher ou Masquer les règles de stratégie par défaut.
Filtrer les règles
Chaque page de récapitulatif et gestion de règle dans la console ESM affiche les détails sur les règles qui
définissent la stratégie de sécurité de votre organisation. Pour restreindre le nombre de règles que la console
ESM affiche, vous pouvez filtrer les règles à l’aide du contrôle de filtrage situé au-dessus de chaque
colonne. Servez-vous du contrôle de filtrage pour définir une ou deux valeurs à filtrer (l’état de la règle, le
nom de la règle, la description de la règle ou la date de modification).
Les opérateurs qui sont disponibles pour chaque colonne dépendent du type de colonne. Par exemple, vous
pouvez filtrer des colonnes qui affichent du texte en utilisant l’un ou l’autre des opérateurs suivants pour
chercher une chaîne de valeurs : Is equal to (Est égal à), Is not equal to (N’est pas égal à), Starts with (Commence
par), Contains (Contient), Does not contain (Ne contient pas), or Ends with (Se termine par). Si les colonnes
affichent une date, vous pouvez filtrer une date donnée ou une plage de date à l’aide des opérateurs
suivants : Is equal to (Est égal à), Is not equal to (N’est pas égal à), Is after or equal to (Est après ou égal à), Is after,
Is before or equal to (Est avant ou égal à) ou Is before (Est avant).
La console ESM identifie les colonnes faisant l’objet d’un filtrage actif à l’aide d’un icône de filtrage
arrière-plan bleu. Pour supprimer le filtre, cliquez sur l’icône, puis sélectionnez Clear (Effacer).
et d’un
Le tableau suivant présente les colonnes, les opérateurs et les valeurs que vous pouvez utiliser pour filtrer
les règles.
Colonne
Opérateurs
Valeur
Rule Status (État de la
règle)
• Is equal to (Est égal à)
• Is not equal to (N’est pas
égal à)
• Starts with (Commence
par)
• Contains (Contient)
• Does not contain
(Ne contient pas)
• Ends with (Se termine
par)
• Pending (En attente)—Règles enregistrées qui n’ont pas
encore été appliquées.
• Active (Actives)—Règles qui ont été appliquées.
• Inactive (Inactives)—Règles qui ont été désactivées.
• Historic (Historique)—Règles qui ont été supprimées.
• Migrated (Migrées)—Règles qui ont été créées dans
d’anciens versions et qui ont été mises à jour afin de
prendre en charge une nouvelle configuration.
Name (Nom)
<string>
égal à)
par)
• Contient
(Ne contient pas)
par)
Description
<string>
égal à)
par)
• Contient
(Ne contient pas)
par)
Date Modified (Date
modifiée)
<mm/jj/aaaa>
égal à)
• Is after or equal to
(Est après ou égal à)
• Is after (Est après)
• Is before or equal to
(Est avant ou égal à)
• Is before (Est avant)
Désactiver ou activer toutes les règles de protection
Si la stratégie de sécurité relative à la protection des points de terminaison cause des problèmes pour les
points de terminaison dans votre organisation, vous pouvez rapidement désactiver toutes les règles de
stratégie, y compris les règles de stratégie par défaut. La désactivation de la protection supprime
effectivement toutes les restrictions et interrompt les tâches suivantes :

l’injection de Traps dans tous les futurs processus ;

la validation avec WildFire ;

la collecte d’autres données.
La modification des règles des stratégies de sécurité lorsque la protection est désactivée ne prend effet que
lorsque la protection est réactivée.
Après la désactivation de la protection et la résolution des problèmes, vous pouvez rétablir toutes les règles
de stratégie en même temps en activant toutes les protections. (L’activation de la protection n’active pas les
règles qui étaient désactivées au préalable.)
Dans un scénario où vous avez besoin de désactiver une seule règle ou un petit groupe de règles, vous
pouvez sélectionner et désactiver ces règles individuellement à partir de la page de gestion des règles qui est
spécifique à ce type de règle.
Désactiver ou activer toutes les règles de protection
Step 1
Depuis la console ESM, sélectionnez une page de gestion de règle, comme Policies (Politiques) > Malware
(Logiciels malveillants) > Restrictions.
Step 2
• Pour désactiver la protection, cliquez sur Disable All Protection (Désactiver toutes les protections). ESM
désactive toutes les règles et envoie la stratégie de sécurité à jour aux points de terminaison lors de la
prochaine communication de pulsation avec les agents Traps.
• Pour activer la protection, cliquez sur Enable All Protection (Activer toutes les protections). ESM réactive
toutes les règles et envoie la stratégie de sécurité des points de terminaison à jour aux points de
terminaison lors de la prochaine communication de pulsation avec les agents Traps.
Afficher ou Masquer les règles de stratégie par défaut
La stratégie de sécurité de Endpoint Security Manager est préconfigurée et comporte des règles qui
protègent contre les attaques qui profitent des vulnérabilités et des exploitations courantes du logiciel ainsi
que des vecteurs d’attaques.
Lors de la configuration de nouvelles règles, vous pouvez adopter le comportement par défaut ou vous
pouvez substituer les paramètres au besoin pour personnaliser la stratégie de sécurité de votre organisation.
Pour réduire le nombre de règles que vous voyez dans votre stratégie de sécurité, les règles par défaut sont
groupées sous une seule stratégie par défaut. Pour développer et afficher les règles de stratégie par défaut,
sélectionnez Show Default Rules (Afficher les règles par défaut) dans le menu d’action
en haut de la page.
Pour réduire la liste des règles, servez-vous de l’action Hide Default Rules (Masquer les règles par défaut).
Pour substituer une règle par défaut, vous pouvez la cloner et modifier ses paramètres. Dans l’éventualité où
des règles sont similaires, c’est la règle la plus récente qui a préséance sur les règles plus anciennes. L’option
Clone est offerte lorsque vous utilisez l’action Show Default Rules (Afficher les règles par défaut). Il suffit de
sélectionner la règle souhaitée pour afficher des informations supplémentaires.
Protection contre les attaques

Gérer les processus

Gérer les règles de protection contre les attaques
Par défaut, Endpoint Security Manager protège les processus les plus vulnérables et les plus couramment
utilisés dans les environnements Windows. Les détails sur ces processus sont disponibles sur la page Process
Management (Gestion des processus) et incluent les informations sur le type de protection, le nombre
d’ordinateurs qui exécutent le processus, ainsi que la date et l’heure de la première découverte du processus.
Les processus sont classés selon trois catégories : Protected (Protégé), Unprotected (Non protégé) ou
Provisional (Provisoire). Le but de l’état Provisional (Provisoire) est d’indiquer que le processus subi un essai
d’exécution en tant que processus protégé, habituellement sur un petit nombre de points de terminaison et
avec un petit nombre de règles. Une fois l’essai d’exécution terminé et après avoir effectué les ajustements
nécessaires aux règles associées, vous pouvez modifier le type de processus à l’état Protected (Protégé).
Vous pouvez activer la collecte des nouveaux processus en activant WildFire (se reporter à la section
Activation de WildFire) ou en créant une règle de paramètres d’agent pour collecter des informations sur les
nouveaux processus (se reporter à la section Collecter les informations sur les nouveaux processus). Lorsque
de nouveaux processus ou fichiers exécutables s’exécutent sur vos points de terminaison, Traps les signale
à Endpoint Security Manager.
Vous pouvez aussi ajouter une protection à d’autres applications de tiers et propriétaires sans collecter les
informations sur les nouveaux processus en ajoutant ces applications directement à la liste des processus
protégés sur la page Process Management (Gestion des processus).

Protection des processus

Ajouter un processus Protégé, Provisoire ou Non protégé

Importer ou exporter un processus

Afficher, modifier ou supprimer un processus

Afficher les processus actuellement protégés par Traps
Protection des processus
Par défaut, la console ESM de Traps 3.3 protège les processus suivants.
Processus protégés par défaut
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
7z.exe
7zfm.exe
7zg.exe
acrobat.exe
acrord32.exe
acrord32info.exe
amp.exe
applemobiledeviceservice.
exe
apwebgrb.exe
armsvc.exe
browser_broker.exe
bsplayer.exe
chrome.exe
cmd.exe
corelcreatorclient.exe
corelcreatormessages.exe
ctfmon.exe
cuteftppro.exe
divx player.exe
divx plus player.exe
divxconverterlauncher.exe
divxupdate.exe
dllhost.exe
excel.exe
explorer.exe
filezilla.exe
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
firefox.exe
flashfxp.exe
fotoslate4.exe
foxit reader.exe
foxitreader.exe
ftp.exe
ftpbasicsvr.exe
groovemonitor.exe
hxmail.exe
i_view32.exe
icq.exe
icqlite.exe
iexplore.exe
infopath.exe
ipodservice.exe
itunes.exe
ituneshelper.exe
journal.exe
jqs.exe
microsoft.photos.exe
microsoftedge.exe
microsoftedgecp.exe
mirc.exe
msaccess.exe
msnmsgr.exe
mspub.exe
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
nginx.exe
notepad.exe
notepad++.exe
nslookup.exe
opera.exe
opera_plugin_wrapper.exe
outlook.exe
plugin-container.exe
powerpnt.exe
pptview.exe
qttask.exe
quicktimeplayer.exe
rar.exe
reader_sl.exe
realconverter.exe
realplay.exe
realsched.exe
rundll32.exe
runtimebroker.exe
safari.exe
skype.exe
soffice.exe
spoolsv.exe
svchost.exe
sws.exe
taskeng.exe
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
taskhost.exe
telnet.exe
unrar.exe
vboxservice.exe
vboxsvc.exe
vboxtray.exe
video.ui.exe
visio.exe
vlc.exe
vpreview.exe
webkit2webprocess.exe
wftp.exe
winamp.exe
winampa.exe
winrar.exe
winword.exe
winzip32.exe
winzip64.exe
wireshark.exe
wmiprvse.exe
wmplayer.exe
wmpnetwk.exe
wwahost.exe
xftp.exe
xpsrchvw.exe
Un processus est une instance active d’un programme exécuté par le système d’exploitation. À partir du
Gestionnaire des tâches Windows sur le point de terminaison, vous pouvez voir tous les processus actifs qui
s’exécutent actuellement, y compris les processus système de base. De nombreux processus de base sont
protégés par le système d’opération et ne peuvent être renommés. La modification du nom de ces processus
système—par exemple, la modification du nom du processus calc.exe en calc1.exe—peut amener le
processus à ne plus fonctionner. Étant donné que Traps identifie les processus par leur nom, la modification
du nom d’un processus peut également empêcher Traps d’appliquer les règles de protection au processus
nouvellement renommé.
La console ESM est préconfigurée avec une politique de prévention d’attaque par défaut qui protège les
processus les plus vulnérables et les plus couramment utilisés. Vous pouvez protéger d’autres applications
non courantes, de tiers et propriétaires en ajoutant leur nom à la liste des processus protégés. Chaque règle
dans la stratégie de prévention d’attaque protège un ou plusieurs processus contre un type donné d’attaque
ou de vulnérabilité à l’aide de modules de protection contre les attaques (EPM). Selon la configuration, Traps
peut activer le module de protection contre les attaques dans tous les processus ou pour des noms de
processus donnés. L’ajout d’un nouveau processus à la liste des processus protégés vous permet de le
protéger automatiquement - sans aucune autre configuration - à l’aide des règles de prévention d’attaque
qui s’appliquent à tous les processus.
Pour garantir la poursuite du processus de protection, nous recommandons de ne pas modifier
le nom des processus couramment utilisés sur le système. Si la modification d’un nom s’avère
nécessaire, assurez-vous d’ajouter le processus nouvellement renommé aux processus protégé et
de reproduire les règles de protection qui s’appliquaient à l’ancien nom. Au besoin, vous pouvez
également configurer d’autres règles de protection contre les attaques pour protéger le processus.
En étendant la protection aux applications importantes pour votre organisation, vous pouvez fournir une
protection maximale avec un minimum de perturbation des activités quotidiennes. Ajoutez les processus
avec l’état protégé, provisoire ou non protégé et configurez-les en utilisant la page Process Management
(Gestion des processus).
Vous pouvez uniquement configurer les règles de protection contre les attaques sur les processus
Protected (Protégés) ou Provisional (Provisoires).
Vous ne pouvez pas modifier les processus Protected (Protégés) par défaut qui sont inclus dans
la configuration initiale. Consultez l’équipe d’assistance Palo Alto Networks pour toute question.
Step 1
Accédez à la page Process Management. À partir de la console ESM, sélectionnez Policies (Politiques) >
Exploit (Attaque) > Process Management (Gestion des processus).
Ajouter un processus Protégé, Provisoire ou Non protégé (Continued)
Step 2
Step 3
Ajoutez un nouveau processus.
Enregistrez vos modification au
processus protégé.
1.
Cliquez sur Add (Ajouter).
2.
Saisissez le nom du processus (Process name).
3.
Sélectionnez le type de protection (Protection type) :
• Protected (Protégé)—Indique que les règles de sécurité
protègent activement le processus.
• Provisional (Provisoire)—Vous permet de séparer
logiquement les processus protégés des processus qui
subissent un essai de fonctionnement en tant que
• Unprotected (Non protégé)—Indique que les règles de
sécurité ne protègent pas activement le processus.
Cliquez sur Create (Créer)
Utilisez les fonctions d’exportation et importation dans la console ESM pour sauvegarder une ou plusieurs
définitions de processus utilisées dans votre stratégie de sécurité. Les fonctions d’exportation et importation
vous permettent de sauvegarder les processus avant la migration ou la mise à niveau vers un nouveau
serveur ou le déploiement d’un processus géré vers plusieurs serveurs indépendants. Vous pouvez exporter
les processus de manière globale ou individuelle et les enregistrer dans un fichier XML. La fonction
d’importation ajoute les processus importés à la liste existante des processus par défaut et ajoutés et
affiche également leurs types de protection.
Step 1
Accédez à la page Process Management À partir de la console ESM, sélectionnez Policies (Politiques) >
(Gestion des processus)
Exploit > (Attaque) Process Management (Gestion des processus).
Step 2
Importez ou exportez un ou plusieurs
processus.
• Pour importer les processus, cliquez sur l’action
du menu,
puis sélectionnez Import processes (Importer les processus).
Accédez (Browse) au fichier qui contient les détails sur les
processus que vous souhaitez importer et chargez-le (Upload).
Les processus apparaissent dans le tableau une fois que le
chargement est terminé.
• Pour exporter les processus, sélectionnez un ou plusieurs
processus que vous voulez exporter. Dans le menu d’action
,
sélectionnez Export selected (Sélection de l’exportation). La
console ESM enregistre les processus dans un fichier XML.
La page Processes Management (Gestion des processus) dans la console ESM affiche tous les processus que
la stratégie de sécurité de votre organisation protège. Pour modifier ou supprimer un processus, vous devez
d’abord retirer le processus de toutes les règles associées.
Step 1
Accédez à la page Process Management À partir de la console ESM, sélectionnez Policies (Politiques >
(Gestion des processus).
Exploit (Attaque) > Process Management (Gestion des processus).
Step 2
Afficher les processus dans le tableau
Process Management.
Utilisez les contrôles de page en haut du tableau pour voir
Les champs suivants sont affichés :
• Process (Processus)—Nom de fichier du fichier exécutable du
processus.
• Protection Type (Type de protection)—Protégé, non protégé, ou
provisoire.
• Computers (Ordinateurs)—Nombre de points de terminaison sur
lesquels le processus a été exécuté.
• Linked Rules (Règles liées)—Nombre de règles configurées pour
le processus.
• First Discovered On (Première détection sur)—Nom du point
de terminaison sur lequel le processus a été découvert la
première fois.
• First Seen (Première analyse)—Date et heure de la première
découverte du processus sur le point de terminaison (après
réception d’une règle pour signaler les nouveaux processus).
Step 3
Supprimez ou modifiez le processus.
Si le processus est utilisé dans toutes les règles, vous devez d’abord
dissocier (supprimer) le processus de la règle. Une fois le processus
dissocié, vous pouvez sélectionner le nom du processus et
effectuez l’une des actions suivantes :
• Supprimez (Delete) le processus.
• Modifiez le nom du processus (Process Name), puis enregistrez
(Save) vos modifications.
• Modifiez le type de protection (Protection type), puis enregistrez
(Save) vos modifications.
Lorsqu’un utilisateur crée ou ouvre un processus protégé sur un point de terminaison, l’agent Traps injecte
un module de protection, appelé module de prévention d’attaque (EPM), au sein du processus. Les règles de
stratégie de sécurité du point de terminaison déterminent les EPM qui sont injectés dans les processus.
Vous pouvez voir les processus actuellement protégés par Traps en utilisant la console Traps ou une interface
en ligne de commande appelée Cytool (voir Afficher les processus actuellement protégés par Traps).
L’onglet Protection sur la console Traps affiche les processus actuellement protégés par Traps.
Pour chaque processus, Traps affiche le nom, la description, le numéro d’identifiant unique, l’heure à laquelle
le processus a été lancé et le registre d’allocation de mémoire.
Step 1
Step 2
Lancez la console Traps :
• Depuis la zone de notification de Windows, effectuez un double clic sur l’icône Traps
clic droit sur l’icône et sélectionnez Console.
La console Traps se lance.
ou effectuez un
Sélectionnez l’onglet Advanced (Avancé) > Protection pour afficher les processus protégés.

Règles de protection contre les attaques

Hiérarchie des règles de protection contre les attaques

Modules de protection contre les attaques (EPM)

Stratégie de protection contre les attaques par défaut

Créer une règle de protection contre les attaques

Règles de protection contre les attaques
Une règle de protection contre les attaques utilise les Modules de protection contre les attaques (EPM)
pour protéger les processus de votre organisation contre les techniques d’exploitation spécifiques. Un EPM
est un module de code que vous activez pour un ou plusieurs processus afin d’éviter les attaques aux
vulnérabilités du programme basées sur la corruption de mémoire ou sur des failles logiques.
La Stratégie de protection contre les attaques par défaut comprend un ensemble préconfiguré de règles de
protection contre les attaques qui sont activées pour les processus protégés couramment utilisés. Pour
protéger les processus et autres applications qui sont importants pour votre organisation, vous pouvez les
ajouter à la liste des processus protégés ou provisoires, puis configurer des règles de protection contre les
attaques supplémentaires. Par exemple, pour protéger deux processus que votre organisation utilise (par
exemple, ProcessA.exe et ProcessB.exe) contre un type d’attaque de corruption de la mémoire, nommé
return oriented programming (programmation orientée retour ; ROP), vous pouvez ajouter les processus à la
liste des processus protégés, puis créer une règle de protection contre les attaques qui active l’EPM
d’atténuation ROP. Lorsqu’un utilisateur ouvre un fichier ou un URL, l’agent Traps injecte du code dans le ou
les processus protégés qui sont impliqués par l’ouverture du fichier et active l’EPM. Si le fichier contient du
code conçu pour exploiter les API utilisées dans les chaînes ROP, Traps bloque l’attaque par corruption de
mémoire. Lorsqu’un évènement de sécurité déclenche une prévention, l’agent Traps prend également un
instantané de la mémoire pour l’investigation numérique suivante.
L’agent Traps récupère régulièrement la stratégie de sécurité la plus récente sur le serveur ESM. La stratégie
de sécurité détermine les processus qui sont protégés par Traps et le type d’EPM que Traps active pour
protéger le processus.
Affichez un récapitulatif des règles de protection contre les attaques sur la page Policies (Politiques) > Exploit
(Attaque) > Protection Modules (Modules de protection). La sélection d’une règle sur la page affiche d’autres
informations sur la règle et les autres actions que vous pouvez entreprendre à l’égard de la règle (supprimer
(Delete), activer/désactiver (Activate/Deactivate), ou modifier (Edit) la règle). Pour plus d’informations, voir
Gérer les règles de protection contre les attaques.
Consultez l’assistance Palo Alto Networks avant d’effectuer toute modification aux EPM dans les
règles de stratégie de sécurité.
Hiérarchie des règles de protection contre les attaques
Lorsque de nouvelles règles de protection contre les attaques sont ajoutées à la stratégie de sécurité, le
mécanisme de règle Traps fusionne toutes les règles configurées dans une stratégie efficace qui est évaluée
pour chaque point de terminaison. Dans le cas d’un conflit potentiel entre deux règles ou plus, Traps se sert
des considérations suivantes pour déterminer la règle qui s’applique :


Process specificity (Spécificité du processus)—Plus une règle est spécifique, plus le niveau de priorité est
élevé. Par exemple, une règle qui a été configurée pour un processus donné a préséance sur une règle qui
a été configurée pour tous les processus.
Modification date (Date de modification)—Une règle qui a été créée ou modifiée récemment a la priorité
sur une règle plus ancienne.
Modules de protection contre les attaques (EPM)
Le tableau suivant décrit les types d’EPM et le type d’attaque contre lequel chaque module fournit une
protection.
Nom
Type
Description
Protection CPL
Faille logique
logicielle
Protège contre les vulnérabilités liées à la routine d’affichage pour les images
de raccourci du panneau de configuration de Windows, qui peut être utilisée
comme vecteur d’infection.
DEP
Corruption de
mémoire
Prévention d’exécution des données (DEP). Empêche l’exécution d’un code
exécutable aux zones de mémoire désignées comme contenant des données.
Sécurité DLL
Corruption de
mémoire
Empêche l’accès aux métadonnées cruciales de DLL à partir d’emplacements de
code douteux.
Protection contre
le détournement
de DLL
Faille logique
logicielle
Empêche les attaques de détournement de DLL où le pirate tente de charger
des DLL à partir d’emplacements non sécurisés pour obtenir le contrôle d’un
processus.
Vérification des
exceptions de
pulvérisation sur
le tas
Corruption de
mémoire
Détecte les instances de type heap spray lors de l’occurrence de plantages de
processus suspects (indicatives de tentatives d’exploitation).
Protection des
polices
Faille logique
logicielle
Empêche la manipulation incorrecte des polices, cible courante des attaques.
Cookies GS
Faille logique
logicielle
Protège contre une technique d’attaque courante qui tire partie du
dépassement de tampon pour exploiter un code qui n’applique pas les
restrictions de taille du tampon. Un dépassement de tampon résulte de
l’entropie des contrôles de sécurité du tampon de Windows. Une modification
de la taille du cookie de sécurité qui est utilisé pour allouer l’espace indique que
la pile peut avoir été réécrite ; le processus est terminé si une valeur différente
est détectée.
Mitigation de
corruption de tas
Corruption de
mémoire
Empêche le déclenchement des vulnérabilités de corruption de tas comme le
double libération.
Nom
Type
Description
Protection des
correctifs
Faille logique
logicielle
Empêche l’utilisation des fonctions du système pour contourner la DEP et la
distribution aléatoire de l’espace d’adressage (ASLR).
Atténuation JIT
Corruption de
mémoire
Empêche un pirate de contourner les atténuations de mémoire du système
d’exploitation en utilisant les moteurs de compilation just-in-time (juste à
temps ; JIT). En mode ninja, vous pouvez également configurer des listes
blanches et des crochets avancés pour ce module.
Préaffectation de
bibliothèques
Corruption de
mémoire
Applique le réadressage de modules spécifiques que l’exploitation tente
couramment d’utiliser.
Vérification de la
pulvérisation sur le
tas de mémoire
limité
Corruption de
mémoire
Détecte les instances de type heap spray qui utilisent l’algorithme propriétaire
de Palo Alto Networks, qui est déclenché par une augmentation soudaine de la
consommation de mémoire (indicative d’une exploitation en cours).
Protection contre le Corruption de
déréférencement
mémoire
NULL
Empêche un code malicieux d’effectuer la mise en correspondance avec
l’adresse zéro dans l’espace mémoire, rendant ainsi inexploitable les
vulnérabilités de déréférence de pointeur Null.
DLL compressées
Corruption de
mémoire
Une extension du module de sécurité DLL qui fournit la prise en charge des DLL
condensées qui seront décondensées en mémoire.
Vérification
périodique de la
pulvérisation sur
le tas
Corruption de
mémoire
Détecte les instances de type heap spray qui utilisent l’algorithme propriétaire
de Palo Alto Networks en examinant le tas à des intervalles de temps
prédéfinis.
Préaffectation
aléatoire
Corruption de
mémoire
Augmente l’entropie de la disposition de mémoire du processus pour réduire
les possibilités d’attaque réussie.
Atténuation ROP
Corruption de
mémoire
Protège contre l’utilisation de la programmation orientée retour (ROP) en
protégeant les API utilisées dans les chaînes ROP.
Protection SEH
Corruption de
mémoire
Empêche le détournement du gestionnaire d’exception structuré (SEH), une
structure de contrôle d’attaque couramment utilisée appelée Liste liée, qui
contient une séquence d’enregistrements de fonctions.
Préaffectation de
codes Shell
Corruption de
mémoire
Réserver et protège certaines zones de la mémoire couramment utilisées pour
loger les charges utiles en utilisant des techniques de type heap spray.
Protection du
ShellLink
Faille logique
logicielle
Empêche les vulnérabilités logiques de lien shell.
SysExit
Corruption de
mémoire
Protège contre l’utilisation de la programmation orientée retour (ROP) en
protégeant les API utilisées dans les chaînes ROP.
UASLR
Corruption de
mémoire
Améliore ou implémente complètement ASLR (randomisation de
l’emplacement du module) avec une meilleure entropie, robustesse et une
application stricte.
Stratégie de protection contre les attaques par défaut
Par défaut, la stratégie de sécurité de Endpoint Security Manager contient des Règles de protection contre
les attaques qui sont activées pour la protection contre les attaques qui profitent des vulnérabilités et
exploitations courantes du logiciel. Le tableau suivant décrit les paramètres de la stratégie de protection
contre les attaques par défaut. Lors de la configuration de nouvelles règles de protection contre les attaques,
vous pouvez adopter le comportement par défaut affiché dans la colonne Mode et notification utilisateur ou
vous pouvez substituer les paramètres pour répondre aux exigences de la stratégie de sécurité de votre
entreprise. Pour configurer les paramètres EPM et les EPM avancés vous devez saisir le mot de passe du
mode ninja
.
EPM
Activé par
défaut ?
Mode
Notification
utilisateur
Protection CPL
pour certains
processus
Notification
de
DEP
sur certains
systèmes
d’exploitation
Prévention
relative à la
sécurité DLL
Prévention
relative à la
protection contre le détournement
de DLL
Notification
lors de la
vérification des exceptions de
pulvérisation sur le tas
Prévention
relative à la
protection des polices
Prévention
relative aux
génériques
Prévention
relative à la
mitigation de corruption de tas
Prévention
relative à la
protection des correctifs
Prévention
relative à
Prévention
relative à la
Prévention
relative à
la vérification de la pulvérisation sur
le tas de mémoire limité
Prévention
relative à
la protection contre le
déréférencement NULL
Prévention
relative aux
Mode ninja ?
cookies GS
l’atténuation JAT
pour certains
processus
préaffectation de bibliothèques
SEH maître
VEH maître
DLL compressées
Liste vide par
défaut
Prévention de la
vérification périodique de la
pulvérisation sur le tas
pour certains
processus
Prévention
relative à la
EPM
Mode
Notification
utilisateur
préaffectation aléatoire
Prévention
relative à
l’atténuation ROP
Prévention
relative à la
protection SEH
Prévention
relative à la
préaffectation de codes Shell
Prévention
relative à la
protection du ShellLink
Prévention
relative à
SysExit
Prévention
relative à la
Prévention
relative à la
Prévention
relative à la
compatibilité T01
Activé par
défaut ?
pour certains
processus
UASLR
Mode ninja ?
protection URI
Créer une règle de protection contre les attaques
Une règle de protection contre les attaques utilise les Modules de protection contre les attaques (EPM) pour
protéger les processus de votre organisation contre les technique d’exploitation spécifique.
Créez une règle de protection contre les attaques pour définir le module spécifique utilisé pour protéger les
processus d’usage courant dans votre organisation. Chaque module empêche les tentatives d’exploitation les
vulnérabilités des programmes liées à la corruption de mémoire ou à des failles logiques des logiciels et
protège contre une méthode d’attaque spécifique, comme le détournement de DLL ou la corruption du tas.
Activez un module EPM pour protéger un ou plusieurs processus qui peuvent être vulnérables à un type
particulier d’attaque.
Pour chaque règle de protection contre les attaques que vous ajoutez, configurez des paramètres propres au
EPM et choisissez le ou les processus auxquels la règle s’applique (vous pouvez préciser un seul processus,
plusieurs processus ou tous les processus). Généralement, ces paramètres comprennent l’activation du EPM,
le comportement de Traps et l’envoi de notifications aux utilisateurs.
Comme c’est le cas pour les autres types de règles, vous pouvez réduire la portée d’une règle de protection
contre les attaques en spécifiant les Objets cibles et les Conditions qui doivent être satisfaits pour que la
règle s’applique. Un objet cible peut être tout utilisateur, groupe, unité d’organisation ou ordinateur qui
apparaît dans Active Directory ou dans tout point de terminaison existant sur lequel l’agent Traps est installé.
Une condition peut se référer à un fichier donné, à une certaine version ou plage de versions d’un fichier, ou
à un chemin du registre qui doit exister sur le point de terminaison.
Des EPM et des paramètres affinés supplémentaires sont cachés et ne sont accessibles qu’en mode ninja
Pour configurer les paramètres et les EPM, vous devez saisir un mot de passe d’administrateur
.
La configuration des règles de protection contre les attaques est une fonctionnalité avancée. Pour
modifier ou substituer une règle de protection contre les attaques, consultez l’équipe d’assistance
Palo Alto Networks.
Créer une nouvelle règle de protection contre les attaques
Step 1
Configurez une nouvelle règle de
protection contre les attaques.
Sélectionnez Policies (Politiques) > Exploit (Attaque) > Protection
Modules (Modules de protection), puis ajoutez (Add) une nouvelle
règle.
Step 2
Configurez l’injection de l’EPM.
L’injection de l’EPM est activée par défaut. Pour désactiver la
protection contre les attaques de tous les processus protégés sur
votre système, sélectionnez l’option Disable All EPM Injection
(Désactiver toutes les injections de l’EPM), qui se trouve au bas de
la liste des EPM.
Créer une nouvelle règle de protection contre les attaques (Continued)
Step 3
Step 4
Configurez les paramètres du
module EPM.
1.
Sélectionnez l’EPM dans la liste et configurez ses paramètres
dans la section Details (Détails). Les paramètres pour chaque
type d’EPM sont différents, mais peuvent inclure des
préférences indiquant s’il faut ou non terminer un processus et
avertir l’utilisateur à propos d’un évènement de sécurité.
2.
Répétez l’opération pour ajouter et configurer d’autres EPM.
Pour plus d’informations sur les différents types d’EPM, voir
Règles de protection contre les attaques.
La modification des définitions d’EPM modifie l’ordre
d’évaluation des règles et peut avoir un effet sur votre
degré de protection (voir Application de la stratégie).
Pour éviter de compromettre la sécurité de votre
organisation, consultez l’assistance Palo Alto Networks.
Sélectionnez les processus pour lesquels 1.
vous voulez appliquer la règle.
2.
Avant de configurer une règle de
protection contre les attaques sur un
nouveau processus, vous devez définir le
processus et le type de protection sur la
page Policies (Politiques) > Exploit
(Attaque) > Process Management
(Gestion des processus). Pour ajouter un
3.
nouveau processus, voir Ajouter un
processus Protégé, Provisoire ou Non
protégé. Pour modifier le type de
protection d’un processus, par exemple
de l’état inconnu (Unknown) à l’état
protégé (Protected), voir Afficher,
modifier ou supprimer un processus.
Sélectionnez l’onglet Processes (Processus).
Limitez la liste des processus en sélectionnant le type de
processus dans le menu déroulant (protégé (Protected) ou
provisoire (Provisional)). Les processus provisoires sont des
processus qui subissent un essai de fonctionnement et sont
surveillés séparément des processus protégés. Pour obtenir
une liste des processus qui sont protégés par la stratégie de
sécurité par défaut, voir Protection des processus.
Sélectionnez un ou plusieurs processus auxquels appliquer la
règle et cliquez sur Add (Ajouter). Pour appliquer la règle à tous
les processus protégés ou provisoires, vous pouvez
sélectionner All Processes (Tous les processus).
Pour spécifier une condition, sélectionnez l’onglet Conditions
(conditions), sélectionnez ensuite la condition dans la liste
Conditions, puis ajoutez-la (Add) à la liste Selected Conditions
(conditions sélectionnées). Répétez cette étape pour ajouter
d’autres conditions, au besoin. Pour ajouter une condition à la liste
Conditions, voir Définir les conditions d’activation pour une règle.
Step 5
(En option) Ajoutez des Conditions à la
règle. Par défaut, une nouvelle règle ne
contient aucune condition.
Step 6
(En option) Définissez les Objets cibles
Pour définir un sous-groupe plus petit d’objets cibles, sélectionnez
auxquels s’applique la règle de restriction. l’onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users),
ordinateurs (Computers), groupes (Groups), unités d’organisation
(Organizational Units) ou points de terminaison existants (Existing
Endpoints) dans les zones Inclure (Include) ou Exclure (Exclude).
Endpoint Security Manager interroge Active Directory pour vérifier
les utilisateurs, ordinateurs, groupes ou unités d’organisation ou
identifie les points de terminaison existants à partir des messages
de communication précédents.
Step 7
(En option) Examinez le nom et la
description de la règle. La console ESM
génère automatiquement le nom et la
description de la règle en fonction des
détails de la règle; elle vous permet
toutefois de modifier ces champs,
au besoin.
Pour substituer le nom généré automatiquement, sélectionnez
l’onglet Name (Nom), effacez l’option Activate automatic
description (Activer la description automatique), puis saisissez
un nom et une description de règle de votre choix.
Créer une nouvelle règle de protection contre les attaques (Continued)
Step 8
Enregistrez la règle de protection contre Effectuez l’une des actions suivantes :
les attaques.
• Enregistrez (Save) la règle sans l’activer. Cette option n’est
offerte que pour les nouvelles règles ou pour celles qui sont
inactives ou clonées. Lorsque vous êtes prêt à activer la règle,
sélectionnez la règle dans la page Policies (Politique) > Exploit
(Attaque) > Protection Modules (Modules de protection), puis
cliquez sur Activate (Activer).
• Appliquez (Apply) la règle pour l’activer immédiatement.
Après avoir enregistré ou appliqué une règle, vous pouvez revenir
à la page Protection Modules (Modules de protection) en tout
temps pour l’effacer (Delete) ou la désactiver (Deactivate).
Lorsqu’un point de terminaison tente de lancer une application qui viole une stratégie de protection contre
les attaques, l’agent Traps interrompt l’exécution du processus et signale le processus malicieux à Endpoint
Security Manager. La page Security Events (Événements de sécurité) > Threats (Menaces) fournit des
informations détaillées sur les processus qui déclenchent des évènements de sécurité et sur les modules de
prévention d’attaque (EPM) qui empêchent les attaques.
Pour autoriser l’exécution du processus sur un point de terminaison spécifique sans supprimer ou désactiver
la règle de stratégie, créez une règle d’exclusion basée sur les détails de l’évènement de sécurité. La définition
d’une règle d’exclusion désactive l’EPM qui a empêché l’exécution du processus sur un point de terminaison
spécifique.
Pour éviter l’exposition inutile de votre organisation aux attaques, ne créez des règles d’exclusion
que lorsque cela est nécessaire.
Vous pouvez aussi créer des règles d’exclusion pour un ou plusieurs objets d’organisation (voir Créer une
règle de protection contre les attaques).
Step 1
Lancez la page Threats (Menaces).
Depuis la console ESM, sélectionnez Security Events (Événements
de sécurité) > Threats (Menaces).
Step 2
Sélectionnez l’évènement.
Sélectionnez l’évènement de sécurité pour lequel vous voulez créer
la règle d’exclusion. L’évènement se développe pour afficher
d’autres détails et actions concernant l’évènement de sécurité.
Step 3
Créez une règle d’exclusion.
1.
Cliquez sur Create (Créer) pour remplir la règle avec les détails
sur l’EPM et le point de terminaison spécifiques. Le bouton est
disponible uniquement pour les règles de protection contre les
attaques.
2.
Si nécessaire, examinez les détails sur les onglets Processes
(Processus), Conditions, Objects (Objets) et Name (Nom).
3.
Appliquez (Apply) la règle immédiatement ou enregistrez-la
(Save) pour l’activer ultérieurement.
Exclure un point de terminaison d’une règle de protection contre les attaques (Continued)
Step 4
Vérifiez que la règle d’exclusion permet
l’exécution du processus sur le point de
terminaison.
1.
Ouvrez la console Traps.
2.
Sélectionnez Check-in now (Vérifier maintenant) pour
demander la dernière stratégie de sécurité.
3.
Sélectionnez Advanced (Avancé) > Policy (Stratégie) et vérifiez
que la règle apparaît.
4.
Lancez l’application sur le point de terminaison pour vérifier
que l’utilisateur parvient à exécuter le processus.
Prévention contre les logiciels
malveillants

Flux de prévention contre les logiciels malveillants

Gérer les règles et paramètres WildFire

Gérer les Hashes des fichiers exécutables

Gérer les restrictions sur les fichiers exécutables

Gérer les règles de protection de Malware
Le moteur de prévention des logiciels malveillants se concentre sur trois méthodes pour protéger le
point final :

Analyse WildFire des fichiers exécutables connus et inconnus

Règles de la politique de restriction qui examinent la source du fichier

Modules de protection des logiciels malveillants qui ciblent les comportements souvent initiés par les
processus malveillants

Phase 1 : Évaluation des verdicts d’empreinte

Phase 2 : Évaluation de la politique de restriction

Phase 3 : Évaluation de la politique de prévention de Malware
Phase 1 : Évaluation des verdicts d’empreinte
Lorsque WildFire est activé (voir Activation de WildFire), Piège calcule un hash unique en utilisant
l’algorithme SHA-256 pour chaque fichier exécutable que l’utilisateur ou le terminal tente d’ouvrir. Traps
effectue ensuite une recherche dans son cache local pour déterminer si le hachage correspond à une
décision officielle (connue sous le nom WildFire verdict) Pour savoir si le fichier est malveillant ou bénin.
Si le hachage ne correspond pas à un verdict dans le cache local, Traps interroge le serveur ESM et, si le
serveur ESM n’a pas non plus de verdict pour le hachage, le serveur ESM interroge WildFire. Ces étapes
d’évaluation sont décrits plus en détail dans les sections suivantes :

Recherche sur le cache local (sur le Endpoint)

Le cache du serveur de recherche (dans la base de données)

Recherche sur WildFire

Mises à jour automatiques des verdicts

Mises à jour manuelles des verdicts
Recherche sur le cache local (sur le Endpoint)
Lorsqu’un utilisateur ouvre un fichier exécutable, l’agent Traps effectue un verdict recherche de hachage
dans son cache local. Le cache local est stocké dans le dossier C:\ProgramData\Cyvera\LocalSystem sur le
endpoint et que le cache contienne des hashes et les verdicts correspondants pour chaque fichier qu’un
utilisateur ou la machine tente d’ouvrir sur ce point de terminaison. Le cache ajuste sa taille pour accueillir le
nombre de fichiers exécutables uniques ouverts sur le nœud final. En outre, lorsque la protection de service
est activée (voir Gérer la protection de service), les hashs ne sont accessibles que par l’agent Traps et ne
peuvent pas être modifiés.
Si le verdict pour un hachage est malveillant, Traps signale l’événement de sécurité au gestionnaire de
Sécurité Endpoint et, en fonction du comportement de terminaison configuré pour les fichiers malveillants,
Traps effectue alors l’une des opérations suivantes :

Bloque le fichier exécutable malveillant

Il avertit l’utilisateur du fichier mais autorise tout de même l’exécution

Il inscrit le problème dans le journal en avertissant l’utilisateur et autorise l’exécution du fichier.
Si le verdict d’un hachage indique que le fichier associé est bénin, Traps passe à l’étape suivante de
l’évaluation (voir Phase 2 : Évaluation de la politique de restriction).
Si le hachage n’existe pas dans le cache local ou a un verdict inconnu, Traps interroge le serveur ESM pour
voir s’il y a un verdict pour le hachage dans le cache du serveur.
Le cache du serveur de recherche (dans la base de données)
Après avoir reçu un verdict requête de hachage, le serveur ESM effectue une recherche dans son cache de
serveur (dans la base de données) et répond aux Traps par un verdict, s’il est connu. Le cache du serveur
contient des verdicts pour tous les fichiers exécutables qui ont été ouverts par tous les paramètres de votre
organisation.
Si la recherche de hachage rend un verdict bénin, Traps passe à l’étape suivante de l’évaluation (voir Phase 2 :
Évaluation de la politique de restriction). Si la recherche de hachage rend un verdict malveillant, Traps
enregistre l’événement de sécurité et gère le fichier en fonction de la politique de sécurité pour les fichiers
malveillants (typiquement : blocage).
Si le cache du serveur ne contient pas de verdict pour le hachage ou contient un verdict Inconnusignifiant que
WildFire a déjà reçu une demande de consultation pour le hachage, mais n’a pas analysé le fichier, le serveur
ESM va questionner WildFire.
Recherche sur WildFire
WildFire garde tous les verdicts pour chaque fichier qui ont été soumis et analysés par WildFire, y compris
les échantillons soumis par l’équipe Threat Intelligence de Palo Alto Networks et par les clients WildFire.
Après avoir reçu une requête de verdict de hachage, WildFire effectue une recherche et répond au serveur
ESM avec le verdict : bénin, malveillant ou inconnu. Le serveur ESM met à jour le verdict dans son cache de
serveur et renvoie le verdict à l’agent Traps qui a initié la requête.
Pour demander à WildFire d’analyser automatiquement les fichiers exécutables qui ont un verdict inconnu,
vous pouvez configurer le serveur ESM pour soumettre automatiquement les fichiers (jusqu’à 100Mb
chacun) pour une analyse WildFire. Après que WildFire ait analysé le fichier, il met à jour le verdict qu’il a
pour le fichier et renvoie ce verdict au moment de répondre aux questions suivantes au sujet de ce hachage.
Si l’ajout automatique de fichiers inconnus est désactivé (par défaut), vous pouvez sélectionner
manuellement les fichiers à envoyer à WildFire pour analyse. Pour activer téléchargement
automatique de fichiers inconnus, voir Activation de WildFire.
Dans le cas où le serveur ESM ne peut pas atteindre WildFire, il indique le verdict de hachage comme Pas de
connection et renvoie le verdict à l’agent Traps qui a initié la requête.
Selon la façon dont vous configurez le comportement de terminaison pour les fichiers avec inconnue, pas de
connexion, et malicieux verdicts, Traps ou bloque le fichier ou permet à l’utilisateur de l’ouvrir. Vous pouvez
maintenir les hashes et leurs verdicts comme décrit dans Mises à jour automatiques des verdicts et Mises à
jour manuelles des verdicts.
Mises à jour automatiques des verdicts
Quand WildFire reçoit et analyse de nouveaux échantillons, il met à jour sa base de données de hashes et
de verdicts.
Pour maintenir à jour un cache de hashes et de verdicts WildFire, le serveur ESM interroge périodiquement
WildFire sur les modifications aux verdicts, comme un verdict de hachage qui passe de bénin à malveillant.
Le serveur ESM interroge WildFire- en lots de jusqu’à 500 hashes uniques -pour les fichiers qui ont un
verdict inconnu, une fois toutes les 30 minutes et interroge également WildFire pour les fichiers qui ont
un verdict malveillant ou bénin, qui a été changé au cours des 30 derniers jours. La requête pour les
changements de verdict pour les fichiers connus s’exécute toutes les 1440 minutes (24 heures). Utilisez la
console ESM pour changer la fréquence des requêtes et de modifier le nombre de jours où WildFire devrait
revenir pour chercher des verdicts changés (voir Activation de WildFire).
Mises à jour manuelles des verdicts
Vous pouvez obtenir une copie officielle du rapport WildFire pour chaque fichier exécutable bénin et
malveillant que WildFire a analysé (voir Affichage d’un rapport WildFire). Le rapport contient des
informations de fichier, un résumé du comportement sur le fichier exécutable, et des détails sur le réseau et
l’activité le l’hôte. Utilisez les informations dans le rapport WildFire pour vous aider à décider de remplacer
un verdict ou de revenir un dernier verdict connu verdict par WildFire. Si après avoir examiné le rapport
WildFire, vous croyez que l’évaluation est erronée, vous pouvez aussi signaler l’échantillon pour analyse
ultérieure par Palo Alto Networks (voir Signaler un verdict incorrect).
La substitution d’un verdict ne modifie le verdict que pour un fichier spécifique dans le cache du serveur et
n’affecte pas WildFire ni votre stratégie de sécurité globale (voir Remplacer un verdict WildFire). La console
ESM affiche le verdict redéfinie sur la page de contrôle Hash. La dérogation reste en place jusqu’à ce que vous
la retiriez, à quel moment elle revient au dernier verdict connu par le serveur ESM.
Si vous soupçonnez qu’un verdict WildFire ait changé, et vous ne voulez pas attendre que le serveur ESM
interroge WildFire pour verdicts modifiés, vous pouvez Revérifier une décision WildFire. Cette action
déclenche une requête immédiate à WildFire pour obtenir le verdict courant associé à la table de hachage.
Le serveur ESM envoie tout changement de verdict (en raison d’une mise à jour de WildFire ou par
commande manuelle) avec la prochaine communication de pulsation à tous les paramètres qui ont ouvert
précédemment ce fichier.
Phase 2 : Évaluation de la politique de restriction
Lorsqu’un utilisateur ou la machine tente d’ouvrir un fichier exécutable, Traps évalue d’abord le verdict de
hachage pour le fichier exécutable comme décrit dans Phase 1 : Évaluation des verdicts d’empreinte. Si le
fichier exécutable n’est pas malveillant, Traps vérifie ensuite que le fichier exécutable ne viole pas les règles
de restriction. Par exemple, vous pourriez avoir une règle de restriction qui bloque les fichiers exécutables
non signés ou qui bloque les fichiers exécutables lancés à partir d’emplacements réseau. Si une règle de
restriction se rapporte à un fichier exécutable, Traps bloque l’exécution du fichier et rapporte l’événement
au gestionnaire de sécurité Endpoint et, en fonction de la configuration de chaque règle de restriction,
les Traps peuvent également informer l’utilisateur sur l’événement de prévention.
Si aucune règle de restriction n’est applicable à un fichier exécutable, Traps permet au fichier d’exécuter et
évalue ensuite les règles qui protègent le critère de comportement malveillant (voir Phase 3 : Évaluation de
la politique de prévention de Malware).
Phase 3 : Évaluation de la politique de prévention de Malware
Si un fichier exécutable n’est pas bloqué à la fois par WildFire (comme décrit dans Phase 1 : Évaluation des
verdicts d’empreinte) ni par la politique de restriction (telle que décrite dans Phase 2 : Évaluation de la
politique de restriction), Traps permet l’exécution du fichier à. Si le fichier exécutable présente un
comportement malveillant tel que déterminé par votre politique de prévention des logiciels malveillants, Traps
arrête l’exécution du fichier et empêche le comportement malveillant de continuer. Par exemple, considérons
le cas où vous avez une règle d’injection de menaces qui empêche les processus de création de menaces
distants. Si le lancement de fichiers exécutables et puis tente de créer des menaces distants, Traps bloque le
fichier exécutable de continuer à fonctionner et signale l’événement de sécurité au gestionnaire final de
sécurité.

Activation de WildFire

Règles du WildFire

Configurer une règle WildFire
WildFire c’est la solution Sandbox Palo Alto Networks pour l’analyse de fichiers, y compris les fichiers
exécutables inconnus. WildFire contient des verdicts pour tous les fichiers scrutées : bénins dans le cas d’un
fichier sûr et malveillants dans le cas des logiciels malveillants. L’intégration de WildFire avec Traps est un
service optionnel qui intègre l’analyse WildFire dans votre solution Traps de point de terminaison.
Lorsqu’un utilisateur ou une machine tente d’ouvrir un fichier exécutable sur le terminal, Traps calcule un
identifiant unique (connu sous le nom hash) En utilisant l’algorithme et le vérifie contre la base de données
WildFire SHA256. Si WildFire confirme qu’un fichier est connu comme logiciel malveillant, l’agent Traps
bloque le fichier et en informe le gestionnaire de sécurité terminal (pour plus d’informations, voir Gérer les
Hashes des fichiers exécutables). L’intégration à WildFire est désactivée par défaut ; effectuer les tâches
suivantes pour Activation de WildFire.
Step 1
Dans la console ESM, sélectionnez Paramètres > ESM > WildFire.
Step 2
Activer les paramètres de communication WildFire :
• Sélectionner Autoriser la communication externe avec WildFire pour permettre à l’ESM de comparer les
hashes avec WildFire.
• Sélectionner Autoriser le téléchargement des fichiers exécutables vers WildFire pour permettre à l’ESM
d’envoyer des fichiers à WildFire pour analyse. La désactivation de cette option de téléchargement permet
au serveur ESM de vérifier les verdicts avec WildFire mais pas d’envoyer des fichiers pour l’analyse.
Activation de WildFire (Continued)
Step 3
Dans le champ Intervalle de revérification des verdicts inconnus, entrez la fréquence (en minutes) à laquelle
le serveur ESM resoumet les hashes à WildFire pour les fichiers inconnus. Un fichier peut avoir un verdict
inconnu si c’est la première fois qu’un point terminal soumet le hachage au serveur ou si WildFire n’a pas
encore analysé, ou terminé l’analyse du fichier, (la plage est de 1 à 20160, par défaut 30).
Step 4
Dans le intervalle de revérification du verdict Bénin / Malware champ, entrez la fréquence (en minutes)
à laquelle le serveur ESM revérifie avec WildFire la valeur du hash bénin ou malveillant connu (la plage est
de 1 à 20160, par défaut, 1440).
Step 5
Dans le Télécharger l’intervallle de revérification (Minutes) champ, entrez la fréquence (en minutes) à
laquelle le serveur ESM tente de re-télécharger tous les fichiers qui n’ont pas été téléchargés à WildFire avec
succès (la plage est de 1 à 20160, par défaut 1440).
Step 6
Le serveur ESM interroge WildFire toutes les 24 heures ou comme spécifié dans Step 4 pour déterminer quels
verdicts, le cas échéant, ont changé au cours des 30 derniers jours (par défaut). Vous pouvez modifier la façon
dont le serveur ESM envoie les requêtes pour les verdicts modifiées en spécifiant une valeur de 1 à 30 dans
le changement d’intervalle de vérification des verdicts champ. Par exemple, en spécifiant une valeur de 15
signifie que le serveur ESM interrogera les verdicts qui ont changé au cours des 15 derniers jours.
Step 7
Entrez l’adresse web du cloud WildFire (https://wildfire.paloaltonetworks.com) qui sera utilisé pour vérifier
les hachages et les fichiers.
Step 8
Par défaut, le serveur ESM envoie des fichiers jusqu’à 100 Mo à WildFire pour analyse. Pour modifier la taille
maximale du fichier, entrez une valeur de 1 à 100 (MB). Les fichiers qui dépassent la taille maximale ne sont
pas soumis à WildFire, ni automatiquement ni manuellement.
Step 9
Sauvegarder vos modifications.
Règles du WildFire
Configurez les règles du WildFire pour affiner le comportement et les préférences liées à l’analyse des
fichiers exécutables pour différents groupes de Objets cibles. Un objet cible peut être un utilisateur, un
groupe, une unité d’organisation ou un ordinateur qui apparaît dans le directoire actif ou tout critère sur
lequel l’agent Traps est installé. Le gestionnaire final de sécurité identifie les endpoints par les messages
que Traps envoie au serveur.
Pour chaque règle du WildFire, vous pouvez configurer les paramètres suivants :

Que ce soit pour envoyer des fichiers inconnus à WildFire pour analyse

Que Traps informe l’utilisateur sur un fichier exécutable malveillant

Le comportement des Traps quand il n’y a pas de communication avec le serveur ou avec WildFire

Le comportement des Traps quand WildFire ne reconnaît pas un processus
Vous pouvez créer ou modifier des règles sur le WildFire résumé et la page de gestion (Politiques > Malware >
WildFire). La sélection d’une règle affiche des informations supplémentaires sur cette règle et d’autres actions
que vous pouvez prendre sur la règle (Effacer, Activer/Désactiver, ou modifier).
Pour plus d’informations, voir Activation de WildFire.
Lorsque WildFire est activé, Traps calcule un hachage unique pour chaque fichier exécutable et vérifie l’état
du fichier avec WildFire. Configurer des règles WildFire vous permet d’affiner les préférences et activer la
fonctionnalité pour différents objets cibles.
Step 1
Vérifiez que WildFire est activé.
Step 2
Configurer une règle WildFire.
Step 3
(Optionnel) Configurer les paramètres
WildFire. Par défaut, WildFire hérite
du comportement de la stratégie par
défaut mais vous pouvez modifier les
paramètres pour répondre aux besoins
de votre organisation.
Voir Activation de WildFire.
1.
Sélectionner Politiques > Malware > WildFire.
2.
Ajouter une nouvelle règle ou sélectionnez et modifier une
règle existante.
1.
Configurer l’activation du WildFire en sélectionnant l’une des
options suivantes :
• Oui permet l’intégration WildFire pour permettre au Traps
de calculer et vérifier les verdicts de hachage contre son
cache local de hashes.
• Non désactive l’intégration WildFire.
2.
Spécifie le action le comportement des Traps quand WildFire
confirme qu’un fichier est un exécutable malveillant.
• Sélectionner Hériter pour utiliser le comportement défini
par la politique par défaut (mode d’apprentissage).
• Sélectionner Prévention pour bloquer le fichier exécutable
malveillant.
• Sélectionner Notification pour permettre à l’utilisateur
d’ouvrir le fichier exécutable, soumettre la question, et
informer l’utilisateur sur le fichier malveillant.
• Sélectionner Apprentissage pour permettre à l’utilisateur
d’ouvrir un fichier exécutable malveillant et soumettez la
question, mais de ne pas prévenir l’utilisateur.
3.
Depuis le Alerte de l’utilisateur menu déroulant, indiquez si
Traps informe l’utilisateur sur le fichier exécutable malveillant
en sélectionnant Oui ou Non.
4.
Pour permettre à l’agent Traps de télécharger des fichiers
inconnus sur le serveur ESM, sélectionnez Activé du
Télécharger Exécutable Inconnu menu déroulant.
5.
Sélectionnez le Comportement de Processus Inconnu le
comportement des Traps quand WildFire ne reconnaît pas
un processus.
• Sélectionner Continuer pour permettre à un utilisateur
d’ouvrir un fichier exécutable inconnu.
• Sélectionner Stopper pour bloquer un fichier exécutable
inconnu.
6.
Configurer le comportement des Traps lorsqu’un utilisateur
ouvre un fichier exécutable inconnu, mais que les Traps ne
peuvent pas atteindre le serveur ESM : Cliquez sur l’icône du
mode ninja
et entrez le mot de passe superviseur, puis
sélectionnez l’une des options suivantes.
• Sélectionner Continuer pour permettre à un fichier
exécutable de s’ouvrir si Traps ne peut pas atteindre le
serveur ESM ou que WildFire ne puisse vérifier la sécurité
du fichier.
• Sélectionner Mettre fin pour bloquer un fichier exécutable
si Traps ne peut atteindre le serveur ESM ou WildFire
vérifier la sécurité du fichier.
Configurer une règle WildFire (Continued)
Step 4
(Optionnel) Ajouter Conditions à la règle. Pour spécifier une condition, sélectionnez le Conditions onglet,
Par défaut, une nouvelle règle ne
sélectionnez la condition dans la liste des Conditions, puis l’ajouter
contient pas de conditions.
à la liste de conditions sélectionnées. Répétez cette étape pour
ajouter d’autres conditions, selon les besoins. Pour ajouter une
condition à la liste des Conditions, voir Définir les conditions
d’activation pour une règle.
Step 5
(Optionnel) Définir la Objets cibles
auquel appliquer la règle WildFire. Par
défaut, une nouvelle règle est applicable
à tous les objets de votre organisation.
Step 6
(Optionnel) Examiner le nom de la règle Pour remplacer le nom auto généré, sélectionnez l’Nom onglet,
et sa description. La console ESM génère désactivez Activer la description automatique option, puis entrez
automatiquement le nom de la règle et sa un nom de la règle et la description de votre choix.
description, basée sur les détails de la
règle, mais vous permet de modifier
ces champs, si nécessaire.
Step 7
Enregistrez la règle WildFire.
Pour définir un sous-ensemble d’objets cibles, sélectionnez
le Objets onglet, puis entrez un ou plusieurs Utilisateurs,
Ordinateurs, Groupes, Unités organisationnelles, ou Endpoints
existants dans les zones inclure ou exclure. Le gestionnaire
de sécurité terminal interroge le directoire actif pour vérifier
les utilisateurs, les ordinateurs, les groupes ou les unités
organisationnelles ou identifier les endpoints des précédents
messages de communication.
Effectuez l’une des opérations suivantes :
• Sauvegarder la règle sans l’activer. Cette option est disponible
uniquement pour les règles inactives, clonées, ou nouvelles.
Lorsque vous êtes prêt à activer la règle, sélectionnez la règle
depuis la Politiques > Malware > WildFire page puis cliquez
sur Activer.
• Appliquer la règle pour l’activer immédiatement.
Après l’enregistrement ou l’application d’une règle, vous pouvez
revenir à la WildFire page à tout moment pour Effacer ou
Désactiver la règle.
Lorsque l’intégration WildFire est activée, Traps calcule un hash unique en utilisant l’algorithme SHA-256
pour les fichiers exécutables qui fonctionnent sur un point final et les contrôle à nouveau avec WildFire.
La contrôle Hash page affiche la réponse du WildFire pour chaque hachage envoyé au WildFire.
Si WildFire a déjà analysé un fichier exécutable et déterminé que c’un est malware, WildFire envoie une
réponse qui identifie le fichier exécutable comme Mal intentionné. Si WildFire a déjà analysé un fichier
exécutable et déterminé qu’il ne contient pas de code ou de comportement malveillant, WildFire envoie une
réponse qui identifie le fichier exécutable comme bénin. Si WildFire n’a pas analysé le fichier exécutable
précédemment, il répond avec un statut de Inconnu et, si le serveur ESM ne peut pas atteindre WildFire du
tout, le serveur ESM marque l’état du fichier en tant que Pas de connection. Vous pouvez spécifier les actions
associées à malveillante, bénigne, inconnu, et aucun verdicts de connexion dans les paramètres d’intégration
WildFire (voir Activation de WildFire).

Consulter et rechercher les empreintes

Exportation et importation d’Hashes

Affichage d’un rapport WildFire

Remplacer un verdict WildFire

Revérifier une décision WildFire

Signaler un verdict incorrect

Charger un fichier sur WildFire pour l’analyse
Consulter et rechercher les empreintes
La Contrôle de Hash page affiche un tableau de tous les hashs et leurs verdicts pour les fichiers exécutables
rapportés par les agents pièges dans votre organisation. Un champ de recherche en haut de la page vous
permet de filtrer les résultats par une chaîne complète ou partielle. Le moteur de recherche interroge les valeurs
de hachage, noms de processus et ne renvoie aucun résultat correspondant. La recherche d’une entière valeur
de hachage renvoie un rapport pour seulement un hash unique, si trouvé ; la recherche d’un nom de processus
renvoie tous les enregistrements de hachage qui correspondent au nom du processus, si trouvé.
Exportation et importation d’Hashes
La Control Hash page affiche un tableau de tous les hashes et leurs verdicts pour les fichiers exécutables
rapportés par les agents Traps de votre organisation. L’utilisation la fonction d’exportation dans le menu
d’action
vous permet de sauvegarder des enregistrements de hachage avant de migrer ou d’une mise
à niveau vers un nouveau serveur ou avant de déployer des enregistrements de hachage pour plusieurs
serveurs indépendants. Vous pouvez exporter des enregistrements de hachage sur une base globale ou
individuelle et les enregistrer dans un fichier XML. L’importation des enregistrements de hachage ajoute
de nouveaux hachages à la table de contrôle de hachage existant.
Exporter et importer les fichiers de hashes
Step 1
Dans la console ESM, sélectionnez Politiques > Malware > Contrôle Hash.
Step 2
• Pour sauvegarder ou exporter les enregistrements de hachage, activez la case à cocher en regard de
l’enregistrement que vous souhaitez exporter. Dans le menu d’action
en haut de la table, sélectionnez
Export Sélectionné. La console ESM enregistre les enregistrements de hachage sélectionnés dans un
fichier XML.
• Pour restaurer ou importer de nouvelles règles de politique, sélectionnez Importer Hashes à partir du menu
actions
dans la partie supérieure de la table. Recherchez le fichier XML, puis Télécharger.
Pour aider à faciliter les décisions de contrôle de hachage, vous pouvez voir une copie officielle du rapport
WildFire pour chaque fichier exécutable qu’analyse WildFire. Le serveur ESM remet le rapport et le rend
disponible sur la Contrôle Hash page de la console ESM. Le rapport contient des informations de fichier,
un résumé du comportement sur le fichier exécutable, et des détails sur le réseau et l’activité d’accueil.
Step 1
Step 2
Recherchez et sélectionnez le hash pour lequelle vous voulez consulter le rapport.
Affichage d’un rapport WildFire (Continued)
Step 3
Cliquez sur WildFire Report. La console ESM affiche le rapport mis en cache.
Step 4
Examiner le rapport et prendre des mesures supplémentaires, si nécessaire :
• Remplacer un verdict WildFire
• Revérifier une décision WildFire
• Signaler un verdict incorrect
Vous pouvez remplacer localement un verdict WildFire pour autoriser ou bloquer un fichier sans impact sur
le verdict officiel dans WildFire. Ceci est utile lorsque vous avez besoin de créer une exception pour un
fichier spécifique dans des circonstances ou des paramètres spécifiques sans modifier la politique de sécurité
globale. Après avoir remplacé le verdict, la console ESM affiche tout changement dans le verdict du WildFire
Contrôle Hash page. La dérogation reste en place jusqu’à ce que vous la retiriez, à quel moment elle revient
au dernier verdict connu par le serveur ESM.
Par exemple, considérons le cas où WildFire retourne un verdict sur un hachage spécifique et indique que le
fichier est inconnu. Si votre politique de sécurité est configurée pour bloquer tous les fichiers inconnus et
que vous croyez que le fichier soit bénin, vous pouvez remplacer la politique pour permettre au fichier
spécifique de s’exécuter sans modifier la politique globale. Plus tard, si WildFire retourne un nouveau verdict
indiquant que le fichier a été analysé et déterminé comme malveillant, vous pouvez voir le changement de
verdict sur la contrôle Hash page. Dans ce cas, vous pouvez supprimer la dérogation et permettre à la politique
de sécurité de bloquer le fichier malveillant.
Step 1
Step 2
Pour voir le verdict WildFire pour un hachage spécifique, effectuez une des opérations suivantes :
• Utilisez la recherche en haut de la page pour rechercher une valeur de hash ou un nom de processus.
• Utilisez les contrôles de page en haut à droite de chaque page pour voir différentes portions du tableau.
Step 3
Pour passer en revue les endpoints sur lesquels un utilisateur a tenté d’ouvrir un fichier exécutable,
sélectionnez Liste d’Agent (disponible uniquement quand il y a cinq ou plusieurs instances d’un processus
de hachage).
Step 4
Examiner le rapport WildFire pour le fichier exécutable pour valider votre décision d’annuler le verdict.
Voir Affichage d’un rapport WildFire.
Step 5
Sélectionnez l’enregistrement de hachage, puis Permettre au fichier de s’exécuter ou Bloquer l’exécution du
fichier. Cette dérogation ne porte pas atteinte au verdict officiel du WildFire, mais il change le verdict dans la
politique locale de sécurité pour votre organisation. Si vous soupçonnez un verdict WildFire incorrect, veuillez
envisager de signaler le problème à Palo Alto Networks. Voir Signaler un verdict incorrect.
Step 6
Régulièrement, examinez les disparités entre le verdict officiel WildFire et votre action politique locale.
Step 7
Lorsque la dérogation n’est plus nécessaire, retirez-la. Dans le menu Action
, sélectionnez Revenir au
Verdict WildFire. La console ESM revient au verdict dernier connu par le serveur ESM.
Revérifier une décision WildFire
Si vous pensez que WildFire a changé le verdict d’un fichier, vous pouvez forcer le serveur ESM à interroger
WildFire pour le verdict. Si la réponse WildFire indique une modification du verdict, le serveur ESM met à
jour le verdict dans le cache du serveur local. Puis, lors de la prochaine communication de battement de coeur
avec des agents Traps, le serveur ESM communique le verdict aux endpoints sur lesquels un utilisateur a
tenté d’ouvrir le fichier exécutable.
Revérifier un Verdict WildFire
Step 1
Step 2
Pour voir le verdict WildFire pour un hachage spécifique, effectuez une des opérations suivantes :
Step 3
Sélectionnez l’enregistrement de hachage pour afficher des détails supplémentaires sur le processus de
hachage, puis cliquez sur Revérifier. Pour revérifier plusieurs enregistrements en même temps, sélectionnez
la case à cocher pour chaque enregistrement de hachage, puis sélectionnez Revérifiez avec WildFire à partir
du menu action
. Ces actions déclenchent une requête immédiate à WildFire.
Lorsque vous souhaitez que WildFire réanalyse un fichier et change son verdict officiel, vous pouvez utiliser
la Rapport de Verdict incorrect fonction de la Politiques > Malware > Contrôle Hash page de la console ESM. Cette
action marque un échantillon pour analyse ultérieure par Palo Alto Networks.
Lors de la déclaration d’un verdict de fichier incorrect, vous pouvez fournir votre adresse e-mail et d’autres
informations sur la raison pour laquelle vous croyez que le verdict est incorrect. Si vous choisissez de fournir
votre adresse email, vous recevrez une notification par e-mail contenant les résultats de l’analyse. Si WildFire
modifie le verdict, la console ESM affiche également le verdict mis à jour sur la Contrôle Hash page.
Step 1
Step 2
Localisez le verdict et le signaler à
WildFire.
Remplissez le rapport avec des détails
qui indiquent pourquoi le verdict est
incorrect.
1.
Dans la console ESM, sélectionnez Politiques > Malware >
Contrôle Hash.
2.
Dans le champ de recherche, entrez la valeur de hachage
complète ou partielle ou le nom du processus, puis cliquez sur
l’icône de recherche pour filtrer la liste des hachages.
3.
Sélectionnez la ligne de la table de hachage pour étendre les
détails de hachage puis cliquez sur Signaler comme incorrect.
1.
Vérifiez les informations d’échantillon et vérifiez le verdict que
vous signalez.
2.
(Optionnel) Entrez une adresse de courriel pour recevoir une
notification par e-mail après que Palo Alto Networks ait
terminé l’analyse supplémentaire.
3.
(Facultatif mais recommandé) Entrez tous les détails qui
pourraient nous aider à mieux comprendre pourquoi vous
êtes en désaccord avec le verdict.
4.
Cliquez sur Envoyer.
Avant l’intégration à la solution Traps, WildFire analyse seulement un fichier exécutable s’il a été envoyé par
l’intermédiaire ou téléchargé à partir du pare-feu ou s’il a été soumis à l’aide du portail WildFire. Cela signifie
que certains fichiers exécutables, alors communs, peuvent ne pas avoir été analysés, car il n’ont pas été jugés
utiles de les soumettre en utilisant les méthodes traditionnelles. Pour réduire le nombre de fichiers
exécutables qui sont inconnus par le serveur ESM et par WildFire, vous pouvez envoyer manuellement ou
automatiquement des fichiers exécutables inconnus au WildFire pour une analyse immédiate. Pour envoyer
automatiquement des fichiers inconnus au WildFire, voir Activation de WildFire.
Si l’option pour envoyer automatiquement des fichiers inconnus est désactivée, vous pouvez plutôt
télécharger manuellement un fichier sur une base de cas par cas. Lorsqu’un utilisateur ouvre un fichier
exécutable inconnu, Traps télécharge le fichier dans le dossier légal (tant que le fichier ne dépasse pas la taille
maximale configurée dans Step 8 lorsque vous Activation de WildFire). Ensuite, lorsque vous lancez un
téléchargement manuel du fichier, le serveur ESM envoie le fichier à partir du dossier légal à WildFire.
Une fois que WildFire a terminé l’analyse et renvoie le verdict et le rapport, le serveur ESM envoie le verdict
modifié à tous les agents Traps et applique la stratégie.
Comme plusieurs agents permettent ou le transfert automatique de fichiers inconnus ou de les soumettre
manuellement, le nombre total de fichiers inconnus devrait diminuer de façon spectaculaire pour tous
les utilisateurs.
Step 1
Step 2
Pour consulter le verdict WildFire d’une empreinte spécifique, effectuez l’une des actions suivantes :
• Filtrer les entrées de la table en cliquant sur l’icône de filtre
à la droite d’une colonne pour spécifier
jusque deux ensembles de critères pour filtrer les résultats. Par exemple, filtrer la colonne Verdict pour les
fichiers inconnus.
Step 3
Sélectionnez la ligne pour afficher des détails supplémentaires sur le processus de hachage, puis Télécharger
le fichier à WildFire.
Les règles de restriction vous permettent de définir des limites sur où et comment l’agent Traps gère les
fichiers exécutables sur les paramètres de votre réseau.

Règles de restriction

Wildcards et variables dans les règles de restriction

Ajouter une nouvelle règle de restriction

Gérer les listes blanches globales

Dossiers locaux en liste noire

Dossiers réseau en liste blanche

Définir les restrictions et exemptions pour les supports externes

Définir les restrictions de processus enfants

Définir les restrictions et exemptions pour Java

Définir les exceptions et limitations des fichiers exécutables non signés
Une règle de restriction limite la surface d’une attaque en définissant où et comment vos utilisateurs peuvent
exécuter les fichiers exécutables. Le tableau suivant présente les différents types de restrictions que vous
pouvez configurer :
Description
Exécution de fichiers
exécutables à partir de
certains dossiers
De nombreux scénarios d’attaques sont basées sur l’écriture de fichiers exécutables
malveillants dans certains dossiers et les exécuter ensuite. Il est conseillé de limiter
l’accès à un temporaire local et de télécharger des dossiers sur les points de terminaison
et de dossiers réseau. Pour faire une exception à cette restriction générale, vous pouvez
ajouter des dossiers à une liste blanche. Pour plus d’informations, voyez Gérer les listes
blanches globales, Dossiers locaux en liste noire, et Dossiers réseau en liste blanche.
Exécution de fichiers
exécutables à partir de
supports externes
Un code malicieux peut obtenir l’accès aux points de terminaison via des supports
externes comme les lecteurs amovibles et les lecteurs optiques. Pour se protéger
contre cela, vous pouvez définir des restrictions qui contrôlent les fichiers exécutables,
le cas échéant, que les utilisateurs peuvent lancer à partir de disques externes
connectés aux terminaux de votre réseau. Pour plus d’informations, reportez-vous
à la section Définir les restrictions et exemptions pour les supports externes.
Processus qui engendrent Le code malveillant peut activer en provoquant un processus légitime pour générer
des processus enfants
des processus enfants malveillants. Vous pouvez bloquer le code malveillant en
définissant une règle de restriction appropriée. Pour plus d’informations, voir
Définir les restrictions de processus enfants.
Description
Processus Java exécutés à Un point d’entrée commun pour le code malveillant est à travers des processus Java
partir des navigateurs
qui sont importés à partir d’un hôte distant et lancé par le biais des navigateurs
Internet. Pour se protéger contre ces exploits, vous avez besoin pour empêcher les
applets Java non fiables d’exécuter des objets en utilisant des navigateurs malgré une
liste blanche des processus de confiance spécifiques afin qu’ils puissent fonctionner
sur les endpoints selon les besoins. Vous pouvez choisir de manière sélective les
actions sont autorisées (lire, écrire ou exécuter) sur la base des types de fichiers de
processus, les emplacements et les chemins de Registre. Pour plus d’informations,
reportez-vous à la section Définir les restrictions et exemptions pour Java.
Exécution de processus
sans signature
Un signé processus a une signature d’authentification numérique pour prouver que
la signature provient d’une source fiable. La meilleure pratique dicte que toutes les
demandes légitimes soient signées mais cette pratique n’est pas toujours suivie. Les
restrictions sur les processus non signés empêchent tous les processus non signés de
fonctionner sur vos paramètres, sauf ceux que vous avez explicitement placés en liste
blanche. Vous pouvez également définir une période d’ajournement, ce qui empêche les
processus non signés de fonctionner pendant un certain nombre de minutes après qu’ils
soient d’abord écrits sur le disque du terminal. Parce que l’attaque peut impliquer
l’écriture d’un fichier exécutable malveillant sur le disque et l’exécuter immédiatement,
en utilisant une période de report et de limiter les processus non signés est efficace pour
prévenir les attaques de logiciels malveillants. Pour plus d’informations, reportez-vous à
la section Définir les exceptions et limitations des fichiers exécutables non signés.
Pour chaque restriction, vous spécifiez l’objet cible, les condition, le type de restriction, et l’action pour la
gestion des fichiers exécutables. Un objet cible peut être un utilisateur, un groupe, une unité d’organisation
ou un ordinateur qui apparaît dans le directoire actif ou tout critère sur lequel l’agent Traps est installé.
Le gestionnaire final de sécurité identifie les endpoints par les messages que Traps envoie au serveur.
Une condition peut se référer à un fichier spécifique, une version spécifique ou plusieurs versions d’un
fichier, ou un chemin de registre qui doit exister sur le point de terminaison.
Lorsqu’un utilisateur tente d’ouvrir un fichier exécutable, l’agent Traps évalue, le cas échéant, la restriction
qui doit être appliquée au fichier, puis effectue les actions associées à ces règles d’application. Les actions
déterminent si l’agent Traps empêchera l’exécution du fichier et si l’agent informe l’utilisateur quand une
règle de restriction est déclenchée.
Vous pouvez créer ou modifier des règles de restriction sur la Restrictions résumé et la page de gestion
(Politiques > Malware > Restrictions). La sélection d’une règle affiche plus d’informations sur la règle et d’autres
actions que vous pouvez prendre pour cette règle (Effacer, Activer/Désactiver, ou Modifier). Pour plus
d’informations, voir Gérer les restrictions sur les fichiers exécutables.
Wildcards et variables dans les règles de restriction
Lors de la configuration d’une règle de restriction, par exemple pour configurer le comportement d’un
dossier local ou réseau, vous ajoutez un ou plusieurs fichiers ou dossiers à une liste blanche ou à la liste noire.
Le chemin peut être un chemin complet ou un chemin partiel qui contient des caractères génériques (« * » ou
« ? ») Et / ou des variables d’environnement.

Wildcards dans les règles de restriction

Variables d’environnement dans les règles de restriction

Exemple : Utilisation des Wildcards et variables dans les règles de restriction
Wildcards dans les règles de restriction
Le tableau suivant affiche les caractères génériques que vous pouvez utiliser dans les règles de restriction,
faire correspondre un nom de fichier (indépendamment de l’emplacement), un fichier situé dans un chemin
de dossier ou un dossier spécifique, ou tout autre fichier dans un chemin de dossier ou un dossier spécifique.
Valeur
Objectif
?
Correspond à un seul caractère. Par exemple, Wor?.exe signifie Word.exe et
Worm.exe.
Correspond à toute chaîne de caractères. Par exemple, Word*.exe signifie
Word11.exe and Word2013.exe.
*
Variables d’environnement dans les règles de restriction
En plus de wildcards, les règles de restriction prennent également en charge les variables d’environnement
indigènes, y compris les variables et par l’utilisateur l’ensemble du système. Des règles de restriction prennent
également en charge l’utilisation de plusieurs variables d’environnement, tant que la variable d’environnement
ne se répande pas à une autre variable d’environnement. Vous pouvez utiliser de nombreuses variables
d’environnement qui sont prises en charge par le système d’exploitation Windows, mais certaines variables
d’environnement, y compris cet ensemble spécifique de variables, ne sont pas pris en charge :
environnement variable

%USERNAME%

Des variables d’environnement qui sont privées

Les variables d’environnement récursives qui comprennent d’autres variables d’environnement dans leur
définition (par exemple, %MySystemDrive% avec une définition de %SystemDrive%)
Les sujets suivants décrivent les variables d’environnement prises en charge dans Windows et des exemples
de valeurs cibles.

Soutien des variables d’environnement pour Windows Vista et versions ultérieures

Soutien de la variable d’environnement pour Windows XP
Soutien des variables d’environnement pour Windows Vista et versions ultérieures
Le tableau suivant présente les variables d’environnement et des valeurs cibles prises en charge sur les
terminaux fonctionnant sous Windows Vista et les versions ultérieures.
Le %CommonProgramFiles (x86)% et %Fichiers de programme% les variables
d’environnement se dilatent à la valeur native de la machine. Sur les machines 64 bits, la variable
d’environnement se développe à la valeur 64 bits, même lors de l’utilisation pour le compte d’un
processus 32 bits. Sur les machines 32 bits, les variables d’environnement élargissent le chemin
du fichier fourni par l’application.
Variable d’environnement
Valeur d’exemple
%ALLUSERSPROFILE%
C:\ProgramData
%CommonProgramFiles%
C:\Program Files\Common Files
%CommonProgramFiles(x86)%
(64 bits uniquement) C:\Program Files (x86)\Common Files
%CommonProgramW6432%
(64 bits uniquement) C:\Program Files\Common Files
%ProgramFiles%
C:\Program Files
%ProgramFiles(x86)%
(64 bits uniquement) C:\Program Files (x86)
%ProgramW6432%
(64 bits uniquement) C:\Program Files (x86)
%ProgramData%
C:\ProgramData
%SystemDrive%
C:
%SystemRoot%
C:\Windows
%TEMP% et %TMP%
C:\Users\<nom d’utilisateur>\AppData\Local\Temp
%USERPROFILE%
C:\Users\<nom d’utilisateur>
%windir%
C:\Windows
%COMPUTERNAME%
<Nom_ordinateur>
%ComSpec%
%SystemRoot%\system32\cmd.exe
%FP_NO_HOST_NAME%
NON
%NUMBER_OF_PROCESSORS%
1
%OS%
Windows_NT
%PATH%
%SystemRoot%\system32;%SystemRoot%...
%PATHEXT%
.COM, .EXE,. BAT;.CMD;.VBS;.VBE;.JS;.JSE;. wsf;.WSH;.MSC
%PROCESSSOR_ARCHITECTURE%
AMD64
%PROCESSOR_IDENTIFIER%
Intel64 Family 6 Model 69 Stepping 1, GenuineIntel
%PROCESSOR_LEVEL%
6
%PROCESSOR_REVISION%
4501
Soutien de la variable d’environnement pour Windows XP
Le tableau suivant présente des exemples de variables d’environnement et des valeurs cibles prises en
charge sur les terminaux fonctionnant sous Windows XP.
Variable d’environnement
Valeur d’exemple
%ALLUSERSPROFILE%
C:\Documents and Settings\All Users
%CommonProgramFiles%
C:\Program Files\Common Files
%ProgramFiles%
C:\Program Files
%SystemDrive%
C:
%SystemRoot%
C:\Windows
%TEMP% et %TMP%
C:\Documents and Settings\<nom d’utilisateur>\Local Settings\Temp
%USERPROFILE%
C:\Documents and Settings\<nom d’utilisateur>
%windir%
C:\Windows
%COMPUTERNAME%
<Nom_ordinateur>
%ComSpec%
%SystemRoot%\system32\cmd.exe
%FP_NO_HOST_NAME%
NON
%NUMBER_OF_PROCESSORS%
1
%OS%
Windows_NT
%PATH%
%SystemRoot%\system32; %SystemRoot%
%PATHEXT%
.COM, .EXE,. BAT;.CMD;.VBS;.VBE;.JS;.JSE;. wsf;.WSH;.MSC
%PROCESSSOR_ARCHITECTURE%
x86
%PROCESSOR_IDENTIFIER%
x86 Family 6 Model 58 Stepping 9, GenuineIntel
%PROCESSOR_LEVEL%
6
%PROCESSOR_REVISION%
3a09
Exemple : Utilisation des Wildcards et variables dans les règles de restriction
Le tableau suivant affiche les caractères génériques que vous pouvez utiliser dans les règles de restriction,
faire correspondre un nom de fichier (indépendamment de l’emplacement), un fichier situé dans un chemin
de dossier ou un dossier spécifique, ou tout autre fichier dans un chemin de dossier ou un dossier spécifique.
Exemple
Résultat
C:\temp\a.exe
Correspond seulement au a.exe fichier et seulement s’il est lancé à partir du C:\temp
dossier
%TEMP%\a.exe
Concerne seulement le a.exe fichier et seulement si lancé à partir de la
C:\Users\<nom d’utilisateur>\AppData\Local\Temp dossier sur Windows Vista
et machines ultérieures ou C:\Documents and Settings\<nom
d’utilisateur>\Local Settings\Temp sur les ordinateurs Windows XP
C:\temp*
Correspond à tout fichier lancé à partir de la C:\temp dossier ou de tout dossier ou
sous-dossier dans un chemin qui commence par C:\temp (par exemple,
C:\temp\dossier\a.exe, C:\temp1\a.scr, et C:\\temporaire\dossier\b.exe)
C:\temp\*
Correspond à tout fichier lancé à partir de la C:\temp\ dossier ou sous-dossier (par
exemple : C:\temp\a.scr et C:\temp\temp2\b.exe\)
C:\temp\a?.exe
Correspond à tout fichier commençant par a et suivi d’un second caractère lancé à
partir de la C:\temp\ dossier (par exemple : C:\temp\a1.exe et C:\temp\az.exe)
C:\temp*.exe
Correspond à tout fichier exécutable avec une extension de fichier .exe, un nom de
fichier qui commence avec la température, et qui est lancé à partir du C:\ drive
(par exemple, C:\temp1.exe et C:\temporary.exe) et correspond à tout fichier
exécutable avec une extension de fichier .exe qui est lancé à partir d’un dossier ou
sous-dossier dans un chemin de fichier qui commence par C:\temp (par exemple,
C:\temp\folder\a.exe, C:\temp1\b.exe, and C:\temporary\folder\c.exe)
C:\Temp\*.exe
Correspond à tout fichier exécutable avec une extension de fichier .exe qui est lancé
à partir de la C:\temp\ (ou équivalent %SystemDrive%\temp\ dossier) ou de tout
dossier ou sous-dossier dans un chemin qui commence par C:\temp\
%SystemDrive%\temp\*.exe
*\a.exe
Correspond seulement au a.exe fichier, indépendamment de l’emplacement où il
est lancé
%SystemDrive%\%MyVar%
Quand %MyVar% est égal à un nom de fichier, par exemple monfichier.exe, cela
correspond à ce nom de fichier lors de son lancement à partir du %SystemDrive%
dossier (dans la plupart des cas C:\)
a.exe
(Java ou exécutable non signé règles de restriction seulement) Correspond seulement
au a.exe fichier indépendamment de l’emplacement d’où il est lancé
Java et des règles de restriction exécutable non signées vous obligent à inclure
le fichier .exe à la fin du nom de fichier.
C:\temp
Ne correspond pas à tous les fichiers exécutables parce que le chemin n’est pas un
chemin complet (les chemins partiels doivent contenir au moins un caractère
générique pour être utilisés)
C:\temp\
Créer une nouvelle règle de restriction pour définir des limites pour où et comment les fichiers exécutables
s’exécutent sur les endpoints.
Step 1
Configurer une nouvelle règle de
restriction.
Sélectionner Politiques > Malware > Restrictions et Ajouter une
nouvelle règle.
Step 2
Sélectionnez le type de règle de
restriction que vous ajoutez.
Sélectionnez l’une des options suivantes, puis configurer les
paramètres en fonction du type de restriction que vous ajoutez à
votre politique de sécurité :
• Comportement des dossiers locaux—accès restreint aux
dossiers locaux sur les endpoints. Pour plus d’informations, voir
Dossiers locaux en liste noire.
• Comportement des dossiers réseau—accès restreint aux
dossiers du réseau. Pour plus d’informations, voir Dossiers
réseau en liste blanche.
• Média externe—For more information, see Définir les
restrictions et exemptions pour les supports externes.
• Processus enfants—Blocage de processus enfants malveillants
engendrés par des processus légitimes. Pour plus
d’informations, voir Définir les restrictions de processus enfants.
• Java—prévenir les applets Java non fiables de l’exécution d’objets
à l’aide de navigateurs et d’ajouter des processus de confiance
spécifiques à des listes blanches afin qu’ils puissent fonctionner
sur les endpoints selon les besoins. Pour plus d’informations, voir
Définir les restrictions et exemptions pour Java.
• Exécutables non signés—empêcher tous les processus non
signés de s’exécuter sur vos endpoints, sauf ceux que vous
explicitement whitelistés. Pour plus d’informations, voir Définir
les exceptions et limitations des fichiers exécutables non signés.
Step 3
à la liste des conditions. Répétez cette étape pour ajouter d’autres
conditions, selon les besoins. Pour ajouter une condition à la liste
des Conditions, voir Définir les conditions d’activation pour une
règle.
Step 4
(Optionnel) Définir Objets cibles à quoi
appliquer la règle de restriction. Par
leObjets onglet, puis entrez un ou plusieursUtilisateurs,
existants dans les zones inclure ou exclure. Le gestionnaire de
sécurité terminal interroge le directoire actif pour vérifier les
utilisateurs, les ordinateurs, les groupes ou les unités
Ajouter une nouvelle règle de restriction (Continued)
Step 5
(Optionnel) Examiner le nom de la règle Pour remplacer le nom auto généré, sélectionnez le Nom onglet,
et sa description. La console ESM génère désactivez la Activer la description automatique option, puis
automatiquement le nom de la règle et sa entrez un nom de règle et la description de votre choix.
règle, mais vous permet de modifier ces
champs, si nécessaire.
Step 6
Enregistrez la règle de restriction.
Lorsque vous êtes prêt à activer la règle, sélectionnez la règle de
la Politiques > Malware > WildFire page puis cliquez sur Activer.
revenir à la WildFire page à tout moment Effacer ou Désactiver
la règle.
Gérer les listes blanches globales
Pour permettre à des fichiers exécutables de s’exécuter à partir des dossiers locaux et des médias externes et
permettre des processus enfants initiés à partir de processus parents dans un dossier spécifique, vous pouvez
configurer une liste blanche globale. Semblable à la fonctionnalité de liste blanche existante pour les processus
Java, les fichiers exécutables non signés, et l’injection de menaces, vous pouvez spécifier les chemins complets
et variables de chemin et pouvez également utiliser des caractères génériques pour le modèle correspondant
(% pour correspondre à des termes similaires et * pour correspondre à tous les caractères).
Les éléments dans la section liste blanche ont également la priorité sur tous les éléments en liste noire et sont
évalués en premier dans la stratégie de sécurité.
Configurer une règle de restriction globale
Step 1
Sélectionner Politiques > Malware > Paramètres de restriction.
Step 2
Pour spécifier si les Traps bloquent un fichier exécutable qui est ouvert à partir d’un emplacement non inclus
dans la liste blanche ou qui est plus récent que la période de blocage, configurer l’action comme l’un des
éléments suivants :
• Notification—Ne pas bloquer l’accès à des fichiers et des processus exécutables, mais se connecter lorsque
les fichiers qui sont ouverts à partir d’emplacements non inclus dans la liste blanche et de faire rapport de
ces événements à l’ESM.
ou
• Prévention—Bloquer les fichiers et processus exécutables.
Step 3
Pour spécifier si les Traps doivent avertir l’utilisateur lorsqu’un fichier exécutable est ouvert à partir d’un
emplacement non inclus dans la liste blanche, configurer l’alerte de l’utilisateur comme l’un des éléments
suivants :
• ON—notifier l’utilisateur.
ou
• OFF—Ne Pas avertir l’utilisateur.
Step 4
Cliquez sur l’icône ajouter un dossier
à côté de la zone whitelistée pour le dossier local, le processus
enfant, ou le Media Control et entrez le chemin complet ou le chemin partiel. Par exemple,
C:\Windows\filename.exe.
Les listes blanches soutiennent également les wildcards (voir Wildcards et variables dans les règles de
restriction) et les variables d’environnement, telles que % Windir %.
Step 5
Pour spécifier une période de bloc pour les fichiers non signés, sélectionnez l’Autoriser les exécutables
signés et bloquer exécutables créés non signés option. Configurez ensuite la période de bloc (en minutes)
pendant laquelle Traps doit bloquer un fichier exécutable non signé qui n’est pas défini dans la liste blanche,
ou sélectionnez À tout moment pour configurer que les Traps bloquent toujours les fichiers exécutables qui
ne sont pas signés.
Les Traps permettent à tous les exécutables signés de s’exécuter indépendamment de la période de
blocage.
Vous ne pouvez pas spécifier une période de blocage pour les fichiers exécutables non signés qui
s’exécutent sur un support externe.
Step 6
Cliquez sur Valider pour enregistrer vos modifications.
De nombreux scénarios d’attaques sont basés sur l’écriture de fichiers exécutables malveillants dans les
dossiers locaux communs, tels que temporaires et téléchargement, puis exécutent ces fichiers exécutables.
Pour restreindre l’accès à un dossier commun local, fichier exécutable ou un fichier qui peut créer des
processus, l’ajouter à une liste noire. Lorsqu’un utilisateur tente d’ouvrir un fichier qui est sur la liste noire ou
situé dans un dossier sur la liste noire, les Traps bloquent la tentative et rapportent l’événement de sécurité
à l’ESM.
Pour accorder une exception à la restriction générale, ajoutez un dossier à une liste blanche (voir Gérer les
listes blanches globales).
Step 1
restrictions.
nouvelle règle.
Step 2
Ajouter un dossier local à la liste noire.
1.
Pour spécifier un dossier ou un fichier,
2.
utilisez soit un chemin complet ou un
chemin partiel. Pour des exemples de
syntaxe, voir Wildcards et variables dans
3.
les règles de restriction.
Sélectionner Comportement Local du dossier.
Sélectionnez l’option pour restreindre l’exécution de fichiers,
cliquez sur l’icône ajouter dossier
, et ajoutez le chemin du
dossier à la section Blacklistée.
Répétez ces étapes pour ajouter plusieurs dossiers au besoin.
Step 3
(Optionnel) Ajouter Conditions à la règle. Pour spécifier une condition, sélectionnez l’Conditions onglet,
sélectionnez la condition dans la liste des Conditions, puis
l’ajouterà la liste des conditions. Répétez cette étape pour ajouter
d’autres conditions, selon les besoins. Pour ajouter une condition à
la liste des Conditions, voir Définir les conditions d’activation pour
une règle.
Step 4
Step 5
et sa description. La console ESM génère désactivez la Activer la description automatique option, puis
automatiquement le nom de la règle et sa entrez un nom de règle et la description de votre choix.
Step 6
Pour définir un sous-ensemble d’objets cibles, sélectionnez le
Objets onglet, puis entrez un ou plusieurs Utilisateurs,
Ordinateurs, Groupes, Unités organisationnelles, or Endpoints
la Politiques > Malware > WildFire page puis cliquez sur Activer.
revenir à la WildFire page à tout moment Effacer ou Désactiver la
règle.
Pour éviter les scénarios d’attaque qui sont basés sur l’écriture de fichiers exécutables malveillants dans des
dossiers distants, vous pouvez créer une règle de restriction pour le comportement de dossier réseau qui
définit les emplacements réseau autorisés à partir desquels les fichiers exécutables peuvent s’exécuter.
Lorsqu’un utilisateur tente d’ouvrir un fichier exécutable à partir d’un dossier qui est pas spécifié dans la règle
de restriction, les Traps bloquent la tentative et signalent l’événement de sécurité au serveur ESM.
Step 1
restrictions.
nouvelle règle.
Step 2
Définissez le comportement du dossier 1.
réseau.
2.
Pour spécifier un dossier ou un fichier,
utilisez soit un chemin complet ou un
chemin partiel. Pour des exemples de
syntaxe, voir Wildcards et variables dans
3.
les règles de restriction.
Sélectionner Comportement des dossiers réseau.
Pour permettre à des fichiers exécutables de s’exécuter à
partir des dossiers de réseau spécifiques, sélectionnez la case
à cocher, cliquez sur l’icône ajouter dossier
, et ajoutez le
chemin complet ou chemin partiel à la section Whitelistée.
Répétez ces étapes pour ajouter plusieurs dossiers au besoin.
Step 3
(Optionnel) Ajouter Conditions à la règle. Pour spécifier une condition, sélectionnez l’Conditions onglet,
sélectionnez la condition dans la liste des Conditions, puis
l’ajouterà la liste de conditions. Répétez cette étape pour ajouter
une règle.
Step 4
Step 5
et sa description. La console ESM génère désactivez l’description automatique option, puis entrez un nom
automatiquement le nom de la règle et sa de règle et la description de votre choix.
Step 6
Objets onglet, puis entrez un ou plusieursUtilisateurs,
la Politiques > Malware > Restrictions page puis cliquez sur
Activer.
revenir à la Restrictions page à tout moment Effacer ou
Le code malveillant peut obtenir l’accès aux points de terminaison via des supports externes comme les
lecteurs amovibles et les lecteurs optiques. Pour se protéger contre ce type d’attaque, vous pouvez définir
des règles de restriction qui empêchent les fichiers exécutables de fonctionner sur des disques externes qui
sont attachés à vos extrémités. Définir une restriction sur un support externe protège contre toute tentative
de lancer un fichier exécutable à partir d’un disque dur externe.
Step 1
restrictions.
nouvelle règle.
Step 2
Définissez le comportement de
1.
restriction pour les supports externes.
2.
Par défaut, l’exécution d’applications
non malicieuses et inconnues à partir de
lecteurs amovibles et optiques est
autorisée.
Sélectionner média externe.
Cochez la case pour le type de support externe à partir duquel
vous voulez empêcher l’exécution des applications.
• Lecteurs amovibles
• Lecteurs optiques
Step 3
sélectionnez la condition dans la liste des Conditions, puisl’ajouter
à la liste de conditions. Répétez cette étape pour ajouter d’autres
règle.
Step 4
Step 5
Step 6
Objets onglet, puis entrez un ou plusieursUtilisateurs,
Activer.
Définir les restrictions de processus enfants
Lors d’une tentative de contrôle d’un point de terminaison, un pirate peut obliger un processus légitime à
engendrer des processus enfants malicieux. Définissez une règle de restriction pour empêcher le lancement
de processus enfants à partir d’un ou plusieurs processus.
Définir les restrictions et exemptions pour les processus enfants
Step 1
restrictions.
nouvelle règle.
Step 2
Définissez le comportement de
restriction pour les processus enfants.
Par défaut, les processus enfants
engendrés à partir d’un processus
protégé sont autorisés.
1.
Sélectionner Processus d’enfants.
2.
Dans le Sélectionnez processus champ de recherche, entrez
puis sélectionnez le nom du processus protégé. Lorsque vous
tapez, la console ESM affiche tous les processus protégés qui
répondent à votre terme de recherche.
Pour modifier la liste des processus protégés, voir Gérer
les processus.
3.
Répétez les étapes 2 pour ajouter des noms de processus
supplémentaires, au besoin.
Step 3
(Optionnel) Ajouter Conditions à la règle. Pour spécifier une condition, sélectionnez leConditions onglet,
sélectionnez la condition dans la liste des Conditions, puisl’ajouter
à la liste de conditions. Répétez cette étape pour ajouter d’autres
règle.
Step 4
Step 5
Step 6
existantsdans les zones inclure ou exclure. Le gestionnaire de
Activer.
Un point d’entrée commun pour le code malveillant est à travers des processus Java qui sont importés à
partir d’un hôte distant et lancé par le biais des navigateurs Internet. Pour se protéger contre ces exploits,
vous pouvez configurer les pièges pour empêcher une applet Java d’exécuter des objets à partir de
navigateurs Web et uniquement les processus des listes blanches de confiance afin qu’ils puissent s’exécuter
au besoin. Utilisez l’option whitelist pour choisir sélectivement les types de fichiers, les emplacements et les
chemins de registre pour lesquels ces processus sont autorisés à lire et à écrire.
Step 1
restrictions.
Step 2
Définissez les restrictions sur les
1.
processus Java.
2.
Par défaut, les restrictions de
processus Java sont désactivées.
Activation de la règle de restriction
Java vous permet de placer des
3.
restrictions sur les processus Java
mais ne pas activer ou de désactiver
l’une des règles de l’EPM.
nouvelle règle.
Sélectionner Java.
Sélectionner activation Java déroulante, sélectionnez ON pour
permettre à la règle ou OFF pour désactiver la règle.
Tous les paramètres supplémentaires sont grisées si Java
est désactivé.
Configurer le action à prendre quand un processus Java tente
d’appeler un processus enfant, modifier les paramètres de
registre, ou modifier les fichiers système à partir d’un
navigateur Web :
• Hériter—hériter du comportement de la stratégie par défaut.
• La prévention—terminer le processus Java.
• Notification—soumettez la question et permettre au
processus Java pour continuer.
4.
Configurer le Alerte de l’utilisateur comportement quand un
processus Java tente d’appeler un processus enfant, modifier
les paramètres de registre, ou modifier les fichiers système à
partir d’un navigateur Web.
• ON—notifier à l’utilisateur.
• OFF—Ne pas avertir l’utilisateur.
5.
Dans la section Processus Java de la liste blanche, cliquez sur
le bouton ajouter processus
pour spécifier les processus
Java qui seront autorisés à s’exécuter à partir des navigateurs
Web (par exemple AcroRd32.exe). Répétez cette étape pour
ajouter d’autres processus.
6.
Pour spécifier si un processus Java peut modifier les paramètres
de registre, sélectionnez Activée du Registre des modifications
déroulant, puis configurer les autorisations de Registre :
a. Pour chaque chemin de Registre, définissez chaque
autorisation (Lire, Écrire, et Effacer) à Permettre, Bloquer,
ou Hériter (défaut).
b. Cliquez sur le bouton Ajouter chemins de Registre
pour
ajouter des chemins de registre supplémentaires au besoin.
7.
Pour spécifier si un processus Java peut lire ou écrire dans un
fichier, sélectionnez Activé du menu Modifications du système
de fichiers déroulant, puis configurer les permissions de fichiers :
a. Pour chaque nouveau modèle de fichier, définissez chaque
autorisation (lecture et écriture) Permettre, Bloquer, ou
Hériter (défaut).
b. Cliquez sur le bouton ajouter la configuration de fichier
pour ajouter un nouveau modèle de fichier.
8.
Depuis la Navigateurs list. des, sélectionnez les navigateurs
sur lesquels appliquer la protection Java.
Définir les restrictions et exemptions pour Java (Continued)
Step 3
(Optionnel) Ajouter Conditions à la règle. Pour spécifier une condition, sélectionnez le Conditionsonglet,
Step 4
Step 5
Step 6
leObjets onglet, puis entrez un ou plusieurs Utilisateurs,
Activer.
Un signé processus a une signature d’authentification numérique pour prouver que la signature provient
d’une source fiable. La meilleure pratique dicte que toutes les demandes légitimes soient signées. Les
restrictions sur les processus non signés empêchent tous les processus non signés de fonctionner, sauf ceux
que vous avez explicitement mis en liste blanche. Vous pouvez également définir une période d’ajournement,
ce qui empêche les processus non signés de fonctionner pendant un certain nombre de minutes après qu’ils
soient écrits sur le disque du terminal. Parce que l’attaque peut impliquer l’écriture d’un fichier exécutable
malveillant sur le disque et l’exécuter immédiatement, en utilisant une période de report et de limiter les
processus non signés est efficace pour prévenir les attaques de logiciels malveillants.
Step 1
restrictions.
nouvelle règle.
Définir les exceptions et limitations des fichiers exécutables non signés (Continued)
Step 2
Définir les restrictions sur les fichiers
exécutables non signés.
1.
Sélectionner Exécutables non signés.
2.
Configurer le Action à prendre lorsqu’un utilisateur ouvre un
fichier exécutable non signé :
• Prévention—Bloque le processus.
• Notification—soumettez la question et permettez au
processus Java de continuer.
3.
Configurer le Alerte de l’utilisateur comportement lorsqu’un
utilisateur ouvre un fichier exécutable non signé.
• ON—notifier l’utilisateur.
• OFF—Ne pas avertir l’utilisateur.
4.
Spécifier la Période Blacklist (en minutes) pour empêcher les
processus non signés de fonctionner pendant un certain laps
de temps après que le fichier exécutable ait été initialement
écrit sur le disque dur du terminal.
5.
Pour permettre à un processus de fonctionner
immédiatement, sans attendre que la période de liste noire
expire, cliquez sur le bouton ajouter processus
et ajoutez
le processus comme l’un des processus en liste blanche.
6.
Pour permettre à tous les processus d’un certain dossier de
fonctionner immédiatement, sans attendre que la période de
liste noire expirer, cliquez sur le bouton ajouter des dossiers
et ajoutez le dossier au chemin de liste blanche.
Step 3
Step 4
Step 5
et sa description. La console ESM génère désactivez l’Activer la description automatique option, puis entrez
automatiquement le nom de la règle et sa un nom de règle et la description de votre choix.
Objets tab, onglet, puis entrez un ou plusieurs Utilisateurs,
Définir les exceptions et limitations des fichiers exécutables non signés (Continued)
Step 6
Activer.
Les règles de protection des logiciels malveillants permettent de limiter les comportements liés à des logiciels
malveillants. Lorsqu’elle est activée, ces modules utilisent un modèle de whitelist qui ne permet l’injection de
processus que pour que les processus spécifiés dans la politique. Les politiques de prévention des logiciels
malveillants par défaut qui arrivent préconfigurées au logiciel ESM accordent des dérogations aux processus
légitimes communs qui doivent être injectés dans d’autres processus ou modules.
Lorsque de nouvelles règles de protection des logiciels malveillants sont ajoutés à la politique de sécurité, le
mécanisme des règles Traps fusionne toutes les règles configurées dans une politique efficace qui est
évaluée pour chaque critère. Dans le cas d’un conflit potentiel entre deux ou plusieurs règles, il y a un
ensemble de considérations, telles que la date de modification, qui déterminent quelle règle prend effet. Par
exemple, si une règle a été créée ou modifiée plus récemment que l’autre, cette règle à une date ultérieure
l’emporte sur la règle avec une date précédente. En conséquence, de nouvelles règles de protection des
logiciels malveillants remplacent la stratégie par défaut, ce qui peut faire que votre politique soit inefficace
ou provoquer des paramètres à être instables. En outre, les whitelists définies par l’utilisateur ne sont pas
fusionnées entre les différentes règles et ne sont évaluées que si la règle associée a la priorité.
Faites preuve de prudence lors de la configuration de nouvelles règles de politique de prévention
des logiciels malveillants pour éviter que la redéfinition de la politique par défaut provoque de
l’instabilité dans votre réseau.
Pour des questions supplémentaires sur la configuration des règles de protection des logiciels
malveillants, contactez l’équipe de soutien ou votre ingénieur commercial.
Pour éviter des dépassements accidentels de la politique par défaut, nous vous recommandons de ne
configurer de nouvelles règles que sur les processus qui ne sont pas couverts par la politique par défaut. Lors
de la configuration d’une nouvelle règle, vous pouvez activer la protection du module Malware pour le
processus parent et utiliser les paramètres de stratégie par défaut ou vous pouvez personnaliser les
paramètres de règle pour votre organisation. Pour apporter des modifications à la politique de sécurité pour
les processus qui sont déjà protégés, nous vous recommandons d’utiliser les workflows suivants lors de
l’importation ou de modifier les règles par défaut que nécessaire pour répondre aux exigences de votre
politique de sécurité :


Configurer la vaccination de thread

Gérer la liste blanche d’injection de thread

Configurer la protection de surveillance de suspension

Gérer la Whitelist de Suspendre la garde
Une règle de protection malware empêche l’exécution de logiciels malveillants, souvent déguisés ou
incorporés dans des fichiers non malveillants, en utilisant des modules logiciels malveillants pour cibler
les comportements de processus qui sont généralement déclenchés par des logiciels malveillants.
Contrairement aux règles de protection qui sont opt-in (vous activez les modules pour les processus
spécifiques que vous souhaitez protéger), les règles de protection des logiciels malveillants sont opt-out
(vous activez les modules pour protéger tous les processus et spécifiez les processus qui sont exemptés, les
processus qui sont autorisés à exercer le comportement défini qui est rejeté par la politique de protection
contre les malwares).
Vous pouvez activer les modules de protection des logiciels malveillants dans tous les processus ou activer
la protection d’un ou plusieurs processus protégés dans votre organisation.
Pour permettre à des processus légitimes de s’exécuter, vous pouvez whitelister les processus parents qui
s’injectent dans d’autres processus. Des options supplémentaires de whitelist sont disponibles en mode
Ninja
; ces paramètres de whitelist avancés permettent à Palo Alto Networks Support et aux ingénieurs
commerciaux de configurer les paramètres plus affinés supplémentaires pour chaque module malware.
Le tableau suivant décrit les modules de protection de logiciels malveillants :
Gérer les règles de
protection de Malware
Description
Suspendre la garde
Protège contre une technique malware commune où l’attaquant crée des processus dans
un état suspendu et injecte et exécute le code avant même que le processus commence.
Vous pouvez activer Suspendre la garde sur un mode de processus de source et permet
de configurer la notification de l’utilisateur. En option, vous pouvez également whitelister
des modules de fonction que pouvez appeler processus enfants. Pour plus d’informations,
voir Configurer la protection de surveillance de suspension.
Injection de threads
Le code malicieux peut aussi obtenir un accès en créant des threads et processus distants.
Vous pouvez activer la vaccination de thread pour interrompre la création de threads et
processus distants et spécifier la limitation ou sur le processus ou thread ou sur la source
ou la destination. Ensuite, vous pouvez whitelister des dossiers spécifiques pour faire des
exceptions à la règle de restriction générale. Pour plus d’informations, voir Configurer la
vaccination de thread.
Un processus peuvent comprendre un ou plusieurs threads qui exécutent chaque partie du processus de
code. Certains scénarios d’attaque sont basés sur l’injection de code malicieux dans un processus cible afin
de créer des threads distants, de maintenir la persistance et de contrôler le système infecté.
La stratégie par défaut contient des règles prévues pour empêcher la création de threads distants malicieux
et autorise les processus légitimes qui doivent injecter des threads dans d’autres processus.
Faites preuve de prudence lors de la configuration de nouvelles règles d’injection de menaces
pour éviter de redéfinir la politique par défaut et de provoquer l’instabilité dans votre réseau.
malveillants, contactez l’équipe d’assistance ou votre ingénieur système.
Si le processus n’est pas déjà protégé par la stratégie de sécurité par défaut, vous pouvez créer une nouvelle
règle qui active la protection d’injection de thread pour un processus en utilisant les paramètres d’injection
de thread par défaut ou vous pouvez configurer les paramètres au besoin pour votre stratégie de sécurité.
Les paramètres incluent le nom du processus, activation (ON ou OFF), Action (Prévention ou Notification), Alerte
de l’utilisateur (ON ou OFF), st les processus cibles whitelistés dans lesquels le processus source peut injecter.
Si le processus est déjà protégé par la politique de sécurité par défaut, nous vous recommandons d’importer
l’injection de menace par défaut comme une nouvelle règle et de faire des changements pour répondre aux
exigences de votre organisation. De cette façon, lorsque la stratégie est activée, elle remplace la stratégie
par défaut, mais contient toujours les paramètres de configuration par défaut, en plus de toutes les
modifications apportées.
Step 1
Step 2
Configurer une règle d’injection de
thread.
1.
Effectuer les opérations suivantes :
• Ajouter une nouvelle règle.
• Sélectionnez et modifier une règle existante.
• Revoir les règles de stratégie par défaut (sélectionnez
Afficher Règles par défaut à partir du menu d’actions
en haut de la table), sélectionnez une règle, puis Cloner la.
2.
Sélectionner Injection de thread.
(Optionnel) Définissez les paramètres
1.
d’injection de thread.
Pour utiliser les paramètres définis par la
stratégie par défaut, activez le module,
puis passez à Step 5.
2.
Alternativement, vous pouvez remplacer
les valeurs par défaut pour personnaliser
les paramètres d’injection de menace
selon les besoins de votre organisation.
Dans la activation liste déroulante, sélectionnez ON pour
Tous les paramètres supplémentaires sont ignorés si le
module de protection contre les malwares est désactivé.
3.
Configurer le Alerte de l’utilisateur comportement lorsque le
processus source tente d’injecter dans un autre processus.
• ON—alerte l’utilisateur lorsqu’un processus tente d’injecter
dans un autre.
• OFF—Ne pas avertir l’utilisateur lorsqu’un processus tente
de s’injecter dans un autre processus.
Step 3
(Nouvelles règles uniquement) Activer la
protection d’injection de thread pour un
processus unique ou pour tous les
processus.
Step 4
(Optionnel) La liste blanche d’un
1.
processus cible.
Pour éviter de contourner la
2.
whitelist dans la politique de
protection des logiciels malveillants
par défaut, nous vous
recommandons fortement de ne
pas modifier le Actions whitelist et,
à la place, gardez la valeur par
défaut Fusionner réglage.
Configurer l’action à prendre quand un processus source tente
d’injecter dans un autre processus :
• Prévention—termine le processus.
processus d’injecter dans un autre processus.
Pour configurer la protection d’injection de thread pour un
processus parent, sélectionnez l’option pour Sélectionnez un
processus et entrez le nom du processus dans le champ prévu.
Sinon, conservez le paramètre par défaut pour appliquer la
protection d’injection de thread à Tous les processus.
Cliquez sur l’icône du mode ninja
administrateur.
et entrez le mot de passe
Ajoutez un ou plusieurs processus à la liste.
Configurer la vaccination de thread (Continued)
Step 5
sélectionnez la condition dans la liste des Conditions, puis Add it to
the Selected Conditions list. Répétez cette étape pour ajouter
une règle.
Step 6
auquel appliquer la règle de protection
contre les malwares. Par défaut, une
nouvelle règle est applicable à tous les
objets de votre organisation.
Step 7
Step 8
Enregistrer la règle de protection contre Effectuez l’une des opérations suivantes :
les malwares.
• Sauvegarder la règle. Cette option est disponible uniquement
pour les règles inactives, clonées, ou nouvelles. Pour activer la
règle ultérieurement, sélectionnez la règle de la Politiques >
Malware > Modules de protection la page puis cliquez sur Activer.
revenir à la Politiques > Malware > Modules de protection la page
à tout moment Effacer ou Désactiver la règle.
existantsdans les zones inclure ou exclure. Le gestionnaire de
Si un processus légitime doit injecter dans un processus cible spécifique, vous pouvez utiliser ce flux de
travail pour ajouter le processus cible à une liste blanche d’injection de thread.
Step 1
Utilisez le filtre pour localiser la règle
d’injection de thread actif pour un
processus spécifique.
Cette méthode de règles de filtrage
ne fonctionne que si la description
de fonction automatique est
activée lors de la création de règles
ou si vous entrez manuellement le
nom du processus dans la
description de la règle.
1.
Sélectionner Politiques > Malware > Modules de protection.
2.
Sélectionnez l’icône de filtre pour la La description colonne.
3.
Met le Voir l’article les critères de Contient et entrez un nom
de processus dans le champ prévu.
4.
Sélectionner un filtre
Gérer la liste blanche d’injection de thread (Continued)
Step 2
Modifier une règle de protection contre
les malwares.
Sélectionnez puis modifier la règle. Si la règle n’existe pas, la créer
comme décrit dans Configurer la vaccination de thread.
Step 3
Ajouter un processus cible à une liste
blanche.
1.
administrateur.
2.
Ajouter le processus cible à la liste.
Step 4
les malwares.
Suspendre la garde protège contre une technique malware commune où l’attaquant crée des processus dans
un état suspendu et injecte et exécute le code avant même que le processus commence. Lorsqu’il est activé,
le module Suspendre la garde empêche tous les processus de suspendre les attaques de la Garde et utilise
les whitelists pour permettre aux processus légitimes communs d’injecter dans d’autres processus ou
modules.
La stratégie par défaut contient des règles prévues pour empêcher la création de menaces malicieuses
distantes et autorise les processus légitimes qui doivent injecter des menaces dans d’autres processus.
Faites preuve de prudence lors de la configuration de nouvelles règles d’injection de menaces
pour éviter de redéfinir la politique par défaut et de provoquer l’instabilité dans votre réseau.
malveillants, contactez l’équipe d’assistance ou votre ingénieur système.
Si le processus n’est pas déjà protégé par la politique de sécurité par défaut, vous pouvez créer une nouvelle
règle qui permet de suspendre la protection de garde pour un processus en utilisant la valeur par défaut
Suspendre les paramètres de la Garde où vous pouvez configurer les paramètres au besoin pour répondre
aux exigences de votre politique de sécurité. Les paramètres incluent le nom du processus, Activation (ON ou
OFF), Action (Prévention ou Notification), Alerter l’utilisateur (ON ou OFF), et des modules de fonction de la
whitelist qui peuvent appeler des processus enfants.
Si le processus est déjà protégé par la politique de sécurité par défaut, nous vous recommandons d’importer
le défaut Suspend la politique de garde comme une nouvelle règle et de faire des changements pour
répondre aux exigences de votre organisation. De cette façon, lorsque la stratégie est activée, elle remplace
la stratégie par défaut, mais contient toujours les paramètres de configuration par défaut, en plus de toutes
les modifications apportées.
Step 1
Configurer une règle Suspendre la garde. 1.
2.
Step 2
Effectuer les opérations suivantes :
• Ajouter une nouvelle règle.
• Sélectionnez et modifier une règle existante.
• Revoir les règles de stratégie par défaut (sélectionnez
Afficher Règles par défaut à partir du menu actions
en
haut de la table), sélectionnez une règle, puis Clonerla.
Sélectionner Suspendre la Garde.
(Optionnel) Définir la Suspension des
1.
paramètres de Garde.
Pour utiliser les paramètres définis par la
stratégie par défaut, activez le module,
puis passez à Step 5.
2.
Dans la activation liste déroulante, sélectionnez ON pour
Tous les paramètres supplémentaires sont ignorés si le
module de protection contre les malwares est désactivé.
3.
Configurer le Alerte de l’utilisateur comportement lorsque le
processus source tente d’injecter dans un autre processus.
• ON—alerte l’utilisateur lorsqu’un processus tente d’injecter
dans un autre.
• OFF—Ne pas avertir l’utilisateur lorsqu’un processus tente
de s’injecter dans un autre processus.
Step 3
(Les nouvelles règles uniquement)
Activer Suspendre la protection de
Garde pour un processus unique ou pour
tous les processus.
Step 4
1.
(Optionnel) Ajouter un processus de
fonction et d’enfant à une liste blanche.
Par défaut, quand une règle Suspendre la 2.
garde est activée, Traps bloque toutes les
fonctions du processus parent de
l’injection dans tous les processus
enfants. Pour autoriser explicitement
l’injection dans les fonctions et les
processus enfants, les ajouter à une liste
blanche.
Pour éviter de contourner la
whitelist dans la politique de
protection des logiciels malveillants
par défaut, nous vous
recommandons fortement de ne
pas modifier le Actions whitelist et,
à la place, gardez la valeur par
défaut Fusionner réglage.
Configurer l’action à prendre quand un processus source tente
d’injecter dans un autre processus :
• Prévention—termine le processus.
processus d’injecter dans un autre processus.
Pour configurer la protection d’injection de thread pour un
processus parent, sélectionnez l’option pour Sélectionnez un
processus et entrez le nom du processus dans le champ prévu.
Sinon, conservez le paramètre par défaut pour appliquer Suspendre
la protection de gardeTous les processus.
administrateur.
Hériter les paramètres de whitelist par défaut ou processus
Whitelist de fonction et d’enfant spécifiques. Configurez la
whitelist pour permettre toute combinaison des éléments
suivants :
• Toutes les fonctions qui injectent dans tout processus
enfant
• Une fonction spécifique qui injecte dans tout processus
enfant
• Toutes les fonctions qui injectent dans un processus
spécifique
• Une fonction spécifique qui injecte dans un processus
spécifique
Répétez si nécessaire pour ajouter plusieurs combinaison par
processus parent.
Configurer la protection de surveillance de suspension (Continued)
Step 5
Step 6
auquel appliquer la règle de protection
contre les malwares. Par défaut, une
nouvelle règle est applicable à tous les
objets de votre organisation.
Step 7
Step 8
les malwares.
leObjetsonglet, puis entrez un ou plusieursUtilisateurs,
Si un module de fonction légitime d’un processus parent doit injecter dans un processus enfant, utilisez ce
flux de travail pour permettre explicitement le module de fonction d’injecter dans le processus de l’enfant,
au besoin en ajoutant le processus de module ou de l’enfant à une liste blanche.
Step 1
Utilisez le filtre pour localiser la règle
Suspendre la garde active pour un
processus spécifique.
Cette méthode de règles de filtrage
ne fonctionne que si la description
de fonction automatique est
activée lors de la création de règles
ou si vous entrez manuellement le
nom du processus dans la
description de la règle.
1.
Sélectionner Politiques > Malware > Modules de protection.
2.
Sélectionnez l’icône de filtre pour la La description colonne.
3.
Met le Voir l’article les critères de Contient et entrez un nom
de processus dans le champ prévu.
4.
Sélectionner un filtre
Gérer la Whitelist de Suspendre la garde (Continued)
Step 2
Modifier une règle de protection contre
les malwares.
Step 3
Ajouter un processus cible à une liste
1.
blanche.
Par défaut, la liste blanche empêche tous 2.
les modules de fonction du processus
parent de s’injecter dans tout processus
3.
enfant. Si un module de fonction légitime
doit injecter dans un processus enfant,
autoriser explicitement l’injection en
ajoutant le processus de module ou
processus enfant à une liste blanche.
Step 4
Sélectionnez puis modifier la règle. Si la règle n’existe pas, la créer
comme décrit dans Configurer la protection de surveillance de
suspension.
administrateur.
Ajouter le nom du module de fonction ou processus enfant à
la liste blanche dans l’une des façons suivantes :
Configurez la whitelist pour permettre toute combinaison des
éléments suivants :
• Toutes les fonctions qui injectent dans tout processus
enfant
• Une fonction spécifique qui injecte dans tout processus
enfant
• Toutes les fonctions qui injectent dans un processus
spécifique
• Une fonction spécifique qui injecte dans un processus
spécifique
Répétez si nécessaire pour ajouter plusieurs combinaison par
processus parent.
les malwares.
Gérer les points de terminaison
Les rubriques suivantes décrivent comment gérer les points de terminaison en utilisant Endpoint Security
Manager :

Gérer les règles d’action Traps

Gérer les règles de paramètres d’agent
Utilisez des règles d’action pour effectuer des actions uniques sur l’agent Traps qui s’exécute sur chaque point
de terminaison.

Règles d’action Traps

Ajouter une nouvelle règle d’action

Gérer les données collectées par Traps

Désinstaller ou mettre à niveau Traps sur le point de terminaison

Mettre à jour ou révoquer la licence Traps sur le point de terminaison
Règles d’action Traps
Les règles d’action vous permettent d’effectuer des actions uniques sur l’agent Traps qui s’exécute sur
chaque point de terminaison. Pour chaque règle d’action, vous devez spécifier le ou les objets cibles, la ou
les conditions et l’une des actions d’administration suivantes à effectuer sur chaque point de terminaison.
Règles d’action
Description
Gérer les fichiers de
données créés par l’agent
Traps
Chaque point de terminaison stocke des informations de prévention et de sécurité
qui incluent des données historiques, des vidages mémoire et des fichiers en
quarantaine. En utilisant ce type de règle d’action, vous pouvez effacer ou récupérer
les fichiers de données que l’agent Traps créé sur le point de terminaison. Pour plus
d’informations, consultez la section Gérer les données collectées par Traps.
Désinstaller ou mettre à
niveau le logiciel Traps
Créez une règle d’action pour désinstaller ou mettre à niveau Traps à partir de
Endpoint Security Manager. Pour mettre à niveau le logiciel Traps sur un point de
terminaison, chargez le fichier zip du logiciel sur le serveur ESM (ESM) et spécifiez le
chemin lors de la configuration de la règle d’action. Pour plus d’informations, voir
Désinstaller ou mettre à niveau Traps sur le point de terminaison.
Mettre à jour ou révoquer Endpoint Security Manager distribue les licences à l’agent Traps. Vous pouvez
la licence Traps
révoquer ou mettre à jour la licence à tout moment sur un point de terminaison. Pour
plus d’informations, voir Mettre à jour ou révoquer la licence Traps sur le point de
terminaison.
Traps n’applique pas de règles d’action tant que l’agent Traps n’a pas reçu la stratégie de sécurité
à jour, ce qui se produit habituellement avec la communication de pulsation suivante avec le
serveur. Pour récupérer manuellement la dernière stratégie de sécurité à partir du serveur ESM,
sélectionnez Check-in now (Vérifier maintenant) sur la console Traps.
Vous pouvez créer ou modifier des règles d’action sur la page de récapitulatif et gestion Actions (Actions)
(Settings (Paramètres) > Agent Actions (Actions d’agent). La sélection d’une règle pour afficher d’autres
informations sur la règle et les autres actions que vous pouvez entreprendre sur cette règle (dupliquer
(Duplicate), supprimer (Delete) ou activer/désactiver (Activate/Deactivate) la règle). Pour plus d’informations,
voir Gérer les règles d’action Traps.
Pour chaque règle d’action, vous pouvez spécifier les objets d’organisation, les conditions et les actions à
effectuer sur chaque point de terminaison.
Step 1
Créez une nouvelle règle d’action.
Sélectionnez Settings (Paramètres) > Agent (Agent) > Actions
(Actions), puis ajoutez (Add) une nouvelle règle.
Step 2
Sélectionnez le type de tâche à
effectuer.
Sélectionnez l’un des types de règle d’action suivants, puis
configurez les paramètres en fonction du type d’action :
• Agent Data (Données de l’agent)—Pour plus d’informations, voir
Gérer les données collectées par Traps.
• Agent Installation (Installation de l’agent)—Pour plus
d’informations, voir Désinstaller ou mettre à niveau Traps sur le
• Agent License (License de l’agent)—Pour plus d’informations,
voir Mettre à jour ou révoquer la licence Traps sur le point de
terminaison.
Step 3
(conditions sélectionnées). Répétez cette étape pour ajouter
Step 4
auxquels s’applique la règle d’action. Par
défaut, une nouvelle règle s’applique à
toutes les objets au sein de votre
organisation.
l’onglet Objects (Objets), puis saisissez un ou plusieurs utilisateurs
(Users), ordinateurs (Computers), groupes (Groups), unités
d’organisation (Organizational Units) ou points de terminaison
existants (Existing Endpoints) dans les zones Include (Inclure) ou
Exclude (Exclure). Endpoint Security Manager interroge Active
Directory pour vérifier les utilisateurs, ordinateurs, groupes ou
unités d’organisation ou identifie les points de terminaison
existants à partir des messages de communication précédents.
Step 5
toutefois de modifier ces champs, au
besoin.
description (Activer la description automatique), puis saisissez un
nom et une description de règle de votre choix.
Step 6
Enregistrez la règle d’action.
sélectionnez la règle dans la page Settings (Paramètres) > Agent
(Agent) > Actions (Actions) et cliquez sur Activate (Activer).
à la page Actions (Actions) en tout temps pour l’effacer (Delete) ou
la désactiver (Deactivate).
Pour gérer les données collectées par Traps, vous pouvez configurer une règle d’action qui ne s’exécute
qu’une seule fois sur chaque point de terminaison ; une fois que l’agent Traps a effectué l’action, il ne la
répétera pas. Pour reprendre la même action, dupliquez l’action à partir de la page Settings (Paramètres) >
Agent (Agent) > Actions (Actions).
Le tableau suivant présente le type de règles d’action que vous pouvez configurer pour Gérer les données
collectées par Traps.
Action
Description
Clear History (Effacer
l’historique)
Chaque point de terminaison stocke un historique des événements de prévention de
la sécurité. Sélectionnez cette option pour effacer les fichiers de données historiques
de la console Traps.
Erase Memory Dumps
(Effacer les vidages
mémoire)
Les vidages mémoire sont des enregistrements du contenu de la mémoire système
lorsqu’un évènement de prévention se produit. Sélectionnez cette option pour
effacer les enregistrement de mémoire du système des objets cibles.
Erase Quarantined Files
(Supprimer les fichiers
mis en quarantaine)
Lorsqu’un évènement de sécurité se produit sur un point de terminaison, Traps
capture les vidages mémoire et les fichiers récents associés à l’évènement et les
stocke (les met en quarantaine) dans le dossier d’investigation numérique sur le point
de terminaison. Sélectionnez cette option pour supprimer les fichiers associés à
l’évènement de sécurité sur les objets cibles.
Retrieve Data that the
Agent Collects
(Récupérer les données
que l’agent recueille)
Traps collecte l’historique des évènements de sécurité, les vidages mémoire et
d’autres informations associées à un évènement de sécurité. Sélectionnez cette
option pour récupérer toutes les informations enregistrées de tous les évènements
qui se sont produits sur le point de terminaison. Après l’exécution de cette règle,
l’agent envoie toutes les données liées à l’événement de prévention, en incluant un
vidage mémoire du processus protégé dans le dossier d’investigation numérique
désigné.
Retrieve Logs that the
Agent Collects
(Récupérer les journaux
que l’agent recueille)
Traps collecte les journaux de trace d’application détaillés et stocke les informations
sur les processus et les applications qui sont exécutés sur le point de terminaison.
Utilisez le fichier journal pour résoudre un problème avec une application ou
enquêter sur un problème spécifique qui apparaît dans le journal. Sélectionnez cette
option pour créer une règle d’action qui récupère toutes les informations de trace
d’application pour un point de terminaison. Après l’exécution de cette règle, l’agent
Traps envoie tous les journaux au dossier d’investigation numérique.
Step 1
Gérer les données collectées par Traps (Continued)
Step 2
Configurez les tâches que vous
souhaitez effectuer sur les données
Traps stockées sur les points de
terminaison.
Sélectionnez Agent Data (Données collectées par l’agent), puis
sélectionnez l’une des options suivantes pour gérer les données
collectées par l’agent Traps.
• Clear history (Supprimer l’historique)
• Erase memory dumps (Effacer les vidages mémoire)
• Erase quarantined files (Supprimer les fichiers mis en
quarantaine)
• Retrieve collected data from the agent (Récupérer les
données collectées de l’agent)
• Retrieve collected logs from the agent (Récupérer les
journaux collectés de l’agent)
Step 3
(conditions sélectionnées). Répétez l’opération pour ajouter
Step 4
organisation.
Step 5
besoin.
Step 6
Créez une nouvelle règle d’actions d’agent pour désinstaller Traps sur les objets cibles ou mettre à niveau
Traps en utilisant le logiciel accessible par la console ESM.
Step 1
Step 2
Définissez les tâches que vous souhaitez 1.
effectuer sur l’agent Traps stocké sur les
2.
Sélectionnez Agent Installation (Installation de l’agent), puis
sélectionnez Uninstall (Désinstaller) pour désinstaller le
logiciel Traps ou Upgrade from path (Mettre à niveau à partir
du chemin d’accès) pour accéder au fichier d’installation à
utiliser pour la mise à niveau du logiciel Traps et le
sélectionner.
Saisissez le mot de passe de désinstallation (Uninstall
Password).
Step 3
Pour spécifier une condition, sélectionnez l’onglet Conditions,
sélectionnez ensuite la condition dans la liste Conditions, puis
ajoutez-la (Add) à la liste Selected Conditions (Conditions
sélectionnées). Répétez l’opération pour ajouter d’autres
conditions, au besoin. Pour ajouter une condition à la liste
Step 4
organisation.
Step 5
besoin.
Step 6
Créez une nouvelle règle d’action pour mettre à jour ou révoquer une licence d’un agent Traps sur un point
de terminaison.
Lorsque vous révoquez une licence à l’aide d’une règle d’action, l’agent Traps effectue cette action lors de la
communication de pulsation suivante avec le serveur ESM. Une fois que la règle d’action s’est exécutée sur
le point de terminaison, Traps cesse de protéger le point de terminaison et permet au serveur ESM de
réaffecter la licence à un autre agent Traps. Lorsque le point de terminaison ou le service Traps est remis en
marche (par exemple, lors d’un redémarrage), l’agent demande une nouvelle licence au serveur ESM. Pour
reprendre la protection Traps, vous devez créer une nouvelle règle d’action pour mettre à jour la licence de
l’agent Traps.
Dans une situation urgente qui exige qu’une licence soit immédiatement libérée de la base de données, vous
pouvez Retirer une licence Traps sans attendre la communication de pulsation suivante.
Step 1
Step 2
Définissez les tâches que vous souhaitez Sélectionnez Agent License (Licence de l’agent), puis sélectionnez
effectuer sur la licence Traps stockée sur l’une des actions suivantes :
les points de terminaison.
• Update (Mettre à jour)—Mettre à jour la licence Traps sur un
• Revoke (Révoquer)—Révoquer une licence et arrêter le service
d’agent Traps sur un point de terminaison.
Step 3
Step 4
organisation.
Step 5
besoin.
Mettre à jour ou révoquer la licence Traps sur le point de terminaison (Continued)
Step 6
Créez des règles de paramètres d’agent à partir d’un emplacement centralisé pour modifier les préférences
relatives à Traps.

Règles de paramètres d’agent Traps

Ajouter une nouvelle règle de paramètres d’agent

Définir les préférences de journalisation d’évènement

Masquer ou limiter l’accès à la console Traps

Définir les paramètres de communication entre le point de terminaison et le serveur ESM

Collecter les informations sur les nouveaux processus

Gérer la protection de service

Modifier le mot de passe de désinstallation

Créer un message d’alerte aux utilisateurs personnalisé
Règles de paramètres d’agent Traps
Les règles de paramètres d’agent vous permettent de modifier les préférences relatives à Traps à partir d’un
emplacement centralisé. Sur la page Settings (Paramètres) > Agent (Agent) > Settings (Paramètres), vous
pouvez créer des règles pour gérer les paramètres de Traps suivants :
Agent Settings
Description
Event logging
(Journalisation
d’évènements)
Déterminez la façon dont l’agent Traps gère les journaux d’évènements. Ces
paramètres incluent le réglage d’un quota de taille pour les journaux du point de
terminaison, ainsi que l’envoi, en option, des journaux du point de terminaison au
journal d’évènements Windows. Pour plus d’informations, voir Définir les
préférences de journalisation d’évènement.
User visibility and access
(Visibilité et accès de
l’utilisateur)
Déterminez si et comment les utilisateurs finaux peuvent accéder à l’application de
console Traps. En option, vous pouvez configurer la console de sorte que seuls les
administrateurs puissent y accéder. Pour plus d’informations, voir Masquer ou limiter
l’accès à la console Traps.
Heartbeat frequency
(Fréquence de pulsation)
Déterminez la fréquence à laquelle l’agent Traps envoie un message de pulsation au
serveur ESM. La fréquence optimale est déterminée en fonction du nombre de points
de terminaison dans l’organisation et de la charge réseau type. Pour plus
d’informations, voir Définir les paramètres de pulsation entre l’agent et le serveur
ESM.
New process information
collection (Collecte
d’informations sur les
nouveaux processus)
Configurez les agents Traps pour collecter les nouveaux processus sur les points de
terminaison. Lorsque cette option est activée, Traps signale chaque nouveau
processus exécuté sur un point de terminaison au serveur ESM. Vous pouvez
consulter les processus dans l’affichage Process Management (Gestion des
processus) des écrans de la console ESM et choisir de créer ou non des règles de
sécurité liées aux processus. Pour plus d’informations, voir Collecter les informations
sur les nouveaux processus.
Agent Settings
Description
Service protection
(Protection de service)
Empêchez les tentatives de désactiver ou d’effectuer des modifications aux valeurs
de registre et fichiers de Traps. Lorsque cette option est activée, les utilisateurs ne
peuvent pas éteindre ni modifier le service de l’agent Traps. Pour plus d’informations,
consultez la section Gérer la protection de service.
Agent security (Sécurité
de l’agent)
Par défaut, les utilisateurs et les administrateurs doivent saisir un mot de passe pour
désinstaller l’application Traps. Utilisez cette option pour modifier le mot de passe.
Pour plus d’informations, consultez la section Modifier le mot de passe de
désinstallation.
Communication
Configurez le laps de temps, appelé valeur de délai, après lequel Traps abandonne
toute tentative de se reconnecter au serveur ESM dans l’éventualité où le serveur
devient inaccessible. Configurez la période de grace qui permet de spécifier le
moment où Traps doit tenter de rétablir la communication. Pour plus d’informations,
voir Définir les paramètres de communication entre l’agent et le serveur ESM.
User alerts (Alertes aux
utilisateurs)
Personnalisez les paramètres généraux des alertes aux utilisateurs, notamment le
pied de page et l’image affichée. Vous pouvez également configurer le titre qui figure
sur les alertes aux utilisateurs relativement aux modules de protection, aux
restrictions et aux fichiers inconnus. Pour plus d’informations, voir Créer un message
d’alerte aux utilisateurs personnalisé.
Traps n’applique pas de règles de paramètres d’agent tant que l’agent Traps n’a pas reçu la
stratégie de sécurité à jour, ce qui se produit habituellement lors de la communication de
pulsation suivante avec le serveur. Pour récupérer manuellement la dernière stratégie de sécurité
à partir du serveur ESM, sélectionnez Check-in now (Vérifier maintenant) sur la console Traps.
Sélectionnez une règle sur la page Settings (Paramètres) pour afficher d’autres informations sur cette règle
et les autres actions que vous pouvez entreprendre pour la gérer (supprimer (Delete), activer/désactiver
(Activate/Deactivate), ou modifier (Edit)). Pour plus d’informations, voir Gérer les règles de paramètres d’agent.
Pour chaque règle de paramètres d’agent, vous pouvez spécifier les objets d’organisation, les conditions et
les préférences de Traps à appliquer.
Step 1
Créez une nouvelle règle de paramètres Sélectionnez Settings (Paramètres) > Agent (Agent) > Settings
d’agent.
(Paramètres), puis ajoutez (Add) une nouvelle règle.
Ajouter une nouvelle règle de paramètres d’agent (Continued)
Step 2
Sélectionnez le type de paramètre à
modifier et configurez vos préférences.
Sélectionnez l’un des éléments suivants, puis configurez les
paramètres en fonction du type de préférence :
• Event Logging (Journalisation d’évènements)—Pour plus
d’informations, voir Définir les préférences de journalisation
d’évènement.
• User Visibility & Access (Visibilité et accès de l’utilisateur)—Pour
plus d’informations, voir Masquer ou limiter l’accès à la console
Traps.
• Heartbeat Settings (Paramètres de pulsation)—Pour plus
d’informations, voir Définir les paramètres de pulsation entre
l’agent et le serveur ESM.
• Process Management (Gestion des processus)—Pour plus
d’informations, voir Collecter les informations sur les nouveaux
processus.
• Service Protection (Protection de service)—Pour plus
d’informations, voir Gérer la protection de service.
• Agent Security (Sécurité de l’agent)—Pour plus d’informations,
voir Modifier le mot de passe de désinstallation.
• Communication Settings (Paramètres de communication)—
Pour plus d’informations, voir Définir les paramètres de
communication entre l’agent et le serveur ESM.
• User Alerts (Alertes aux utilisateurs)
Step 3
Step 4
auxquels s’applique la règle de
paramètres d’agent. Par défaut, une
nouvelle règle s’applique à toutes les
objets au sein de votre organisation.
Step 5
besoin.
Ajouter une nouvelle règle de paramètres d’agent (Continued)
Step 6
Enregistrez la règle de paramètres
d’agent.
(Agent) > Settings (Paramètres) et cliquez sur Activate (Activer).
à la page Settings (Paramètres) en tout temps pour l’effacer
(Delete) ou la désactiver (Deactivate).
Le journal d’évènements Windows stocke les évènements d’application, de sécurité et du système qui vous
aident à diagnostiquer la source des problèmes du système. Utilisez l’assistant Agent Settings (Paramètres
d’agent) pour spécifier s’il faut envoyer les évènements de sécurité que rencontre Traps au journal
d’évènements Windows et pour définir un quota de taille pour le dossier de stockage local temporaire que
Traps utilise pour stocker les informations d’évènement.
Step 1
d’agent.
Step 2
Définissez les paramètres de
journalisation d’évènement pour les
Sélectionnez Event Logging (Journalisation d’événements) et
spécifiez l’une des options suivantes :
• Set disk quota (MB) (Définir le quota du disque (en Mo))—
Spécifiez la taille du dossier de stockage local temporaire que
Traps utilisera pour stocker les journaux d’évènements. Spécifiez
le quota en Mo. La valeur par défaut est de 5 120. La plage est
de 0 à 10 000 000. Un fois que le dossier de stockage a atteint
le quota du disque, Traps supprime les journaux d’évènements,
en commençant par les plus anciens, pour libérer de l’espace
pour les nouveaux journaux.
• Write agent events in the Windows event log (Consigner les
évènements de l’agent dans le journal d’évènements
Windows)—Envoyez les évènements de Traps au journal
d’évènements Windows.
Step 3
Définir les préférences de journalisation d’évènement (Continued)
Step 4
Step 5
besoin.
Step 6
d’agent.
Par défaut, un utilisateur peut accéder à la console Traps pour consulter les informations sur l’état actuel du
point de terminaison, les modifications à la stratégie de sécurité et les évènements de sécurité. Lorsqu’un
évènement de sécurité est déclenché, l’utilisateur reçoit également une notification sur l’évènement. La
notification comprend le nom de l’application, l’éditeur et une description de la prévention d’attaque ou de
la règle de restriction qui a déclenché la notification.
Vous pouvez créer une règle de paramètres d’agent pour modifier l’accessibilité de la console et spécifier s’il
faut masquer les notifications pour les utilisateurs.
Step 1
d’agent.
Step 2
Définissez la visibilité et l’accès de
l’utilisateur pour les points de
terminaison.
Sélectionnez User Availability & Access (Disponibilité et accès de
l’utilisateur), puis sélectionnez l’une ou plusieurs des options
suivantes :
• Hide tray icon (Masquer l’icône de la zone de notification)—
Masquez l’icône que Traps ajoute à la zone de notification du
• Disable access to the Traps console (Désactiver l’accès à la
console de Traps)—Désactivez la possibilité de lancer la console.
• Hide Traps user notifications (Masquer les notifications Traps
aux utilisateurs)—Masquez les notifications que Traps affiche
lorsque l’agent rencontre un évènement de prévention ou de
notification.
Step 3
Step 4
Step 5
besoin.
Step 6
d’agent.
Définir les paramètres de communication entre le point de terminaison et le
serveur ESM
L’agent Traps qui se trouve sur le point de terminaison communique avec le serveur ESM à intervalles
spécifiques en envoyant des rapports et des messages de pulsation et en cherchant des verdicts d’empreinte
inconnue. Traps cesse tout tentative de joindre le serveur si les tentatives de communication échouent sur
une période temps qui dépasse une valeur de délai définie et Traps recommence à tenter de rétablir une
communication avec le serveur à l’issue d’une période de grace.
Pour modifier les valeurs par défaut du cycle de pulsation, de l’intervalle des rapport, de la valeur de délai ou
de la période de grace, créez une règle de paramètres d’agent sur la console ESM à l’aide des flux de travail
suivants :

Définir les paramètres de pulsation entre l’agent et le serveur ESM

Définir les paramètres de communication entre l’agent et le serveur ESM
Durant la communication de pulsation, l’agent Traps demande la stratégie de sécurité actuelle et envoie une
réponse à Endpoint Security Manager pour signaler l’état du point de terminaison. La fréquence à laquelle
l’agent Traps envoie les messages de pulsation au serveur ESM est appelée cycle de pulsation. La fréquence
optimale est déterminée en fonction du nombre de points de terminaison dans l’organisation et de la charge
réseau type.
Traps signale également les modifications dans le service, incluant les évènements de démarrage, arrêt et
plantage et les nouveaux processus découverts sur le point de terminaison. La fréquence à laquelle l’agent
Traps envoie la notification de signalisation est appelée intervalle de signalisation.
Step 1
d’agent.
Step 2
Définissez la fréquence des messages de Sélectionnez Heartbeat Settings (Paramètres de pulsation), puis
pulsation ou des notifications de rapport. configurez l’un des paramètres suivants, ou les deux :
• Set distinct heartbeat cycle (Définir le cycle de pulsation
distinct)—Modifiez la fréquence (en minutes) à laquelle l’agent
Traps envoie des messages de pulsation au serveur ESM. (Plage
de 0 à 144 000 ; valeur par défaut : 60).
• Set send reports interval (Définir l’intervalle de transmission
des rapports)—Modifiez la fréquence (en minutes) à laquelle
l’agent Traps envoie des notifications de rapport, notamment les
modifications dans le service, les évènements de plantage et les
nouveaux processus. (Plage de 0 à 144 000; valeur par défaut :
480 (8 heures)).
Step 3
Définir les paramètres de pulsation entre l’agent et le serveur ESM (Continued)
Step 4
Step 5
besoin.
Step 6
d’agent.
Par défaut, l’agent Traps applique une stratégie de Non connexion à tous les fichiers exécutables inconnus
lors du démarrage. La stratégie demeure en vigueur jusqu’à ce que l’agent Traps puisse effectuer la
découverte du serveur ESM afin de créer une liste de serveurs disponibles, dans l’ordre de celui qui possède
le chemin d’accès le plus près à celui qui possède le chemin d’accès le plus éloigné.
Une fois que l’agent Trap a créé la liste des serveurs disponibles et qu’un utilisateur ouvre un fichier
exécutable inconnu, Traps interroge le premier serveur ESM de la liste pour déterminer le verdict
d’empreinte. Si ce serveur est inaccessible ou qu’il n’est pas en mesure de répondre à la requête dans la
période de temps maximale allouée, l’agent Traps cesse d’essayer d’accéder au serveur ESM et affecte au
fichier exécutable un verdict de Non connexion. Si l’utilisateur ouvre un autre fichier exécutable inconnu
avant que Traps arriver à déterminer l’inaccessibilité du serveur ESM, il interrogera également le premier
serveur ESM de la liste pour déterminer le verdict d’empreinte. Cependant, si l’utilisateur ouvre un autre
fichier exécutable inconnu après que l’agent Traps a déterminé que le serveur ESM est inaccessible, Traps
interrogera le serveur ESM suivant de la liste.
L’agent Traps interroge régulièrement le serveur ESM afin de déterminer quels serveurs sont disponibles et,
parmi les serveurs disponibles, quels sont les plus près. D’autres évènements, comme une modification
d’adresse IP sur le point de terminaison, peuvent également déclencher la création d’une nouvelle liste de
serveurs ESM par Traps.
Servez-vous du flux de travail suivant pour modifier le délai et les intervalles d’établissement d’une
communication avec le serveur ESM.
Step 1
d’agent.
Step 2
Définissez les paramètres de
communication entre l’agent Traps et le
serveur ESM.
Sélectionnez Communication Settings (Paramètres de
communication), puis sélectionnez l’une ou plusieurs des options
suivantes :
• Set Agent-WildFire Process Verdict Timeout (Définir le délai
pour recevoir un verdict de traitement entre l’agent et
WildFire)—Spécifiez le laps de temps (en secondes) pendant
lequel Traps attendra une réponse du serveur ESM relativement
à une requête de verdict (valeur par défaut : 10). Une fois le délai
expiré, Traps attribue au processus un verdict de Non connexion
(No Connection). Traps tentera de réétablir la communication
seulement si un utilisateur clique sur Check-In Now (Vérifier
maintenant) sur la console Traps ou si Traps doit interroger le
serveur ESM pour obtenir des verdicts d’empreintes inconnues.
Si vos points de terminaison perdent fréquemment la
connexion avec le serveur, envisagez d’augmenter la valeur
du délai.
• Set No Connection Refresh Interval (Définir l’intervalle
d’actualisation de la Non connexion)—Précisez la fréquence (en
minutes) à laquelle l’agent Traps vérifie la disponibilité des
serveurs ESM après être entré dans un état de non connexion
(No Connection) (valeur par défaut : 1).
• Set ESM Server Validation Interval (Définir l’intervalle de
validation du serveur ESM)—Précisez la fréquence (en heures) à
laquelle l’agent vérifiera l’integrité de la liste du serveur ESM
(valeur par défaut : 1).
Step 3
Step 4
Définir les paramètres de communication entre l’agent et le serveur ESM (Continued)
Step 5
besoin.
Step 6
d’agent.
Par défaut, Traps protège les processus les plus couramment utilisées et les mieux connus sur vos points de
terminaison. De plus, lorsque WildFire est activé, Traps signale automatiquement les fichiers exécutables
inconnus à Endpoint Security Manager. Si WildFire est désactivé, il est recommandé de créer une règle de
paramètres d’agent pour permettre à Traps de collecter le nom des nouveaux processus qui s’exécutent sur
les points de terminaison et de les signaler à Endpoint Security Manager. Sur la page Process Management
(Gestion des processus) de la console ESM, les processus sont affichés comme étant Unprotected (Non
protégés).
Step 1
d’agent.
Step 2
Activez la collecte des nouveaux
Sélectionnez Process Management (Gestion des processus), puis
processus sur les points de terminaison. activez l’option Collect new process information (Collecter des
informations sur les nouveaux processus).
Lorsque Traps détecte de nouveaux processus, il les signale au
serveur ESM. La console ESM énumère les nouveaux processus à la
page Policies (Politiques) > Exploit (Attaque) > Process
Management (Gestion des processus) en tant que processus non
protégés. À partir de cette page, vous pouvez modifier le type de
protection (voir Afficher, modifier ou supprimer un processus).
Après avoir changé le type de protection, vous pouvez vous en
servir pour Créer une règle de protection contre les attaques.
Collecter les informations sur les nouveaux processus (Continued)
Step 3
Step 4
Step 5
besoin.
Step 6
d’agent.
Step 7
Revoyez régulièrement la liste des
1.
processus non protégés et évaluez si
vous devez les ajouter aux règles de
2.
sécurité existantes ou créer de nouvelles
règles pour les protéger.
3.
Sélectionnez Policies (Politiques)) > Exploit (Attaque) >
Process Management (Gestion des processus).
Filtrez ou triez le tableau selon le type de protection
Unprotected (Non protégé).
Revoyez chaque processus et décidez si vous devez changer le
type de protection :
• Faites passer le type de protection à Provisional
(Provisoire), si vous souhaitez utiliser le processus dans une
règle de sécurité qui fait office d’essai.
• Faites passer le type de protection à Protected (Protégé)
pour tirer parti des règles existantes qui s’appliquent à tous
les processus. Reportez-vous à la section Afficher, modifier
ou supprimer un processus. Vous pouvez également ajouter
le processus aux règles qui s’appliquent à des processus
spécifiques, au besoin.
La protection de service vous permet de protéger le service Traps exécuté sur vos points de terminaison.
Lorsque la protection de service est activée, les utilisateurs ne peuvent pas modifier les valeurs de registre
ou les fichiers associés à l’agent Traps, ni arrêter ou modifier le service Traps d’aucune manière.
Step 1
d’agent.
Step 2
Activez la protection de service.
Sélectionnez Service Protection (Protection de service), puis
choisissez l’une des options suivantes :
• Enable service protection (Activer la protection de service)
• Disable service protection (Désactiver la protection de
service)
Step 3
Step 4
Step 5
besoin.
Step 6
d’agent.
Par défaut, vous devez saisir le mot de passe de désinstallation spécifié durant l’installation afin de
désinstaller Traps d’un point de terminaison. Modifiez le mot de passe par défaut en créant une règle de
paramètres d’agent.
Step 1
d’agent.
Step 2
Modifiez le mot de passe.
1.
Sélectionnez Agent Security (Sécurité de l’agent), puis
sélectionnez l’option Set uninstall password (Définir le mot de
passe de désinstallation).
2.
Saisissez le mot de passe que l’utilisateur ou l’administrateur
doit saisir pour désinstaller Traps. Le mot de passe doit
contenir au moins huit caractères.
Step 3
Step 4
Step 5
besoin.
Step 6
d’agent.
Traps affiche des messages de prévention et de notification lorsqu’un fichier ou un processus viole une
stratégie de sécurité et le comportement de terminaison est configuré pour bloquer le fichier et avertir
l’utilisateur ou pour consigner le problème et avertir l’utilisateur. Servez-vous d’une règle de paramètres
d’agent pour personnaliser les paramètres généraux des alertes aux utilisateurs, notamment le pied de page
et l’image affichée. Vous pouvez également configurer le titre qui figure sur les alertes aux utilisateurs
relativement aux modules de protection, aux restrictions ou aux fichiers inconnu.
Step 1
d’agent.
Step 2
(En option) Personnalisez l’icône et le
pied de page utilisés pour tous les
messages d’alerte aux utilisateurs.
1.
Sélectionnez User Alerts (Alertes aux utilisateurs), puis
sélectionnez General Settings (icon and footer) (Paramètres
généraux (icône et pied de page)).
2.
Sélectionnez l’une des options suivantes ou les deux :
• Icon (Icône)—Pour sélectionner une image qui
apparaîtra à la place de l’icône de Traps dans les
messages d’alerte aux utilisateurs, accédez à (Browse),
puis cliquez sur Upload (Charger). La prévisualisation à
droite vous permet de visualiser l’apparence d’un
message d’alerte aux utilisateurs avec le nouvel icône.
• Action/Footer (Action/Pied de page)—Pour fournir un
contact ou d’autres informations au bas du message,
saisissez jusqu’à 250 caractères. La prévisualiation à droite
vous montre les changements au fur et à mesure que vous
les apportez. Pour spécifier une adresse e-mail, utilisez le
format HTML standard, par exemple :
<a href="mailto://support@votre_organization.com">
Assistance</a>.
3.
Sélectionnez l’action de déclenchement : Prevention Mode
(Mode de prévention) ou Notification Mode (Mode de
notification).
Créer un message d’alerte aux utilisateurs personnalisé (Continued)
Step 3
(En option) Personnalisez le texte de titre 1.
des alertes aux utilisateurs.
À partir du menu déroulant User Alert Window (Fenêtre
d’alerte aux utilisateurs), sélectionnez le type d’alerte aux
utilisateurs :
• Protection Modules (Modules de protection)—Une alerte
aux utilisateurs que Traps affiche lorsqu’il active un module
de protection contre les attaques ou les logiciels
malveillants afin de protéger un processus ou de bloquer un
comportement suspect.
• Execution Restrictions (Restrictions d’exécution)—Une
alerte aux utilisateurs que Traps affiche lorsqu’un utilisateur
ouvre un fichier exécutable à partir d’un emplacement qui
est restreint par une règle de restriction.
• WildFire Unknowns-Terminate (WildFire Inconnus—
Mettre fin au processus)—Une alerte aux utilisateurs que
Traps affiche lorsqu’un utilisateur ouvre un fichier
exécutable inconnu et que la configuration du
comportement que doit adopter WildFire relativement aux
fichiers inconnus consiste à mettre fin au processus.
2.
Saisissez le titre qui doit s’afficher sur le type d’alerte aux
utilisateurs.
3.
Sélectionnez l’action de déclenchement : Prevention Mode
(Mode de prévention) ou Notification Mode (Mode de
notification).
Step 4
Step 5
Step 6
détails de la règle ; elle vous permet
besoin.
Créer un message d’alerte aux utilisateurs personnalisé (Continued)
Step 7
d’agent.
• Enregistrer (Save) la règle sans l’activer. Cette option n’est
Investigation numérique

Aperçu de l’investigation numérique

Gérer les règles et paramètres d’investigation numérique

Requête aux agents

Activer la collecte d’URI dans Chrome

Flux d’investigation numérique

Types de données d’investigation numérique
Flux d’investigation numérique

Phase 1 : Évènement de prévention déclenché

Phase 2 : Analyse automatisée

Phase 3 : Détection automatisée

Phase 4 : Collecte des données d’investigation numérique
Phase 1 : Évènement de prévention déclenché
Lorsqu’un pirate tente d’exploiter la vulnérabilité d’un logiciel, les modules de protection Traps entrent en
action pour interrompre le comportement du processus malicieux et enfin bloquer l’attaque. Par exemple,
imaginez le cas où un fichier tente d’accéder à des métadonnées de DLL cruciales à partir d’emplacements
de code douteux. Si le module de sécurité de DLL est activé pour protéger les processus dans votre
organisation, Traps interrompt immédiatement le processus qui tente d’accéder aux métadonnées de DLL.
Traps enregistre l’évènement dans son journal d’évènements et avertit l’utilisateur de l’évènement de
sécurité. S’il est configuré, Traps affiche un message de notification personnalisé (pour plus d’informations,
voir Créer un message d’alerte aux utilisateurs personnalisé).
Après avoir interrompu une tentative d’exploitation avec succès, Traps collecte et analyse les données liées
à l’évènement, comme décrit dans Phase 2 : Analyse automatisée.
Phase 2 : Analyse automatisée
Lorsqu’un évènement de sécurité se produit sur un point de terminaison, Traps congèle le contenu de la
mémoire et le stocke dans un fichier de données appelé vidage mémoire. À partir de la console ESM, vous
pouvez peaufiner les paramètres de vidage mémoire qui spécifient la taille du vidage mémoire—petite,
moyenne ou complète (le jeu d’informations le plus grand et complet)—et si Traps doit automatiquement
charger le vidage mémoire dans le dossier d’investigation numérique. Pour plus d’informations, consultez la
section Définir les préférences de vidage mémoire.
Après la création du vidage mémoire, Traps déchiffre le fichier et extrait les informations pour identifier
la cause sous-jacente et pour vérifier la validité de la prévention. Utilisez les résultats de l’analyse pour
diagnostiquer et comprendre l’évènement.
Selon le type d’évènement, Traps peut aussi utiliser des outils de détection automatisés pour effectuer une
analyse de comportement malicieux, comme décrit dans Phase 3 : Détection automatisée.
Phase 3 : Détection automatisée
Après avoir analysé le vidage mémoire, Traps effectue automatiquement une analyse secondaire dont vous
pouvez utiliser les résultats pour vérifier la légitimité d’un évènement de prévention. L’analyse secondaire
fournit une meilleure vision de la nature de l’évènement en utilisant des outils de détection—incluant la
détection de chaîne ROP et la détection de heap spray—pour identifier les traces d’activité malicieuse
supplémentaires.
Si les outils de détection parviennent à identifier des traces d’activité malicieuse, Traps stocke les
informations dans un fichier journal du système sur le point de terminaison en utilisant la syntaxe suivante :
Préfixe Traps-identifiant client unique-identifiant d’évènement. Traps signale également la détection au
serveur ESM. La console ESM affiche les résultats dans la section Traps Automatic Dump Analysis (Analyse
automatique des vidages mémoire de Traps) pour chaque enregistrement d’évènement de prévention en
incluant si chaque outil de détection est parvenu ou non à identifier une activité malicieuse supplémentaire.
Si Traps ne parvient pas à capturer la mémoire, créé un fichier de vidage de manière incorrecte ou ne parvient
pas à terminer l’analyse secondaire, la console ESM masque cette section dans l’enregistrement
d’évènement.
Si les outils de détection identifient une ou plusieurs traces d’activité malicieuse, il est fort probable que
l’évènement de prévention soit une menace légitime.
Pour résoudre ou analyser davantage les évènements de sécurité, consultez les données d’investigation
numérique que Traps collecte, comme décrit dans Phase 4 : Collecte des données d’investigation numérique.
Phase 4 : Collecte des données d’investigation numérique
Après l’analyse des fichiers, Traps avertit ESM de l’évènement de sécurité et peut envoyer des données
d’investigation numérique supplémentaires au dossier d’investigation numérique.
Si votre stratégie de sécurité contient une règle de collecte des données d’investigation numérique, Traps
collecte un ou plusieurs types de données spécifiés et charge les fichiers dans le dossier d’investigation
numérique. Selon les préférences, Traps peut collecter l’URI objet de l’accès, les pilotes, les fichiers et les DLL
pertinents qui sont chargées en mémoire sous le processus attaqué, ainsi que les processus parents du
processus ayant déclenché l’évènement de sécurité. Pour plus d’informations, consultez la section Définir les
préférence de collecte d’investigation numérique.
Par défaut, Traps utilise un dossier Background Intelligent Transfer Service (à service de transfert intelligent
en arrière-plan ; BITS) basé sur le Web qui emploie la bande passante réseau libre pour charger les données.
Pour plus d’informations, consultez la section Modifier le dossier d’investigation numérique par défaut.
Vous pouvez aussi récupérer manuellement les données d’investigation numérique pour un évènement de
sécurité en créant une règle d’action unique pour récupérer les données. Pour plus d’informations, consultez
la section Récupérer les données concernant un évènement de sécurité. Pour consulter l’état du chargement
d’investigation numérique, sélectionnez Monitor (Surveillance) > Data Retrieval (Extraction des données).
Types de données d’investigation numérique
Lorsqu’un évènement de sécurité se produit sur un point de terminaison, Traps peut collecter les
informations suivantes :
Type de données
Description
d’investigation numérique
Vidage mémoire
Contenu des emplacements de mémoire capturé au moment d’un évènement.
Fichiers consultés
Fichiers qui sont chargés en mémoire sous le processus attaqué pour une inspection
approfondie de l’évènement, incluant :
• Récupération des DLL pertinentes en incluant leur chemin
• Fichiers pertinents dans le dossier des fichiers Internet temporaires
• Fichiers ouverts (exécutables et non exécutables)
Modules chargés
Fichiers image PE qui sont chargés sur le système au moment d’un évènement
de sécurité.
URI consultés
Ressources réseau qui ont été consultées au moment de l’évènement de sécurité et
informations sur l’identifiant uniforme de ressource (URI), notamment :
• URI y compris les liens cachés et les trames des threads pertinents attaqués;
• URI de source applet Java, noms de fichier et chemins, incluant les processus
parents, grands-parents et enfants
• Collecte des appels d’URI des plug-ins de navigateur, lecteurs multimédia et
logiciels clients de messagerie
L’agent Traps peut
recueillir les URI
consultés des
navigateurs Chrome,
Internet Explorer et
Firefox uniquement.
Pour activer la collecte
des URI dans Chrome,
vous devez installer un
plug-in (voir Activer la
collecte d’URI dans
Chrome).
Processus parents
Informations sur les processus parents—des processus de navigateurs, non
navigateurs, et applet Java—au moment de l’évènement de sécurité, incluant :
• Sources séparées et destinations pour l’injection de thread
• Parents et grands-parents du processus enfant restreint

Règles d’investigation numérique

Modifier le dossier d’investigation numérique par défaut

Créer une règle d’investigation numérique

Définir les préférences de vidage mémoire

Définir les préférence de collecte d’investigation numérique

Récupérer les données concernant un évènement de sécurité
Règles d’investigation numérique
Les règles de gestion de l’investigation numérique vous permettent de collecter les données d’investigation
numérique capturées par Traps à partir d’un emplacement centralisé. Sur la page Policies > (Politiques)
Forensics (Investigation numérique) > Management (Gestion), vous pouvez créer des règles pour gérer les
paramètres d’investigation numérique suivants :
Règles de paramètres
d’agent
Description
Paramètres de vidage
mémoire
Spécifiez les paramètres des fichiers incluant une taille pour le vidage mémoire
et autorisez Traps à envoyer automatiquement le vidage mémoire au serveur. Ce
paramètre ne s’applique qu’aux données collectées des évènements de prévention
liés aux processus protégés. Pour plus d’informations, consultez la section Définir les
préférences de vidage mémoire.
Collecte d’investigation
numérique
Autorisez Traps à collecter les données d’investigation numérique pour chaque
évènement de sécurité en incluant les fichiers consultés, les modules chargés en
mémoire, les URI consultés et les processus parents du processus qui a déclenché
l’évènement de sécurité. Pour plus d’informations, consultez la section Définir les
préférence de collecte d’investigation numérique.
Modifier le dossier d’investigation numérique par défaut

Modifier la destination du dossier d’investigation numérique en utilisant la console ESM

Modifier la destination du dossier d’investigation numérique en utilisant l’outil de configuration de base
de données
Pour vous permettre de résoudre ou d’analyse davantage les évènements de sécurité, comme une prévention
ou un plantage, Traps charge les données d’investigation numérique dans un dossier d’investigation numérique
basé sur le web. Durant l’installation de la console ESM, le programme d’installation active le Background
Intelligent Transfer Service (service de transfert intelligent en arrière-plan ; BITS) qui emploie la bande passante
réseau libre pour charger les données dans le dossier d’investigation numérique.
Pour analyser un évènement de sécurité, créez une règle d’action pour récupérer les données d’investigation
numérique sur le point de terminaison (voir Gérer les données collectées par Traps). Lorsque Traps reçoit la
requête d’envoi des données, il copie les fichiers dans le dossier d’investigation numérique (également appelé
dossier de quarantaine dans Endpoint Security Manager), qui est un chemin local ou réseau que vous
spécifiez durant l’installation initiale.
Vous pouvez modifier le chemin du dossier d’investigation numérique à tout moment en utilisant Endpoint
Security Manager ou en utilisant l’outil de configuration de base de données (voir Modifier la destination du
dossier d’investigation numérique en utilisant l’outil de configuration de base de données). Tous les points
de terminaison doivent disposer des droits d’écriture dans ce dossier.
Step 1
Sélectionnez Settings (Paramètres) > ESM > Settings (Paramètres).
Step 2
Dans la section qui porte sur la configuration du serveur, saisissez l’URL web dans le champ Forensic Folder
URL (URL du dossier d’investigation numérique) pour utiliser BITS afin de charger les données d’investigation
numérique.
Pour crypter des données d’investigation numérique, nous recommandons fortement d’utiliser SSL pour
communiquer avec le dossier d’investigation numérique. En cas d’utilisation de SSL, incluez le fully
qualified domain name (nom de domaine complètement qualifié ; FQDN) dans le chemin, par exemple,
https://ESMserver.Domain.local:443/BitsUploads. Si vous n’utilisez pas SSL, précisez le port 80, par
exemple http://ESMSERVER:80/BitsUploads.
Modifier la destination du dossier d’investigation numérique en utilisant l’outil de
configuration de base de données
Pour vous permettre de résoudre ou d’analyse davantage les évènements de sécurité, comme une prévention
ou un plantage, Traps charge les données d’investigation numérique dans un dossier d’investigation numérique
basé sur le web. Durant l’installation de la console ESM, le programme d’installation active le Background
Intelligent Transfer Service (service de transfert intelligent en arrière-plan ; BITS) qui emploie la bande passante
réseau libre pour charger les données dans le dossier d’investigation numérique.
Pour analyser un évènement de sécurité, créez une règle d’action pour récupérer les données d’investigation
numérique sur le point de terminaison (voir Gérer les données collectées par Traps). Lorsque Traps reçoit la
requête d’envoi des données, il copie les fichiers dans le dossier d’investigation numérique (également appelé
dossier de quarantaine dans Endpoint Security Manager), qui est un chemin local ou réseau que vous
spécifiez durant l’installation initiale.
Vous pouvez modifier le chemin du dossier d’investigation numérique à tout moment en utilisant Endpoint
Security Manager (voir Modifier la destination du dossier d’investigation numérique en utilisant la console
ESM) ou en utilisant l’outil de configuration de base de données.
L’outil de configuration de base de données est une interface en ligne de commande qui fournit une
le dossier Server sur le serveur ESM.
Modifier la destination du dossier d’investigation numérique en utilisant l’outil de configuration de base de données
Step 1
• Sélectionnez Démarrer. Dans la case Rechercher les programmes et fichiers, saisissez cmd. Ensuite, pour
ouvrir l’invite de commande en tant qu’administrateur, appuyez sur CTRL+MAJ+ENTRÉE.
Step 2
Manager\Server
Step 3
(En option) Consultez les paramètres du serveur existant :
BitsUrl = https://CYVERASERVER.Domain.local:443/BitsUploads
MaxActions = 5000
Step 4
Saisissez l’URL web du dossier d’investigation numérique.
BitsUrl http://ESMserver.Domain.local:443/BitsUploads.
Pour crypter des données d’investigation numérique, nous recommandons fortement d’utiliser SSL pour
communiquer avec le dossier d’investigation numérique. En cas d’utilisation de SSL, incluez le fully
qualified domain name (nom de domaine complètement qualifié ; FQDN) dans le chemin, par exemple,
https://ESMserver.Domain.local:443/BitsUploads. Si vous n’utilisez pas SSL, précisez le port 80, par
exemple http://ESMSERVER:80/BitsUploads.
Step 5
(En option) Pour vérifier le chemin du dossier d’investigation numérique, exécutez la commande dbconfig
server show :
PreventionsDestFolder = \\ESMServer-New\Quarantine
BitsUrl = HTTPS://ESMserver.Domain.local:443/BitsUploads
MaxActions = 5000
Créez une règle d’investigation numérique pour définir les préférences de vidage mémoire et de collecte
Step 1
Configurez une nouvelle règle
Sélectionnez Policies (Politiques) > Forensics (Investigation
numérique) > Management (Gestion), puis cliquez sur Add
(Ajouter).
Step 2
Sélectionnez le type de règle que vous
voulez configurer.
Sélectionnez l’un des types de règle d’investigation numérique
suivants, puis configurez les paramètres en fonction du type de
règle :
• Memory Dump (Vidage mémoire)—Pour plus d’informations,
voir Définir les préférences de vidage mémoire.
• Forensics Collection (Collecte d’investigation numérique)—Pour
plus d’informations, voir Définir les préférence de collecte
Step 3
Step 4
restriction.
existants (Existing Endpoints) dans les zones Inclure (Include) ou
Exclure (Exclude). Endpoint Security Manager interroge Active
Step 5
au besoin.
Step 6
Enregistrez la règle d’investigation
numérique.
sélectionnez la règle dans la page Policies > (Politiques)
Forensics (Investigation numérique) > Management (Gestion) et
à la page Management (Gestion) en tout temps pour l’effacer
Lorsqu’un processus protégé plante ou se termine de manière anormale, Traps enregistre les informations
sur l’évènement en incluant le contenu des emplacements de mémoire et d’autres données relatives à
l’évènement dans ce qu’on appelle un vidage mémoire.
Créez une règle d’investigation numérique pour déterminer comment Traps gère les vidages mémoire liés au
processus en incluant si faut ou non envoyer automatiquement les vidages mémoire au dossier d’investigation
numérique ou modifier la taille du vidage mémoire (petite, moyenne ou complète (le jeu d’informations le plus
grand et complet)).
Step 1
(Ajouter).
Step 2
Définissez les préférences de vidage
mémoire lorsqu’un évènement de
prévention se produit sur le point de
terminaison.
1.
Sélectionnez Memory Dump (Vidage mémoire), puis
sélectionnez l’une des préférences suivantes :
• Envoyez automatiquement les vidages mémoire au serveur
en sélectionnant Send the memory dumps automatically
(Envoyer automatiquement les vidages mémoire).
• Spécifiez la taille du fichier de vidage mémoire en
sélectionnant l’option Memory dump size (Taille du vidage
mémoire), puis en sélectionnant Small (Petit), Medium
(Moyen), ou Full (Intégral) dans le menu déroulant.
2.
Sélectionnez les processus source à partir desquels Traps
collectera les vidages mémoires, soit un ou plusieurs Specific
processes (Processus spécifiques) ou All processes (Tous les
processus).
Step 3
Step 4
auxquels s’applique la règle de restriction. l’onglet Objects (Objets), puis saisissez un ou plusieurs utilisateurs
Step 5
au besoin.
Définir les préférences de vidage mémoire (Continued)
Step 6
numérique.
Pour vous aider à mieux comprendre et trouver les implications concernant la nature réelle d’un évènement
de sécurité lorsqu’il se produit sur un point de terminaison, vous pouvez configurer les options de collecte
d’investigation numérique. Lors d’un évènement de sécurité, Traps peut signaler les fichiers consultés, les
modules chargés en mémoire, les URI consultés et les processus parents du processus qui a déclenché
l’évènement de sécurité.
Step 1
(Ajouter).
Step 2
Définissez les préférence de collecte
Sélectionnez Forensics Collection (Collecte d’investigation
numérique) et configurez les préférences dans les champs suivants :
• Report Accessed Files (Signaler les fichiers consultés)—
Sélectionnez Enabled (Activé) pour collecter les informations
sur les fichiers qui sont chargés en mémoire sous le processus
attaqué pour une inspection approfondie de l’évènement.
• Report Loaded Modules (Signaler les modules chargés)—
Sélectionnez Enabled (Activé) pour signaler les fichiers images
PE qui sont chargés sur le système au moment d’un évènement
de sécurité.
• Report Accessed URI (Signaler les URI consultés)—Sélectionnez
Enabled (Activé) pour recueillir les ressources réseau qui ont été
consultées au moment de l’évènement de sécurité et les
informations sur l’identifiant uniforme de ressource (URI) des
plug-ins Web, des lecteurs multimédia et des clients de messagerie.
• Report Ancestor Processes (Signaler les processus parents)—
Certaines applications peuvent exécuter des applets Java en tant
que processus enfant voire en tant que processus enfant d’un
processus enfant, etc. Sélectionnez Enabled (Activé) pour
enregistrer les informations sur les processus parents provenant
des processus enfants de navigateurs, non navigateurs et applet
Java afin de pouvoir mieux comprendre la racine d’un évènement.
Par ailleurs, pour chaque type de données, vous pouvez désactiver
(Disable) la collecte d’investigation numérique ou adopter (Inherit)
les paramètres de la stratégie de sécurité par défaut.
Définir les préférence de collecte d’investigation numérique (Continued)
Step 3
Step 4
auxquels s’applique la règle
d’investigation numérique. Par défaut,
une nouvelle règle s’applique à toutes les
Pour définir un sous-groupe plus petit
d’objets cibles,
Step 5
au besoin.
Step 6
numérique.
Lorsqu’un évènement de sécurité se produit sur un point de terminaison, Traps collecte les données
d’investigation numérique en incluant le contenu de la mémoire et les stocke sur le point de terminaison.
Utilisez les données d’investigation numérique pour résoudre un problème ou enquêter sur un problème
spécifique avec une application. La sélection de cette option créé une règle de paramètres d’agent pour
récupérer les informations collectées par Traps. Une fois que Traps a reçu la règle de paramètres d’agent,
l’agent envoie tous les journaux au dossier d’investigation numérique.
Pour créer une règle générale afin de récupérer les données d’un ou plusieurs points de terminaison, voir
Gérer les données collectées par Traps.
Step 1
Depuis la console ESM, sélectionnez Security Events (Événements de sécurité) > Threats (Menaces) pour
afficher les évènements de sécurité liés aux processus protégés, ou Monitor (Surveillance) > Provisional
Mode (Mode provisoire) pour afficher les évènements de sécurité liés aux processus provisoires.
Step 2
Sélectionnez l’évènement de sécurité pour lequel vous voulez récupérer les données. L’évènement se
développe pour afficher d’autres détails et actions concernant l’évènement de sécurité.
Step 3
Cliquez sur Retrieve Data (Récupérer les données). La console ESM remplit les paramètres pour une règle de
paramètres d’agent.
Step 4
Examinez les détails de la règle, puis cliquez sur Apply (Appliquer) pour activer la règle immédiatement ou sur
Save (Enregistrer) pour activer la règle ultérieurement. Lors de la communication de pulsation suivante avec
le serveur ESM, l’agent Traps reçoit la nouvelle règle et envoie les données de prévention au dossier
Step 5
Pour consulter l’état du chargement d’investigation numérique, sélectionnez Monitor (Surveillance) > Data
Retrieval (Récupérer les données).
Step 6
Une fois le chargement terminé, cliquez sur Download (Télécharger) pour enregistrer les données données de
prévention localement ou accédez au dossier d’investigation numérique. Si vous n’avez plus besoin des données
de prévention, vous pouvez avez la possibilité de les Supprimer (Delete) du tableau extraction des données.
Requête aux agents
Requête aux agents
Servez-vous de la requête aux agents (Agent Query) pour chercher un fichier système, un dossier ou une
clé de registre sur vos points de terminaison. Chaque requête s’exécute en temps réel sous forme de règle
d’action ponctuelle et vous permet de chercher des paramètres multiples à partir d’un emplacement central.

Flux des requêtes aux agents

Chercher un fichier, un dossier ou une clé de registre sur les points de terminaison

Afficher les résultats d’une requête aux agents
Flux des requêtes aux agents
Après avoir créé une requête aux agents pour Chercher un fichier, un dossier ou une clé de registre sur les
points de terminaison, le serveur ESM envoie la requête sous forme de règle d’action ponctuelle lors de la
prochaine communication de pulsation avec l’agent Si la requête contient des objets cibles ou des conditions,
le serveur ESM n’envoie la requête qu’aux points de terminaison qui correspondent aux objets cibles et aux
conditions. Si vous n’avez spécifié aucun objet cible ni aucune condition, le serveur ESM envoie la requête à
tous les points de terminaison.
Lorsque l’agent Traps reçoit la requête, elle cherche immédiatement le nom de fichier, le dossier ou la clé de
registre sur le point de terminaison local. Si la requête contient plusieurs paramètres de recherche, Traps évalue
les requêtes séparément et signale une correspondance s’il trouve l’un des critères de recherche. Dans le cas
d’un fichier système correspondant, l’agent Traps capture également les métadonnées propres au fichier. Lors
de la pulsation de communication suivante, l’agent Traps envoie les informations au serveur ESM.
Pour consulter les plus récents résultats de recherche, vous n’avez qu’à actualiser la page Agent Query
(Requête aux agents) en tout temps. La console ESM affiche un maximum de 50 résultats dans l’affichage
des détails de chaque demande de recherche (voir Afficher les résultats d’une requête aux agents).
Chercher un fichier, un dossier ou une clé de registre sur les points de
terminaison
Pour effectuer une rechercher centralisée d’un fichier système, d’un dossier ou d’une clé de registre,
servez-vous de la requête aux agents (Agent Query).
Step 1
Créer une nouvelle requête.
1.
À partir de la console ESM, sélectionnez Policies (Politiques >
Forensics (Investigation numérique) > Agent Query (Requête
aux agents).
2.
Ajoutez (Add) une nouvelle requête.
Requête aux agents
Step 2
Configurez un ou plusieurs paramètres
de recherche pour la requête. Lorsque
plusieurs paramètres de recherche sont
précisés, Traps renvoie un résultat si la
recherche correspond à l’un ou l’autre
des paramètres.
1.
Sélectionnez les paramètres de recherche, soit un nom de
fichier (File name), le nom de dossier (Folder name) ou le nom
de la clé de registre (Registry Key).
2.
Saisissez la valeur de correspondance de recherche, puis
cliquez sur Add (Ajouter).
Vous pouvez également utiliser des caractères
génériques dans la dernière portion du nom de chemin
d’un fichier ou d’un dossier, par exemple : C:\Temp\*.txt
3.
Répétez l’opération au besoin pour saisir de multiples critères
de recherche.
(En option) Ajoutez des conditions
à la requête.
Les conditions spécifiées ici peuvent
restreindre la portée de la requête en
l’envoyant uniquement aux points de
terminaison qui correspondent, ou non,
à la condition.
1.
Depuis l’onglet Conditions, sélectionnez la condition dans la
liste Conditions et cliquez sur Add (Ajouter) qui se trouve à
côté de la liste d’inclusion ou d’exclusion des conditions.
2.
Répétez l’opération pour ajouter d’autres conditions, si
nécessaire.
Step 4
(En option) Définissez les objets cibles
auxquels s’applique la requête. Par
défaut, le serveur ESM envoie la requête
à tous les points de terminaison au sein
de votre organisation.
Tout comme les conditions, les objets
cibles peuvent réduire la portée d’une
requête en cibles certains utilisateurs
(Users), ordinateurs (Computers),
groupes (Groups), unités d’organisation
(Organizational Unit) ou points de
terminaisons existants Existing Endpoints.
Sélectionnez l’onglet Objects (Objets), puis saisissez un ou
plusieurs objets cibles dans les sections Include (Inclure) ou Exclude
(Exclure). Endpoint Security Manager interroge Active Directory
pour vérifier les utilisateurs, ordinateurs, groupes ou unités
d’organisation ou identifie les points de terminaison existants à
partir des messages de communication précédents.
Step 5
au besoin.
Step 6
Enregistrez la requête.
• Enregistrer (Save) la requête sans l’activer. Lorsque vous êtes prêt
à exécuter la requête, sélectionnez la règle dans la page Policies >
(Politiques) Forensics (Investigation numérique) > Agent Query
(Requête aux agents) et cliquez sur Activate (Activer).
• Appliquez (Apply) la requête pour l’exécuter immédiatement.
Step 3
Requête aux agents
Step 7
Examinez les résultats de la requête.
Reportez-vous à la section Afficher les résultats d’une requête aux
Bien que, dans le cadre de requête aux agents.
agents (Agent Query), la recherche
s’effectue en temps réel, la console ESM
n’actualise pas la page pour afficher les
résultats de la requête. Par conséquent,
vous devez actualiser la page pour
afficher les résultats actuels.
La page Agent Query (Requête aux agents) affiche toutes les requêtes enregistrées et appliquées et vous
permet de revoir les résultats des requêtes qui ont été appliquées. En développant la ligne de la requête, vous
pouvez afficher des informations supplémentaires sur les correspondances, notamment l’ordinateur sur
lequel la correspondance a été détectée et le moment où cela s’est produit, le fichier ou la clé de registre qui
correspondait au paramètre de recherche et les métadonnées du fichier. Servez-vous des résultats obtenus
après avoir lancé une requête aux agents pour identifier et prendre des mesures supplémentaires, au besoin,
en vue de sécuriser le point de terminaison.
Step 1
À partir de la page Policies (Politiques) > Forensics (Investigation numérique) > Agent Query (Requête aux
agents), sélectionnez la ligne qui correspond à la requête appliquée. La ligne se développe pour afficher
d’autres détails sur la requête et inclut toutes les correspondances de la requête à la section Agent Query,
Found matches (Requête aux actions, correspondances trouvées).
Pour chaque requête appliquée, la console ESM affiche le nombre de points de terminaison qui ont reçu la
requête (Applied On), le nombre de points de terminaison qui ont bien effectués la recherche (Succeeded)
et le nombre de points de terminaison qui n’ont pas réussi à effectuer la requête ou qui n’ont pas reçu la
requête (Failed).
Step 2
(En option) Pour afficher des informations détaillées sur la correspondance, cliquez sur Details (Détails).
La console ESM affiche un maximum de 50 registres de correspondance.
Step 3
(En option) Pour afficher le texte intégral, placez votre souris sur la cellule du champ Result (Résultat) ou
Metadata (Métadonnées).
Step 4
(En option) Pour enregistrer les résultats dans un fichier CSV que vous pouvez analyser, cliquez sur le menu
d’action
en haut de la page et sélectionnez Export Logs (Exporter les journaux).
Step 5
(En option) Vous pouvez effectuer des tâches supplémentaires après avoir revu les résultats de la requête :
• Remédiez aux problèmes des fichiers malveillants sur le point de terminaison.
• Dupliquez (Duplicate) la requête, apportez des changements, au besoin, et appliquez-la (Apply) pour
l’exécuter de nouveau.
• Supprimez (Delete) la requête et les résultats de la console ESM.
Contrairement aux autres navigateurs, Chrome enregistre les URI de tous les onglets au sein d’un processus.
Cela signifie donc que vous devez installer une extension Chrome pour activer la collecte d’URI dans
Chrome. Ceci permet à Traps d’empêcher les tentatives d’exploitation sur ce navigateur. Après l’installation
de l’extension, Chrome enregistre un rappel pour chaque requête web et enregistre l’URI dans un tampon
cyclique, de la même manière que les autres mécanismes de collecte d’URI de Traps.
Pour activer la collecte d’URI, vous pouvez installer l’extension localement sur le point de terminaison ou en
utilisant le logiciel de gestion GPO. Les flux de travail suivants fournissent également des étapes pour la
configuration de l’extension Chrome dans la configuration en ligne ou hors ligne :

Installer l’extension Chrome sur le point de terminaison

Installer l’extension Chrome en utilisant GPO
Step 1
Téléchargez et décompressez le fichier d’extension Traps Chrome Monitor de Palo Alto Networks.
Step 2
Modifiez les fichiers d’extension :
• En ligne : Modifiez la dernière ligne du fichier Ext.reg avec le chemin exact du fichier traps.crx.xml :
"1"="mobnfjmemnepjkflncmogkbnhafgblic;https://clients2.google.com/service/update2/crx"
• Hors ligne :
1. Modifiez la dernière ligne du fichier Ext.reg avec le chemin exact du fichier traps.crx.xml :
"1"="mobnfjmemnepjkflncmogkbnhafgblic;file:C:/....../traps.crx.xml"
2. Dans le fichier traps.crx.xml, modifiez le chemin de fichier de updatecheck codebase avec le chemin
exact du fichier traps.crx :
<updatecheck codebase=’file:C:/ChromeExtension/traps.crx’ version=’1.4’ />
Step 3
Enregistrez puis effectuez un double clic sur le fichier reg pour l’installer automatiquement en local.
Step 4
Vérifiez l’installation de l’extension Chrome : Dans le navigateur Chrome, saisissez chrome://extensions et
appuyez sur Entrée. L’extension Traps Chrome Monitor de Palo Alto Networks doit s’afficher dans la liste des
extensions.
Installer l’extension Chrome en utilisant GPO
Step 1
Décompressez le fichier d’extension.
Téléchargez et décompressez le fichier d’extension Traps Chrome
Monitor de Palo Alto Networks.
Step 2
Step 3
Ajoutez chrome.adm comme modèle
dans le contrôleur de domaine.
Ajoutez le modèle au GPO.
1.
Sur le bureau, sélectionnez Démarrer, saisissez gpmc.msc
dans le champ de recherche, puis appuyez sur Entrée.
2.
Créez le GPO : Dans le gestionnaire de stratégie de groupe,
sélectionnez Forêt > Domaines. Effectuez un clic droit sur le
domaine et sélectionnez Créer un objet de stratégie de
groupe dans ce domaine. Renommez le GPO en
TrapsChromeExtention, puis cliquez sur Enregistrer.
3.
Modifiez le GPO : Effectuez un clic droit sur le GPO et
sélectionnez Modifier. Développez la section des paramètres
de l’ordinateur du GPO. Cliquez sur Stratégies > Modèles
d’administration, puis effectuez un clic droit sur Modèles
d’administration. Sélectionnez Ajout/Suppression de modèles.
4.
Ajoutez le modèle Chrome : Cliquez sur Ajouter puis sur
Parcourir et effectuez un double clic sur le fichier chrome.adm.
Le fichier « chrome » se charge dans la fenêtre des modèles.
Cliquez sur Fermer.
1.
Dans la section des paramètres de l’ordinateur sélectionnez
Stratégies > Modèles d’administration > Modèles
d’administration classiques > Google > Google Chrome
(paramètres pas par défaut) > Extensions.
2.
Sur le côté droit de l’écran, vous trouverez cinq règles GPO.
Effectuez un double clic sur Configurer la liste des
extensions à installation forcée.
3.
Vérifiez que le GPO est activé, puis cliquez sur Afficher (sur le
côté gauche de l’écran, au milieu).
• En ligne : Sur la ligne blanche, saisissez la chaîne suivante :
mobnfjmemnepjkflncmogkbnhafgblic;https://clients
2.google.com/service/update2/crx
• Hors ligne : Sur la ligne blanche, saisissez la chaîne suivante
(modifiez le dossier pour indiquer le dossier d’investigation
numérique, par exemple, //nomserveur/…/investigation) :
mobnfjmemnepjkflncmogkbnhafgblic;file:C:/…………/tr
aps.crx.xml
4.
Step 4
Vérifiez l’installation de l’extension
Chrome.
Cliquez sur OK.
Ouvrez le navigateur Chrome sur le point de terminaison et
saisissez chrome://extensions. Vérifiez que l’extension Traps
Chrome Monitor de Palo Alto Networks s’affiche dans la liste
des extensions.
Rapports et journalisation
Endpoint Security Manager peut écrire les journaux sur une plate-forme de journalisation externe, comme la
gestion d’informations et d’évènements de sécurité (SIEM), les contrôles d’organisation de service (SOC) ou
le journal système (syslog), en plus du stockage interne de ses journaux. Endpoint Security Manager peut
aussi envoyer des journaux à une adresse électronique. La spécification d’une plate-forme de journalisation
externe permet un affichage agrégé des journaux de tous les serveurs ESM.

Types de journalisations d’évènements

Transfert de journaux vers un serveur Syslog

Journaux de transfert vers courriel
La console ESM affiche des informations sur les évènements qui se produisent dans les composants de Traps
sur les pages Logs (Journaux) et Security Events (Évènements de sécurité). Les évènements peuvent inclure
des évènements de sécurité ainsi que tout changement apporté à la stratégie, à l’état de l’agent ou du serveur
ESM, et aux paramètres. Quand vous activez le transfert de journaux vers un périphérique SIEM ou syslog,
ou vers une adresse électronique, vous pouvez personnaliser le type d’évènements que la console ESM
envoie. Les événements sont regroupés dans les catégories suivantes en fonction du type d’évènements :

Évènements de sécurité

Stratégies - Général

Stratégies - Règles

Stratégies - Gestion des processus

Stratégies - Paramètres de restriction

Stratégies - Contrôle des empreintes

Surveillance - Agent

Surveillance de ESM

Paramètres - Administration

Paramètres - Agent

Paramètres - ESM

Paramètres - Conditions

Paramètres - Licences
Évènements de sécurité
Nom de l’événement
Description
Événement de prévention
Un processus ou un fichier exécutable a été bloqué.
• CEF—PreventionEvent
• LEEF—PreventionEvent
• Syslog—PreventionEvent
• Courrier électronique—PreventionEvent
Évènement de notification Un processus ou un fichier exécutable a présenté un comportement suspect.
• CEF—NotificationEvent
• LEEF—NotificationEvent
• Syslog—NotificationEvent
• Courrier électronique—NotificationEvent
Description
Évènement provisoire
Un processus provisoire a présenté un comportement suspect.
• CEF—ProvisionalEvent
• LEEF—ProvisionalEvent
• Syslog—ProvisionalEvent
• Courrier électronique—ProvisionalEvent
Stratégies - Général
Description
Protection désactivée
Un administrateur a désactivé la protection par à l’aide de toutes les règles de
sécurité sur la console ESM.
• CEF—DisabledProtection
• LEEF—DisabledProtection
• Syslog—DisabledProtection
• Courrier électronique—DisabledProtection
Protection activée
Un administrateur a réactivé la protection à l’aide de toutes les règles de sécurité sur
la console ESM.
• CEF—EnabledProtection
• LEEF—EnabledProtection
• Syslog—EnabledProtection
• Courrier électronique—EnabledProtection
Stratégies - Règles
Description
Règle ajoutée/modifiée
Un administrateur a ajouté une nouvelle règle ou modifié une règle existante.
• CEF—RuleEdited
• LEEF—RuleEdited
• Syslog—RuleEdited
• Courrier électronique—RuleEdited
Règle supprimée
Un administrateur a supprimé une règle.
• CEF—RuleDeleted
• LEEF—RuleDeleted
• Syslog—RuleDeleted
• Courrier électronique—RuleDeleted
Stratégies - Gestion des processus
Description
Processus ajouté/modifié
Un administrateur a ajouté ou modifié un processus.
• CEF—ProcessEdited
• LEEF—ProcessEdited
• Syslog—ProcessEdited
• Courrier électronique—ProcessEdited
Processus supprimé
Un administrateur a ajouté ou modifié un processus.
• CEF—ProcessDeleted
• LEEF—ProcessDeleted
• Syslog—ProcessDeleted
• Courrier électronique—ProcessDeleted
Stratégies - Paramètres de restriction
Description
Paramètres de restriction
ajoutés/modifiés
Un administrateur a ajouté ou modifié un paramètre de restriction général.
• CEF—RestrictionSettingsEdited
• LEEF—RestrictionSettingsEdited
• Syslog—RestrictionSettingsEdited
• Courrier électronique—RestrictionSettingsEdited
Stratégies - Contrôle des empreintes
Description
Empreinte ajoutée
Une empreinte a été ajoutée à la cache du serveur ESM.
• CEF—NewHash
• LEEF—NewHash
• Syslog—NewHash
• Courrier électronique—NewHash
Verdict modifié - Passage
de tout à logiciel
malveillant
Un verdict d’empreinte est passé à logiciel malveillant.
• CEF—VerdictChangeAnyToMalware
• LEEF—VerdictChangeAnyToMalware
• Syslog—VerdictChangeAnyToMalware
• Courrier électronique—VerdictChangeAnyToMalware
Description
de tout à tout
Un verdict d’empreinte est passé à logiciel malveillant.
• CEF—VerdictChange
• LEEF—VerdictChange
• Syslog—VerdictChange
• Courrier électronique—VerdictChange
de logiciel malveillant
à tout
Le verdict d’empreinte est passé de logiciel malveillant à un nouveau verdict.
• CEF—VerdictChangeMalwareToAny
• LEEF—VerdictChangeMalwareToAny
• Syslog—VerdictChangeMalwareToAny
• Courrier électronique—VerdictChangeMalwareToAny
de non connexion à tout
Le verdict d’empreinte est passé de non connexion à un nouveau verdict.
• CEF—VerdictChangeNoconnectionToAny
• LEEF—VerdictChangeNoconnectionToAny
• Syslog—VerdictChangeNoconnectionToAny
• Courrier électronique—VerdictChangeNoconnectionToAny
de inconnu à tout
Le verdict d’empreinte est passé d’inconnu à un nouveau verdict.
• CEF—VerdictChangeUnknownToAny
• LEEF—VerdictChangeUnknownToAny
• Syslog—VerdictChangeUnknownToAny
• Courrier électronique—VerdictChangeUnknownToAny
Empreintes importées
Un administrateur a importé une ou plusieurs empreintes dans la cache du serveur.
• CEF—HashesImport
• LEEF—HashesImport
• Syslog—HashesImport
• Courrier électronique—HashesImport
Surveillance - Agent
Description
Violation d’accès à l’agent
Un agent a signalé une violation d’accès.
• CEF—AccessViolation
• LEEF—AccessViolation
• Syslog—AccessViolation
• Courrier électronique—AccessViolation
Pulsation de la part de
l’agent - Tout
Une pulsation a été reçue de la parte de l’agent.
• CEF—Heartbeat
• LEEF—Heartbeat
• Syslog—Heartbeat
• Courrier électronique—Heartbeat
Description
Démarrage du service
de l’agent
Le service de l’agent a été démarré sur le point de terminaison.
• CEF—ServiceAlive
• LEEF—ServiceAlive
• Syslog—ServiceAlive
• Courrier électronique—ServiceAlive
Le service de l’agent
s’est arrêté
Le service d’agent a été arrêté sur le point de terminaison.
• CEF—ServiceStopped
• LEEF—ServiceStopped
• Syslog—ServiceStopped
• Courrier électronique—ServiceStopped
Agent éteint
Le point de terminaison a été éteint.
• CEF—SystemShutdown
• LEEF—SystemShutdown
• Syslog—SystemShutdown
• Courrier électronique—SystemShutdown
Avertissement du service
de l’agent
Le service de l’agent a émis un avertissement.
• CEF—ServiceWarning
• LEEF—ServiceWarning
• Syslog—ServiceWarning
• Courrier électronique—ServiceWarning
Le processus de l’agent
a planté
Le processus de l’agent a planté.
• CEF—ProcessCrashed
• LEEF—ProcessCrashed
• Syslog—ProcessCrashed
• Courrier électronique—ProcessCrashed
Expiration du délai
d’injection du processus
de l’agent
L’agent a dépassé le laps de temps autorisé pour effectuer l’injection dans un
processus.
• CEF—ProcessInjectionTimedOut
• LEEF—ProcessInjectionTimedOut
• Syslog—ProcessInjectionTimedOut
• Courrier électronique—ProcessInjectionTimedOut
Le démarrage du service
de création de rapport
de l’agent a échoué
Le service de création de rapport de l’agent n’est pas parvenu à démarrer.
• CEF—ReportingServiceStartFailed
• LEEF—ReportingServiceStartFailed
• Syslog—ReportingServiceStartFailed
• Courrier électronique—ReportingServiceStartFailed
Échec du chargement du
fichier par l’agent
L’agent n’a pas réussi à charger un fichier.
• CEF—FileUploadFailure
• LEEF—FileUploadFailure
• Syslog—FileUploadFailure
• Courrier électronique—FileUploadFailure
Description
Agent installé sur
le système
Traps a été installé sur un point de terminaison.
• CEF—ClientInstall
• LEEF—ClientInstall
• Syslog—ClientInstall
• Courrier électronique—ClientInstall
Agent désinstallé
du système
Traps a été désinstallé d’un point de terminaison.
• CEF—ClientUninstall
• LEEF—ClientUninstall
• Syslog—ClientUninstall
• Courrier électronique—ClientUninstall
Agent mis à niveau
Traps a été mis à niveau sur un point de terminaison.
• CEF—ClientUpgrade
• LEEF—ClientUpgrade
• Syslog—ClientUpgrade
• Courrier électronique—ClientUpgrade
Modification de l’état
de l’agent
L’état de l’agent a été modifié.
• CEF—TrapsServiceStatusChange
• LEEF—TrapsServiceStatusChange
• Syslog—TrapsServiceStatusChange
• Courrier électronique—TrapsServiceStatusChange
Modification à la stratégie La stratégie de l’agent a été modifiée.
de l’agent
• CEF—AgentPolicyChange
• LEEF—AgentPolicyChange
• Syslog—AgentPolicyChange
• Courrier électronique—AgentPolicyChange
Surveillance de ESM
Description
Connexion utilisateur
Un administrateur s’est connecté à la console ESM.
• CEF—UserLogin
• LEEF—UserLogin
• Syslog—UserLogin
• Courrier électronique—UserLogin
Pulsation ESM
Une pulsation a été reçue de la part du serveur ESM.
• CEF—ServerHeartbeat
• LEEF—ServerHeartbeat
• Syslog—ServerHeartbeat
• Courrier électronique—ServerHeartbeat
Description
Configuration ESM
modifiée
La configuration du serveur ESM a été modifiée.
• CEF—EsmConfigurationChange
• LEEF—EsmConfigurationChange
• Syslog—EsmConfigurationChange
• Courrier électronique—EsmConfigurationChange
État ESM modifié
L’état du serveur ESM a été modifié.
• CEF—EsmStatusChange
• LEEF—EsmStatusChange
• Syslog—EsmStatusChange
• Courrier électronique—EsmStatusChange
Paramètres - Administration
Description
Rôle supprimé
Un rôle administratif a été supprimé.
• CEF—RoleDeleted
• LEEF—RoleDeleted
• Syslog—RoleDeleted
• Courrier électronique—RoleDeleted
Rôle ajouté/modifié
Un rôle administratif a été ajouté ou modifié.
• CEF—RoleEdited
• LEEF—RoleEdited
• Syslog—RoleEdited
• Courrier électronique—RoleEdited
État du rôle modifié
L’état d’un rôle administratif a été modifié.
• CEF—RoleStatusChanged
• LEEF—RoleStatusChanged
• Syslog—RoleStatusChanged
• Courrier électronique—RoleStatusChanged
Utilisateur supprimé
Un utilisateur administratif a été supprimé.
• CEF—UserDeleted
• LEEF—UserDeleted
• Syslog—UserDeleted
• Courrier électronique—UserDeleted
Utilisateur ajouté/modifié
Un utilisateur administratif a été ajouté ou supprimé.
• CEF—UserEdited
• LEEF—UserEdited
• Syslog—UserEdited
• Courrier électronique—UserEdited
Description
État de l’utilisateur modifié L’état d’un utilisateur administratif a été modifié.
• CEF—UserStatusChanged
• LEEF—UserStatusChanged
• Syslog—UserStatusChanged
• Courrier électronique—UserStatusChanged
Paramètres - Agent
Description
Action ponctuelle d’un
agent terminée
Un agent a terminé d’exécuter une règle d’action sur un point de terminaison.
• CEF—OneTimeActionComplete
• LEEF—OneTimeActionComplete
• Syslog—OneTimeActionComplete
• Courrier électronique—OneTimeActionComplete
Action ponctuelle d’un
agent non réussie
Un agent n’a pas réussi à exécuter une règle d’action sur un point de terminaison.
• CEF—OneTimeActionFailed
• LEEF—OneTimeActionFailed
• Syslog—OneTimeActionFailed
• Courrier électronique—OneTimeActionFailed
Paramètres - ESM
Description
Éléments ESM supprimés
Un événement de sécurité a été retiré de la console ESM.
• CEF—ArchivedPreventions
• LEEF—ArchivedPreventions
• Syslog—ArchivedPreventions
• Courrier électronique—ArchivedPreventions
Suppression d’éléments
ESM non réussie
La console ESM n’a pas réussi à supprimer un événement de sécurité.
• CEF—ArchivedPreventionsFailure
• LEEF—ArchivedPreventionsFailure
• Syslog—ArchivedPreventionsFailure
• Courrier électronique—ArchivedPreventionsFailure
Paramètres - Conditions
Description
Condition
ajoutée/modifiée
Une condition a été ajoutée ou modifiée.
• CEF—ConditionEdited
• LEEF—ConditionEdited
• Syslog—ConditionEdited
• Courrier électronique—ConditionEdited
Condition supprimée
Une condition a été supprimée.
• CEF—ConditionDeleted
• LEEF—ConditionDeleted
• Syslog—ConditionDeleted
• Courrier électronique—ConditionDeleted
Paramètres - Licences
Description
Échec de validation de
la licence de l’agent
L’agent n’a pas réussi à valider la licence.
• CEF—MachineLicenseValidationFailed
• LEEF—MachineLicenseValidationFailed
• Syslog—MachineLicenseValidationFailed
• Courrier électronique—MachineLicenseValidationFailed
Expiration de la licence
La licence a expiré sur l’agent.
• CEF—LicenseExpiration
• LEEF—LicenseExpiration
• Syslog—LicenseExpiration
• Courrier électronique—LicenseExpiration
Quantité de licences
Le nombre de licences a changé.
• CEF—LicenseQuantity
• LEEF—LicenseQuantity
• Syslog—LicenseQuantity
• Courrier électronique—LicenseQuantity
Demande d’une licence
d’agent
L’agent a fait une demande de licence.
• CEF—ClientLicenseRequest
• LEEF—ClientLicenseRequest
• Syslog—ClientLicenseRequest
• Courrier électronique—ClientLicenseRequest
Description
Licence d’agent non valide La licence stockée sur l’agent n’était pas valide.
• CEF—ClientLicenseInvalid
• LEEF—ClientLicenseInvalid
• Syslog—ClientLicenseInvalid
• Courrier électronique—ClientLicenseInvalid
Licence envoyée à l’agent
L’agent a reçu une nouvelle licence.
• CEF—SendingLicenseToClient
• LEEF—SendingLicenseToClient
• Syslog—SendingLicenseToClient
• Courrier électronique—SendingLicenseToClient
Pool de licences ajouté
Un nouveau pool de licences a été ajouté à la console ESM.
• CEF—LicensePoolAdded
• LEEF—LicensePoolAdded
• Syslog—LicensePoolAdded
• Courrier électronique—LicensePoolAdded
Licence d’agent révoquée
La licence d’un agent a été revoquée.
• CEF—LicenseRevoked
• LEEF—LicenseRevoked
• Syslog—LicenseRevoked
• Courrier électronique—LicenseRevoked
Syslog est un mécanisme de transfert de journaux standard qui permet l’agrégation des données des
journaux à partir de différents périphériques réseau et fournisseurs dans un référentiel central, pour
l’archivage, l’analyse et la création de rapports. Selon le type et le niveau de gravité des données des fichiers
journaux, vous pouvez être averti des événements critiques requérant votre attention, ou des politiques
nécessitant l’archivage des données sur une période plus longue que leur durée de stockage sur la console
ESM. Dans ces cas-là, vous pouvez transférer vos données de journaux vers un service externe pour
l’archivage, la notification, l’analyse ou toute combinaison des trois.

Activer le transfert des journaux vers un serveur Syslog

Activer le transfert de journaux vers un serveur Syslog à l’aide de l’outil de configuration de base
de données

Format CEF

Format LEEF

Format Syslog
Activer le transfert des journaux vers un serveur Syslog
La console ESM génère des journaux pour plus de 60 types d’événements qui peuvent être transférés
vers un serveur syslog externe, y compris des événements de sécurité, des modifications apportées à la
configuration de la stratégie et des événements de surveillance (agent et serveur). Si vous souhaitez
transférer certains ou tous ces journaux vers un service externe à des fins de stockage à long terme et
d’analyse, vous pouvez utiliser TCP ou SSL comme moyen de transport fiable et sécurisé des journaux, ou
UDP comme moyen de transport non sécurisé. Vous pouvez aussi personnaliser le format (CEF, LEEF ou
Syslog) que la console ESM utilise pour envoyer les journaux.
La date et l’heure de chacun des événements journalisés sont exprimées en UTC.
Activer le transfert des journaux vers un Syslog
Step 1
Activez le transfert des journaux.
À partir de la console ESM, sélectionnez Settings (Paramètres) >
ESM > Syslog, puis Enable Syslog (Activer Syslog).
Activer le transfert des journaux vers un Syslog
Step 2
Configurez les paramètres de syslog.
Indiquez les paramètres syslog suivants :
• Syslog Server (Serveur Syslog)—Nom d’hôte ou adresse IP du
serveur syslog.
• Syslog Port (Port syslog)—Port de communication du serveur
syslog, comme 514.
• Syslog Protocol (Protocole syslog)—Le format que la console
ESM utilise pour envoyer des rapports syslog : CEF, LEEF ou
Syslog. Voir aussi Journaux de transfert vers courriel.
• Keep-alive timeout (Délai de persistance)—Période (en minutes)
pendant laquelle Traps envoie un message de persistance au
serveur syslog (valeur par défaut : 0 ; plage comprise entre 0 et
2 147 483 647). Une valeur de 0 indique que vous ne voulez pas
envoyer de message de persistance au serveur syslog.
• Send reports interval (Intervalle de transmission de rapports)—
Fréquence (en minutes) selo laquelle Traps envoie des journaux
à partir du point de terminaison (valeur par défaut : 10 ; plage
comprise entre 1 et 2 147 483 647).
• Syslog Communication Protocol (Protocole de communication
syslog)—Protocole de couche de transport que la console ESM
utilise pour envoyer des rapports syslog : UDP, TCP ou TCP with
SSL (TCP avec SSL).
Step 3
Sélectionnez les événements que vous
voulez envoyer au serveur syslog.
Dans la zone Logging Events (Événements de journalisation),
sélectionnez un ou plusieurs événements. Faites défiler la liste pour
voir les autres types d’événements que vous pouvez envoyer.
Step 4
Enregistrez vos paramètres.
Cliquez sur Save (Enregistrer).
Step 5
Vérifiez la configuration de vos
paramètres syslog.
Cliquez sur Check Connectivity (Vérifier la connectivité). La
console ESM envoie une communication d’essai au serveur syslog
à l’aide des informations qui figurent à la page Syslog. Si vous ne
recevez pas le message d’essai, confirmez que vos paramètres sont
exacts et essayez de nouveau.
Activer le transfert de journaux vers un serveur Syslog à l’aide de l’outil de
configuration de base de données
Endpoint Security Manager peut écrire les journaux sur une plate-forme de journalisation externe, comme la
gestion d’informations et d’évènements de sécurité (SIEM), les contrôles d’organisation de service (SOC) ou
le journal système (syslog), en plus du stockage interne de ses journaux. La spécfication d’une plate-forme
de journalisation externe vous permet de voir les journaux agrégés de tous les serveurs ESM. Vous pouvez
activer la création de rapport externe en utilisant Endpoint Security Manager (voir Transfert de journaux vers
un serveur Syslog) ou en utilisant l’outil de configuration de base de données.
le dossier Server sur le serveur ESM.
Par défaut, le transfert de journaux est désactivé.
Activer le transfert de journaux vers un serveur Syslog à l’aide de l’outil de configuration de base de données
Step 1
Step 2
Manager\Server
Step 3
(En option) Affichez les paramètres de création de rapports existants :
C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting
show
EnableSyslog = False
SyslogServer =
SyslogPort = 0
SyslogProtocol = Cef
KeepAliveTimeout = 0
SendReportsInterval = 120
MaximumReportsCount = 500000
MinReportsCount = 450000
SyslogCommunicationType = Udp
Step 4
Activez la création de rapports syslog :
EnableSyslog true
Step 5
Spécifiez l’adresse IP du serveur syslog :
SyslogServer ipaddress
Step 6
Précisez le port de communication pour le serveur syslog avec une valeur comprise entre 1 et 65535 (la valeur
par défaut est 514).
SyslogPort portnumber
Step 7
Précisez le protocole syslog que la console ESM utilisera pour envoyer des rapports syslog, soit Cef, Leef ou
Rfc5424 (syslog).
SyslogProtocol [Cef | Leef | Rfc5424]
Step 8
(En option) Spécifiez un intervalle (en minutes) auquel le point de terminaison envoie un message de maintien
d’activité au journal ou rapport avec une valeur de 0 ou plus (la valeur par défaut est 0) :
KeepAliveTimeout value
Activer le transfert de journaux vers un serveur Syslog à l’aide de l’outil de configuration de base de données
Step 9
(En option) Spécifiez la fréquence des rapports envoyés par le point de terminaison en minutes avec une valeur
de 0 ou plus (la valeur par défaut est 10) :
SendReportsInterval value
Spécifiez une valeur de 0 si vous ne voulez pas recevoir les rapports des points de terminaison.
Step 10 (En option) Spécifiez le nombre maximum de notifications de rapport à conserver dans la base de données
avec une valeur de 0 ou plus (la valeur par défaut est 4000) :
MaximumReportsCount value
Par exemple, la spécification d’un nombre maximum de rapports de 5000 notifications signifie que Endpoint
Security Manager rejettera les notifications plus anciennes au-delà de 5000 notifications.
Step 11 (En option) Spécifiez le nombre minimum de notifications de rapport à conserver dans la base de données avec
une valeur de 0 ou plus (la valeur par défaut est 5000) :
MinReportsCount value
Par exemple, la spécification d’un nombre minimum de rapports de 1000 notifications signifie que Endpoint
Security Manager conserve les 1000 notifications les plus récentes après le nettoyage des anciens rapports.
Step 12 (En option Activez le protocole de couche de transportation que la console ESM utilise pour envoyer les
rapports syslog, soit Udp, Tcp ou TcpSsl :
SyslogCommunicationType [Udp | Tcp | TcpSsl]
Format CEF
AccessViolation
CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Access
Violation|Threat|[email protected]|rt=@Model["Time"] shost=@Model["host"]
[email protected] cs2Label=Module cs2=@Model["EPM"] deviceProcessName=@Model["processName"]
fileHash=@Model["hash"] msg=Access Violation- @Model["TargetName"]: @Model["TargetValue"]
AgentPolicyChange
CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Agent Policy
Changed|Agent|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] msg=Policy changed
ArchivedPreventions
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Preventions
Archived|System|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] msg=@Model["totalPreventions"] preventions been archived
ArchivedPreventionsFailure
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Preventions Archived
Failed|System|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] msg=Archived preventions failed
ClientInstall
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Agent
Install|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"]
[email protected] msg=Agent installed
ClientLicenseRequest
CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Client License
Request|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"]
[email protected] msg=New license request
ClientLicenseInvalid
CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Client License
Invalid|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"]
[email protected] msg=Invalid license
ClientUninstall
Uninstall|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"]
[email protected] msg=Agent uninstalled
ClientUpgrade
Upgrade|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"]
[email protected] msg=Agent upgraded
ConditionDeleted
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Condition
Deleted|Config|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] msg=Condition ID: @Model["id"] was deleted
ConditionEdited
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Condition
Edited|Config|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] msg=Condition ID: @Model["id"] was added/changed.
DisabledProtection
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Protection
Disabled|Policy|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] msg=Protection disabled on all agents
EnabledProtection
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Protection
Enabled|Policy|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] msg=Protection restored on all agents
EsmConfigurationChange
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|ESM Configuration
Change|System|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] msg=ESM configuration changed
EsmStatusChange
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|ESM Status
Change|System|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] msg=ESM status changed.
FileUploadFailure
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|File Upload
Failure|System|[email protected]|rt=@Model["Time"] shost=@Model["host"]
[email protected] fname=@Model["fileName"] msg=File failed to upload.
HashesImport
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Hashes
Import|Policy|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] msg=@Model["Amount"] hashes were imported.
Heartbeat
CEF:0|Palo Alto Networks|Traps
Agent|@Model["ProductVersion"]|Heartbeat|Agent|[email protected]|rt=@Model["Time"]
dhost=@Model["host"] [email protected] msg=Service is alive
LicenseExpiration
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|License
Expiration|System|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] msg=User @Model["Name"] status was changed
LicensePoolAdded
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|License Pool
Added|System|[email protected]|rt=@Model["Time"] shost=@Model["host"]
LicenseQuantity
Quantity|System|[email protected]|rt=@Model["Time"] shost=@Model["host"]
LicenseRevoked
Revoked|Config|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] dhost=@Model["host"] msg=Licenses revoked
MachineLicenseValidationFailed
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Machine License Validation
Failed|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"]
[email protected] msg=License Validation Failed
NewHash
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|New Hash
Added|Policy|[email protected]|rt=@Model["Time"] shost=@Model["host"]
dhost=@Model["host"] fileHash=@Model["hash"] msg=New hash added
NotificationEvent
CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Notification
Event|Threat|[email protected]|rt=@Model["Time"] shost=@Model["host"]
[email protected] cs2Label=Module cs2=@Model["EPM"]
deviceProcessName=@Model["processName"]fileHash=@Model["hash"] msg=New prevention event.
Prevention Key: @Model["preventionKey"]
OneTimeActionComplete
CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|One Time Action
Complete|agent|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] msg=One Time Action completed
OneTimeActionFailed
CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|One Time Action
Failed|agent|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] msg=One Time Action failed to run
PreventionEvent
CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Prevention
fileHash=@Model["hash"] msg=New prevention event. Prevention Key: @Model["preventionKey"]
ProcessCrashed
CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Process
Crashed|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"]
[email protected] deviceProcessName=@Model["processName"] msg= Process @Model["processName"]
had crashed
ProcessDeleted
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Process
Deleted|Config|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] deviceProcessName=@Model["processName"] msg=Process was deleted
ProcessEdited
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Process
suser=@Model["user"] deviceProcessName=@Model["processName"] msg=Process was added/edited
ProcessInjectionTimedOut
CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Process Injection Time
Out|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"] [email protected]
deviceProcessName=@Model["processName"] msg=Injection Timeout
ProvisionalEvent
CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Provisional
fileHash=@Model["hash"] msg=New prevention event. Prevention Key: @Model["preventionKey"]
ReportingServiceStartFailed
CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Reporting Service Start
Failed|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"]
[email protected] msg=ReportingService start failed.
RestrictionSettingsEdited
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Restriction Settings
suser=@Model["user"] msg=Restriction Settings were added/changed
RoleEdited
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Role
Edited|config|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] msg=Role @Model["Name"] was added\changed
RoleDeleted
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Role
Deleted|config|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] msg=Role @Model["Name"] was deleted
RoleStatusChanged
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Role Status
Changed|config|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] msg=Role @Model["Name"] status was changed
RuleDeleted
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Rule
Deleted|Policy|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] cs1Label=Rule [email protected]=Rule @Model["id"]: Deleted
RuleEdited
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Rule
Edited|Policy|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] cs1Label=Rule [email protected] msg=Rule @Model["id"]: Edited
SendingLicenseToClient
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Sending License To
Agent|Config|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] dhost=@Model["host"] msg=New license sent
ServerHeartbeat
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|ESM
Heartbeat|System|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] msg=ESM heartbeat.
ServiceAlive
CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Service
Alive|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"]
[email protected] msg=Service start
ServiceStopped
Stopped|Agent|@Model.ExternalSeverity| rt=@Model["Time"] dhost=@Model["host"] duser=@Model["user"]
msg=Service stopped
ServiceWarning
Warning|Threat|[email protected]|rt=@Model["Time"] shost=@Model["host"]
[email protected] cs2Label=Module cs2=@Model["EPM"]deviceProcessName=@Model["processName"]
fileHash=@Model["hash"] msg=Warning- Java sandboxed file access to @Model["TargetValue"]
SystemShutdown
CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|System
Shutdown|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"]
[email protected] msg=Service shutdown
TrapsServiceStatusChange
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Traps Service Status
Change|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"]
[email protected] msg=Agent Service Status Changed: @Model["OldStatus"]-> @Model["NewStatus"]
UserDeleted
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|User
Deleted|config|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] msg=User @Model["Name"] was deleted.
UserEdited
Edited|config|[email protected]|rt=@Model["Time"] shost=@Model["host"]
suser=@Model["user"] msg=User @Model["Name"] was added\changed.
UserLogin
Login|System|[email protected]|rt=@Model["Time"] shost=@Model["host"]
UserStatusChanged
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|User Status
Changed|config|[email protected]|rt=@Model["Time"] shost=@Model["host"]
VerdictChange
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Verdict
Changed|Policy|[email protected]|rt=@Model["Time"]
shost=@Model["host"eHash=@Model["hash"] msg= Hash verdict changed. @Model["OldVerdict"] ->
@Model["NewVerdict"]
VerdictChangeAnyToMalware
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Verdict
Changed|Policy|[email protected]|rt=@Model["Time"] shost=@Model["host"]
fileHash=@Model["hash"] msg= Hash verdict changed. @Model["OldVerdict"] -> @Model["NewVerdict"]
VerdictChangeMalwareToAny
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Verdict Changed Any To
Malware|Policy|[email protected]|rt=@Model["Time"] shost=@Model["host"]
fileHash=@Model["hash"] msg= Hash verdict changed to Malware. @Model["OldVerdict"] ->
VerdictChangeNoconnectionToAny
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Verdict Change No Connection To
Any|Policy|[email protected]|rt=@Model["Time"] shost=@Model["host"]
fileHash=@Model["hash"] msg= Hash verdict changed from No Connection. @Model["OldVerdict"] ->
VerdictChangeUnknownToAny
CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Verdict Change Unknown To
Any|Policy|[email protected]|rt=@Model["Time"] shost=@Model["host"]
fileHash=@Model["hash"] msg= Hash verdict changed from Unknown. @Model["OldVerdict"] ->
Format LEEF
AccessViolation
LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Threat|subtype=Access
Violation|
devTime=@Model["Time"]|shost=@Model["esmHost"]|duser=@Model["user"]|Module=@Model["EPM"]|msg=Acce
ss Violation- @Model["TargetName"]: @Model["TargetValue"]|[email protected]
AgentPolicyChange
LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Agent Policy
Changed| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=Policy
changed|[email protected]
ArchivedPreventions
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=Preventions
Archived|
devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=@Model["totalPreventions"
] preventions been archived|[email protected]
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=Preventions
Archived Failed| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=Archived
preventions failed|[email protected]
ClientInstall
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Agent|subtype=Agent Install|
devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Agent
installed|[email protected]
LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Client License
Invalid| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Invalid license
|[email protected]
LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Client License
Request| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=New license
request|[email protected]
ClientUninstall
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Agent|subtype=Agent Uninstall|
uninstalled|[email protected]
ClientUpgrade
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Agent|subtype=Agent Upgrade|
upgraded|[email protected]
ConditionDeleted
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Condition
Deleted| devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected]|msg=Condition ID:
@Model["id"] was deleted|[email protected]
ConditionEdited
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Condition
Edited| devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected] |msg=Condition ID:
@Model["id"] was added/changed.|[email protected]
DisabledProtection
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Protection
Disabled| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=Protection
disabled on all agents|[email protected]
EnabledProtection
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Protection
Enabled| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=Protection
restored on all agents|[email protected]
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=ESM
Configuration Change| devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected]|msg=ESM
configuration changed|[email protected]
EsmStatusChange
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=ESM Status
Change| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=ESM status
changed.|[email protected]
FileUploadFailure
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=File Upload
Failure|
devTime=@Model["Time"]|shost=@Model["esmHost"]|duser=@Model["user"]|fname=@Model["fileName"]|msg=
File failed to upload.|[email protected]
HashesImport
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Hashes Import|
devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|fileHash=@Model["Hash"]|msg=@
Model["Amount"] hashes were imported|[email protected]
Heartbeat
LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Heartbeat|
devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Service is
alive|[email protected]
LicenseExpiration
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=License
Expiration|
devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=@Model["poolName"]
licenses will expire in @Model["days"] days|[email protected]
LicensePoolAdded
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=License Pool
Added| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=A pool of
@Model["licenseCount"] licenses of type @Model["licenseType"] have been
added|[email protected]
LicenseQuantity
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=License
Quantity| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=Agent Licenses
are running low|[email protected]
LicenseRevoked
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=License
Revoked|
devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|dhost=@Model["host"]|msg=Lice
nses revoked|[email protected]
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Agent|subtype=Machine License
Validation Failed| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=License
Validation Failed|[email protected]
NewHash
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=New Hash Added|
devTime=@Model["Time"]|shost=@Model["esmHost"]|dhost=@Model["host"]|fileHash=@Model["Hash"]|msg=N
ew hash added|[email protected]
NotificationEvent
LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Threat|subtype=Notification
Event|
devTime=@Model["Time"]|shost=@Model["esmHost"]|duser=@Model["user"]|Module=@Model["EPM"]|devicePr
ocessName=@Model["processName"]|fileHash=@Model["Hash"]|msg=New prevention event. Prevention Key:
@Model["preventionKey"]|[email protected]
LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=agent|subtype=One Time
Action Complete| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=One Time
Action completed. Action Type=@Model["ActionType"] Action
ID=@Model["ActionID"]|[email protected]
OneTimeActionFailed
LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=agent|subtype=One Time
Action Failed| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=One Time
Action failed to run. Action Type=@Model["ActionType"] Action
ID=@Model["ActionID"]|[email protected]
PreventionEvent
LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Threat|subtype=Prevention
Event|
ProcessCrashed
LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Process
Crashed|
devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|deviceProcessName=@Model["proces
sName"]|msg= Process @Model["processName"] had crashed|[email protected]
ProcessDeleted
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Process
Deleted|
devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected]|deviceProcessName=@Model["Na
me"]|msg=Process was deleted|[email protected]
ProcessEdited
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Process Edited|
devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected]|[email protected]
a.ProcessFilename|msg=Process was added/edited|[email protected]
LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Process
Injection Time Out|
devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|deviceProcessName=@Model["proces
sName"]|msg=Injection Timeout|[email protected]
ProvisionalEvent
LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Threat|subtype=Provisional
Event|
LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Reporting
Service Start Failed|
devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=ReportingService start
failed.|[email protected]
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Restriction
Settings Edited|
devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected]|msg=Restriction Settings were
added/changed|[email protected]
RoleDeleted
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Role Deleted|
devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected]|msg=Role @Model["Name"] was
deleted|[email protected]
RoleEdited
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Role Edited|
devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected]|msg=Role @Model["Name"] was
added\changed|[email protected]
RoleStatusChanged
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Role Status
Changed| devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected]|msg=Role
@Model["Name"] status was changed to @Model["status"]|[email protected]
RuleDeleted
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Rule Deleted|
devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected]|Rule=@Model["id"]|msg=Rule
@Model["id"]: Deleted|[email protected]
RuleEdited
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Rule Edited|
devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected]|[email protected]|msg=Rule
@Model.Data.Id: Edited|[email protected]
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Sending License
To Agent|
devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|dhost=@Model["host"]|msg=New
license sent|[email protected]
ServerHeartbeat
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=ESM Heartbeat|
devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=ESM
heartbeat.|[email protected]
ServiceAlive
LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Service Alive|
devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Service
start|[email protected]
ServiceStopped
LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Service
Stopped| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Service
stopped|[email protected]
ServiceWarning
LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Threat|subtype=Service
Warning|
devTime=@Model["Time"]|shost=@Model["esmHost"]|duser=@Model["user"]|Module=@Model["EPM"]|msg=Warn
ing- Java sandboxed file access to @Model["TargetValue"]|[email protected]
SystemShutdown
LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=System
Shutdown| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Service
shutdown|[email protected]
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Agent|subtype=Traps Service
Status Change| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Agent Service
Status Changed: @Model["OldStatus"]-> @Model["NewStatus"]|[email protected]
UserDeleted
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=User Deleted|
devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=User @Model["Name"] was
deleted.|[email protected]
UserEdited
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=User Edited|
devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=User @Model["Name"] was
added\changed.|[email protected]
UserLogin
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=User Login|
devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected]|msg=User
@Model.Data.Username logged in to ESM console|[email protected]
UserStatusChanged
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=User Status
Changed| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=User
@Model["Name"] status was changed|[email protected]
VerdictChange
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Verdict
Changed| devTime=@Model["Time"]|shost=@Model["esmHost"]|fileHash=@Model["Hash"]|msg= Hash verdict
changed. @Model["OldVerdict"] -> @Model["NewVerdict"]|[email protected]
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Verdict Changed
Any To Malware| devTime=@Model["Time"]|shost=@Model["esmHost"]|fileHash=@Model["Hash"]|msg= Hash
verdict changed to Malware. @Model["OldVerdict"] ->
@Model["NewVerdict"]|[email protected]
LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Verdict Change
Malware To Any| devTime=@Model["Time"]|shost=@Model["esmHost"]|fileHash=@Model["Hash"]|msg= Hash
verdict changed from Malware. @Model["OldVerdict"] ->
No Connection To Any| devTime=@Model["Time"]|shost=@Model["esmHost"]|fileHash=@Model["Hash"]|msg=
Hash verdict changed from No Connection. @Model["OldVerdict"] ->
Unknown To Any| devTime=@Model["Time"]|shost=@Model["esmHost"]|fileHash=@Model["Hash"]|msg= Hash
verdict changed from Unknown. @Model["OldVerdict"] ->
Format Syslog
AccessViolation
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent: - - - [email protected]
msg=Agent Access Violation to @Model["TargetName"]: @Model["TargetValue"] dst=@Model["host"]
[email protected]
AgentPolicyChange
msg=Agent Policy Change. Computer: @Model["host"]. [email protected]
ArchivedPreventions
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=@Model["user"] archived @Model["totalPreventions"] preventions on
@Model["host"] [email protected]
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] [email protected] @Model["user"] archived @Model["progressCount"] out of
@Model["totalPreventions"] preventions on @Model["host"] [email protected]
ClientInstall
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Agent Installed to System. Computer: @Model["host"].
[email protected]
msg=Computer @Model["host"] has an invalid license. [email protected]
msg=Computer @Model["host"] requested a license. [email protected]
ClientUninstall
msg=Agent Uninstalled from System. Computer: @Model["host"]. [email protected]
ClientUpgrade
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Agent Upgraded. Computer: @Model["host"]. [email protected]
ConditionDeleted
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Condition Deleted. Condition Name: @Model["Name"] Condition ID:
@Model["id"] Condition Description: @Model["Description"] By User: @Model.UserName.
[email protected]
ConditionEdited
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Condition Added/Edited. Condition Name: @Model.Data.Name Condition
Description: @Model.Data.Description By User: @Model.UserName. [email protected]
DisabledProtection
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Protection is disabled across the entire organization!
[email protected]
EnabledProtection
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Protection is restored across the entire organization!
[email protected]
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=ESM Configuration Changed. Server Name: @Model.Data.Name. By User:
@Model.UserName. [email protected]
EsmStatusChange
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=ESM Status Changed. Server Name: @Model["host"] Status: @Model["NewStatus"]
Message: Server Status Change [email protected]
FileUploadFailure
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=File @Model["fileName"] failed to upload from @Model["host"]. Reason:
@Model["message"] [email protected]
HashesImport
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Hashes Imported. Hashes were Imported into the ESM. Hash Count:
@Model["Amount"]. [email protected]
Heartbeat
msg=Service is alive on @Model["host"] [email protected]
LicenseExpiration
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Licenses of type @Model["poolName"] will expire in @Model["days"] days.
[email protected]
LicensePoolAdded
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=A pool of @Model["licenseCount"] licenses of type @Model["licenseType"]
have been added. @Model.ExternalSeverity
LicenseQuantity
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Agent Licenses are running low used:@Model["deployedLicenses"] out
of:@Model["totalLicenses"]. [email protected]
LicenseRevoked
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=License revoked from Computer @Model["host"] [email protected]
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Agent License Validation Failed for Computer @Model["host"]
[email protected]
NewHash
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Hash @Model["Hash"] was added to the ESM hash list.
[email protected]
NotificationEvent
msg=Notification event from Computer: @Model["host"] User: @Model["user"] Agent Version:
@Model["ProductVersion"] Module Name: @Model["EPM"] Process Name: @Model["processName"] Hash:
@Model["Hash"] Prevention Key: @Model["preventionKey"] [email protected]
msg=Agent One Time Action Completed on Computer @Model["host"] @Model["ActionID"] of type
@Model["ActionType"] [email protected]
OneTimeActionFailed
msg=Failed executing one time Action @Model["ActionID"] of type @Model["ActionType"]
[email protected]
PreventionEvent
msg=Prevention event from Computer: @Model["host"] User: @Model["user"] Agent Version:
ProcessCrashed
msg=Agent Process Crashed Process name @Model["ProcessName"] on Computer: @Model["host"] Error
message: @Model["message"]. [email protected]
ProcessDeleted
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Process Deleted. Process Name:@Model["Name"]
By User: @Model.UserName.
[email protected]
ProcessEdited
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Process Added/Edited. Process Name: @Model.Data.ProcessFilename By User:
msg=Agent Process Injection Timeout for process: @Model["processName"] on @Model["host"]
(@Model["pId"]) [email protected]
ProvisionalEvent
msg=Provisional event from Computer: @Model["host"] User: @Model["user"] Agent Version:
msg=Agent Reporting Service Start Failed on Computer @Model["host"] New preventions will not appear
in the ESM. Exception: @Model["msg"] [email protected]
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Restrictions Settings Add/Edit. Restriction Settings in the ESM were
added/edited by User: @Model.UserName. [email protected]
RoleDeleted
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Role Deleted. Role Name: @Model["Name"] By User: @Model.UserName.
[email protected]
RoleEdited
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Role Added/Edited. Role Name: @Model.Data.Name By User: @Model.UserName.
[email protected]
RoleStatusChanged
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Role @Model["status"]. Role Name: @Model["Name"] By User: @Model.UserName.
[email protected]
RuleDeleted
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Rule @Model["id"]: @Model["Description"] was deleted by @Model.UserName.
[email protected]
RuleEdited
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=ID: @Model.Data.Id Rule @Model.Data.Name: @Model.Data.Description was
edited by @Model.UserName. [email protected]
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Sending license To Computer @Model["host"] [email protected]
ServerHeartbeat
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=ESM Heartbeat. Server Name: @Model["host"]. [email protected]
ServiceAlive
msg=Agent Service Start on @Model["host"][email protected]
ServiceStopped
msg=Agent Service Stopped on @Model["host"] [email protected]
ServiceWarning
msg=Agent Service Warning Java sandbox file access to @Model["TargetValue"] on Computer:
@Model["host"] [email protected]
SystemShutdown
msg=Agent Shutdown on Computer @Model["host"] [email protected]
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Agent Service Status Changed. Computer: @Model["host"] Previous Status:
@Model["OldStatus"] New Status: @Model["NewStatus"] [email protected]
UserDeleted
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=User Deleted. Deleted User Name: @Model["Name"] By User: @Model.UserName.
[email protected]
UserEdited
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=User Added/Edited. Added/Edited User Name: @Model.Data.Name By User:
UserLogin
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=User @Model.Data.Username has logged in. [email protected]
UserStatusChanged
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=User @Model["status"]. User Name: @Model["Name"] By User: @Model.UserName.
[email protected]
VerdictChange
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Hash Verdict Changed - Any to Any. Hash: @Model["Hash"] Previous Verdict:
@Model["OldVerdict"] New Verdict: @Model["NewVerdict"]. [email protected]
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Hash Verdict Changed - Any to Malware. Hash: @Model["Hash"] Previous
Verdict: @Model["OldVerdict"] New Verdict: @Model["NewVerdict"]. [email protected]
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Hash Verdict Changed - Malware to Any. Hash: @Model["Hash"] Previous
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Hash Verdict Changed - No connection to Any. Hash: @Model["Hash"] Previous
1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Hash Verdict Changed - Unknown to Any. Hash: @Model["Hash"] Previous

Activez le transfert de journaux vers courriel

Format courriel
La console ESM génère des journaux pour plus que 60 types d’événements incluant des événements de
sécurité, des changements de configuration de politiques, et des événements de surveillance (agent et
serveur). Selon le type et la sévérité des données dans les fichiers de journalisation, vous voudriez recevoir
des alertes de courriel quand des événements critiques demandent votre attention. La console ESM transfert
des journaux vers une adresse courriel en utilisant le service SMTP. Si vous voulez transférer tout ou
quelques-uns des ces journaux à une adresse courriel externe, vous pouvez utiliser SSL pour le transport de
journaux fiable et sécurisé. Après la configuration des paramètres de rapportage de courriel, vous pouvez
envoyer un message d’essais afin de vérifier les paramètres de transfert de journaux.
LA date et heure de chacun des événements journalisés est en Universal Time Coordinated (UTC).
Utilisez le flux de travail suivant pour la configuration de la console ESM pour l’envoie des journaux et
événements vers un compte de courriel.
Step 1
Activez la création de rapports par
courrier électronique.
De la console ESM, sélectionnez Settings (Paramètres) > ESM >
Email (Courriel), puis sélectionnez Enable Mail Reporting (Activez
la création de rapports par courrier électronique).
Step 2
Configurez les paramètres de courriels.
Indiquez les paramètres de courriels suivants :
• Display Name (Nom d’affichage)—Nom d’affichage pour le
compte courriel qui est utilisé pour l’envoie des journaux.
• User name (Nom d’utilisateur)—Nom de l’utilisateur qui peut
accéder au service SMTP.
• Password (Mot de passe)—Mot de passe pour le compte
d’utilisateur qui peut accéder au service SMTP.
• Host (Hôte)—Nom d’hôte ou adresse IP du service SMTP.
• Smtp Port (port smtp)—Port de communication du service
SMTP (le port par défaut est 0).
• Enable SSL (Activez SSL)—Sélectionnez cette option pour le
transport sécurisé des journaux dans des courriels.
• Email Address (Adresse courriel)—Adresse courriel de
l’expéditeur d’où les journaux sont envoyés.
• Recipient (Destinataire)—Adresse courriel du destinataire vers
laquelle les journaux sont envoyés.
• Email Timeout (Seconds) (Délai de courriels (en seconds))—
La période (en seconds) après laquelle la console ESM arrête
d’essayer d’envoyer des journaux (par défaut est 60; l’intervalle
est 1 à 120).
Step 3
Sélectionnez les événements que vous
voulez envoyer à l’adresse courriel
externe.
Dans la région d’événements de journalisation, sélectionnez un ou
plusieurs événements. Traversez la liste pour voir les types
d’événements additionnels que vous pouvez envoyer.
Step 4
Enregistrez vos paramètres.
Cliquez Save (Sauvegarder).
Step 5
Vérifiez la configuration de vos
paramètres de courriels.
Cliquez sur Send Test Message (Envoyez un message d’essais).
La console ESM envoie une communication d’essais à l’adresse
courriel en utilisant l’information sur la page Email (Courriel).
Si vous ne recevez pas un message d’essais, confirmez que vos
paramètres sont valides et ressayez.
Format courriel
AccessViolation
<html><body><p><div>Log Event:<strong> Agent Access
Violation</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Target
Name:<strong> @Model["TargetName"]</strong></div><div>Computer:<strong>
@Model["host"]</strong></div><div>Agent Version:<strong>
@Model["ProductVersion"]</strong></div></p></body></html>
AgentPolicyChange
<html><body><p><div>Log Event:<strong> Agent Policy Change</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent
Version:<strong> @Model["ProductVersion"]</strong></div></p></body></html>
ArchivedPreventions
<html><body><p><div>Log Event:<strong> Archive Threats
Events</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>User:<strong>
@Model["user"]</strong></div><div>Number of Archived Events:<strong>
@Model["totalPreventions"]</strong></div></p></body></html>
<html><body><p><div>Log Event:<strong> Archive Threats Events
Failed</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>User:<strong>
@Model["user"]</strong></div><div>Number of Archived Events (Actual):<strong>
@Model["progressCount"]</strong></div><div>Number of Archived Events (Total):<strong>
@Model["totalPreventions"]</strong></div></p></body></html>
ClientInstall
<html><body><p><div>Log Event:<strong> Agent Installed to
System</strong></div><p></p><div>Time:<strong> @Model.Time
(UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent
<html><body><p><div>Log Event:<strong> Agent License
Invalid</strong></div><p></p><div>Time:<strong> @Model.Time
(UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div></p></body></html>
Request</strong></div><p></p><div>Time:<strong> @Model.Time
ClientUninstall
<html><body><p><div>Log Event:<strong> Agent Uninstalled from
System</strong></div><p></p><div>Time:<strong> @Model.Time
ClientUpgrade
<html><body><p><div>Log Event:<strong> Agent Upgraded</strong></div><p></p><div>Time:<strong>
ConditionDeleted
<html><body><p><div>Log Event:<strong> Condition Deleted</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Condition Name:<strong>
@Model["Name"]</strong></div><div>Condition ID:<strong> @Model["id"]</strong></div><div>Condition
Description:<strong> @Model["Description"]</strong></div><div>By User:<strong>
@Model.UserName</strong></div></p></body></html>
ConditionEdited
<html><body><p><div>Log Event:<strong> Condition
Added/Edited</strong></div><p></p><div>Time:<strong> @Model.Time
(UTC)</strong></div><div>Condition Name:<strong> @Model.Data.Name</strong></div><div>Condition
Description:<strong> @Model.Data.Description</strong></div><div>By User:<strong>
DisabledProtection
<html><body><p><div>Log Event:<strong> Protection
Disabled</strong></div><p></p><div>Description:<strong> Protection is disabled across the entire
organization! </strong></div><div>Time:<strong> @Model.Time (UTC)</strong></div></p></body></html>
EnabledProtection
<html><body><p><div>Log Event:<strong> Protection
Enabled</strong></div><p></p><div>Description:<strong> Protection is restored across the entire
organization!</strong></div><div>Time:<strong> @Model.Time (UTC)</strong></div></p></body></html>
<html><body><p><div>Log Event:<strong> ESM Configuration
Changed</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Server
Name:<strong> @Model.Data.Name</strong></div><div>By User:<strong>
EsmStatusChange
<html><body><p><div>Log Event:<strong> ESM Status Changed</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Server Name:<strong>
@Model["host"]</strong></div><div>Status:<strong>
@Model["NewStatus"]</strong></div><div>Message:<strong> Server Status
Change</strong></div></p></body></html>
FileUploadFailure
<html><body><p><div>Log Event:<strong> Agent File Upload
Failed</strong></div><p></p><div>Time:<strong> @Model.Time
Version:<strong> @Model["ProductVersion"]</strong></div><div>File Name:<strong>
@Model["fileName"]</strong></div><div>Failure Reason:<strong>
@Model["message"]</strong></div></p></body></html>
HashesImport
<html><body><p><div>Log Event:<strong> Hashes
Imported</strong></div><p></p><div>Description:<strong> Hashes were Imported into the
ESM</strong></div><div>Hash Count:<strong> @Model["Amount"]</strong></div></p></body></html>
Heartbeat
<html><body><p><div>Log Event:<strong> Agent Heartbeat Any</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong>
@Model["host"]</strong></div><div>Agent Version:<strong>
@Model["ProductVersion"]</strong></div></p></body></html>
LicenseExpiration
<html><body><p><div>Log Event:<strong> License Expiration</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>License Type:<strong> @Model["poolName"]
</strong></div><div>Expiration in (days):<strong> @Model["days"] </strong></div></p></body></html>
LicensePoolAdded
<html><body><p><div>Log Event:<strong> License Pool Added</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>License Type:<strong>
@Model["licenseType"]</strong></div><div>License Count:<strong>
@Model["licenseCount"]</strong></div></p></body></html>
LicenseQuantity
<html><body><p><div>Log Event:<strong> License
Quantity</strong></div><p></p><div>Description:<strong> Agent Licenses are running
low</strong></div><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Used Licenses:<strong>
@Model["deployedLicenses"]</strong></div><div>Total Licenses :<strong>
@Model["totalLicenses"]</strong></div></p></body></html>
LicenseRevoked
Revoked</strong></div><p></p><div>Time:<strong> @Model.Time
<html><body><p><div>Log Event:<strong> Agent License Validation
(UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div></div><div>Agent
NewHash
<html><body><p><div>Log Event:<strong> Hash Added</strong></div><p></p><div>Description:<strong>
Hash was added to the ESM Hash list</strong></div><div>Time:<strong> @Model.Time
(UTC)</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div></p></body></html>
NotificationEvent
<html><body><p><div>Log Event:<strong> Notification Event</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Computer:<strong>
@Model["host"]</strong></div><div>User:<strong> @Model["user"]</strong></div><div>Agent
Version:<strong> @Model["ProductVersion"]</strong></div><p></p><div>Module Name:<strong>
@Model["EPM"]</strong></div><div>Process Name:<strong>
@Model["processName"]</strong></div><div>Hash:<strong>
@Model["Hash"]</strong></div><div>Prevention Key:<strong>
@Model["preventionKey"]</strong></div></p></body></html>
<html><body><p><div>Log Event:<strong> Agent One Time Action
Completed</strong></div><p></p><div>Time:<strong> @Model.Time
Version:<strong> @Model["ProductVersion"]</strong></div><div>Action Type:<strong>
@Model["ActionType"]</strong></div><div>Action ID:<strong>
@Model["ActionID"]</strong></div></p></body></html>
OneTimeActionFailed
<html><body><p><div>Log Event:<strong> Agent One Time Action
Failed</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Agent
Version:<strong> @Model["ProductVersion"]</strong></div><div>Action Type:<strong>
@Model["ActionType"]</strong></div><div>Action ID:<strong>
@Model["ActionID"]</strong></div></p></body></html>
PreventionEvent
<html><body><p><div>Log Event:<strong> Prevention Event</strong></div><p></p><div>Time:<strong>
ProcessCrashed
<html><body><p><div>Log Event:<strong> Agent Process
Crashed</strong></div><p></p><div>Time:<strong> @Model.Time
Version:<strong> @Model["ProductVersion"]</strong></div><div>Process name:<strong>
@Model["ProcessName"]</strong></div><div>Error message:<strong>
@Model["message"]</strong></div></p></body></html>
ProcessDeleted
<html><body><p><div>Log Event:<strong> Process Deleted</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Process Name:<strong> @Model["Name"]</strong></div><div>By
User:<strong> @Model.UserName</strong></div></p></body></html>
ProcessEdited
<html><body><p><div>Log Event:<strong> Process
Added/Edited</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Process
Name:<strong> @Model.Data.ProcessFilename</strong></div><div>By User:<strong>
<html><body><p><div>Log Event:<strong> Agent Process Injection
Timeout</strong></div><p></p><div>Time:<strong> @Model.Time
Version:<strong> @Model["ProductVersion"]</strong></div><div>Process Name:<strong>
@Model["processName"]</strong></div><div>PID:<strong>
@Model["pId"]</strong></div><div>Severity:<strong>
@Model.ExternalSeverity</strong></div></p></body></html>
ProvisionalEvent
<html><body><p><div>Log Event:<strong> Provisional Event</strong></div><p></p><div>Time:<strong>
<html><body><p><div>Log Event:<strong> Agent Reporting Service Start
Version:<strong> @Model["ProductVersion"]</strong></div><div>Exception:<strong>
@Model["msg"]</strong></div></p></body></html>
<html><body><p><div>Log Event:<strong> Restrictions Settings
Add/Edit</strong></div><p></p><div>Description:<strong> Restrictions Settings in the ESM were
Added/Edited</strong></div><div>Time:<strong> @Model.Time (UTC)</strong></div><div>By
RoleDeleted
<html><body><p><div>Log Event:<strong> Role Deleted</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Role Name:<strong> @Model["Name"]</strong></div><div>By
RoleEdited
<html><body><p><div>Log Event:<strong> Role Added/Edited</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Role Name:<strong> @Model.Data.Name</strong></div><div>By
RoleStatusChanged
<html><body><p><div>Log Event:<strong> Role
@Model["status"]</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Role
Name:<strong> @Model["Name"]</strong></div><div>By User:<strong>
RuleDeleted
<html><body><p><div>Log Event:<strong> Rule Deleted</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Rule Name:<strong> @Model["Name"]</strong></div><div>Rule
ID:<strong> @Model["id"]</strong></div><div>Rule Description:<strong>
@Model["Description"]</strong></div><div>By User:<strong>
RuleEdited
<html><body><p><div>Log Event:<strong> Rule Added/Edited</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Rule Name:<strong> @Model.Data.Name</strong></div><div>Rule
ID:<strong> @Model.Data.Id</strong></div><div>Rule Description:<strong>
@Model.Data.Description</strong></div><div>By User:<strong>
<html><body><p><div>Log Event:<strong> License Sent to
Agent</strong></div><p></p><div>Time:<strong> @Model.Time
ServerHeartbeat
<html><body><p><div>Log Event:<strong> ESM Heartbeat</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Server Name:<strong>
@Model["host"]</strong></div></p></body></html>
ServiceAlive
<html><body><p><div>Log Event:<strong> Agent Service Start</strong></div><p></p><div>Time:<strong>
ServiceStopped
<html><body><p><div>Log Event:<strong> Agent Service
Stopped</strong></div><p></p><div>Time:<strong> @Model.Time
ServiceWarning
<html><body><p><div>Log Event:<strong> Agent Service
Warning</strong></div><p></p><div>Time:<strong> @Model.Time
Version:<strong> @Model["ProductVersion"]</strong></div><div>Java sandbox file access to:<strong>
@Model["TargetValue"]</strong></div></p></body></html>
SystemShutdown
<html><body><p><div>Log Event:<strong> Agent Shutdown</strong></div><p></p><div>Time:<strong>
<html><body><p><div>Log Event:<strong> Agent Service Status
Changed</strong></div><p></p><div>Time:<strong> @Model.Time
Version:<strong> @Model["ProductVersion"]</strong></div><div>Previous Status:<strong>
@Model["OldStatus"]</strong></div><div>New Status:<strong>
@Model["NewStatus"]</strong></div></p></body></html>
UserDeleted
<html><body><p><div>Log Event:<strong> User Deleted</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Deleted User Name:<strong>
@Model["Name"]</strong></div><div>By User:<strong>
UserEdited
<html><body><p><div>Log Event:<strong> User Added/Edited</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Added/Edited User Name:<strong>
@Model.Data.Name</strong></div><div>By User:<strong>
UserLogin
<html><body><p><div>Log Event:<strong> User Login</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>User:<strong>
@Model.Data.Username</strong></div></p></body></html>
UserStatusChanged
<html><body><p><div>Log Event:<strong> User
@Model[ »status »</strong></div><p></p><div>Time:<strong> @Model.Time
(UTC)</strong></div><div>@Model["status"] User Name:<strong> @Model["Name"]</strong></div><div>By
VerdictChange
<html><body><p><div>Log Event:<strong> Verdict Changed - Any to
Any</strong></div><p></p><div>Description:<strong> Hash Verdict has
Changed</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div><div>Previous
Verdict:<strong> @Model["OldVerdict"]</strong></div><div>New Verdict:<strong>
@Model["NewVerdict"]</strong></div></p></body></html>
<html><body><p><div>Log Event:<strong> Verdict Changed - Any to
Malware</strong></div><p></p><div>Description:<strong> Hash Verdict has Changed to
Malware</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div><div>Previous
<html><body><p><div>Log Event:<strong> Verdict Changed - Malware to
Any</strong></div><p></p><div>Description:<strong> Hash Verdict has Changed from
Malware</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div><div>Previous
<html><body><p><div>Log Event:<strong> Verdict Changed - No connection to
Any</strong></div><p></p><div>Description:<strong> Hash Verdict has Changed from No
connection</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div><div>Previous
<html><body><p><div>Log Event:<strong> Verdict Changed - Unknown to
Any</strong></div><p></p><div>Description:<strong> Hash Verdict has Changed from
Unknown</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div><div>Previous
Dépannage

Ressources de dépannage pour Traps

Outil de configuration de base de données

Cytool

Résoudre les problèmes de Traps

Résoudre les problèmes de la console ESM
Dépannage
Pour résoudre les problèmes liés à Traps et à Endpoint Security Manager (comprenant un serveur ESM,
la console ESM et une base de données), servez-vous des ressources suivantes :
Ressource
Description
Endpoint Security
Manager
Interface web, qui fournit les rapports et journaux. Les informations sont utiles pour
la surveillance et le filtrage des journaux afin d’interpréter un comportement
inhabituel sur votre réseau. Après l’analyse d’un évènement de sécurité, vous pouvez
choisir de créer une règle personnalisée pour le point de terminaison ou le processus.
Journal DebugWeb
Indique les informations, avertissements, et erreurs liés à Endpoint Security Manager.
Le journal DebugWeb est situé dans le dossier %ProgramData%\Cyvera\Logs du
serveur ESM.
Journal Server
Indique les informations, avertissements et erreurs liés à la base de données Endpoint
et au serveur ESM. Le journal Server est situé dans le dossier
%ProgramData%\Cyvera\Logs du serveur ESM.
Journal Service
Indique les informations, avertissements, et erreurs liés au service Traps. Le journal
Service est situé dans le dossier suivant sur le point de terminaison :
• Windows Vista et versions supérieures : %ProgramData%\Cyvera\Logs
• Windows XP: C:\Document and Settings\All Users\Application
Data\Cyvera\Logs
Journal Console
Indique les informations, avertissements, et erreurs liés à la console Traps. Le journal
Console est situé dans le dossier suivant sur le point de terminaison :
• Windows Vista et versions supérieures :
C:\Utilisateurs\<nomutilisateur>\AppData\Roaming\Cyvera
• Windows XP: C:\Document and Settings\<nomutilisateur>\Application
Data\Cyvera\Logs
Outil de configuration
de base de données
(dbconfig.exe)
Interface en ligne de commande qui fournit une alternative pour la gestion des
paramètres de base du serveur en utilisant la console ESM. Vous pouvez accéder
à l’outil de configuration de base de données en utilisant une invite de commandes
MS-DOS Microsoft exécutée en tant qu’administrateur. Pour plus d’informations,
consultez la section Outil de configuration de base de données.
Outil de ligne de
commande superviseur
(cytool.exe)
Vous permet d’énumérer les processus protégés, d’activer ou désactiver les
fonctionnalités de protection et d’activer ou désactiver les actions de gestion de
Traps à partir d’une interface en ligne de commande. Pour plus d’informations,
consultez la section Cytool.
Dépannage
le dossier Server du serveur Endpoint Security Manager (ESM).
Utilisez l’outil de configuration de base de données pour effectuer les fonctions suivantes :

Accéder à l’outil de configuration de base de données





Activer le transfert de journaux vers un serveur Syslog à l’aide de l’outil de configuration de base
de données
Exécutez l’outil de configuration de base de données à partir du dossier Server sur un serveur ESM pour
consulter la syntaxe et les exemples d’utilisation.
Step 1
Step 2
Manager\Server
Dépannage
Step 3
Consulter l’utilisation et les options pour l’outil de configuration de base de données :
Usage :
> DBConfig.exe importLicense [1]
Ajouter une nouvelle licence à la base de données.
1) CyveraLicense.xml full path
> DBConfig.exe [1] [2] [3]
Écrire une configuration dans la base de données.
1) Configuration Type (Server, Reflector, UserManagement, Reporting)
2) Key Name
3) Value
> DBConfig.exe [1] show
Afficher les valeurs d’une configuration spécifique.
1) Configuration Type (Server, Reflector, UserManagement, Reporting)
Exemples :
> DBConfig.exe importLicense C:\Foldername\CyveraLicense.xml
> DBConfig.exe server inventoryinterval 200
> DBConfig.exe server show
Dépannage
Cytool
Cytool
Cytool est une interface en ligne de commande qui est intégré dans Traps et vous permet d’interroger et de
gérer les fonctions de base de Traps. Les modifications effectuées avec Cytool sont actives jusqu’à ce que
Traps reçoive la communication de pulsation suivante de la part du serveur ESM.
Vous pouvez accéder à Cytool en utilisant une invite de commandes MS-DOS Microsoft exécutée en tant
qu’administrateur. Cytool est situé dans le dossier Traps sur le point de terminaison.
Utilisez Cytool pour effectuer les fonctions suivantes :

Accéder à Cytool


Gérer les paramètres de protection sur le point de terminaison

Gérer les pilotes et services Traps sur le point de terminaison

Afficher et comparer les stratégies de sécurité sur un point de terminaison
Accéder à Cytool
Pour consulter la syntaxe et les exemples d’utilisation pour les commandes Cytool, utilisez l’option /? après
toute commande.
Accéder à Cytool
Step 1
Step 2
Accédez au dossier qui contient Cytool :
C:\Utilisateurs\Administrator>cd C:\Program Files\Palo Alto Networks\Traps
Step 3
Consulter l’utilisation et les options pour Cytool :
C:\Program Files\Palo Alto Networks\Traps>cytool /?
Traps (R) supervisor tool 3.1
(c) Palo Alto Networks, Inc. All rights reserved
Usage : CYTOOL [/?] [/a] [commande [options]]
Options :
/?
Afficher ce message d’aide.
/a
Authentification en tant que superviseur.
commande
enum | protect | startup | runtime | policy
Pour plus d’informations sur une commande spécifique exécuter
CYTOOL commande /?
Cytool
Dépannage
Pour afficher les processus dans lesquels Traps est actuellement injecté, exécutez la commande enum
au moyen de Cytool ou consultez l’onglet Protection de la console Traps (voir Afficher les processus
actuellement protégés par Traps). Par défaut, la console Traps et Cytool affichent uniquement les processus
protégés exécutés par l’utilisateur actuel. Pour afficher les processus protégés exécutés par tous les
utilisateurs, spécifiez l’option /a.
La consultation des processus protégés exécutés par tous les utilisateurs exige la saisie du mot de passe
superviseur (désinstallation).
Step 1
Ouvrez une invite de commandes en tant qu’administrateur et accédez au dossier Traps (voir Accéder à
Cytool).
Step 2
Consultez les processus protégés lancés par l’utilisateur actuel en saisissant la commande cytool enum.
Pour consulter les processus protégés pour tous les utilisateurs sur le point de terminaison, spécifiez l’option
/a, et saisissez le mot de passe superviseur lorsqu’il est demandé.
C:\Program Files\Palo Alto Networks\Traps>cytool /a enum
Saisissez le mot de passe du superviseur :
Process ID
Agent Version
1000
3.1.1546
1468
3.1.1546
452
3.1.1546
[...]
Gérer les paramètres de protection sur le point de terminaison
Par défaut, Traps protège les processus essentiels, les clés de registre, les fichiers Traps et les services
Traps en fonction des règles de protection de service définies dans la stratégie de sécurité (pour plus
d’informations sur la configuration des règles de protection de service dans Endpoint Security Manager,
voir Gérer la protection de service). Vous pouvez utiliser Cytool pour substituer les règles et gérer les
couches suivantes de protection que Traps applique sur le point de terminaison :

Activer ou désactiver la protection de processus essentiel sur le point de terminaison

Activer ou désactiver les paramètres de protection du registre sur le point de terminaison

Activer ou désactiver les paramètres de protection des fichiers Traps sur le point de terminaison

Activer ou désactiver les paramètres de protection de service sur le point de terminaison

Utilisez la stratégie de sécurité pour gérer la protection de service
Dépannage
Cytool
Activer ou désactiver la protection de processus essentiel sur le point de terminaison
Par défaut, Traps protège les processus essentiels incluant Cyserver.exe et CyveraService.exe en fonction
des règles de protection de service définies dans la stratégie de sécurité locale. Si nécessaire, vous pouvez
substituer le comportement de la protection de processus essentiel en utilisant la commande cytool
protect [enable|disable] process.
La modification des paramètres de protection nécessite la saisie du mot de passe superviseur (désinstallation).
Activer ou désactiver les paramètres de protection de processus essentiel sur le point de terminaison
Step 1
Cytool).
Step 2
Pour gérer les paramètres de protection des processus essentiels sur le point de terminaison, utilisez la
commande suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] process
L’exemple suivant affiche la sortie pour l’activation de la protection des processus essentiels. La colonne Mode
affiche l’état de protection revu (activé (Enabled) ou désactivé (Disabled) ou stratégie (Policy)) lors de
l’utilisation des paramètres dans la stratégie de sécurité locale pour protéger les processus essentiels.
C:\Program Files\Palo Alto Networks\Traps>cytool protect enable process
Protection
Mode
State
Process
Enabled
Enabled
Registry
Policy
Disabled
File
Policy
Disabled
Service
Policy
Disabled
Pour utiliser les paramètres de règle de stratégie par défaut afin de protéger les processus essentiels sur le
point de terminaison, voir Utilisez la stratégie de sécurité pour gérer la protection de service.
Cytool
Dépannage
Pour empêcher les pirates d’altérer les clés de registre de Traps, utilisez la commande cytool protect
enable registry pour limiter l’accès aux clés de registre stockés dans HKLM\SYSTEM\Cyvera. Pour
désactiver la protection des clés de registre, utilisez la commande cytool protect disable registry.
Les modifications des paramètres de protection du registre exigent la saisie du mot de passe superviseur
(désinstallation) lorsqu’il est demandé.
Step 1
Cytool).
Step 2
Pour gérer les paramètres de protection des clés de registre sur le point de terminaison, utilisez la commande
suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] registry
L’exemple suivant affiche la sortie pour l’activation de la protection des clés de registre. La colonne Mode
affiche l’état de protection revu (activé (Enabled) ou désactivé (Disabled) ou stratégie (Policy)) lors de
l’utilisation des paramètres dans la stratégie de sécurité locale pour protéger les clés de registre.
C:\Program Files\Palo Alto Networks\Traps>cytool protect enable registry
Protection
Mode
State
Process
Policy
Disabled
Registry
Enabled
Enabled
File
Policy
Disabled
Service
Policy
Disabled
Pour utiliser les paramètres dans la stratégie de sécurité locale afin de protéger les clés de registre sur le point
de terminaison, voir Utilisez la stratégie de sécurité pour gérer la protection de service.
Dépannage
Cytool
Activer ou désactiver les paramètres de protection des fichiers Traps sur le point
de terminaison
Pour empêcher les pirates d’altérer les fichiers Traps, utilisez la commande cytool protect enable file
pour limiter l’accès aux fichiers système stockés dans %Program Files%\Palo Alto Networks\Traps et
%ProgramData%\Cyvera (ou C:\ Documents and Settings\All Users\Application Data\Cyvera sur Windows
XP). Pour désactiver la protection des fichiers Traps, utilisez la commande cytool protect disable file.
Les modifications des paramètres de protection des fichiers Traps exigent la saisie du mot de passe
superviseur (désinstallation) lorsqu’il est demandé.
Activer ou désactiver les paramètres de protection des fichiers Traps sur le point de terminaison
Step 1
Cytool).
Step 2
Pour gérer les paramètres de protection des fichiers Traps sur le point de terminaison, utilisez la commande
suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] file
L’exemple suivant affiche la sortie pour l’activation de la protection des fichiers. La colonne Mode affiche l’état
de protection revu (activé (Enabled) ou désactivé (Disabled) ou stratégie (Policy)) lors de l’utilisation des
paramètres dans la stratégie de sécurité locale pour protéger les fichiers Traps.
C:\Program Files\Palo Alto Networks\Traps>cytool protect enable file
Protection
Mode
State
Process
Policy
Disabled
Registry
Policy
Disabled
File
Enabled
Enabled
Service
Policy
Disabled
Pour utiliser les paramètres de règle de stratégie par défaut afin de protéger les fichiers Traps sur le point de
terminaison, voir Utilisez la stratégie de sécurité pour gérer la protection de service.
Cytool
Dépannage
Pour substituer la stratégie de sécurité de Traps, les pirates peuvent tenter de désactiver ou de modifier l’état
des services Traps. Utilisez la commande cytool protect enable service pour protéger les services
Traps. Pour désactiver la protection des services Traps, utilisez la commande cytool protect disable
service.
Les modifications des paramètres de protection des services exigent la saisie du mot de passe superviseur
Step 1
Cytool).
Step 2
Pour gérer les paramètres de protection des services Traps sur le point de terminaison, utilisez la commande
suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] service
L’exemple suivant affiche la sortie pour l’activation de la protection des services. La colonne Mode affiche l’état
de protection revu (activé (Enabled) ou désactivé (Disabled) ou stratégie (Policy)) lorsque Traps utilise les
paramètres dans la stratégie de sécurité locale pour protéger les services Traps.
C:\Program Files\Palo Alto Networks\Traps>cytool protect enable service
Protection
Mode
State
Process
Policy
Disabled
Registry
Policy
Disabled
File
Policy
Disabled
Service
Enabled
Enabled
Pour utiliser les paramètres de règle de stratégie par défaut afin de protéger les services Traps sur le point de
terminaison, voir Utilisez la stratégie de sécurité pour gérer la protection de service.
Dépannage
Cytool
Après la modification des paramètres de protection en utilisant Cytool, vous pouvez rétablir la stratégie de
sécurité par défaut à tout moment en utilisant la commande cytool protect policy feature.
Step 1
Cytool).
Step 2
Pour utiliser les règles dans la stratégie de sécurité pour gérer la protection de service, utilisez la commande
suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool protect policy feature
où feature peut être process, registry, file ou service.
L’exemple suivant affiche la sortie pour la gestion de la protection des fichiers Traps en utilisant la stratégie
de sécurité locale. La colonne Mode affiche l’état de protection revu Stratégie (Policy).
C:\Program Files\Palo Alto Networks\Traps>cytool protect policy file
Protection
Mode
State
Process
Enabled
Enabled
Registry
Enabled
Enabled
File
Policy
Disabled
Service
Enabled
Enabled
Cytool
Dépannage
Gérer les pilotes et services Traps sur le point de terminaison
Lorsqu’un point de terminaison démarre, Traps démarre les pilotes (Cyverak, Cyvrmtgn et Cyvrfsfd) et les
services (Cyvera et CyveraService) par défaut. Vous pouvez utiliser Cytool pour substituer le comportement
par défaut et gérer le démarrage ou l’état actuel des pilotes et services de manière globale ou individuelle.
Les modifications du comportement de démarrage par défaut prennent effet lorsque le point de terminaison
redémarre. Les modifications du comportement d’exécution prennent effet immédiatement.

Afficher les composants de démarrage de Traps sur le point de terminaison

Activer ou désactiver le démarrage des composants Traps sur le point de terminaison

Afficher les composants d’exécution de Traps sur le point de terminaison

Démarrer ou arrêter les composants d’exécution de Traps sur le point de terminaison
Utilisez la commande cytool startup query pour afficher l’état des composants de démarrage sur le
point de terminaison. Lorsqu’un service ou un pilote est désactivé, Cytool indique que le composant est
Désactivé (Disabled). Lorsqu’un pilote est activé, Cytool indique que le composant est System. Lorsqu’un
service est activé, Cytool affiche le composant Startup comme Automatic.
Step 1
Cytool).
Step 2
Pour afficher le comportement de démarrage actuel des pilotes et services de Traps, utilisez la commande
suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool startup query
Service
Startup
cyverak
System
cyvrmtgn
System
cyvrfsfd
System
cyserver
Automatic
CyveraService
Automatic
Dépannage
Cytool
Utilisez la commande cytool startup [enable|disable] suivie en option du nom du composant pour
substituer le comportement par défaut pour le démarrage des pilotes et services de Traps sur un point de
terminaison.
Les modifications du comportement de démarrage exigent la saisie du mot de passe superviseur lorsqu’il est
demandé.
Les modifications des pilotes et services de Traps ne prennent effet que lorsque le système
redémarre. Pour appliquer immédiatement les modifications aux pilotes et services de Traps, voir
Démarrer ou arrêter les composants d’exécution de Traps sur le point de terminaison.
Step 1
Cytool).
Step 2
Pour modifier le comportement de démarrage d’un pilote ou service spécifique, utilisez la commande
suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool startup [enable|disable] component
où component est soit un pilote : cyverak, cyvrmtgn, cyvrfsfd, soit un service : cyserver, CyveraService.
Autrement, vous pouvez omettre component de la commande afin de modifier le comportement de
démarrage pour tous les pilotes et services.
L’exemple suivant affiche la sortie pour la désactivation du comportement de démarrage du pilote cyvrmtgn.
La colonne Startup affiche l’état de protection revu Désactivé (Disabled).
C:\Program Files\Palo Alto Networks\Traps>cytool startup disable cyvrmtgn
Service
Startup
cyverak
System
cyvrmtgn
Disabled
cyvrfsfd
System
cyserver
Automatic
CyveraService
Automatic
Cytool
Dépannage
Afficher les composants d’exécution de Traps sur le point de terminaison
Utilisez la commande cytool runtime query pour afficher l’état des composants de Traps sur le point
de terminaison. Lorsqu’un service ou un pilote est actif, Cytool indique que l’état est En cours d’exécution
(Running). Lorsqu’un service ou un pilote n’est pas exécuté, Cytool indique que l’état est Arrêté (Stopped).
Step 1
Cytool).
Step 2
Pour afficher l’état d’exécution actuel des pilotes et services de Traps, utilisez la commande suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool runtime query
Service
State
cyverak
Running
cyvrmtgn
Running
cyvrfsfd
Running
cyserver
Running
CyveraService
Stopped
Dépannage
Cytool
Dans des situations où l’agent Traps n’arrive pas à accéder au serveur ESM ou que vous n’avez pas la
permission de modifier le comportement de Traps à partir de la console ESM mais où vous devez résoudre
un problème urgent lié aux pilotes et services de Traps, vous pouvez utiliser la commande cytool startup
[enable|disable] pour substituer le comportement d’exécution par défaut. La commande est utile
lorsque vous devez prendre des mesures immédiates pour démarrer ou arrêter tous les composants de Traps
ou bien démarrer ou arrêter un pilote ou service spécifique de Traps.
Les modifications du comportement d’exécution des pilotes et services de Traps sont
réinitialisées lorsque le système redémarre. Pour effectuer des changements au comportement
de démarrage des pilotes et services de Traps, voir Activer ou désactiver le démarrage des
composants Traps sur le point de terminaison.
Les modifications du comportement d’exécution exigent la saisie du mot de passe superviseur
Step 1
Cytool).
Step 2
Pour démarrer ou arrêter un pilote ou service, utilisez la commande suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool runtime start component
où component est soit un pilote : cyverak, cyvrmtgn, cyvrfsfd, soit un service : cyserver, CyveraService.
Autrement, vous pouvez omettre component de la commande afin de modifier le comportement d’exécution
pour tous les pilotes et services.
L’exemple suivant affiche la sortie pour l’arrêt du service cyserver. La colonne Startup affiche l’état du
composant revu (en cours d’exécution (Running) ou arrêté (Stopped)).
C:\Program Files\Palo Alto Networks\Traps>cytool runtime stop cyserver
Service
Startup
cyverak
Running
cyvrmtgn
Running
cyvrfsfd
Running
cyserver
Stopped
CyveraService
Running
Cytool
Dépannage
Afficher et comparer les stratégies de sécurité sur un point de terminaison
En utilisant Cytool, vous pouvez afficher les détails des stratégies de sécurité sur le point de terminaison.

Afficher les détails sur une stratégie active

Comparer les stratégies
Utilisez la commande cytool policy query process pour afficher les détails sur les stratégies
associées à un processus spécifique. La spécification du nom de processus affiche des détails sur la stratégie
prévue, tandis que la spécification de l’identifiant du processus (PID) affiche des détails sur la stratégie active
qui est actuellement appliquée au processus. La sortie est utile lorsque vous voulez vérifier qu’une stratégie
est implémentée de la manière dont vous souhaitiez la configurer.
Pour afficher les détails de la stratégie, vous devez saisir le mot de passe superviseur (désinstallation) lorsqu’il
est demandé.
Step 1
Cytool).
Step 2
Pour afficher la stratégie active pour un processus, utilisez la commande suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool policy query process
où process est soit le nom du processus, soit le PID. Par exemple, pour afficher les détails d’une stratégie
pour le bloc-notes, saisissez cytool policy query notepad. L’exemple suivant affiche les détails de stratégie
pour un processus dont le PID est 1234.
C:\Program Files\Palo Alto Networks\Traps>cytool policy query 1234
Générique
Enable
0x00000001
SuspendOnce
0x00000001
AdvancedHooks
0x00000001
[...]
À intervalles réguliers, Traps demande au serveur ESM une stratégie de sécurité à jour et la mémorise dans
le registre du système. Lorsqu’un utilisateur démarre un processus, Traps détermine s’il faut ou non protéger
le processus en fonction des paramètres de la stratégie de sécurité.
Dans les scénarios de dépannage où Traps ne se comporte pas comme prévu, utilisez la commande cytool
pour consulter les différences entre les stratégies qui sont appliquées aux processus
exécutés sur le point de terminaison. En utilisant la commande, vous pouvez comparer la stratégie d’un
processus avec la stratégie de sécurité par défaut ou comparer la stratégie d’un processus avec la stratégie
policy compare
Dépannage
Cytool
d’un autre processus. Dans les ceux cas, vous pouvez spécifier soit le nom du processus, soit l’identifiant
du processus (PID). La spécification du nom du processus simule l’application de la stratégie au processus.
La spécification du PID demande la stratégie effective pour le processus exécuté. Cytool affiche les
paramètres de stratégie côte à côte et indique en rouge toutes les différences entre les stratégies.
Pour comparer les stratégies, vous devez saisir le mot de passe superviseur lorsqu’il est demandé.
Step 1
Ouvrez une invite de commandes en tant qu’administrateur et accédez au dossier Traps (voir Accéder à Cytool).
Step 2
Comparez les détails des deux stratégies :
• Pour comparer la stratégie avec la stratégie par défaut, utilisez la commande suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool policy compare process default
où process est soit le nom du processus, soit l’identifiant du processus (PID).
L’exemple suivant affiche la sortie pour la comparaison d’une stratégie qui s’applique au bloc-notes avec la
stratégie par défaut. Les différences entre les deux stratégies sont affichées en rouge.
C:\Program Files\Palo Alto Networks\Traps>cytool policy compare notepad default
Générique
Enable
SuspendOnce
AdvancedHooks
0x00000001
0x00000001
0x00000001
0x00000001
0x00000001
0x00000001
0x00000001
0x00000001
0x00000000
0x000000011
[...]
DllSec
Enable
Optimize
[...]
• Pour comparer les stratégies pour deux processus, utilisez la commande suivante :
C:\Program Files\Palo Alto Networks\Traps>cytool policy compare process1 process2
où process1 and process2 sont soit le nom du processus, soit l’identifiant du processus (PID). Par
exemple, pour comparer la stratégie appliquée à iexplorer avec la stratégie appliquée à chrome, saisissez
cytool policy compare iexplorer chrome. Vous pouvez aussi comparer les stratégies pour deux PID
ou comparer la stratégie d’un processus à la stratégie d’un PID.
L’exemple suivant affiche la sortie pour la comparaison des stratégies appliquées à deux PID, 1592 et 1000.
Les différences entre les deux stratégies sont affichées en rouge.
C:\Program Files\Palo Alto Networks\Traps>cytool policy compare 1592 1000
Générique
Enable
SuspendOnce
AdvancedHooks
0x00000001
0x00000001
0x00000001
0x00000001
0x00000001
0x00000001
0x00000001
0x00000001
0x00000000
0x000000011
[...]
DllSec
Enable
Optimize
[...]
Dépannage
Ce sujet traite des problèmes suivants liés à Traps :

Pourquoi ne puis-je pas installer Traps ?

Pourquoi ne puis-je pas mettre à niveau ou désinstaller Traps ?

Pourquoi Traps ne parvient pas à se connecter au serveur ESM ?

Comment puis-je résoudre une erreur de certification du serveur Traps ?
Pourquoi ne puis-je pas installer Traps ?
Symptôme
L’installation de Traps indique l’erreur suivante : Échec du démarrage du service « Traps » (CyveraService).
Vérifiez que vous disposez des privilèges suffisants.
Causes possibles

Vous ne disposez pas des privilèges d’administration pour démarrer des services sur le point de
terminaison.
Solution
Après chaque étape de la procédure suivante, vérifiez si vous pouvez installer Traps. Si Traps indique encore
une erreur, effectuez l’étape qui suit jusqu’à la résolution du problème.
SOLUTION : Pourquoi ne puis-je pas installer Traps ?
Step 1
Vérifiez que vous disposez des privilèges d’administration sur le point de terminaison :
• Windows 7 : Cliquez sur Démarrer > Panneau de configuration > Comptes d’utilisateurs > Gérer les
comptes. Sur l’onglet utilisateurs, vérifiez que votre nom d’utilisateur se trouve dans le groupe
Administrateurs.
• Windows 8 : Cliquez sur Démarrer > Panneau de configuration > Comptes d’utilisateurs > Modifier les
comptes. Vérifiez que votre compte apparaît en tant qu’administrateur.
Ouvrez une session sur le point de terminaison en tant qu’administrateur valide.
Dépannage
SOLUTION : Pourquoi ne puis-je pas installer Traps ? (Continued)
Step 2
Le fichier journal du service contient des informations, avertissements, et erreurs liés au service Traps.
Pour un dépannage plus approfondi du problème lié au service Traps, ouvrez le fichier
C:\ProgramData\Cyvera\Logs\Service.log file dans un éditeur de texte et examinez toutes les erreurs dans
le fichier journal qui se sont produites au moment de l’évènement.
Par défaut, le dossier ProgramData peut être masqué. Pour afficher le dossier dans l’explorateur
Windows, sélectionnez Organiser > Options des dossiers et de recherche > Affichage > Afficher les
fichiers, dossiers et lecteurs cachés.
Step 3
Si le problème persiste, contactez le support de Palo Alto Networks.
Pourquoi ne puis-je pas mettre à niveau ou désinstaller Traps ?
Symptôme
L’installation de Traps indique l’erreur suivante : Échec du démarrage du service « Traps » (CyveraService).
Vérifiez que vous disposez des privilèges suffisants.
Causes possibles
Dans les versions antérieures de Traps, la fonctionnalité de protection de service vous empêche de modifier
ou d’altérer les fichiers système Traps.
Solution
SOLUTION : Pourquoi ne puis-je pas mettre à niveau Traps ?
Step 1
Créez une règle d’action pour désactiver la protection de service (voir Gérer la protection de service).
Step 2
Vérifiez que vous pouvez installer ou désinstaller Traps.
Step 3
Supprimez la règle d’action (voir Enregistrer les règles).
Dépannage
SOLUTION : Pourquoi ne puis-je pas mettre à niveau Traps ? (Continued)
Step 4
Essayez de mettre à niveau Traps. Pour un dépannage approfondi d’un problème lié au service Traps,
consultez les journaux pour voir si Traps indique une erreur spécifique :
• Depuis la console Traps, sélectionnez Open Log File (Ouvrir le fichier journal).
• Depuis la console Traps, sélectionnez Send Support File (envoyer le fichier de support) pour envoyer le
journal au serveur ESM.
• Créez une règle d’action pour récupérer les journaux sur le point de terminaison (voir Gérer les données
collectées par Traps).
Step 5
Si le problème persiste, contactez le support de Palo Alto Networks.
Pourquoi Traps ne parvient pas à se connecter au serveur ESM ?
Symptôme
Traps ne parvient pas à communiquer avec le serveur ESM pour récupérer la dernière stratégie de sécurité
et indique un état No connection to server! (Aucune connexion au serveur!).
Causes possibles

Les spécifications du serveur ou du point de terminaison ne possèdent pas la configuration et les critères
requis pour l’installation.

Le service Traps est en panne sur le point de terminaison.

Le service du noyau Endpoint Security Manager est en panne sur le serveur ESM.

Le point de terminaison n’est pas connecté au réseau.

Le trafic entrant n’est pas autorisé sur le port pour le serveur ESM (la valeur par défaut est 2125).

Le pare-feu Windows est activé sur le serveur ESM et empêche le serveur de communiquer avec le client.

Le certificat sur le point de terminaison ne correspond pas au certificat sur le serveur ESM (voir Comment
puis-je résoudre une erreur de certification du serveur Traps ?).
Solution
Après chaque étape de la procédure suivante, vérifiez si Traps peut se connecter au serveur ESM en
sélectionnant Check-in now (Vérifier maintenant). Si Traps ne parvient toujours pas à se connecter au serveur,
assez à l’étape qui suit jusqu’à la résolution du problème.
SOLUTION : Pourquoi Traps ne parvient pas à se connecter au serveur ESM ?
Step 1
Vérifiez que le serveur et le point de
terminaison possèdent la configuration
requise.
Reportez-vous à la section Configuration requise.
Dépannage
SOLUTION : Pourquoi Traps ne parvient pas à se connecter au serveur ESM ? (Continued)
Step 2
Step 3
Vérifiez que le service Traps est exécuté 1.
Ouvrez le gestionnaire de services :
• Windows XP : Dans le menu Démarrer, sélectionnez
Panneau de configuration > Outils d’administration >
Services.
• Windows Vista et versions supérieures : Dans le menu
Démarrer, sélectionnez Panneau de configuration >
Système et sécurité > Outils d’administration > Services.
2.
Repérez le service Traps (appelé CyveraService dans les
anciennes versions de Traps) et vérifiez que l’état du service
est Démarré.
3.
Si l’état du service est Arrêté, effectuez un double clic sur le
service, puis sélectionnez Démarrer. Cliquez sur Fermer.
Vérifiez que le service du noyau
1.
Endpoint Security Manager est en cours
d’exécution sur le serveur ESM.
• Windows Server 2008 : Dans le menu Démarrer,
sélectionnez Panneau de configuration > Outils
sélectionnez Panneau de configuration > Système et
sécurité > Outils d’administration > Services.
2.
Repérez le service du noyau Endpoint Security Manager
(appelé CyveraServer dans les anciennes versions de Endpoint
Security Manager) et vérifiez que l’état du service est
Démarré (Windows Server 2008) ou En cours d’exécution
(Windows Server 2012).
3.
Si l’état du service est Arrêté ou En pause, effectuez un
double clic sur le service, puis sélectionnez Démarrer.
Cliquez sur Fermer.
Step 4
Vérifiez que vous pouvez accéder
au serveur ESM à partir du point de
terminaison.
Depuis le point de terminaison, ouvrez une invite de commandes et
effectuez un ping sur l’adresse IP ou le nom d’hôte du serveur ESM.
Si le serveur ESM est inaccessible, examinez les paramètres de
connectivité réseau entre les dispositifs.
Step 5
Vérifiez que vous pouvez accéder
au point de terminaison à partir du
serveur ESM.
Depuis le serveur ESM, ouvrez une invite de commandes et
effectuez un ping sur l’adresse IP ou le nom d’hôte du point de
terminaison. Si le point de terminaison est inaccessible, examinez
les paramètres de connectivité réseau entre les dispositifs.
Dépannage
SOLUTION : Pourquoi Traps ne parvient pas à se connecter au serveur ESM ? (Continued)
Step 6
Vérifiez que le port pour le serveur ESM 1.
est ouvert sur le pare-feu Windows
(la valeur par défaut est 2125).
Pour contrôler l’accès au port à partir du point de terminaison :
a. Ouvrez une invite de commandes en tant
qu’administrateur.
b. Saisissez la commande suivante sur le port telnet 2125 du
serveur ESM :
C:\>telnet esmservername 2125
où esmservername est le nom d’hôte ou l’adresse IP du
serveur ESM.
Step 7
Désactivez temporairement le pare-feu
Windows.
2.
Si vous ne parvenez pas à utiliser telnet sur le port 2125, créez
une règle entrante pour ouvrir ce port :
a. Ouvrez les paramètres avancés du pare-feu Windows :
– Windows Server 2008 : Dans le menu Démarrer,
sélectionnez Panneau de configuration > Pare-feu
Windows > Paramètres avancés.
sécurité > Pare-feu Windows > Paramètres avancés.
b. Sélectionnez Règles de trafic entrant.
c. Créez une nouvelle règle pour autoriser Traps à
communiquer avec Endpoint Security Manager sur le
port 2125 en sélectionnant l’assistant Nouvelle règle et
en suivant les instructions pas à pas.
3.
Vérifiez que vous pouvez à présent utiliser telnet sur le port
2125 du serveur ESM à partir du point de terminaison.
1.
Ouvrez Modifier les paramètres du Centre de maintenance :
sélectionnez Panneau de configuration. Effectuez un
double clic sur Centre de maintenance et sélectionnez
Modifier les paramètres du Centre de maintenance.
sécurité. Effectuez un double clic sur Centre de
maintenance et sélectionnez Modifier les paramètres
du Centre de maintenance.
2.
Décochez l’option Pare-feu réseau.
3.
Cliquez sur OK.
Step 8
Vérifiez que la connectivité est rétablie
entre Traps et le serveur ESM.
Depuis la console Traps, cliquez sur Check-in now (Vérifiez
maintenant). Si la connectivité est établie, l’état de connexion
indiqué est Successful (Réussi).
Step 9
Consultez les journaux pour voir si Traps
indique une erreur spécifique :
• Depuis la console Traps, sélectionnez Open Log File (Ouvrir le
fichier journal).
• Depuis la console Traps, sélectionnez Send Support File
(Envoyer le fichier de support) pour envoyer le journal au
serveur ESM.
• Créez une règle d’action pour récupérer les journaux sur le point
de terminaison (voir Gérer les données collectées par Traps).
Step 10 Si le problème persiste, contactez
l’assistance Palo Alto Networks.
Dépannage
Comment puis-je résoudre une erreur de certification du serveur Traps ?
Symptôme
L’erreur suivant apparaît dans le services.log sur le point de terminaison.
« Une erreur s’est produire durant la requête HTTP à https://<hostname>:2125/CyveraServer/. Cela
pourrait être dû au fait que le certificat du serveur n’est pas configuré correctement avec HTTP.SYS dans
le cas HTTPS. Elle pourrait être aussi causée par une disparité dans la liaison de sécurité entre le client et
le serveur ».
Causes possibles
Lors de l’installation du logiciel du serveur ESM, les paramètres de configuration de certificat suivants
sont disponibles : Aucun certificat (No SSL) et Certificat externe (SSL). Pour installer Traps, vous devez
sélectionner SSL si vous avez sélectionné Certificat externe durant l’installation du logiciel serveur ESM ou
No SSL si vous avez sélectionné Aucun certificat. La disparité dans les paramètres provoque l’erreur signalée
au service.log.
Solution
SOLUTION : Comment puis-je résoudre une erreur de certification du serveur Traps ?
Step 1
Réinstallez le logiciel Traps.
Vérifiez les paramètres SSL pour le serveur ESM puis réinstallez
Traps sur le point de terminaison en prenant soin de sélectionner le
paramètre SSL approprié durant l’installation (voir Installer Traps
sur le point de terminaison).
Step 2
Vérifiez que l’erreur n’apparaît pas dans
le journal.
Depuis la console Traps, sélectionnez Open Log File, ou ouvrez
services.log sur le point de terminaison et examinez toutes les
erreurs récentes. Si l’erreur de certificat du serveur persiste,
contactez l’assistance Palo Alto Networks.
Dépannage
Ce sujet traite des problèmes suivants liés à la console Endpoint Security Manager (ESM) :

Pourquoi m’est-il impossible d’ouvrir une session sur la console ESM ?

Pourquoi est-que j’obtiens une erreur du serveur au lancement de la console ESM ?

Pourquoi tous les points de terminaison apparaissent déconnectés dans la console ESM ?
Pourquoi m’est-il impossible d’ouvrir une session sur la console ESM ?
Symptôme
La console Endpoint Security Manager (ESM) affiche un message d’erreur indiquant que le nom d’utilisateur
ou le mot de passe sont invalides.
Causes possibles


Le nom d’utilisateur ou le mot de passe n’ont pas été saisis correctement.
L’utilisateur spécifié durant l’installation initiale ne dispose pas de privilèges de propriétaire de base
de données.

L’utilisateur n’a pas été ajoutés en tant qu’administrateur.

L’utilisateur ayant installé le serveur n’était pas un administrateur local sur le serveur.
Solution
SOLUTION : Pourquoi m’est-il impossible d’ouvrir une session sur la console ESM ?
Step 1
Vérifiez que vous avez saisi le nom d’utilisateur et le mot de passe corrects.
Step 2
Vérifiez que l’utilisateur possède des privilèges de propriétaire de base de données (voir Configurer la base de
données du serveur MS-SQL).
Dépannage
SOLUTION : Pourquoi m’est-il impossible d’ouvrir une session sur la console ESM ?
Step 3
Ouvrez une session en tant qu’administrateur et vérifiez que le mode d’authentification est correct et que le
compte utilisateur apparaît sur la page Gestion utilisateur. Pour ajouter un nouvel utilisateur administrateur,
voir Configuration d’un mode d’authentification :. En alternative, vous pouvez ajouter l’administrateur en
utilisant l’outil de configuration de base de données (voir Configuration de l’accès administrateur à en utilisant
l’outil de configuration de la base de données).
Step 4
Si vous ne pouvez pas ouvrir une session en tant qu’administrateur, réinstallez Endpoint Security Manager en
tant qu’administrateur local.
Step 5
Redémarrez IIS : Cliquez sur Démarrer > Exécuter, saisissez IISReset, puis cliquez sur OK.
Step 6
Vérifiez que vous pouvez ouvrir une session sur la console ESM en utilisant le compte. Si le problème persiste,
contactez le support de Palo Alto Networks.
Pourquoi est-que j’obtiens une erreur du serveur au lancement de la
console ESM ?
Symptôme
Lors de l’ouverture de la console ESM, vous recevez une erreur dans le navigateur indiquant une Erreur du
serveur dans l’application /CyveraManagement ou /EndpointSecurityManager.
Causes possibles
Le serveur ne possède pas la configuration requis pour .NET Framework 4.0 avec le correctif KB2468871.
Solution
Installez .NET Framework 4.0 et le correctif KB2468871.
Dépannage
Pourquoi tous les points de terminaison apparaissent déconnectés dans la
console ESM ?
Symptôme
La page Health (Santé) de la console ESM signale que tous les points de terminaison sont déconnectés même
si le point de terminaison peut accéder au serveur ESM.
Causes possibles



Le serveur ESM ne possède pas la configuration requise.
Le service du noyau Endpoint Security Manager est arrêté et doit être redémarré. Cela se produit si vous
attendez plus d’une heure avant d’installer la clé de licence après l’installation initiale du logiciel de la
console ESM.
Le trafic entrant n’est pas autorisé sur le port associé au serveur ESM (la valeur par défaut est 2125).
Solution
Après chaque étape de la procédure suivante, vérifiez si Traps peut se connecter au serveur ESM en
sélectionnant Check-in now (Vérifier maintenant). Si Traps ne parvient toujours pas à se connecter au serveur,
assez à l’étape qui suit jusqu’à la résolution du problème.
SOLUTION : Pourquoi tous les points de terminaison apparaissent déconnectés dans la console ESM ?
Step 1
Vérifiez que le serveur possède la
configuration requise.
Step 2
Vérifiez que le service Traps est exécuté 1.
Reportez-vous à la section Configuration requise pour installer le
serveur ESM.
• Windows XP : Dans le menu Démarrer, sélectionnez
Panneau de configuration > Outils d’administration >
Services.
• Windows Vista et versions supérieures : Dans le menu
Démarrer, sélectionnez Panneau de configuration >
Système et sécurité > Outils d’administration > Services.
2.
Repérez le service Traps (appelé CyveraService dans les
anciennes versions de Traps) et vérifiez que l’état du service
est Démarré.
3.
Si l’état du service est Arrêté, effectuez un double clic sur le
service, puis sélectionnez Démarrer. Cliquez sur Fermer.
Dépannage
SOLUTION : Pourquoi tous les points de terminaison apparaissent déconnectés dans la console ESM ? (Continued)
Step 3
Step 4
Vérifiez que le service du noyau
1.
Endpoint Security Manager est en cours
d’exécution sur le serveur ESM.
sélectionnez Panneau de configuration > Outils
sécurité > Outils d’administration > Services.
2.
Repérez le service du noyau Endpoint Security Manager
(appelé CyveraServer dans les anciennes versions de Endpoint
Security Manager) et vérifiez que l’état du service est Démarré
(Windows Server 2008) ou En cours d’exécution (Windows
Server 2012).
3.
Si l’état du service est Arrêté ou En pause, effectuez un
double clic sur le service, puis sélectionnez Démarrer.
Cliquez sur Fermer.
Vérifiez que le port pour le serveur ESM 1.
est ouvert sur le pare-feu Windows
(la valeur par défaut est 2125).
Pour contrôler l’accès au port à partir du point de terminaison :
a. Ouvrez une invite de commandes en tant qu’administrateur.
b. Saisissez la commande suivante sur le port telnet 2125 du
serveur ESM :
C:\>telnet esmservername 2125
où esmservername est le nom d’hôte ou l’adresse IP du
serveur ESM.
2.
Si vous ne parvenez pas à utiliser telnet sur le port 2125, créez
une règle entrante pour ouvrir ce port :
a. Ouvrez les paramètres avancés du pare-feu Windows :
sélectionnez Panneau de configuration > Pare-feu
Windows > Paramètres avancés.
sécurité > Pare-feu Windows > Paramètres avancés.
b. Sélectionnez Règles de trafic entrant.
c. Créez une nouvelle règle pour autoriser Traps à
communiquer avec Endpoint Security Manager sur le port
2125 en sélectionnant l’assistant Nouvelle règle et en
suivant les instructions pas à pas.
3.
Vérifiez que vous pouvez à présent utiliser telnet sur le port
2125 du serveur ESM à partir du point de terminaison.
Dépannage
SOLUTION : Pourquoi tous les points de terminaison apparaissent déconnectés dans la console ESM ? (Continued)
Step 5
Step 6
Désactivez temporairement le pare-feu
Windows.
Vérifiez que la connectivité est rétablie
entre Traps et le serveur ESM.
1.
Ouvrez Modifier les paramètres du Centre de maintenance :
sélectionnez Panneau de configuration. Effectuez un
double clic sur Centre de maintenance et sélectionnez
Modifier les paramètres du Centre de maintenance.
sélectionnez Panneau de configuration > Système
et sécurité. Effectuez un double clic sur Centre de
maintenance et sélectionnez Modifier les paramètres
du Centre de maintenance.
2.
Décochez l’option Pare-feu réseau.
3.
Cliquez sur OK.
Depuis la console Traps, cliquez sur Check-in now (Vérifiez
maintenant). Si la connectivité est établie, l’état de connexion
indiqué est Successful (Réussi). Si le problème persiste, contactez
le support de Palo Alto Networks.

Traps™ Administrator`s Guide Version 3.3

Transcription

Documents pareils

SPIDER TRAPS

Télécharger le PDF complet

Traps MORE flies with NO FLY TRAP ODOR! Economical