Traps™ Administrator`s Guide Version 3.3
Transcription
Traps™ Administrator`s Guide Version 3.3
Guide de l’administrateur Traps™ Version 3.3 Coordonnées de contact Siège social de l’entreprise : Palo Alto Networks 4401 Great America Parkway Santa Clara, CA 95054 https://www.paloaltonetworks.fr/company/contact-us.html À propos de ce guide Le présent guide décrit l’installation initiale et la configuration de base de la solution Traps de Palo Alto Networks, qui comprend Endpoint Security Manager (ESM), une base de données, le serveur ESM et le logiciel de prévention de l’agent Traps. Les sujets abordés incluent les configurations requises, les meilleures pratiques et les procédures à suivre pour l’installation et la gestion des composants de Traps en vue de sécuriser les points de terminaison de votre organisation. Pour plus d’informations, reportez-vous aux sources qui suivent : Pour obtenir des informations sur la configuration des autres composants de la plateforme de sécurité nouvelle génération de Palo Alto Networks, rendez-vous au portail sur la documentation technique, à l’adresse : https://www.paloaltonetworks.com/documentation ou cherchez le document. Pour accéder à la base de connaissances, aux documentations complètes, aux forums de discussion et aux vidéos, consultez le site https://live.paloaltonetworks.com. Pour contacter le support, obtenir des informations sur les programmes de support, gérer votre compte ou vos périphériques, ou ouvrir un dossier d’assistance, consultez le site https://www.paloaltonetworks.com/support/tabs/overview.html. Pour obtenir les notes de version à jour de Traps 3.3, consultez le site https://www.paloaltonetworks.com/documentation/33/endpoint/endpoint-release-notes.html. Pour nous communiquer vos remarques sur la documentation, écrivez-nous à l’adresse : [email protected]. Palo Alto Networks, Inc. www.paloaltonetworks.fr © 2015-2016 Palo Alto Networks, Inc. Palo Alto Networks est une marque déposée de Palo Alto Networks, Inc. La liste de nos marques est disponible sur le site http://www.paloaltonetworks.com/company/trademarks.html. Toutes les autres marques mentionnées dans le présent document appartiennent à leur propriétaire respectif. Revision Date: août 22, 2016 2 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Table des matières Présentation de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Présentation de Traps. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Prévention d’attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Prévention contre les logiciels malveillants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Composants de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Console Endpoint Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Serveur Endpoint Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Base de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Points de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Agent Traps. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Plate-forme de journalisation externe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dossier d’investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 14 14 14 15 15 15 16 16 Scénarios de déploiement de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Déploiement autonome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Composants du déploiement autonome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Exigences du déploiement autonome. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Petits déploiements. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Déploiement sur petit site individuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Déploiement sur petit site multiple. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Grands déploiements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Déploiement sur grand site individuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Grand déploiement sur site multiple avec un Endpoint Security Manager . . . . . . . . . . . . . 24 Grand déploiement sur site multiple avec plusieurs Endpoint Security Managers . . . . . . . 25 Grand déploiement de site multiple avec agents itinérants (sans VPN) . . . . . . . . . . . . . . . . 26 Grand déploiement de site multiple avec agents itinérants (avec VPN) . . . . . . . . . . . . . . . . 28 Configuration requise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Configuration requise pour installer la console ESM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Configuration requise pour installer le serveur ESM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Configuration requise pour installer la base de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Configuration requise pour installer Traps sur un point de terminaison . . . . . . . . . . . . . . . . . . . 33 Configuration de l’infrastructure Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 Configuration de l’infrastructure du point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 Configurer Endpoint Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Considérations pour l’installation de l’infrastructure du point de terminaison . . . . . . . . . . 37 Activer les services Web sur la console ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Activer le cryptage SSL pour les composants de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Configurer la base de données du serveur MS-SQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 3 Table des matières Installer le logiciel du serveur Endpoint Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Installer le logiciel de la console Endpoint Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . 46 Configuration des points de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Considérations pour le déploiement de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Options d’installation de Traps. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Installer Traps sur le point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Installer les composants de Traps en utilisant Msiexec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Installer les composants de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Désinstaller les composants de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Vérifier une installation réussie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Vérifier la connectivité à partir du point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Vérifier la connectivité à partir de la console ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Gérer les Traps dans un Environment IBV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57 Présentation de l’IBV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 Applications virtualisées et ordinateurs de bureau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 Modes IBV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Considérations pour l’installation d’IBV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Licences d’Agent IBV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Meilleures pratiques pour les déploiements IBV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Configurer les Traps dans un Environment IBV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 Configuration de la politique principale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Configuration des paramètres des Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Configurer les Traps pour un scénario de stockage non persistant . . . . . . . . . . . . . . . . . . . . 66 Configurer les Traps pour un scénario de stockage persistant . . . . . . . . . . . . . . . . . . . . . . . . 68 Affinez et Testez la stratégie IBV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 Administrer le serveur ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .73 Gérer plusieurs serveurs ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 Configuration système requise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 Limitations connues avec les déploiements Multi-ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 Gérer plusieurs serveurs ESM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Configuration des paramètres du serveur RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Définir les paramètres de communication en utilisant la console ESM . . . . . . . . . . . . . . . . . 76 Définir les paramètres de communication en utilisant la console ESM . . . . . . . . . . . . . . . . . 77 LicencesTraps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 A propos des LicencesTraps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Gérer les licences en utilisant la console ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Gérer les licences en utilisant la console ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Retirer une licence Traps. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Gérer l’accès administrateur de la console ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Rôles d’administrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Utilisateurs Administratifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Authentification des administrateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Configuration de l’authentification et des comptes administrateurs . . . . . . . . . . . . . . . . . . . 83 Exporter et importer les fichiers de stratégie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 4 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Table des matières Surveillance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Entretien des points de terminaison et de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Utiliser le tableau de bord Endpoint Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 Surveillance des évènement de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Utiliser le tableau de bord Security Events (Événements de sécurité) . . . . . . . . . . . . . . . . . 92 Affichage de l’historique d’évènement de sécurité sur un point de terminaison . . . . . . . . 98 Surveiller les points de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Afficher les détails de santé du point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Afficher les notifications sur les modifications d’état de l’agent . . . . . . . . . . . . . . . . . . . . . 100 Afficher les détails sur le journal de l’agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Consulter le status de l’agent à partir de la console Traps . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Affichage de l’historique des règles sur un point de terminaison . . . . . . . . . . . . . . . . . . . . 103 Afficher les modifications à la stratégie de sécurité à partir de la console Traps . . . . . . . 104 Affichage de l’historique d’état du service sur un point de terminaison. . . . . . . . . . . . . . . 104 Supprimer un point de terminaison de la page Health (Santé) . . . . . . . . . . . . . . . . . . . . . . . 105 Retirez une licence d’un point de terminaison de la page Health (Santé) . . . . . . . . . . . . . . 105 Surveiller les serveurs ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Afficher la santé des serveurs ESM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Afficher les détails sur la santé des serveurs ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Afficher les notifications concernant le serveur ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Afficher les détails des journaux du serveur ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Surveiller les règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Affichage du récapitulatif de la règle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Afficher les détails des règles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Surveiller l’extraction d’investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Prise en main des règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .113 Vue d’ensemble de la règle de stratégie du point de terminaison. . . . . . . . . . . . . . . . . . . . . . . . 114 Types de règle de stratégie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 Application de la stratégie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Composants et actions communs des règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Conditions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Objets cibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 Nommer ou renommer une règle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 Enregistrer les règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 Gérer les règles enregistrées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 Filtrer les règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 Désactiver ou activer toutes les règles de protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 Afficher ou Masquer les règles de stratégie par défaut. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 Protection contre les attaques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125 Gérer les processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 Protection des processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 Ajouter un processus Protégé, Provisoire ou Non protégé. . . . . . . . . . . . . . . . . . . . . . . . . . 127 Importer ou exporter un processus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 Afficher, modifier ou supprimer un processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 Afficher les processus actuellement protégés par Traps. . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 5 Table des matières Gérer les règles de protection contre les attaques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132 Règles de protection contre les attaques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132 Hiérarchie des règles de protection contre les attaques . . . . . . . . . . . . . . . . . . . . . . . . . . . .133 Modules de protection contre les attaques (EPM) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .133 Stratégie de protection contre les attaques par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135 Créer une règle de protection contre les attaques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .136 Exclure un point de terminaison d’une règle de protection contre les attaques . . . . . . . .139 Prévention contre les logiciels malveillants . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 Flux de prévention contre les logiciels malveillants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .142 Phase 1 : Évaluation des verdicts d’empreinte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .143 Phase 2 : Évaluation de la politique de restriction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .145 Phase 3 : Évaluation de la politique de prévention de Malware . . . . . . . . . . . . . . . . . . . . . .146 Gérer les règles et paramètres WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147 Activation de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147 Règles du WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148 Configurer une règle WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149 Gérer les Hashes des fichiers exécutables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151 Consulter et rechercher les empreintes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151 Exportation et importation d’Hashes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .152 Affichage d’un rapport WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .152 Remplacer un verdict WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .153 Revérifier une décision WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .154 Signaler un verdict incorrect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155 Charger un fichier sur WildFire pour l’analyse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155 Gérer les restrictions sur les fichiers exécutables. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157 Règles de restriction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157 Wildcards et variables dans les règles de restriction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159 Ajouter une nouvelle règle de restriction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .163 Gérer les listes blanches globales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .164 Dossiers locaux en liste noire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .166 Dossiers réseau en liste blanche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .167 Définir les restrictions et exemptions pour les supports externes . . . . . . . . . . . . . . . . . . . .168 Définir les restrictions de processus enfants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169 Définir les restrictions et exemptions pour Java . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .170 Définir les exceptions et limitations des fichiers exécutables non signés . . . . . . . . . . . . . .171 Gérer les règles de protection de Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .174 Gérer les règles de protection de Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .174 Configurer la vaccination de thread. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .175 Gérer la liste blanche d’injection de thread . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .177 Configurer la protection de surveillance de suspension. . . . . . . . . . . . . . . . . . . . . . . . . . . . .178 Gérer la Whitelist de Suspendre la garde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .180 Gérer les points de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 Gérer les règles d’action Traps. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .184 Règles d’action Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .184 Ajouter une nouvelle règle d’action. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185 Gérer les données collectées par Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .186 6 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Table des matières Désinstaller ou mettre à niveau Traps sur le point de terminaison . . . . . . . . . . . . . . . . . . . 188 Mettre à jour ou révoquer la licence Traps sur le point de terminaison . . . . . . . . . . . . . . . 189 Gérer les règles de paramètres d’agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 Règles de paramètres d’agent Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 Ajouter une nouvelle règle de paramètres d’agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 Définir les préférences de journalisation d’évènement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 Masquer ou limiter l’accès à la console Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 Définir les paramètres de communication entre le point de terminaison et le serveur ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 Collecter les informations sur les nouveaux processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 Gérer la protection de service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 Modifier le mot de passe de désinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 Créer un message d’alerte aux utilisateurs personnalisé . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 Investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .207 Aperçu de l’investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 Flux d’investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 Types de données d’investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 Gérer les règles et paramètres d’investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 Règles d’investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 Modifier le dossier d’investigation numérique par défaut. . . . . . . . . . . . . . . . . . . . . . . . . . . 211 Créer une règle d’investigation numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 Définir les préférences de vidage mémoire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 Définir les préférence de collecte d’investigation numérique . . . . . . . . . . . . . . . . . . . . . . . 216 Récupérer les données concernant un évènement de sécurité . . . . . . . . . . . . . . . . . . . . . . 217 Requête aux agents. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 Flux des requêtes aux agents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 Chercher un fichier, un dossier ou une clé de registre sur les points de terminaison. . . . 219 Afficher les résultats d’une requête aux agents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 Activer la collecte d’URI dans Chrome. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 Installer l’extension Chrome sur le point de terminaison . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 Installer l’extension Chrome en utilisant GPO. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 Rapports et journalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .225 Types de journalisations d’évènements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 Évènements de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 Stratégies - Général . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 Stratégies - Règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 Stratégies - Gestion des processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 Stratégies - Paramètres de restriction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 Stratégies - Contrôle des empreintes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 Surveillance - Agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 Surveillance de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 Paramètres - Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 Paramètres - Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 Paramètres - ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 Paramètres - Conditions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 Paramètres - Licences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 7 Table des matières Transfert de journaux vers un serveur Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .236 Activer le transfert des journaux vers un serveur Syslog. . . . . . . . . . . . . . . . . . . . . . . . . . . .236 Activer le transfert de journaux vers un serveur Syslog à l’aide de l’outil de configuration de base de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .237 Format CEF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .240 Format LEEF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .249 Format Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .258 Journaux de transfert vers courriel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .266 Activez le transfert de journaux vers courriel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .266 Format courriel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .267 Dépannage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 Ressources de dépannage pour Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .280 Outil de configuration de base de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .281 Accéder à l’outil de configuration de base de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . .281 Cytool. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .283 Accéder à Cytool. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .283 Afficher les processus actuellement protégés par Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . .284 Gérer les paramètres de protection sur le point de terminaison . . . . . . . . . . . . . . . . . . . . .284 Gérer les pilotes et services Traps sur le point de terminaison. . . . . . . . . . . . . . . . . . . . . . .290 Afficher et comparer les stratégies de sécurité sur un point de terminaison . . . . . . . . . . .294 Résoudre les problèmes de Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .296 Pourquoi ne puis-je pas installer Traps ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .296 Pourquoi ne puis-je pas mettre à niveau ou désinstaller Traps ? . . . . . . . . . . . . . . . . . . . . .297 Pourquoi Traps ne parvient pas à se connecter au serveur ESM ?. . . . . . . . . . . . . . . . . . . .298 Comment puis-je résoudre une erreur de certification du serveur Traps ? . . . . . . . . . . . .301 Résoudre les problèmes de la console ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .302 Pourquoi m’est-il impossible d’ouvrir une session sur la console ESM ? . . . . . . . . . . . . . . .302 Pourquoi est-que j’obtiens une erreur du serveur au lancement de la console ESM ? . . .303 Pourquoi tous les points de terminaison apparaissent déconnectés dans la console ESM ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .304 8 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Présentation de Traps Traps™ est une solution qui empêche les menaces persistantes avancées (advanced persistent threats ; APTs) et les attaques au jour zéro. Traps protège également vos points de terminaison en bloquant les vecteurs d’attaque avant tout lancement de logiciel malveillant, exploitation d’une vulnérabilité des logiciels ou déclenchement d’un bogue. Les rubriques suivantes décrivent la solution Traps plus en détails. Présentation de Traps Composants de Traps © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 9 Présentation de Traps Présentation de Traps Présentation de Traps Les cyberattaques sont des attaques effectuées sur des réseaux ou points de terminaison pour infliger des dommages, voler des informations ou parvenir à d’autres fins qui impliquent la prise de contrôle sur des systèmes informatiques qui n’appartiennent pas aux pirates. Les adversaires perpètrent les cyberattaques soit en causant l’exécution involontaire d’un fichier exécutable malicieux par un utilisateur, soit en exploitant une faille dans un fichier exécutable légitime afin d’exécuter un code malicieux en arrière-plan sans que l’utilisateur n’en soit conscient. L’une des manière d’éviter ces attaques est d’identifier les fichiers exécutables, les bibliothèques de liens dynamiques (dynamic-link libraries ; DLL) ou d’autres éléments de code en tant qu’éléments malicieux, puis d’empêcher leur exécution en testant chaque module dont le code est potentiellement malicieux avec une liste spécifique de signatures de menaces connues. Le point faible de cette méthode est que les solutions basées sur signature mettent du temps à identifier les nouvelles menaces connues uniquement du pirate (également appelée attaques au jour zéro ou exploitations) et à les ajouter aux listes des menaces connues, laissant le point de terminaison vulnérable jusqu’à ce que les signatures soient mises à jour. La solution Traps, qui comprend un Endpoint Security Manager centralisé (un serveur ESM, une console ESM et une base de données) et le logiciel de protection appelé agent Traps installé sur chaque point de terminaison, rend plus efficace l’approche adoptée pour prévenir les attaques. Au lieu de tenter de suivre le rythme d’une liste de menaces connues en croissance perpétuelle, Traps établit une série de barrages routiers qui empêchent les attaques dès leurs points d’entrée initiaux—soit le point où les fichiers exécutables légitimes sont sur le point de laisser inconsciemment un accès malicieux au système. Traps cible les vulnérabilités des logiciels dans les processus qui ouvrent des fichiers non exécutables en utilisant les techniques de prévention d’attaque. Traps utilise également des techniques de prévention contre les logiciels malveillants pour empêcher l’exécution de fichiers exécutables malicieux. En utilisant cette double approche, la solution Traps peut empêcher tous les types d’attaques, qu’il s’agisse de menaces connues ou inconnues. Tous les aspects des paramètres de sécurité du point de terminaison—les points de terminaison et groupes auxquels les paramètres sont appliqués, les applications qu’ils protègent, les règles définies, les restrictions et les actions—peuvent être configurés de manière approfondie. Cela permet à chaque organisation d’adapter Traps à ces exigences afin que ce dernier puisse fournir la meilleure protection en perturbant le moins possible les activités quotidiennes. Prévention d’attaque Prévention contre les logiciels malveillants Prévention d’attaque Une attaque est une séquence de commandes qui profitent d’un bogue ou d’une vulnérabilité dans une application logicielle ou un processus. Les pirates utilisent ces attaques comme moyen d’accès à un système afin de l’utiliser à leur avantage. Pour prendre le contrôle d’un système, le pirate doit tirer profit d’une chaîne de vulnérabilités au sein du système. Le blocage de toute tentative d’exploiter une vulnérabilité dans la chaîne bloquera totalement la tentation d’attaque. Dans un scénario d’attaque type, un pirate tente de prendre le contrôle d’un système en corrompant ou contournant d’abord l’allocation mémoire ou les gestionnaires. En utilisant des techniques de corruption de mémoire comme les dépassements de tampon et la corruption du tas, un pirate peut déclencher un bogue dans un logiciel ou exploiter une vulnérabilité dans un processus. Le pirate doit ensuite manipuler un 10 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Présentation de Traps Présentation de Traps programme pour exécuter le code fourni ou spécifié par le pirate tout en échappant à la détection. Si le pirate obtient l’accès au système d’exploitation, il peut ensuite charger des programmes malveillants, tels que des chevaux de Troie (des programmes qui contiennent des fichiers exécutables malveillants), ou utiliser d’une autre manière le système à son avantage. Traps empêche ces tentatives d’attaque en employant des barrages routiers ou trappes à chaque étape d’une tentative d’exploitation. Lorsqu’un utilisateur ouvre un fichier non exécutable, comme un PDF ou un document Word, et que le processus qui a ouvert le fichier est protégé, l’agent Traps injecte de manière transparente du code dans le logiciel. Cette injection se produit le plus tôt possible avant le chargement en mémoire de tout fichier appartenant au processus. L’agent Traps active ensuite un ou plusieurs Modules de protection contre les attaques (EPM) à l’intérieur du processus qui est protégé. L’EPM cible une technique d’exploitation spécifique et il est conçu pour éviter les attaques sur les vulnérabilités du programme basées sur la corruption de mémoire ou des failles logiques. Les exemples d’attaques que les EPM peuvent prévenir incluent le détournement de bibliothèque de liens dynamiques (DLL) (remplacement d’une DLL par une DLL malicieuse du même nom), le détournement du flux de contrôle d’un programme, et l’introduction de code malicieux en tant que gestionnaire d’exception. En plus de la protection automatique des processus contre ces attaques, Traps signale tous les évènements de prévention à Endpoint Security Manager et effectue des actions supplémentaires en fonction des paramètres des règles de stratégie. Les actions courantes qu’effectue Traps incluent la collecte de données d’investigation numérique et l’avertissement de l’utilisateur à propos de l’évènement. Traps n’effectue aucune action d’analyse ou de surveillance supplémentaire. La stratégie de sécurité par défaut du point de terminaison protège les applications les plus vulnérables et les plus couramment utilisées, mais vous pouvez aussi ajouter d’autres applications de tiers et propriétaires à la liste des processus protégés. Pour plus d’informations, consultez la section Ajouter un processus Protégé, Provisoire ou Non protégé. Pour plus d’informations, consultez la section Gérer les règles de protection contre les attaques. Prévention contre les logiciels malveillants Les fichiers exécutables malveillants, appelés logiciels malveillants, ont souvent l’apparence de fichiers inoffensifs ou sont intégrés à ceux-ci. Ces fichiers peuvent tenter de prendre le contrôle, de recueillir des informations de nature délicate ou de perturber le bon fonctionnement du système. Pour protéger les points de terminaison contre les fichiers malveillants, Traps utilise un autre type de barrage routier de sécurité, nommé le moteur de prévention contre les logiciels malveillants. En utilisant une combinaison des techniques d’atténuation suivantes, le moteur de prévention contre les logiciels malveillants empêche les logiciels malveillants de s’exécuter et, lorsqu’il n’est pas en mesure de prévenir l’attaque, il interrompt le comportement malveillant. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 11 Présentation de Traps Présentation de Traps WildFire integration (Intégration WildFire)—Permet la détection automatique des logiciels malveillants inconnus et bloque rapidement les menaces avant que les données d’une entreprise ne soient compromises. Malware protection modules (Modules de protection contre les logiciels malveillants)—Ciblent des comportements malveillants donnés et vous permettent de bloquer la création de threads distants. Policy-based restrictions (Restrictions fondées sur la stratégie)—Vous permettent d’empêcher des fichiers de s’exécuter à partir de dossiers locaux, de dossiers réseaux ou de supports externes spécifiques ; de restreindre ou de bloquer les processus enfants ; de bloquer ou de mettre en liste blanche les processus Java lancés dans les navigateurs Web ; et de bloquer l’exécution des processus sans signature. Lorsqu’un événement de sécurité se produit, Traps recueille également les données d’investigation numérique et signale l’événement à l’utilisateur. Pour plus d’informations, voir Flux de prévention contre les logiciels malveillants. 12 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Présentation de Traps Composants de Traps Composants de Traps La solution Traps tourne autour de Endpoint Security Manager (ESM), qui se compose d’une console ESM, d’une base de données, d’un serveur ESM et du logiciel de protection de l’agent Traps. L’agent Traps est installé sur chaque point de terminaison de votre organisation, et, ensemble, ces composants gèrent les règles de stratégie de sécurité, distribuent la stratégie de sécurité aux points de terminaison et appliquent la stratégie sur les points de terminaison. Le diagramme suivant présente les composants de Traps ainsi que les liens qui les unissent entre eux ainsi qu’aux autres composants de sécurité. Les rubriques suivantes décrivent les composants de Traps ainsi que d’autres composants plus en détails. Console Endpoint Security Manager Serveur Endpoint Security Manager Base de données Points de terminaison Agent Traps Plate-forme de journalisation externe WildFire Dossier d’investigation numérique © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 13 Composants de Traps Présentation de Traps Console Endpoint Security Manager La console Endpoint Security Manager (ESM) est une interface Web qui vous permet de gérer les événements de sécurité, de surveiller la santé des points de terminaison et de configurer des règles de stratégie à partir d’un navigateur Web. Vous pouvez installer la console ESM sur le même serveur que le serveur ESM, sur un serveur à part ou sur un serveur sur le nuage. La console ESM communique avec la base de données indépendamment du serveur ESM. Pour plus d’informations sur les exigences matérielles et logicielles de la console ESM, voir Configuration requise pour installer la console ESM. Serveur Endpoint Security Manager Le serveur Endpoint Security Manager (ESM) fait office de serveur de connexion qui relaie les informations entre les composants ESM, y compris l’agent Traps, et WildFire. Chaque serveur ESM prend en charge jusqu’à 10 000 agents Traps. Le serveur ESM récupère régulièrement la stratégie de sécurité dans la base de données et la distribue à tous les agents Traps, et chaque agent Traps relaie les informations liées aux évènements de sécurité au serveur ESM. Le tableau suivant affiche les types de messages que l’agent Traps envoie au serveur ESM : Type de message Description État de Traps L’agent Traps envoie périodiquement des messages au serveur ESM pour indiquer qu’il est opérationnel et pour demander la dernière stratégie de sécurité. Endpoint Security Manager comprend des notifications et des pages de santé affichant l’état de chacun des terminaux. La durée entre les messages, appelée période de pulsation, peut être configurée. Notifications L’agent Traps envoie des messages de notification concernant les modifications dans l’agent, comme le moment où un service démarre ou s’arrête, au serveur ESM. Le serveur consigne ces notifications dans la base de données ; vous pouvez consulter les notifications dans la console ESM. Mises à jour Un utilisateur final peut demander une mise à jour immédiate de la stratégie en cliquant sur Check-in now (Vérifier maintenant) sur la console Traps. L’agent Traps est ainsi forcé de demander la dernière stratégie de sécurité au serveur ESM sans attendre la fin de la période de pulsation. Rapports de prévention Si un évènement de prévention se produit sur un point de terminaison où l’agent Traps est installé, l’agent Traps signale toutes les informations relatives à l’évènement au serveur ESM en temps réel. Base de données La base de données stocke les informations d’administration, les règles de stratégie de sécurité, l’historique du point de terminaison et d’autres informations relatives aux évènements de sécurité. Cette base de données est gérée à partir de la plateforme MS-SQL. Chaque base de données exige une licence et peut communiquer avec un ou plusieurs serveur ESM. La base de données peut être installée sur le même serveur que la console ESM et le serveur ESM, comme dans un environnement autonome, ou peut être installée sur un serveur dédié. Pour plus d’informations sur les exigences matérielles et logicielles, reportez-vous à la section Configuration requise pour installer la base de données. 14 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Présentation de Traps Composants de Traps Lors de l’évaluation, nous vous recommandons d’utiliser SQL Server Express, qui vous permettra de facilement faire migrer la base de données vers SQL Server Standard ou vers SQL Server Enterprise. SQLite est également pris en charge, mais ne fournit pas de chemin de migration vers SQL Server. Points de terminaison Un point de terminaison est un ordinateur sous Windows, un serveur, une machine virtuelle ou un dispositif mobile exécutant l’application de protection côté client appelée Traps. Pour la configuration requise, voir Configuration requise pour installer Traps sur un point de terminaison. Agent Traps Le logiciel de protection de l’agent Traps protège le point de terminaison en appliquant la stratégie de sécurité de votre organisation, telle qu’elle est définie dans Endpoint Security Manager. Selon la configuration, Traps peut vous protéger contre des attaques qui visent à profiter des vulnérabilités et des bogues du logiciel et peut empêcher des fichiers exécutables malveillants de s’exécuter sur vos points de terminaison. Lorsqu’un événement de sécurité survient sur un point de terminaison, Traps recueille les données d’investigation numérique à propos de cet événement et peut également avertir l’utilisateur de l’événement. Il peut même afficher un message de notification personnalisé. Traps communique régulièrement l’état du point de terminaison et transmets les données liées aux événements de sécurité à Endpoint Security Manager. La console Traps est une interface utilisateur qui procure un aperçu des processus, de l’historique des événements et des règles de stratégie de sécurité actuelles ; elle est généralement accessible à partir de la zone des notifications du point de terminaison. Habituellement, un utilisateur n’a pas besoin d’exécuter la console Traps, mais les informations peuvent être utiles lors de l’enquête sur un évènement lié à la sécurité. Au besoin, vous pouvez choisir de masquer l’icône de la console qui permet de lancer la console ou d’empêcher totalement les utilisateurs de lancer la console à partir d’un point de terminaison. Plate-forme de journalisation externe En utilisant une plate-forme de journalisation externe, comme la gestion d’informations et d’évènements de sécurité (security information and event management ; SIEM), les contrôles d’organisation de service (Service Organization Controls ; SOC) ou un périphérique syslog, vous pouvez obtenir une vue agrégée des journaux à partir de tous les serveurs ESM. Lorsque activée, la console ESM transmet les journaux à la plate-forme de journalisation externe en plus d’effectuer le stockage interne des journaux. Vous pouvez aussi intégrer votre serveur syslog à des outils de suivi tiers, comme Splunk, pour analyser les données du journal. Téléchargez l’application Splunk pour Palo Alto Networks à l’adresse https://apps.splunk.com/app/491/. Pour ajouter une plate-forme de journalisation externe, voir Transfert de journaux vers un serveur Syslog. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 15 Composants de Traps Présentation de Traps WildFire L’agent Traps est conçu pour bloquer les attaques avant l’exécution de tout code malicieux sur le point de terminaison. Tandis que cette approche garantit la sécurité des données et de l’infrastructure, elle permet la collecte des preuves d’investigation numérique au moment de la prévention. Ainsi, elle ne peut pas révéler complètement le but de l’attaque ni son flux complet. Le service WildFire est un environnement facultatif d’analyse des logiciels malveillants en nuage qui convertit les menaces inconnues en incidents connus qui peuvent être évités. L’activation de l’intégration WildFire permet à Endpoint Security Manager d’envoyer les fichiers exécutables inconnus à WildFire, qui peut les analyser, au besoin, et répondre en donnant un verdict. Si WildFire détermine que le fichier exécutable est malveillant, l’agent Traps bloque l’exécution du fichier et signale l’évènement à Endpoint Security Manager. Lorsque WildFire détecte un nouveau logiciel malveillant, il génère une nouvelle signature dans l’heure qui suit. Les pare-feu Palo Alto Networks de future génération dotés d’un abonnement WildFire peuvent recevoir les nouvelles signatures en quelques minutes, alors que les pare-feu qui sont seulement dotés de l’abonnement à la prévention des menaces peuvent tout de même recevoir les nouvelles signatures lors de la mise à jour suivante de la signature antivirus, soit dans un délai de 24-48 heures. Si l’intégration WildFire est activée dans la console ESM, la page Status (État) de la console Traps affiche à côté de Forensic Data Collection (Collecte de données d’investigation numérique). Si WildFire n’est pas activé, la console Traps affiche à côté de Forensic Data Collection (Collecte de données d’investigation numérique). Pour plus d’informations, reportez-vous aux sections Activation de WildFire et Flux de prévention contre les logiciels malveillants. Dossier d’investigation numérique Lorsque Traps rencontre un évènement lié à la sécurité, comme l’exécution d’un fichier ou une attaque par exploitation, il inscrit en temps réel dans le journal les détails d’investigation numérique relatifs à l’évènement sur le point de terminaison. Les données d’investigation numérique incluent le vidage mémoire et d’autres informations associées à l’évènement. Vous pouvez récupérer les données d’investigation numérique en créant une règle d’action pour collecter les données à partir du point de terminaison. Lorsque le point de terminaison a reçu la stratégie de sécurité qui inclut la règle d’action, l’agent Traps envoie toutes les informations d’investigation numérique au dossier d’investigation numérique, qui est parfois appelé dossier de quarantaine. Durant l’installation initiale, vous spécifiez le chemin du dossier d’investigation numérique que Endpoint Security Manager utilise pour stocker les informations d’investigation numérique qu’il récupère des points de terminaison. Endpoint Security Manager prend en charge plusieurs dossiers d’investigation numérique et active le service de transfert intelligent en arrière-plan (BITS) (BITS) sur le dossier durant l’installation. Si le dossier d’investigation numérique spécifié durant l’installation n’est pas accessible, Traps utilise par défaut le dossier d’investigation numérique spécifié dans la console ESM. Vous pouvez modifier le dossier par défaut à tout moment en utilisant la console ESM. Pour plus d’informations, voir Flux d’investigation numérique. 16 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Scénarios de déploiement de Traps Vous pouvez déployer la solution Traps dans une vaste gamme d’environnements. Les sujets suivants décrivent les scénarios types de déploiement qui tiennent compte du nombre d’agents et de sites : Déploiement autonome Petits déploiements Grands déploiements Pour les configurations requises et les considérations d’installation, voir Configuration requise. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 17 Déploiement autonome Scénarios de déploiement de Traps Déploiement autonome Composants du déploiement autonome Exigences du déploiement autonome Composants du déploiement autonome Pour une preuve de concept (POC) initiale ou un petit site avec moins de 250 agents Traps, utilisez un déploiement autonome pour installer les composants de Endpoint Security Manager (ESM) suivants sur un serveur individuel ou une machine virtuelle : Serveur ESM Console ESM Dossier d’investigation numérique (quarantaine) Base de données (En option) Équilibreur de charge pour la répartition du trafic sur les serveurs ESM (En option) Plateforme de journalisation externe, par ex. SIEM ou syslog (En option) Intégration WildFire Pour les meilleures pratiques sur l’utilisation d’une approche par phases pour l’installation de Traps sur les points de terminaison, voir Considérations pour le déploiement de Traps. Exigences du déploiement autonome Le tableau suivant indique les exigences pour le serveur autonome. Configuration requise Valeur Processeur Pentium 4 et supérieur 18 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Scénarios de déploiement de Traps Configuration requise Valeur Mémoire 512 Mo de RAM Espace disque 100 Mo Application base de données SQLite (POC uniquement) ou MS-SQL Déploiement autonome Pour les exigences de Traps, voir Configuration requise pour installer Traps sur un point de terminaison. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 19 Petits déploiements Scénarios de déploiement de Traps Petits déploiements Déploiement sur petit site individuel Déploiement sur petit site multiple Déploiement sur petit site individuel Ce scénario de développement prend en charge jusqu’à 10 000 agents Traps au sein d’un environnement de site individuel et comprend les composants suivants : Un serveur de base de données dédié Une console ESM pour la gestion de la stratégie de sécurité et des agents Traps Deux serveurs ESM, un primaire et un de secours, sur le même segment réseau que le serveur de base de données et la console ESM Un dossier d’investigation numérique accessible par tous les points de terminaison pour le stockage des détails d’investigation numérique en temps réel concernant les évènements de sécurité (En option) Équilibreur de charge pour la répartition du trafic sur les serveurs ESM (En option) Plateforme de journalisation externe, par ex. SIEM ou syslog (En option) Intégration WildFire 20 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Scénarios de déploiement de Traps Petits déploiements Dans ce scénario de déploiement, un site individuel contient la base de données, la console ESM pour la gestion des stratégies locales et des points de terminaison, et des serveurs ESM redondants. Dans le cas où le serveur ESM primaire serait inaccessible, les agents Traps se connectent au Endpoint Security Manager en utilisant le serveur de secours. Les deux serveurs obtiennent la stratégie de sécurité de la part de la base de données et distribuent la stratégie aux agents. Déploiement sur petit site multiple Ce scénario de développement prend en charge jusqu’à 20 000 agents Traps (10 000 par serveur ESM) au sein d’un environnement de site multiple et comprend les composants suivants : Un serveur de base de données dédié dans l’un des sites Une console ESM au même emplacement que la base de données pour la gestion de la stratégie de sécurité et des agents Traps Un serveur ESM par site ou deux serveurs ESM par site pour la redondance Un dossier d’investigation numérique accessible par tous les points de terminaison pour le stockage des détails d’investigation numérique en temps réel concernant les évènements de sécurité (En option) Équilibreur de charge pour la répartition du trafic sur les serveurs ESM (En option) Plateforme de journalisation externe, par ex. SIEM ou syslog (En option) Intégration WildFire © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 21 Petits déploiements Scénarios de déploiement de Traps Dans ce scénario de déploiement, le site A contient un serveur ESM, une base de données et une console ESM pour la gestion des stratégies locales et des points de terminaison. Le site B contient un deuxième serveur ESM qui peut prendre en charge jusqu’à 10 000 agents supplémentaires (20 000 agents Traps au total). Les deux serveurs obtiennent la stratégie de sécurité de la part de la base de données situé sur le site A et distribuent la stratégie aux agents. Les agents se connectent au serveur ESM primaire sur leur site tandis que le serveur ESM de l’autre site fait office de serveur secondaire de secours. 22 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Scénarios de déploiement de Traps Grands déploiements Grands déploiements Déploiement sur grand site individuel Grand déploiement sur site multiple avec un Endpoint Security Manager Grand déploiement sur site multiple avec plusieurs Endpoint Security Managers Grand déploiement de site multiple avec agents itinérants (sans VPN) Grand déploiement de site multiple avec agents itinérants (avec VPN) Déploiement sur grand site individuel Ce scénario de développement prend en charge jusqu’à 40 000 agents Traps (10 000 par serveur ESM) au sein d’un environnement de site individuel et comprend les composants suivants : Un serveur de base de données dédié Une console ESM au même emplacement que la base de données pour la gestion de la stratégie de sécurité et des agents Traps © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 23 Grands déploiements Scénarios de déploiement de Traps Un serveur ESM pour chaque tranche de 10 000 agents Traps (par exemple, il faut compter quatre serveurs ESM pour 35 000 agents Traps) Un dossier d’investigation numérique pour chaque serveur ESM accessible par tous les points de terminaison pour le stockage des détails d’investigation numérique en temps réel concernant les évènements de sécurité (En option) Équilibreur de charge pour la répartition du trafic sur les serveurs ESM (En option) Plateforme de journalisation externe, par ex. SIEM ou syslog (En option) Intégration WildFire Dans cet exemple, 40 000 agents Traps au maximum peuvent se connecter à Endpoint Security Manager. Pour soutenir ce scénario, les points de terminaison se connectent à quatre serveurs ESM par l’intermédiaire d’un équilibreur de charge en option. Chaque serveur ESM se connecte à une base de données centrale qui est gérée par une console ESM dédiée. Grand déploiement sur site multiple avec un Endpoint Security Manager Ce scénario de développement prend en charge jusqu’à 40 000 agents Traps (10 000 par serveur ESM) au sein d’un environnement de site multiple qui comprend les composants suivants : Un serveur de base de données dédié Une console ESM au même emplacement que la base de données pour la gestion de la stratégie de sécurité et des agents Traps Un serveur ESM pour chaque tranche de 10 000 agents Traps (par exemple, il faut compter trois serveurs ESM pour 25 000 agents Traps) Un dossier d’investigation numérique pour chaque serveur ESM accessible par tous les points de terminaison pour le stockage des détails d’investigation numérique en temps réel concernant les évènements de sécurité (En option) Équilibreur de charge pour la répartition du trafic sur les serveurs ESM (En option) Plateforme de journalisation externe, par ex. SIEM ou syslog (En option) Intégration WildFire 24 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Scénarios de déploiement de Traps Grands déploiements Dans cet exemple, les sites A, B, C et D doivent prendre en charge un maximum de 10 000 agents Traps chacun. Pour soutenir ce scénario, chaque site contient un serveur ESM qui récupère la stratégie de sécurité dans la base de données située sur le site A. Les agents se connectent à Endpoint Security Manager en utilisant leurs serveurs ESM locaux comme serveur primaire et utilisent les serveurs ESM des autres sites comme serveurs secondaires. Grand déploiement sur site multiple avec plusieurs Endpoint Security Managers Ce scénario de développement prend en charge jusqu’à 40 000 agents Traps (10 000 par serveur ESM) au sein d’un environnement de site multiple qui comprend les composants suivants : Un Endpoint Security Manager par site : – Une base de données dédiée (avec licence) – Une console ESM au même emplacement que la base de données pour la gestion de la stratégie de sécurité et des agents Traps – Des serveurs ESM, un tous les 10 000 agents Traps sur chaque site Un dossier d’investigation numérique pour chaque serveur ESM accessible par tous les points de terminaison pour le stockage des détails d’investigation numérique en temps réel concernant les évènements de sécurité (En option) Équilibreur de charge pour la répartition du trafic sur les serveurs ESM (En option) Plateforme de journalisation externe, par ex. SIEM ou syslog (En option) Intégration WildFire © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 25 Grands déploiements Scénarios de déploiement de Traps Dans cet exemple, les sites A, B, C et D doivent prendre en charge un maximum de 10 000 agents Traps chacun. Pour soutenir ce scénario, chaque site gérer les stratégies de sécurité de manière indépendante des autres sites en utilisant un Endpoint Security Manager local qui comprend un serveur ESM, une base de données et une console ESM. Les agents se connectent à Endpoint Security Manager en utilisant leurs serveurs ESM locaux comme serveur primaire et utilisent les serveurs ESM des autres sites comme serveurs secondaires. Nous ne recommandons pas l’utilisation d’une solution de base de données en cluster complet en raison du potentiel de collisions de base de données. Dans les cas où la solution de base de données est déjà en place, configurez les agents Traps pour qu’ils utilisent une adresse IP virtuelle (VIP) individuelle pour accéder au cluster de base de données. Grand déploiement de site multiple avec agents itinérants (sans VPN) Ce scénario de développement prend en charge jusqu’à 40 000 agents Traps (10 000 par serveur ESM) au sein d’un environnement de site multiple et comprend les composants suivants : Un serveur de base de données dédié Une console ESM au même emplacement que la base de données pour la gestion de la stratégie de sécurité et des agents Traps Des serveurs ESM, un tous les 10 000 agents Traps sur chaque site 26 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Scénarios de déploiement de Traps Grands déploiements Un serveur ESM avec un enregistrement DNS destiné au public qui accepte les connexions provenant des agents Traps itinérants qui sont configurés de l’une ou l’autre des façons suivantes : – configuré avec un port qui accepte les connexions provenant des réseaux externes; – installé dans une DMZ avec une connexion au serveur de base de données interne. Ce serveur peut aussi faire office de serveur secondaire de secours. Un dossier d’investigation numérique pour chaque serveur ESM accessible par tous les points de terminaison pour le stockage des détails d’investigation numérique en temps réel concernant les évènements de sécurité (En option) Équilibreur de charge pour la répartition du trafic sur les serveurs ESM (En option) Plateforme de journalisation externe, par ex. SIEM ou syslog (En option) Intégration WildFire Dans cet exemple, les sites A, B, C et D doivent chacun prendre en charge un maximum de 10 000 agents Traps et 10 000 agents itinérants supplémentaires. Pour soutenir ce scénario, chaque site contient un serveur ESM qui récupère la stratégie de sécurité dans la base de données située sur le site A. Les points de terminaison internes se connectent à Endpoint Security Manager en utilisant leurs serveurs ESM locaux. Les points de terminaison externes se connectent par l’intermédiaire d’un serveur ESM disponible au public situé dans une DMZ ou par l’intermédiaire d’un port qui est configuré pour permettre le trafic en provenance des réseaux externes. Si un point de terminaison est en itinérance et ne peut pas se connecter au serveur ESM, Traps collecte les données de prévention en local jusqu’à ce que l’agent puisse établir une connexion au dossier d’investigation numérique. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 27 Grands déploiements Scénarios de déploiement de Traps Grand déploiement de site multiple avec agents itinérants (avec VPN) Ce scénario de déploiement prend en charge jusqu’à 40 000 agents Traps (10 000 par serveur ESM) qui peuvent se connecter par l’intermédiaire de sites locaux et à partir d’emplacements hors site par l’intermédiaire d’un tunnel VPN. Cet environnement de site multiple comprend les composants suivants : Un serveur de base de données dédié Une console ESM au même emplacement que la base de données pour la gestion de la stratégie de sécurité et des agents Traps Des serveurs ESM, un tous les 10 000 agents Traps sur chaque site GlobalProtect ou une autre connexion VPN pour fournir aux utilisateurs itinérants une adresse IP interne l’accès au serveur ESM Un dossier d’investigation numérique pour chaque serveur ESM accessible par tous les points de terminaison pour le stockage des détails d’investigation numérique en temps réel concernant les évènements de sécurité (En option) Équilibreur de charge pour la répartition du trafic sur les serveurs ESM (En option) Plateforme de journalisation externe, par ex. SIEM ou syslog (En option) Intégration WildFire Dans cet exemple, les sites A, B, C et D doivent chacun prendre en charge un maximum de 10 000 agents Traps, dont certains peuvent être situés hors site. Pour soutenir ce scénario, chaque site contient un serveur ESM qui récupère la stratégie de sécurité dans la base de données située sur le site A. Les points de terminaison internes se connectent à Endpoint Security Manager en utilisant leurs serveurs ESM locaux. Les points de terminaison externes se connectent par l’intermédiaire d’un tunnel VPN qui fournit au point de terminaison une adresse IP interne pour la connexion au site. Si un point de terminaison est en itinérance et ne peut pas se connecter par VPN, Traps collecte les données de prévention en local jusqu’à ce que l’agent puisse établir une connexion au dossier d’investigation numérique. 28 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Configuration requise Les sujets suivants décrivent la configuration requise pour l’installation de l’infrastructure Traps : Configuration requise pour installer la console ESM Configuration requise pour installer le serveur ESM Configuration requise pour installer la base de données Configuration requise pour installer Traps sur un point de terminaison © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 29 Configuration requise pour installer la console ESM Configuration requise Configuration requise pour installer la console ESM Avant d’installer le logiciel de la console ESM 3.3, assurez-vous que le serveur possède la configuration requise suivante : Le serveur ESM et la console ESM doivent être de la même version. Processeur Intel Xeon E5-2660 V2 2.2GHz à 4 cœurs 2,2 GHz ou plus puissant 3 Go d’espace disque plus espace supplémentaire pour le dossier d’investigation numérique 8 Go de RAM Serveur Windows physique ou virtuel. Utilisez l’un des choix suivants : – – – Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Internet Information Services (IIS) 7.0 ou supérieur avec ASP.NET et composants Static Content Compressions .NET Framework 4.5.1, version complète Certificat SSL provenant d’une autorité de certification de confiance (CA) avec authentification de serveur et authentification de client (recommandé). Autorisez la communication sur le port TCP entre les clients et le serveur (le port par défaut est le port 2125) Dossier d’investigation numérique avec BITS activé Autorisez la communication sur le port HTTP (80) ou sur le port HTTPS (443) entre les clients et le dossier de quarantaine L’un des navigateurs suivants : – – – – Internet Explorer 10 ou version ultérieure Chrome 30 ou version ultérieure Firefox 35 ou version ultérieure Opera 25 ou version ultérieure 30 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Configuration requise Configuration requise pour installer le serveur ESM Configuration requise pour installer le serveur ESM Chaque serveur ESM prend en charge jusqu’à 10 000 agents Traps. Avant d’installer le serveur ESM 3.3, assurez-vous que le serveur possède la configuration requise suivante : Le serveur ESM et la console ESM doivent être de la même version. Processeur Intel Xeon E5-2660 V2 2.2GHz à 8 cœurs 2,2 GHz ou plus puissant (Serveur ESM 3.3.0) 2 Go d’espace disque ; (Serveur ESM 3.3.1 et versions ultérieures) 3 Go d’espace disque 8 Go de RAM Version anglaise d’un serveur Windows physique ou virtuel. Utilisez l’un des choix suivants : – – – Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 .NET Framework 4.5.1, version complète Certificat SSL provenant d’une autorité de certification de confiance (CA) avec authentification de serveur et authentification de client (recommandé). Autorisez la communication sur le port TCP entre les clients et le serveur (le port par défaut est le port 2125) Internet Information Services (IIS) 7.0 ou supérieur avec ASP.NET et composants Static Content Compressions © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 31 Configuration requise pour installer la base de données Configuration requise Configuration requise pour installer la base de données Les applications côté serveur exigent une base de données SQL qui peut être soit une base de données locale installée sur le même serveur que la console ESM ou le serveur ESM, soit une base de données externe installées sur une autre machine. Si vous prévoyez déployer plusieurs serveurs ESM, installez la base de données sur la console ESM ou utilisez une base de données externe. Consultez l’équipe d’assistance Palo Alto Networks si l’intégration avec une base de données existante est requise. Configurez un serveur de base de données qui possède la configuration requise suivante : Application base de données. Utilisez l’un des choix suivants : – – – – SQLite 3.7.14 lors de l’évaluation uniquement. Pour utiliser SQLite, vous devez installer le serveur ESM et la console ESM sur le même serveur. Trouvez le fichier d’installation de SQLite dans le dossier Tools de votre package d’installation du point de terminaison, ou téléchargez-le à partir d’Internet. Il n’y a pas de chemin de migration de SQLite vers SQL Server. Lors de l’évaluation, nous vous recommandons d’utiliser SQL Server Express, qui vous permettra de faire migrer facilement la base de données vers SQL Standard ou vers SQL Enterprise. SQL Server Express 2008 R2, 2012 ou 2014 lors de l’évaluation ou de la production. Une base de donnée configurée avec SQL Server Express peut prendre en charge un maximum de 350 agents. Pour des déploiements à plus grande échelle, utilisez SQL Server Enterprise ou Standard. SQL Server Enterprise 2008, 2012, 2012 avec une configuration toujours active ou 2014 lors de la production SQL Server Standard 2008, 2012 ou 2014 lors de la production Processeur Intel Xeon E5-2660 V2 2.2GHz à 8 cœurs 2,2 GHz ou plus puissant 8 Go de RAM Espace disque : – – – – – Jusqu’à 1 000 points de terminaison : 500 Mo (première année), 1 Go (deuxième année), 2 Go (troisième année) Jusqu’à 5 000 points de terminaison : 2,5 Go (première année), 5 Go (deuxième année), 10 Go (troisième année) Jusqu’à 10 000 points de terminaison : 5 Go (première année), 10 Go (deuxième année), 20 Go (troisième année) Jusqu’à 25 000 points de terminaison : 13 Go (première année), 26 Go (deuxième année), 52 Go (troisième année) Jusqu’à 50 000 points de terminaison : 26 Go (première année), 52 Go (deuxième année), 100 Go (troisième année) Serveur Windows physique ou virtuel. Utilisez l’un des choix suivants : – – – Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 32 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Configuration requise Configuration requise pour installer Traps sur un point de terminaison Configuration requise pour installer Traps sur un point de terminaison Avant d’installer Traps 3.3, assurez-vous que le point de terminaison cible possède la configuration requise suivante : Le serveur ESM et la console ESM doivent être de la même version que l’agent Traps ou d’une version ultérieure 200 Mo d’espace disque ; 20 Go d’espace disque recommandés 512 Mo de mémoire ; 2 Go de mémoire recommandés Système d’exploitation : – – – – – – – – – – – – Windows XP (32 bits, SP3 ou supérieur) Windows Vista (32 bits, 64 bits et SP1 ou ultérieure ; mode FIPS) Windows 7 (32-bit, 64-bit, RTM et SP1 ; mode FIPS ; toutes les éditions sauf Home) Windows 8 (32 bits, 64 bits) Windows 8.1 (32 bits, 64 bits ; mode FIPS) Windows 10 RTM (32 bits et 64 bits) Windows Server 2003 (32-bit, SP2 ou supérieur) Windows Server 2003 R2 (32-bit, SP2 ou supérieur) Windows Server 2008 (32 bits, 64 bits ; mode FIPS) Windows Server 2008 R2 (32 bits, 64 bits ; mode FIPS) Windows Server 2012 (toutes les éditions ; mode FIPS) Windows Server 2012 R2 (toutes les éditions ; mode FIPS) Environnement virtuels : – – – – – VDI Citrix VM ESX VirtualBox/Parallels Plates-formes physiques : – – SCADA Tablettes Windows .NET 3.5 SP1 Autorisez la communication sur le port 2125 TCP entre les clients et le serveur Client BITS Accessoires Windows (Bloc-Notes) pour afficher les journaux © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 33 Configuration requise pour installer Traps sur un point de terminaison 34 • Traps 3.3 Guide de l’administrateur Configuration requise © Palo Alto Networks, Inc. Configuration de l’infrastructure Traps Les sujets suivants décrivent comment configurer les composants de l’infrastructure Traps : Configuration de l’infrastructure du point de terminaison Configurer Endpoint Security Manager Configuration des points de terminaison Installer les composants de Traps en utilisant Msiexec Vérifier une installation réussie © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 35 Configuration de l’infrastructure du point de terminaison Configuration de l’infrastructure Traps Configuration de l’infrastructure du point de terminaison Utilisez le flux de travail suivant pour configurer l’infrastructure du point de terminaison ou utilisez le flux de travail décrit dans le Guide des nouvelles caractéristiques de Traps 3.3 pour mettre à niveau l’infrastructure existante de votre point de terminaison : Tâche Pour plus d’informations Step 1 Examinez les considérations pour l’installation du logiciel. Considérations pour l’installation de l’infrastructure du point de terminaison Configuration requise Step 2 Examinez les étapes d’implémentation recommandées. Considérations pour le déploiement de Traps Step 3 (En option) Configurez les services d’information Internet (IIS) avec les services .NET. Activer les services Web sur la console ESM Activer le cryptage SSL pour les composants de Traps Step 4 (En option) Configurez le serveur MS-SQL. Configuration requise pour installer la base de données Configurer la base de données du serveur MS-SQL Step 5 Installez le logiciel du serveur ESM. Configuration requise pour installer le serveur ESM Installer le logiciel du serveur Endpoint Security Manager (En option) Installer les composants de Traps en utilisant Msiexec Step 6 Installez le logiciel de la console ESM. Configuration requise pour installer la console ESM Installer le logiciel de la console Endpoint Security Manager (En option) Installer les composants de Traps en utilisant Msiexec Step 7 Installez l’agent Traps sur les points de terminaison. Configuration requise pour installer Traps sur un point de terminaison Installer Traps sur le point de terminaison (En option) Installer les composants de Traps en utilisant Msiexec Step 8 Vérifiez que l’installation a réussi. Vérifier une installation réussie 36 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Configuration de l’infrastructure Traps Configurer Endpoint Security Manager Configurer Endpoint Security Manager Considérations pour l’installation de l’infrastructure du point de terminaison Activer les services Web sur la console ESM Activer le cryptage SSL pour les composants de Traps Configurer la base de données du serveur MS-SQL Installer le logiciel du serveur Endpoint Security Manager Installer le logiciel de la console Endpoint Security Manager Considérations pour l’installation de l’infrastructure du point de terminaison Pour installer ou mettre à niveau les composants ESM, tenez compte des points suivants : Le serveur ESM et la console ESM doivent être de la même version. Le serveur ESM et la console ESM prennent en charge différentes versions de Traps et sont également rétrocompatibles avec les versions antérieures. Par exemple, un serveur ESM et une console ESM de version 3.3 peuvent prendre en charge une combinaison d’agents Traps 3.1 et Traps 3.3. Voir aussi : Configuration requise. Activer les services Web sur la console ESM Pour exécuter les services Web sur la console ESM, vous devez activer le rôle des services d’information Internet (IIS) et .NET sur un serveur Windows. IIS vous permet de partager des informations avec les utilisateurs sur Internet, sur un intranet ou sur un extranet. Les serveurs Windows avec IIS 7.5 fournissent une plate-forme web unifiée qui intègre IIS, ASP.NET et WCF (Windows Communication Foundation). Pour accéder à Endpoint Security Manager sur le Web, activez IIS avec .NET. Activer les services Web sur Windows Server 2008 R2 Activer les services Web sur Windows Server 2012 Activer les services Web sur Windows Server 2008 R2 Pour activer les services Web sur Windows Server 2008 R2, installez .NET Framework 4 avec le correctif KB2468871. Activer les services Web sur Windows Server 2008 R2 Step 1 Ouvrez le gestionnaire de serveur du serveur Windows sur lequel vous installerez la console ESM. © Palo Alto Networks, Inc. Sélectionnez Gestionnaire de serveur ou cherchez le gestionnaire de serveur dans le menu Démarrer. Traps 3.3 Guide de l’administrateur • 37 Configurer Endpoint Security Manager Configuration de l’infrastructure Traps Activer les services Web sur Windows Server 2008 R2 (Continued) Step 2 Step 3 Step 4 Ajoutez un nouveau rôle. Définissez les services de rôle. Confirmez l’installation des services. 1. Effectuez un clic droit sur Rôles > Ajouter des rôles (puis cliquez sur Suivant. 2. Sélectionnez l’option Serveur Web (IIS), puis cliquez sur Suivant. 3. Sélectionnez Services de rôle dans le menu à gauche. 1. Sélectionnez l’option Dévelopment d’applications. 2. Laisser les options restantes à leurs réglages par défaut. 3. Cliquez sur Suivant. 1. Vérifiez que les services Application Development (Développement d’applications) apparaissent dans la liste des sélections pour l’installation, puis cliquez sur Installer. 2. Fermez (Close) l’assistant. Activer les services Web sur Windows Server 2012 Pour activer les services Web sur Windows Server 2012, installez .NET Framework 3.5 et 4.5. Activer les services Web sur Windows Server 2012 Step 1 Ouvrez le gestionnaire de serveur du serveur Windows sur lequel vous installerez la console ESM. 1. Sélectionnez Gestionnaire de serveur dans le menu Démarrer. 2. Sélectionnez Ajouter des rôles et fonctionnalités, puis cliquez sur Suivant. Step 2 Sélectionnez le type d’installation. Sélectionnez Installation basée sur un rôle ou une fonctionnalité, puis cliquez sur Suivant. Step 3 Spécifiez le serveur. Sélectionnez le serveur dans le Pool de serveurs, puis cliquez sur Suivant. 38 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Configuration de l’infrastructure Traps Configurer Endpoint Security Manager Activer les services Web sur Windows Server 2012 (Continued) Step 4 Step 5 Ajoutez le rôle et les fonctionnalités des 1. services Web. 2. Confirmez l’installation des services. © Palo Alto Networks, Inc. Sélectionnez l’option Serveur Web (IIS). Cliquez sur Ajouter des fonctionnalités. 3. Cliquez sur Suivant. 4. Sélectionnez Fonctionnalités de .NET Framework 3.5. 5. Sélectionnez Fonctionnalités de .NET Framework 4.5 et ASP.NET 4.5. 6. Cliquez sur Suivant, puis cliquez de nouveau sur Suivant. 7. Dans Serveur Web, sélectionnez Développement d’applications puis développez la fonctionnalité pour révéler d’autres sélections. Sélectionnez les fonctionnalités suivantes. Si cela vous est demandé, cliquez sur Ajouter des fonctionnalités. • ASP.NET 3.5 • ASP.NET 4.5 • Extensions ISAPI • Filtres ISAPI • Extensibilité .NET 3.5 • Extensibilité .NET 4.5 8. Cliquez sur Suivant. 1. Vérifiez que les fonctionnalités apparaissent dans la liste des sélections pour l’installation puis cliquez sur Installer. 2. Cliquez sur Fermer pour quitter l’assistant. Traps 3.3 Guide de l’administrateur • 39 Configurer Endpoint Security Manager Configuration de l’infrastructure Traps Activer le cryptage SSL pour les composants de Traps Secure Sockets Layer (couche de sockets sécurisés; SSL) permet de crypter la communication entre le serveur ESM et les agents Traps. Nous vous recommandons d’activer SSL pour permettre aux clients de faire confiance à l’identité du serveur et pour permettre aux clients et au serveur de savoir que les messages n’ont pas été modifiés lors du transit. Pour sécuriser votre console ESM et protéger les données à l’aide de SSL, installez un certificat de serveur, puis ajoutez une liaison HTTPS sur le port 443. Configurer SSL sur la console ESM Step 1 Ouvrez le gestionnaire IIS : 1. Cliquez sur Démarrer, puis sur Panneau de configuration. 2. Effectuez l’une des actions suivantes : • Cliquez sur Système et sécurité > Outils d’administration. • Dans Rechercher, saisissez inetmgr et cliquez sur ENTRÉE. Step 2 (En option) Si votre site exige SSL, Pour demander ou installer un certificat de serveur, voir : installez un certificat SSL sur le serveur • Demander un certificat de serveur Internet qui exécute la console ESM. • Installer un certificat de serveur Internet Le certificat du serveur permet aux utilisateurs de confirmer l’identifier d’un serveur web avant de transmettre des données sensibles et utilise les informations de la clé publique du serveur pour crypter les données et les renvoyer au serveur. Vous pouvez sauter cette étape si votre site n’exige pas SSL ou si vous avez déjà installé le certificat SSL. Step 3 Ajoutez une liaison HTTPS. 40 • Traps 3.3 Guide de l’administrateur 1. Dans Connections (Connexions), développez le nœud Sites dans l’arborescence, puis sélectionnez le site pour lequel vous voulez ajouter une liaison. 2. Dans Actions > Edit Site (Modifier le site), cliquez sur Bindings (Liaisons) > Add (Ajouter). 3. Spécifier le type https et ajouter les informations de liaison restantes en incluant l’adresse IP (IP address), le Port (la valeur par défaut est 443), et le nom d’hôte (Host name). 4. (En option pour Windows Server 2012 uniquement) Sélectionnez l’option pour exiger l’indication du nom du serveur (Require Server Name Indication). 5. Sélectionnez le certificat SSL dans le menu déroulant, puis cliquez sur OK. © Palo Alto Networks, Inc. Configuration de l’infrastructure Traps Configurer Endpoint Security Manager Configurer la base de données du serveur MS-SQL Endpoint Security Manager exige une base de données qui est gérée sur la plate-forme SQL Server (pour connaîre les versions de SQL Server qui sont prises en charge, voir Configuration requise pour installer la base de données). Endpoint Security Manager utilise la base de données pour stocker des informations d’administration, les règles de stratégie de sécurité, des informations sur les évènements de sécurité et d’autres informations. Durant la page de preuve de concept, les bases de données SQLite et SQL Express sont également prises en charge. Si vous utilisez SQLite, vous ne pouvez transférer de contenu développé lors de la phase de preuve du concept vers une solution Traps complètement fonctionnelle. Nous recommandons plutôt de commencer avec SQL Express, qui peut facilement être migré vers SQL Server. Avant d’installer Endpoint Security Manager, configurez la base de données SQL avec les autorisations requises. En cas d’utilisation de authentification Windows comme méthode d’authentification d’utilisateur, le propriétaire doit avoir les privilèges Ouvrir une session en tant que service et être un administrateur local sur le serveur ESM. La procédure suivante est recommandée comme meilleure pratique pour la création et la configuration de la base de données du serveur MS-SQL. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 41 Configurer Endpoint Security Manager Configuration de l’infrastructure Traps Configurer la base de données du serveur MS-SQL Step 1 Step 2 Créer une nouvelle base de données. Configurez les paramètres de base de données. Le propriétaire de base de données que vous spécifiez doit déjà exister en tant qu’administrateur local ou de domaine. 42 • Traps 3.3 Guide de l’administrateur 1. Sélectionnez SQL Server Management Studio dans le menu Démarrer. 2. Cliquez sur Connecter (Connecter) pour ouvrir Microsoft SQL Server Management Studio. 3. Effectuez un clic droit sur Databases (Bases de données), puis sélectionnez New Database (Nouvelle base de données). 1. Saisissez le nom de la base de données (Database name). 2. Sélectionnez le propriétaire de la base de données (Owner) : a. Cliquez sur le symbole ( ). b. Saisissez le nom de l’objet au format [domain\user] ou accédez (Browse) à un nom d’objet. c. Sélectionnez Check Names (Vérifier les noms) pour valider le propriétaire de la base de données. 3. Cliquez sur OK, puis cliquez de nouveau sur OK. © Palo Alto Networks, Inc. Configuration de l’infrastructure Traps Configurer Endpoint Security Manager Configurer la base de données du serveur MS-SQL (Continued) Step 3 Vérifiez les privilèges du propriétaire de la base de données. 1. Développez la base de données que vous avez créée, puis sélectionnez Security (Sécurité) > Users (Utilisateurs). 2. Effectuez un double clic sur dbo. 3. Sélectionnez la page Owned Shemas (Schémas appartenant à un rôle), puis sélectionnez db_owner (propriétaire de la base de données). 4. Sélectionnez la page Membership (Appartenance), puis sélectionnez db_owner (propriétaire de la base de données). 5. Cliquez sur OK. Installer le logiciel du serveur Endpoint Security Manager Avant d’installer le logiciel du serveur Endpoint Security Manager (ESM), vérifiez que le système possède la configuration requise décrite à la section Configuration requise pour installer le serveur ESM. Installer le logiciel du serveur ESM Avant de commencer : © Palo Alto Networks, Inc. • Vérifiez que le système possède la configuration requise décrite à la section Configuration requise pour installer le serveur ESM. • Procurez-vous le logiciel et le fichier de licence auprès de votre responsable de compte Palo Alto Networks, de votre revendeur ou sur https://support.paloaltonetworks.com. Traps 3.3 Guide de l’administrateur • 43 Configurer Endpoint Security Manager Configuration de l’infrastructure Traps Installer le logiciel du serveur ESM (Continued) Step 1 Step 2 Lancez l’installation du logiciel du serveur ESM. Vous pouvez également installer le serveur ESM à l’aide de Msiexec (voir Installer les composants de Traps en utilisant Msiexec). 1. Effectuez un double clic sur le fichier d’installation ESMCore. 2. Cliquez sur Next (Suivant) pour commencer le processus d’installation. 3. Dans la boîte de dialogue de l’Accord de licence utilisateur final, cochez la case I accept the terms in the License Agreement (J’accepte les conditions de l’accord de licence) puis cliquez sur Next (Suivant). 4. Laissez le dossier d’installation par défaut ou cliquez sur Change (Modifier) pour spécifier un dossier d’installation différent, puis cliquez sur Next (Suivant). Configurez les paramètres qui 1. permettent la communication entre le serveur ESM et la base de données. Pour configurer l’accès à la base de données, vous devez spécifier la méthode d’authentification et le nom d’un utilisateur qui possède des privilèges administratifs pour gérer la base de données. Le nom d’utilisateur (et le mode de passe) que vous saisissez dépendent du type de méthode d’authentification que vous sélectionnez : • Pour utiliser l’authentification Windows (recommandé), spécifiez l’utilisateur du domaine qui possède les autorisations nécessaires pour gérer la base de données. • Pour utiliser l’authentification du serveur SQL, saisissez le compte de l’utilisateur local sur le serveur SQL qui possède les autorisations nécessaires pour gérer la base de données. 2. 44 • Traps 3.3 Guide de l’administrateur Sélectionnez le type de base de données que vous installez pour l’utilisation avec Endpoint Security Manager. Si vous sélectionnez une version de SQL Server, vous devez fournir les informations de configuration suivantes : • Serveur Name (Nom du serveur)—Nom de domaine complet ou l’adresse IP du serveur de base de données. • Database (Base de données)—Nom de la base de données. Si votre SQL Server utilise une instance autre que celle définie par défaut, vous devez également inclure le nom de l’instance au format <instance>/<databasename>. • Sélectionnez la méthode d’authentification : – Windows Authentication (Authentification Windows)— Authentifiez à l’aide d’un compte utilisateur de domaine Windows qui possède les privilèges nécessaires pour se connecter au serveur de la base de données. Il doit également s’agir d’un compte administrateur de la base de données. – SQL Server Authentication (Authentification SQL Server)—Authentifiez à l’aide d’un compte utilisateur local sur le serveur de la base de données. Il doit également s’agir d’un compte administrateur de la base de données. • User Name (Nom d’utilisateur)—Saisissez les informations d’authentification d’un compte qui possède les autorisations nécessaires pour créer une base de données sur le serveur. Pour l’authentification Windows, vous devez inclure le nom de domaine avant le nom d’utilisateur (par exemple, mondomaine\administrateur). Pour l’authentification SQL Server, vous devez inclure le nom du serveur de la base de données avant le nom d’utilisateur (par exemple, mysqlserver\administrator). Cliquez sur Next (Suivant). © Palo Alto Networks, Inc. Configuration de l’infrastructure Traps Configurer Endpoint Security Manager Installer le logiciel du serveur ESM (Continued) Step 3 Step 4 Step 5 Spécifiez le niveau de sécurité pour la communication entre le serveur ESM et les agents Traps. Pour crypter la communication par SSL, utilisez un fichier de certificat serveur-client (format PFX) et inscrivez le mot de passe de décryptage de la clé privée. 1. Sélectionnez le mode de configuration du certificat : • Select External Certificate (SSL) (Sélectionner le certificat externe (SSL))—Cryptez la communication entre le serveur et les agents par SSL (par défaut). Puis accédez au certificat serveur-client et saisissez le mot de passe requis pour décrypter la clé privée. • No Certificate (no SSL) (Aucun certificat (pas de SSL))— Ne cryptez pas la communication entre le serveur et les agents (non recommandé). 2. Cliquez sur Next (Suivant). Configurez les paramètres de l’utilisateur 1. administrateur. Choisissez le type d’authentification à utiliser : • Machine—Endpoint Security Manager effectue l’authentification en utilisant les utilisateurs et les groupes sur la machine locale. • Domain (Domaine)—Endpoint Security Manager effectue l’authentification en utilisant les utilisateurs et les groupes appartenant au domaine de la machine. 2. Saisissez le nom de compte pour l’utilisateur qui administrera le serveur dans le champ Please specify an administrative user (Veuillez spécifier un utilisateur administrateur), puis cliquez sur Next (Suivant). Configurez les paramètres 1. supplémentaires pour votre serveur ESM. Précisez le port du serveur ESM (ESM Server port) à utiliser pour accéder au serveur ou conservez le paramètre défini par défaut (2125). 2. Saisissez un mot de passe de désinstallation d’au moins huit caractères et confirmez. Vous devrez inscrire ce mot de passe chaque fois que vous tenterez de désinstaller un logiciel ESM ou Traps. Après avoir installé le logiciel du serveur ESM, vous pouvez Modifier le mot de passe de désinstallation ultérieurement en créant une regle de paramètres d’agent à l’aide de la console ESM. 3. Cliquez sur Next (Suivant). © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 45 Configurer Endpoint Security Manager Configuration de l’infrastructure Traps Installer le logiciel du serveur ESM (Continued) Step 6 Step 7 Importez une licence. Terminez l’installation. 1. Accédez (Browse) au fichier de licence, puis cliquez sur Open (Ouvrir). Si vous n’avez pas de licence, communiquez avec votre responsable de compte ou votre revendeur, ou rendez-vous au https://support.paloaltonetworks.com. Le programme d’installation affiche les détails de la licence correspondant au fichier de licence. 2. Cliquez sur Next (Suivant). 1. Cliquez sur Install (Installer). 2. Lorsque l’installation est terminée, cliquez sur Finish (Terminer). Installer le logiciel de la console Endpoint Security Manager Vous pouvez installer le logiciel de la console ESM sur un serveur dédié ou sur le même serveur que le logiciel du serveur ESM. Chaque console ESM doit posséder sa propre licence. Installer le logiciel de la console ESM Avant de commencer : • Vérifiez que le système possède la configuration requise décrite à la section Configuration requise pour installer la console ESM. • Procurez-vous le logiciel auprès de votre responsable de compte Palo Alto Networks, de votre revendeur ou sur https://support.paloaltonetworks.com Step 1 1. Effectuez un double clic sur le fichier d’installation ESMConsole. 2. Cliquez sur Next (Suivant) pour commencer le processus d’installation. 3. Cochez la case I accept the terms of the License Agreement (J’accepte les conditions de l’accord de licence), puis cliquez sur Next (Suivant). Step 2 Lancez l’installation du logiciel de la console ESM. Vous pouvez également installer la console ESM à l’aide de Msiexec (voir Installer les composants de Traps en utilisant Msiexec). Spécifiez le dossier d’installation pour la Laissez le dossier d’installation par défaut ou cliquez sur Change console ESM. (Modifier) pour spécifier un dossier d’installation différent, puis cliquez sur Next (Suivant). 46 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Configuration de l’infrastructure Traps Configurer Endpoint Security Manager Installer le logiciel de la console ESM (Continued) Step 3 Configurez les paramètres qui 1. permettent la communication entre la console ESM et la base de données. Pour configurer l’accès à la base de données, vous devez spécifier la méthode d’authentification et le nom d’un utilisateur qui possède des privilèges administratifs pour gérer la base de données. Le nom d’utilisateur (et le mode de passe) que vous saisissez sont fonction du type de méthode d’authentification que vous sélectionnez : • Pour utiliser l’authentification Windows (recommandé), spécifiez l’utilisateur du domaine qui possède les autorisations nécessaires pour gérer la base de données. • Pour utiliser l’authentification du serveur SQL, saisissez le compte de l’utilisateur local sur le serveur SQL qui possède les autorisations nécessaires pour gérer la base de données. 2. Sélectionnez le type de base de données que vous avez installé pour l’utilisation avec le serveur ESM. Si vous sélectionnez une version de SQL Server, vous devez fournir les informations de configuration suivantes : • Server Name (Nom du serveur) : Nom de domaine complet ou l’adresse IP du serveur de base de données. • Database (Base de données) : Nom de la base de données. Si votre SQL Server utilise une instance autre que celle définie par défaut, vous devez également inclure le nom de l’instance au format <instance>/<databasename>. • Sélectionnez la méthode d’authentification : – Windows Authentication (Authentification Windows) (recommandé)—Authentifiez à l’aide d’un compte utilisateur de domaine Windows qui possède les privilèges nécessaires pour se connecter au serveur de la base de données. Il doit également s’agir d’un compte administrateur de la base de données. – SQL Server Authentication (Authentification SQL Server)—Authentifiez à l’aide d’un compte utilisateur local qui se trouve sur le serveur de la base de données. Il doit également s’agir d’un compte administrateur de la base de données. • User Name (Nom d’utilisateur) : Pour l’authentification Windows, vous devez inclure le nom de domaine avant le nom d’utilisateur (par exemple, mondomaine\administrateur). Pour l’authentification SQL Server, vous devez inclure le nom du serveur de la base de données avant le nom d’utilisateur (par exemple, mysqlserver\administrator). Le compte utilisateur que vous spécifiez doit avoir des privilèges pour créer une base de données sur le serveur. Cliquez sur Next (Suivant). Les paramètres de la base de données doivent être les mêmes que vous avez saisis lors de l’installation du serveur ESM. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 47 Configurer Endpoint Security Manager Configuration de l’infrastructure Traps Installer le logiciel de la console ESM (Continued) Step 4 Step 5 Step 6 Spécifiez le niveau de sécurité pour la 1. communication entre l’administrateur et la console ESM. Pour crypter la communication par SSL, utilisez un fichier de certificat serveur-client (format PFX) et inscrivez le mot de passe de décryptage de la clé privée. Spécifiez le dossier d’investigation numérique. Terminez l’installation. 48 • Traps 3.3 Guide de l’administrateur Sélectionnez le mode de configuration du certificat : • Select External Certificate (SSL) (Sélectionner le certificat externe (SSL))—(Recommandé) Cryptez la communication vers la console ESM et depuis cette dernière par SSL (par défaut). Puis accédez au certificat serveur-client et saisissez le mot de passe requis pour décrypter la clé privée. • No Certificate (no SSL) (Aucun certificat (pas de SSL)— Ne cryptez pas la communication vers la console ESM, ni depuis cette dernière. 2. Cliquez sur Next (Suivant). 1. Conservez le chemin d’accès au dossier d’investigation numérique ou accédez (Browse) à l’emplacement d’un autre dossier, puis cliquez sur OK. Le programme d’installation active automatiquement BITS pour ce dossier. 2. Cliquez sur Next (Suivant). 1. Cliquez sur Install (Installer). 2. Lorsque l’installation est terminée, cliquez sur Finish (Terminer). © Palo Alto Networks, Inc. Configuration de l’infrastructure Traps Configuration des points de terminaison Configuration des points de terminaison Pour configurer Traps sur les points de terminaison au sein de votre organisation, voir les sujets suivants : Considérations pour le déploiement de Traps Options d’installation de Traps Installer Traps sur le point de terminaison Considérations pour le déploiement de Traps Le logiciel Traps est habituellement déployé sur les points de terminaison d’un réseau après une preuve de concept (POC) initiale qui simule l’environnement de production de l’entreprise. Durant la POC ou l’étape de déploiement, vous analysez les évènements de sécurité pour déterminer ceux qui sont déclenchés par une activité malicieuse et ceux qui sont causés par des processus légitimes se comportant de manière risquée ou incorrecte. Vous simuler également le nombre et le type de points de terminaison, les profils d’utilisateur et les types d’applications qui s’exécutent sur les points de terminaison de votre organisation et, selon ces facteurs, vous définissez, testez et ajustez la stratégie de sécurité de votre organisation. L’objectif de ce processus en plusieurs étapes est de fournir une protection maximale pour l’organisation, sans interférer avec les flux de travail légitimes. Une fois que vous avez réussi avec succès la POC initiale, nous recommandons d’effectuer une implémentation en plusieurs étapes dans l’environnement de production de l’entreprise pour les raisons suivantes : La POC ne reflète pas toujours tous les variables qui existent dans votre environnement de production. Il existe une rare possibilité que l’agent Traps affecte des applications d’entreprise, qui peuvent révéler des vulnérabilités dans le logiciel en tant que prévention d’attaque. Pendant la POC, il est beaucoup plus facile d’isoler les problèmes qui surviennent et de trouver une solution avant l’implémentation complète dans un environnement étendu, où les problèmes pourraient toucher un grand nombre d’utilisateurs. Une approche de déploiement en plusieurs étapes assure une implémentation fluide et le déploiement de la solution Traps dans l’ensemble de votre réseau. Servez-vous des étapes suivantes pour obtenir une assistance et un contrôle plus importants sur la protection ajoutée. Étape Durée Plan Step 1 Installez Traps sur les points de terminaison. 1 semaine Installez Endpoint Security Manager (ESM) en incluant une base de données MS SQL, la console ESM et le serveur ESM, et installez l’agent Traps sur un petit nombre de points de terminaison (de 3 à 10). Testez le comportement normal des agents Traps (injection et stratégie) et confirmez l’absence de changement dans l’expérience utilisateur. Step 2 Étendez le déploiement de Traps. 2 semaines Élargissez graduellement la distribution des agents à des groupes plus importants ayant des attributs similaires (matériel, logiciel et utilisateurs). À la fin des deux semaines, Traps peut être déployé sur un maximum de 100 points de terminaison. Step 3 Terminez l’installation de Traps. 2 semaines ou plus Distribuez largement l’agent Traps au sein de l’organisation jusqu’à ce tous les points de terminaison soient protégés. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 49 Configuration des points de terminaison Étape Durée Configuration de l’infrastructure Traps Plan Step 4 Définissez la stratégie d’entreprise et les processus protégés. Jusqu’à une Ajoutez des règles de protection pour les applications tierces ou semaine internes, puis testez-les. Step 5 Affinez la stratégie d’entreprise et les processus protégés. Jusqu’à une Déployez les règles de stratégie de sécurité à un petit nombre de semaine points de terminaison qui utilisent fréquemment les applications. Peaufinez la stratégie, au besoin. Step 6 Finalisez la stratégie d’entreprise et les processus protégés. Quelques minutes Déployez les règles de protection de manière globale. Options d’installation de Traps Vous pouvez installer Traps selon les méthodes suivantes : Install from the endpoint (Installer à partir du point de terminaison)—Dans les situations où vous devez installez Traps sur un petit nombre de points de terminaison, vous pouvez installer manuellement le logiciel Traps en utilisant le flux de travail décrit dans Installer Traps sur le point de terminaison. Install using Msiexec (Installer à l’aide de Msiexec)—Pour installer Traps en ligne de commande, utilisez l’utilitaire Msiexec pour effectuer les opérations sur un programme d’installation Windows comme décrit dans Installer les composants de Traps en utilisant Msiexec. Vous pouvez aussi utiliser les options d’installation de Msiexec avec un logiciel de déploiement MSI comme Policy System Center Configuration Manager (SCCM), Altiris ou objet de stratégie de groupe (GPO). L’utilisation d’un logiciel de déploiement MSI est recommandée pour installer Traps dans une organisation ou sur de nombreux points de terminaison. Install using an action rule (Installer à l’aide d’une règle d’action)—Si Traps est déjà installé sur les points de terminaison de votre organisation, vous pouvez mettre à niveau le logiciel Traps en configurant une règle d’action comme décrit dans Désinstaller ou mettre à niveau Traps sur le point de terminaison. Installer Traps sur le point de terminaison Avant d’installer Traps, vérifiez que le système possède la configuration requise décrite dans Configuration requise pour installer Traps sur un point de terminaison. 50 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Configuration de l’infrastructure Traps Configuration des points de terminaison Installer Traps sur le point de terminaison Step 1 Step 2 Lancez l’installation du logiciel Traps. Vous pouvez également installer Traps à l’aide de Msiexec (voir Installer les composants de Traps en utilisant Msiexec). La ou les versions de Traps que vous installez sur vos points de terminaison doivent être les mêmes ou des versions antérieures à la version du serveur ESM et de la console ESM. 1. Procurez-vous le logiciel auprès de votre responsable de compte Palo Alto Networks, de votre revendeur ou sur https://support.paloaltonetworks.com 2. Décompressez le fichier zip et effectuez un double clic sur le fichier d’installation Traps ; choisissez la version x64 (64 bits) ou x86 (32 bits) selon le système d’exploitation qui est installé sur votre point de terminaison. 3. Cliquez sur Next (Suivant). 4. Sélectionnez I accept the terms in the license agreement (J’accepte les conditions du contrat de licence), puis cliquez deux fois sur Next (Suivant). Configurez les agents Traps pour la connexion au serveur ESM. 1. Fournissez les informations suivantes pour le serveur ESM : • Host Name (Nom d’hôte)—Saisissez le nom d’hôte ou l’adresse IP du serveur ESM. • Port—Modifiez le numéro de port si nécessaire (la valeur par défaut est 2125). • Use (Utilisation)—Sélectionnez SSL pour crypter la communication avec le serveur ou No SSL pour ne pas crypter la communication (non recommandé). 2. Cliquez sur Next (Suivant) > Install (Installer). Nous recommandons de redémarrer le point de terminaison une fois que vous avez terminé l’installation. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 51 Installer les composants de Traps en utilisant Msiexec Configuration de l’infrastructure Traps Installer les composants de Traps en utilisant Msiexec Plutôt que d’utiliser les fichiers d’utilisation, vous pouvez utiliser Windows Msiexec pour installer le logiciel des composants de Traps suivants : le serveur ESM, la console ESM et l’agent Traps. Msiexec fournit un contrôle complet du processus d’installation et vous permet d’installer, modifier et effectuer des opérations sur un programme d’installation Windows à partir de l’interface de la ligne de commande (CLI). Vous pouvez également utiliser MSIXEC pour consigner au journal les problèmes que vous avez rencontrés au cours de l’installation. De plus, pour installer Traps sur de multiples points de terminaison pour la première fois, vous pouvez utiliser Msiexec avec un System Center Configuration Manager (SCCM), Altiris ou un objet de stratégie de groupe (GPO), ou avec tout autre logiciel de déploiement MSI. Après avoir réussi à installer Traps sur un point de terminaison et à établir une connection initiale avec le serveur ESM, vous pouvez mettre Traps à niveau ou le désinstaller d’un ou de plusieurs points de terminaison en créant une règle d’action (voir Désinstaller ou mettre à niveau Traps sur le point de terminaison). Avant d’installer Traps, vérifiez que le système possède la configuration requise décrite dans Configuration requise pour installer Traps sur un point de terminaison. Installer les composants de Traps Désinstaller les composants de Traps Installer les composants de Traps Installer les composants de Traps en utilisant Msiexec Step 1 Ouvrez une invite de commande en tant qu’administrateur : • Sélectionnez Démarrer > Tous les programmes > Accessoires. Effectuez un clic droit sur Invite de commandes, puis sélectionnez Exécuter en tant qu’administrateur. • Sélectionnez Démarrer. Dans la case Rechercher les programmes et fichiers, saisissez cmd. Ensuite, pour ouvrir l’invite de commande en tant qu’administrateur, appuyez sur CTRL+MAJ+ENTRÉE. 52 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Configuration de l’infrastructure Traps Installer les composants de Traps en utilisant Msiexec Installer les composants de Traps en utilisant Msiexec (Continued) Step 2 Exécutez la commande msiexec suivie d’une ou de plusieurs des options ou des propriétés suivantes : • Option d’installation affichage et journalisation : • /i installpath\installerfilename.msi—Installe un package. Par exemple, msiexec /i C:\install\traps.msi. • /qn—Ne pas afficher l’interface utilisateur (installation silencieuse). Au minimum, vous devez aussi spécifier le nom du serveur hôte ou l’adresse IP en utilisant la propriété CYVERA_SERVER. • /L*v logpath\logfilename.txt—Enregistre la sortie détaillée dans un fichier. Par exemple, /L*v C:\logs\install.txt. Pour une liste complète des paramètres de Msiexec, voir https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/msiexec.mspx • Propriétés publiques : • CYVERA_SERVER=servername—Nom ou adresse IP du serveur hôte primaire (la valeur par défaut est ESMserver) • CYVERA_SERVER_PORT=serverport—Port du serveur hôte primaire (la valeur par défaut est 2125) • USE_SSL_PRIMARY=[0|1]—(Installation silencieuse uniquement) Définissez les préférences de cryptage sur le serveur primaire en spécifiant 0 pour ne pas utiliser SSL (non recommandé) ou 1 pour utiliser SSL (par défaut) Par exemple, pour installer Traps sans interface utilisateur, spécifiez un serveur nommé TrapsServer qui n’utilise pas le cryptage SSL sur le port 3135, et créez un journal d’installation dans le dossier C:\temp, saisissez ce qui suit : msiexec /i C:\install\traps.msi /qn CYVERA_SERVER=TrapsServer USE_SSL_PRIMARY=0 CYVERA_SERVER_PORT=3135 /l*v C:\temp\trapsinstall.log Nous recommandons de redémarrer le périphérique une fois que vous avez terminé l’installation. Désinstaller les composants de Traps Désinstaller les composants de Traps en utilisant Msiexec Step 1 Ouvrez une invite de commande en tant qu’administrateur : • Sélectionnez Démarrer > Tous les programmes > Accessoires. Effectuez un clic droit sur Invite de commandes, puis sélectionnez Exécuter en tant qu’administrateur. • Sélectionnez Démarrer. Dans la case Rechercher les programmes et fichiers, saisissez cmd. Ensuite, pour ouvrir l’invite de commande en tant qu’administrateur, appuyez sur CTRL+MAJ+ENTRÉE. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 53 Installer les composants de Traps en utilisant Msiexec Configuration de l’infrastructure Traps Désinstaller les composants de Traps en utilisant Msiexec (Continued) Step 2 Exécutez la commande msiexec suivie d’une ou de plusieurs des options ou des propriétés suivantes : • Options de désinstallation et de journalisation : • /x installpath\installerfilename.msi.txt—Désinstalle un package. Par exemple, msiexec /x C:\install\traps.msi. • /L*v logpath\logfilename.txt—Enregistre la sortie détaillée dans un fichier. Par exemple, /L*v C:\logs\uninstall.txt. Pour une liste complète des paramètres de Msiexec, voir https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/msiexec.mspx • Propriétés publiques : • UNINSTALL_PASSWORD=uninstallpassword—Spécifiez le mot de passe d’administrateur. Pour désinstaller Traps et inscrire la sortie détaillée dans un fichier appelé uninstall LogFile.txt, saisissez la commande suivante : msiexec /x C:\install\traps.msi UNINSTALL_PASSWORD=[palo@lt0] /l*v C:\install\uninstallLogFile.txt Vous devez spécifier la propriété UNINSTALL_PASSWORD pour désinstaller correctement un package. 54 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Configuration de l’infrastructure Traps Vérifier une installation réussie Vérifier une installation réussie Vous pouvez vérifier la réussite des installations sur le serveur ESM et sur le point de terminaison en vérifiant la connectivité entre le serveur et chaque point de terminaison des deux côtés de la connexion. Vérifier la connectivité à partir du point de terminaison Vérifier la connectivité à partir de la console ESM Vérifier la connectivité à partir du point de terminaison Après avoir installé correctement Traps, l’agent Traps doit être capable de se connecter au serveur qui exécute Endpoint Security Manager. Vérifier la connectivité à partir du point de terminaison Step 1 Lancez la console Traps à partir de la barre des tâches : • Depuis le Gestionnaire des tâches Windows, effectuez un double clic sur l’icône Traps clic droit sur l’icône et sélectionnez Console). • Exécutez CyveraConsole.exe à partir du dossier d’installation de Traps. (ou effectuez un Step 2 Vérifiez l’état de la connexion au serveur. Si Traps est connecté au serveur, l’état Connection (Connexion) signale que la connexion est réussie. Si l’agent Traps ne parvient pas à établir une connexion avec le serveur primaire ou secondaire, la console Traps signale un état déconnecté. Step 3 Vérifier la connectivité à partir de la console ESM. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 55 Vérifier une installation réussie Configuration de l’infrastructure Traps Vérifier la connectivité à partir de la console ESM Après avoir vérifié correctement que le point de terminaison peut accéder au serveur ESM, vérifiez que le point de terminaison apparaît dans la liste des ordinateurs sur la page Monitor (Surveillance) > Agent (Agent) > Health (Santé) de la console ESM. Vérifier la connectivité à partir de la console ESM Step 1 Depuis la console ESM, sélectionnez Monitor (Surveillance) > Agent (Agent) > Health (Santé) de la console ESM. Step 2 Trouvez le nom du point de terminaison dans la liste des ordinateurs et vérifiez l’état. Une icône indique que Traps est en cours d’exécution sur le point de terminaison. Pour afficher d’autres détails sur le point de terminaison, sélectionnez la ligne du point de terminaison. 56 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Gérer les Traps dans un Environment IBV Présentation de l’IBV Configurer les Traps dans un Environment IBV Configuration des paramètres des Traps Affinez et Testez la stratégie IBV © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 57 Présentation de l’IBV Gérer les Traps dans un Environment IBV Présentation de l’IBV Votre environnement commercial en évolution rapide exige une infrastructure flexible pour supporter les ordinateurs de bureau, les applications et l’accès aux données en constante évolution de votre personnel. En mettant en œuvre une infrastructure de bureau virtuel (IBV), vous permettez à vos employés de travailler indépendamment de l’emplacement en utilisant une variété de dispositifs. Bien qu’une solution IBV présente de nombreux avantages, y compris la sécurité de contrôle centralisée, une complexité réduite et une gestion efficace de l’accès des utilisateurs et des privilèges, il est essentiel de veiller à ce que l’ensemble du IBV soit sécurisé. La sécurisation de ce nouvel environnement centralisé est de plus en plus difficile. Une seule adresse IP peut représenter des milliers d’utilisateurs différents accédant à toutes leurs applications et données en utilisant une variété de dispositifs. Les utilisateurs peuvent également avoir accès à d’autres applications de votre centre de données en plus de leur bureau virtuel. En utilisant les Traps pour sécuriser votre environnement IBV, vous pouvez profiter des avantages suivants : Protection avancée des terminaux dans le cadre de la solution Traps qui empêche l’exploitation des vulnérabilités et des attaques sophistiquées entraînées par des malwares inconnus. Pour ce faire, Traps intègre un agent aussi léger qu’évolutif dont l’approche innovante permet de détourner les attaques sans nécessiter au préalable de connaissances particulières sur ces menaces. Un logiciel qui ne dépend pas de la numérisation ou de maintenir des mises à jour externes. Les sujets suivants décrivent les déploiements IBV plus en détails : Applications virtualisées et ordinateurs de bureau Modes IBV Applications virtualisées et ordinateurs de bureau XenApp XenDesktop XenApp Un XenApp est une application virtuelle que vous pouvez gérer à l’aide d’un serveur XenApp. Pour sécuriser les applications virtuelles, vous devez installer les Traps sur le serveur XenApp qui gère les sessions. Au lieu d’utiliser la licence IBV sur le serveur XenApp, vous devez installer un seul serveur Traps (le plus courant) ou une licence de station de travail basée sur le système d’exploitation du serveur XenApp. Dans ce cas, la seule installation de Traps protège toutes les sessions simultanées. XenDesktop Un XenDesktop fournit des applications et des bureaux virtuels à tout appareil. Pour sécuriser le poste de travail virtuel, installer les Traps sur chaque instance de bureau virtuel et installer une licence IBV à partir de la console ESM. En outre, nous vous recommandons d’installer l’agent Traps sur chaque système d’exploitation hôte. Le système d’exploitation hôte nécessite une licence non IBV séparée en fonction du système d’exploitation de l’hôte : une licence serveur ou station de travail. 58 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Gérer les Traps dans un Environment IBV Présentation de l’IBV Remplacer le logiciel antivirus basé sur l’hôte avec des Traps peut réduire la consommation globale de la ressource. Modes IBV Mode IBV Non Persistant Mode IBV Non Persistant Mode IBV Non Persistant Lorsqu’un utilisateur accède à un bureau virtuel non persistant et se déconnecte à la fin de la journée, aucun de ses paramètres de données, y compris les raccourcis de bureau, fonds d’écran, ou de nouvelles applications, ne sont préservées. A la fin d’une session, le bureau virtuel est nettoyé et revient à l’état vierge original de l’image maître. La prochaine fois que l’utilisateur se connecte, ils reçoit une nouvelle image. Les procédures de ce document portent principalement sur le déploiement de Traps dans un mode IBV non persistant. Mode IBV Non Persistant Un bureau virtuel persistant est un mappage un-à-un d’une machine virtuelle à un utilisateur et chaque bureau virtuel stocke et utilise sa propre image de disque. Dans ce modèle, un ordinateur de bureau persistant conserve toutes les modifications de configuration et des paramètres de personnalisation qu’un utilisateur fait lors d’une session (comme des changements de fond, des raccourcis enregistrés, et les applications nouvellement installées). Lorsque l’utilisateur termine une session et se déconnecte du bureau virtuel, l’ordinateur virtuel conserve tout et toutes les modifications et la prochaine fois que l’utilisateur se connecte à l’ordinateur de bureau, ces changements sont toujours en vigueur. Le processus de déploiement de Traps en mode IBV persistant est très similaire au déploiement de Traps sur un serveur standard ou un poste de travail. Pour installer l’agent Traps, vous pouvez installer le logiciel Traps sur l’image principale et l’exécuter sur le bureau virtuel de la même façon que tout autre application IBV et, tout comme dans un déploiement standard, Traps continue de communiquer avec le serveur ESM tout au long du cycle de vie de l’instance IBV. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 59 Considérations pour l’installation d’IBV Gérer les Traps dans un Environment IBV Considérations pour l’installation d’IBV Licences d’Agent IBV Meilleures pratiques pour les déploiements IBV Licences d’Agent IBV La console ESM prend en charge des licences dédiées aux environnements pour l’infrastructure de bureau virtuel (IBV) et affiche la capacité de licence IBV sur le tableau de bord. En utilisant un modèle de licence flottante, la console ESM délivre des licences à des clients actifs dans un environnement IBV non persistant. Ensuite, lorsqu’une instance IBV redémarre ou arrive à expiration, le serveur ESM révoque la licence et peut l’allouer à un autre utilisateur. Les agents Traps exécutant des versions antérieures à 3.3 peuvent utiliser le même type de licence pour tous les postes de travail, serveurs, instances et IBV. Lors de la mise à niveau de la Console ESM à la version 3.3, vous devez acquérir une nouvelle licence IBV pour toutes les instances IBV existantes. Pour les considérations d’octroi de licence, contactez l’assistance ou votre ingénieur commercial. Les processus de mise à niveau et d’installation nécessaires à votre environnement IBV dépendent de la version de l’agent Traps et de la version de l’ESM. Le tableau suivant présente les actions requises et les exigences de licence par Traps et version d’ESM. Agents Traps actuels et versions ESM Agents Traps Action cibles et mise à jour des versions ESM Exigences de Licence Nouvelle installation (N/A) Traps 3.3 ; ESM 3.3 Configurer les Traps dans un Environment IBV PAN-TRAPS-V Traps 3.2.3 ; ESM 3.2.3 Traps 3.2.3 ; ESM 3.3 Marquez l’image maître comme une instance IBV en utilisant l’outil Traps IBV (voir Step 8 dans Configuration de la politique principale). PAN-TRAPS-V Traps 3.2.3 ; ESM 3.2.3 Traps 3.2.3 ; ESM 3.3 La Console ESM 3.3 délivre un Traps de poste de Aucune licence travail ou une licence de serveur à l’instance IBV aussi supplémentaire n’est longtemps que vous n’utilisez pas l’outil Traps IBV nécessaire. pour marquer l’image maître de Traps 3.2.3 comme une instance IBV. Toutefois, pour mettre les agents au niveau à 3.3, vous devez importer la licence IBV et marquer l’image maître comme une instance IBV en utilisant l’outil Traps IBV (voir Step 8 dans Configuration de la politique principale). Agents postérieurs à 3.2.3 Traps 3.3 ; ESM 3.3 Configurer les Traps dans un Environment IBV 60 • Traps 3.3 Guide de l’administrateur PAN-TRAPS-V © Palo Alto Networks, Inc. Gérer les Traps dans un Environment IBV Considérations pour l’installation d’IBV Meilleures pratiques pour les déploiements IBV Optimiser la politique de session par défaut sur le banc d’essai IBV pour assurer la reproduction d’une session stable lorsque l’IBV est recompilé. Chaque nouvelle création d’IBV va commencer avec la politique initiale configurée sur l’image maître. Lorsque l’image principale est en communication avec le Serveur ESM, tester la politique sur le banc d’essai IBV et poussez-la aux agents Traps IBV. Puis affiner la politique. Les questions sur les sessions non persistantes restreintes sont plus difficiles à étudier car il n’y a pas de données légales quand la session se ferme. Envisagez les options suivantes pour assurer que les données légale soient disponibles : – – Activez Send the memory dumps automatically les paramètres d’agent sur tous les noms d’hôte non persistants. Reproduisez le problème sur une session persistante pour réunir des journaux, des vidages de mémoire et permettre un dépannage additionnel. Définir un nombre fixe de noms d’hôtes de session (non aléatoires) sous licences émises par la console ESM selon le nom d’hôte. Depuis Traps 3.3, nous traitons toute convention de dénomination. Le serveur ESM révoque automatiquement une licence lorsqu’un agent se déconnecte d’une session d’IBV. Dans les cas où une session IBV n’est pas correctement fermée, le serveur attend l’ESM pour un délai d’attente avant de révoquer automatiquement la licence pour la rendre disponible pour d’autres agents IBV. Si une autre session IBV a besoin d’utiliser la licence avant l’expiration du délai d’attente, forcez la console ESM à Retirer une licence Traps. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 61 Configurer les Traps dans un Environment IBV Gérer les Traps dans un Environment IBV Configurer les Traps dans un Environment IBV Configurer les Traps dans un Environment IBV Step 1 Passez en revue les considérations Considérations pour l’installation de l’infrastructure du point de d’installation et les conditions préalables terminaison du logiciel. Configuration requise Considérations pour l’installation d’IBV Limitations Step 2 Configurez le serveur de base de données. Configuration requise pour installer la base de données Configurer la base de données du serveur MS-SQL Step 3 Configurez le serveur ESM. Configuration requise pour installer le serveur ESM Installer le logiciel du serveur Endpoint Security Manager Step 4 Configurez la console ESM. Configuration requise pour installer la console ESM (Facultatif) Activer les services Web sur la console ESM (Facultatif) Activer le cryptage SSL pour les composants de Traps Installer le logiciel de la console Endpoint Security Manager Step 5 Téléchargez la licence IBV dédiée. Licences d’Agent IBV Gérer les licences en utilisant la console ESM Step 6 Installer des Traps sur l’image principale avec la stratégie par défaut. Configuration de la politique principale Step 7 Configurer les paramètres de Traps supplémentaires en fonction de votre scénario de déploiement d’IBV. (Recommandée) Configurer les Traps pour un scénario de stockage non persistant ou Configurer les Traps pour un scénario de stockage persistant Step 8 Configurer la stratégie initiale de l’image • Configurer les Traps pour effacer toutes les données de maître. prévention et d’histoire de l’agent. Pour ce faire, créer une règle d’action d’agent (voirGérer les données collectées par Traps). Si votre organisation prend en charge un environnement mixte d’instances de IBV • Activer les Traps pour envoyer des vidages de mémoire et non IBV, appliquer les Critères pour automatiquement. Pour ce faire, créer une règle d’action d’agent une Machine IBV pour chaque règle. Cela (voirDéfinir les préférences de vidage mémoire). garantit que les règles soient applicables • Configurer le pouls de l’agent et des intervalles de rapports à aux seules instances IBV. une minute. Pour ce faire, créer une règle d’action d’agent (voirDéfinir les paramètres de pulsation entre l’agent et le serveur ESM). Step 9 Déployer le banc d’essai IBV. Step 10 Recompilez l’image maître. 62 • Traps 3.3 Guide de l’administrateur Affinez et Testez la stratégie IBV 1. Redémarrez l’image maître. 2. Vérifiez que l’image maître puisse de connecter au serveur ESM. 3. Arrêter l’image maître, puis recompilez-la. © Palo Alto Networks, Inc. Gérer les Traps dans un Environment IBV Configuration de la politique principale Configuration de la politique principale Pour configurer la stratégie de l’image principale, d’abord recueillir tous les exécutables portables (EP) des fichiers en utilisant l’utilitaire Windows Sysinternals appelé Sigcheck. Ensuite, vous pouvez utiliser l’outil Traps IBV pour créer un fichier de cache WildFire contenant les verdicts pour tous les fichiers EP détectés sur l’image principale, y compris ceux que WildFire a déterminé être malveillants. En remplaçant le fichier original de cache avec le nouveau fichier, vous pouvez éviter de nombreux verdicts inconnus initiaux sur l’instance de IBV. Vous pouvez également utiliser l’outil Traps IBV pour identifier l’image maître comme une instance IBV dans le Registre Windows. Après avoir identifié l’image maître comme une instance IVB, la console ESM reconnaîtra le client et utilisera le modèle de licence flottante pour attribuer une licence. Configuration de la politique principale Step 1 Step 2 Avant de commencer : 1. Installez tout logiciel supplémentaire que vous prévoyez d’avoir sur les instances d’IBV. 2. Installer des Traps sur l’image principale (voir Installer Traps sur le point de terminaison). 3. Vérifiez que l’image maître puisse de connecter au ESM. 4. Télécharger Sigcheck (un utilitaire Windows Sysinternals) à partir de https://technet.microsoft.com/en-us/ sysinternals/bb897441.aspx. Recueillir tous les fichiers EP disponibles 1. sur l’image principale en utilisant Sigcheck. Cet outil crée un fichier que vous pouvez utiliser comme entrée pour l’outil 2. Traps IBV. Ouvrez une invite de commande en tant qu’administrateur et accédez au répertoire dans lequel vous avez téléchargé Sigcheck. Exécutez sigcheck récursivement pour trouver les fichiers exécutables indépendamment de l’extension et sortir les hashes au format séparés par des virgules dans un dossier et le nom de votre choix : sigcheck /accepteula -s -h -e -q -c C:\ > C:\temp\outfilename.csv Les paramètres Sigcheck sont sujets à changement. Pour afficher directives d’utilisation disponibles, exécutez la sigcheck commande sans options. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 63 Configuration de la politique principale Gérer les Traps dans un Environment IBV (Continued)Configuration de la politique principale Step 3 Utilisez l’outil Traps IBV pour alimenter 1. tous les fichiers EP (recueillis àStep 2) à 2. WildFire pour inspection et pour créer un cache local qui contienne tous les verdicts disponibles à partir de WildFire. L’outil Traps IBV envoie d’abord tous les hashes au serveur ESM et obtient leurs verdicts. S’il y a des hashes inconnus, l’outil Traps IBV télécharge le fichier associé au hachage au serveur ESM, qui envoie le fichier inconnu à WildFire pour analyse. Toutes les 10 minutes, l’outil Traps IBV demande des verdicts pour la liste des hashes inconnus. Une fois que l’outil Traps IBV ait obtenu des verdicts pour tous les fichiers, il crée le cache WildFire. L’outil Traps IBV stocke ces fichiers dans le même emplacement que l’outil Traps IBV. 64 • Traps 3.3 Guide de l’administrateur Ouvrez l’outil Traps IBV. Configurez les paramètres suivants : • ESM server address—adresse IP ou le nom d’hôte du serveur ESM utilisé pour vérifier les hashes. Ce serveur doit être en mesure de se connecter à WildFire. • Serveur ESM de liaison SSL—Définissez la valeur Vraie si le serveur utilise un SSL de liaison (par défaut, c’est Faux). • Input file—Chemin du fichier de valeurs séparées par des virgules (CSV) que vous avez créé dans Step 2 qui contient tous les hashes. • Output file path—Entrez le nom du fichier que l’outil Traps IBV utilisera pour créer la sortie de cache WildFire : WildFireCache.xml. • ESM server port—Numéro de port du serveur ESM (par défaut : 2125). • Hash bulk size—Hashes seront signalés au serveur dans des fragments de cette taille (valeur par défaut : 300 ; plage de 1 à 500). • Tool timeout in hours—Temps en heures d’attente pour que l’outil Traps IBV termine l’obtention des verdicts. Si l’outil Traps IBV dépasse le délai d’attente, il arrête la génération du cache WildFire (par défaut : 24 heures). • Wait for WildFire verdicts—Sélectionnez Vrai (Par défaut) pour envoyer les hashes inconnus et d’attendre le verdict de WildFire ou Faux pour sauter le téléchargement de hashes inconnus et la création du fichier de cache. • WildFire verdicts check interval—le temps en minutes entre les enquêtes pour vérifier les nouveaux verdicts (valeur par défaut : 10). • Write malware to cache—Sélectionnez Vrai pour écrire des verdicts de logiciels malveillants dans le fichier de cache (par défaut Faux). 3. Cliquez Start. 4. L’outil Traps IBV utilise les résultats de la recherche de verdict pour créer le fichier WildFireCache.xml. Ce fichier contient une liste des types de hachages suivants : • Hashes inconnus que l’outil Traps IBV télécharge vers le serveur ESM • Hashes inconnus que l’outil Traps IBV ne peut télécharger • Hashes malveillants trouvés par WildFire. © Palo Alto Networks, Inc. Gérer les Traps dans un Environment IBV Configuration de la politique principale (Continued)Configuration de la politique principale Step 4 Examinez tous les fichiers EP que WildFire 1. estime être malveillants. Ouvrez le fichier texte Malware créé par l’outil Traps IBV. Ce fichier contient la liste des hashes pour lesquels WildFire a rendu un verdict malveillant. 2. Effectuez l’une des actions suivantes pour chaque fichier EP illicite : • Supprimez les fichiers EP illicites de l’image principale. • Si vous croyez que le verdict WildFire est incorrecte, remplacer le verdict du fichier PE sur la Hash Control page de la console ESM et de changer le verdict bénigne dans le WildFireCache.xml. Step 5 Terminez le service d’agent et l’utilisation des pilotes Cytool. Voir Démarrer ou arrêter les composants d’exécution de Traps sur le point de terminaison. Step 6 Remplacez le cache WildFire parle fichier généré par l’outil Traps IBV. 1. Localisez le cache WildFire généré par le fichier par l’outil Traps IBV. Le fichier se trouve dans le chemin que vous avez spécifié dans le Output file path champ. 2. Remplacez le fichier WildFireCache.xml avec le nouveau fichier dans %ProgramData%\Cyvera\Local System\. Step 7 Démarrez le service d’agent et les pilotes en utilisant Cytool. Voir Démarrer ou arrêter les composants d’exécution de Traps sur le point de terminaison. Step 8 Utilisez l’outil Traps IBV pour identifier l’image maître comme une instance IBV. 1. Ouvrez l’outil Traps IBV. 2. Cliquez sur Menudans le coin supérieur gauche et sélectionnez Mark as IBV. 3. Entrez le mot de passe de désinstallation de Traps et cliquez : Marquez comme IBV. L’outil identifie la machine dans le Registre Windows comme une instance IBV. Step 9 Vérifiez que le serveur ESM puisse accéder Depuis le serveur ESM, ouvrez un navigateur à l’adresse à WildFire. suivante : https://wildfire.paloaltonetworks.com. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 65 Configuration des paramètres des Traps Gérer les Traps dans un Environment IBV Configuration des paramètres des Traps Avant de configurer les paramètres de Traps supplémentaires, vous devez Configuration de la politique principale. Ensuite, configurer les paramètres en fonction de votre type de déploiement IBV : Configurer les Traps pour un scénario de stockage non persistant Configurer les Traps pour un scénario de stockage persistant Configurer les Traps pour un scénario de stockage non persistant Dans un scénario de stockage non persistant, les services Traps utilisent un départ différé automatique. En outre, vous devez configurer les services pour redémarrer après un échec pour faire en sorte que l’agent Traps envoie un battement de coeur au serveur ESM peu après le démarrage du service pour obtenir la dernière politique. Configurer les Traps pour un scénario de stockage non persistant Step 1 Configurer les services Traps sur l’image 1. principale. 66 • Traps 3.3 Guide de l’administrateur Ouvrir services.msc : Cliquer Start > Run, entrez les services.msc, puis appuyez sur Enter. 2. Clic-droit sur Traps service et sélectionnez Propriétés. 3. Depuis le menu Startup type déroulant, sélectionnez Automatique (départ différé). 4. Cliquez sur Appliquer et ensuite OK. 5. Répétez le processus pour le service d’Analyse de vidage des Traps et du service de Reporting des Traps. © Palo Alto Networks, Inc. Gérer les Traps dans un Environment IBV Configuration des paramètres des Traps (Continued)Configurer les Traps pour un scénario de stockage non persistant Step 2 Configurez les Recovery propriétés du service Traps. © Palo Alto Networks, Inc. 1. Configurez les paramètres suivants : • Premier échec—Redémarrez le service • Deuxième échec—Redémarrez le service • Défaillances suivantes—Redémarrez le service • Reset fail count after—0 jours • Redémarrez le service après—1 minutes 2. Cliquez sur Appliquez et ensuite OK. Traps 3.3 Guide de l’administrateur • 67 Configuration des paramètres des Traps Gérer les Traps dans un Environment IBV (Continued)Configurer les Traps pour un scénario de stockage non persistant Step 3 Configurez le service Traps avec une dépendance du service Spooler (ou l’un des autres derniers services de chargement) par Microsoft KB suivant : http://support.microsoft.com/kb/1938 88. 1. Ouvrez le Registre Windows et recherchez la clé de CyveraService dans HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\ 2. Double-clic sur DependOnService multichaîne. 3. Ajoutez Spooler à la liste des données de valeur. 4. Cliquez sur OK. Configurer les Traps pour un scénario de stockage persistant Si vous utilisez une machine IBV pour décharger une zone de stockage local, vous devez apporter des modifications supplémentaires à l’image principale, y compris les modifications apportées aux propriétés du service Traps et les scripts de démarrage et d’arrêt. Configurer les Traps pour un scénario de stockage persistant Step 1 Step 2 Créer un lien symbolique à partir du lecteur standard de la machine pour le stockage local de la machine à chaque démarrage IBV. Sur l’image maître, exécutez le Script de démarrage utilisant les GPO ou planifier son exécution comme une tâche ou d’une politique locale. Pour configurer GPO pour les scripts de démarrage : 1. Exécutez gpmc.msc (Group Policy Management) sur votre contrôleur de domaine, puis créer un nouveau GPO. 2. Donner au GPO un nom significatif et cliquez sur OK. 3. Effectuez un clic droit sur le GPO et sélectionnez Modifier. 4. Dans le volet gauche de l’éditeur de gestion de stratégie de groupe, accédez à Scripts (Startup/Shutdown), puis aller à la fenêtre de droite et double-cliquez sur Startup. 5. Cliquez Ajouter, accédez à votre script, sélectionnez votre script, puis cliquez sur OK. 6. Fermez les deux composants logiciels enfichables de gestion de stratégie de groupe. Réinitialiser l’état des services avant que Sur l’image principale, créez un fichier de commandes en utilisant le l’image soit scellé et migrée dans un Script d’arrêt puis exécutez-le. environnement de test ou de production. 68 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Gérer les Traps dans un Environment IBV Configuration des paramètres des Traps (Continued)Configurer les Traps pour un scénario de stockage persistant Step 3 Configurer les paramètres des Traps 1. Ouvrir services.msc : Cliquer Start > Run, entrez les services.msc, puis appuyez sur Enter. 2. Clic-droit sur Traps service et sélectionnez Propriétés. 3. Depuis le menu type de démarrage déroulant, sélectionnez Automatique (départ différé). 4. Cliquez sur Appliquez et ensuite OK. 5. Répétez le processus pour la service d’Analyse de vidage des Traps etservice de Reporting des Traps. Script de démarrage set drivepath=D:\ set datapath=%drivepath%\ProgramData\Cyveraset set policypath=%ProgramData%\CyveraNotInUse\LocalSystem\ClientPolicy.xml IF EXIST %drivepath% ( IF EXIST %ProgramData%\Cyvera ( rename %ProgramData%\Cyvera CyveraNotInUse ) %windir%\system32\cmd.exe /c mklink /J %ProgramData%\Cyvera %datapath% 2>&1 IF NOT EXIST %datapath% ( mkdir %datapath% ) IF NOT EXIST %datapath%\Everyone\Data ( mkdir %datapath%\Everyone\Data ) IF NOT EXIST %datapath%\Everyone\Temp ( mkdir %datapath%\Everyone\Temp ) IF NOT EXIST %datapath%\LocalSystem ( mkdir %datapath%\LocalSystem ) IF EXIST %datapath%\LocalSystem\ClientPolicy.xml ( del /F %datapath%\LocalSystem\ClientPolicy.xml ) copy %policypath% %datapath%\LocalSystem\ClientPolicy.xml IF NOT EXIST %datapath%\LocalSystem\Data ( mkdir %datapath%\LocalSystem\Data ) IF NOT EXIST %datapath%\Logs ( mkdir %datapath%\Logs ) IF NOT EXIST %datapath%\Prevention ( mkdir %datapath%\Prevention ) ) sc start cyserver sc start cyveraservice sc start TrapsDumpAnalyzer time /t >> %datapath%\Logs\gpolog.txt © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 69 Configuration des paramètres des Traps Gérer les Traps dans un Environment IBV Script d’arrêt ::Stop Cyvera services net stop CyveraService net stop TrapsDumpAnalyzer net stop CyServer rd C:\ProgramData\Cyvera /q ren C:\ProgramData\CyveraNotInUse Cyvera net start CyveraService net start TrapsDumpAnalyzer net start CyServer 70 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Gérer les Traps dans un Environment IBV Affinez et Testez la stratégie IBV Affinez et Testez la stratégie IBV Affinez et Testez la stratégie IBV Step 1 Installer des Traps sur une machine de test (soit l’image principale ou une instance non-IBV) et affiner l’exploit et les politiques de protection des logiciels malveillants. Utilisez la condition intégrée IBV d’appliquer des règles seulement à des instances IBV. Step 2 Utilisez l’image principale pour reproduire une petite réserve de sessions persistantes (2 ou 3). Déployer les sessions dans un environnement de production pour imiter le comportement attendu au jour le jour par l’utilisateur, telles que la navigation, le développement et l’utilisation de l’application dédiée). Step 3 Recueillir des informations supplémentaires durant cette période afin d’optimiser davantage la politique de session par défaut et tester les restrictions spéciales appliquées aux sessions non persistantes. Typiquement, les clients déployés en mode persistant permettent une meilleure collection légale de clients que ceux déployés en mode non-persistant. Step 4 Résoudre les problèmes de stabilité sur la machine d’essai et sur la banc test IBV qui ont été causés par les politiques d’exploitation et de protection des logiciels malveillants. Step 5 Une fois que le serveur IBV engendre une session à partir de l’image maître et se connecte au serveur ESM, déconnectez l’image maître. Ensuite, révisez la politique d’IBV afin que l’intégration WildFire soit activée, l’injection EPM est réglée en fonction de la configuration testée sur les paramètres d’image maître, le rythme et les rapports utilisent des intervalles plus longs (60 minutes est recommandé), et les vidages de mémoire sont envoyés automatiquement. Les Traps vont remplacer la politique maître initiale avec la politique IBV révisée. Modifier la politique d’IBV affecte toutes les sessions engendrées au prochain redémarrage. Step 6 Connectez-vous à la console ESM et de vérifier la santé des instances IBV sur la Monitor > Agent > Health page. Si votre entreprise utilise un environnement mixte, vous pouvez filtrer la colonne Type de machine pour afficher les instances IBV seulement. Le statut des instances IBV doit être connecté. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 71 Affinez et Testez la stratégie IBV 72 • Traps 3.3 Guide de l’administrateur Gérer les Traps dans un Environment IBV © Palo Alto Networks, Inc. Administrer le serveur ESM Gérer plusieurs serveurs ESM Configuration des paramètres du serveur RADIUS LicencesTraps Gérer l’accès administrateur de la console ESM Exporter et importer les fichiers de stratégie © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 73 Gérer plusieurs serveurs ESM Administrer le serveur ESM Gérer plusieurs serveurs ESM Pour prendre en charge des déploiements à grande échelle ou multi-sites, vous pouvez configurer et gérer plusieurs serveurs Endpoint Security Manager (ESM) à partir de la Console ESM. Chaque serveur ESM se connecté à une base de données partagée qui mémorise les stratégies de sécurité et les informations sur les agents Traps et les évènements, prend en charge jusqu’à 50.000 agents Traps et peut charger des données d’investigation numérique vers un dossier d’investigation numérique. L’ajout de serveurs ESM supplémentaires vous permet de répartir le nombre de connexions Traps qui peuvent se connecter à votre réseau. À intervalle régulier, chaque serveur ESM interroge la base de données pour obtenir une liste des serveurs connus et envoie cette liste d’agents Traps lors de la pulsation suivante. L’agent Traps va utiliser le temps de réponse pour déterminer à quel Serveur ESM, il va tenter de se connecter. Si les Traps ne peuvent pas établir une connexion avec le serveur ESM préféré, il se déplace vers le bas de la liste jusqu’à ce qu’il soit capable de réussir à établir une connexion au serveur de gestion opérationnelle. Si vous retirez ou désactivez temporairement un serveur ESM, la console ESM met à jour la liste des serveurs ESM disponibles et l’envoie aux agents Traps lors de la pulsation suivante. Dans un scénario qui utilise un équilibreur de charge pour gérer le trafic entre plusieurs serveurs ESM, vous pouvez configurer vos agents Traps pour utiliser l’adresse IP de l’équilibreur de charge lorsque vous installez le logiciel Traps. Les agents Traps peuvent ensuite établir des connexions par l’intermédiaire de l’équilibreur de charge au lieu de se connecter directement aux serveurs ESM. Vous pouvez également définir le dossier par défaut que les Traps utilisent quand ils sont incapables d’atteindre le dossier associée au serveur ESM auquel l’agent Traps est actuellement connecté. Configuration système requise Limitations connues avec les déploiements Multi-ESM Gérer plusieurs serveurs ESM Configuration système requise Chaque serveur ESM doit satisfaire les exigences spécifiées dans Configuration requise pour installer le serveur ESM. Limitations connues avec les déploiements Multi-ESM Les déploiements d’ESM multiples possèdent les limitations suivantes : Pour utiliser un équilibreur de charge, vous devez indiquer l’adresse IP de l’équilibreur de charge lorsque vous installez l’agent Traps. Cela permet à l’équilibreur de charge de répartir le trafic vers les serveurs ESM qui sont effectivement connectés à l’équilibreur de charge au lieu de laisser l’agent Traps se connecter directement à un seul serveur ESM. Chaque serveur ESM doit avoir une adresse IP fixe. 74 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Administrer le serveur ESM Gérer plusieurs serveurs ESM Gérer plusieurs serveurs ESM Après l’installation de chaque serveur ESM (voir Installer le logiciel du serveur Endpoint Security Manager), la console ESM affiche les informations d’identification de chaque serveur sur la page Settings > Multi ESM. Vous pouvez modifier les paramètres de configuration pour les serveurs ESM à tout moment. Vous pouvez aussi temporairement désactiver ou retirer les serveurs ESM, si nécessaire. Action Étapes Modifier les paramètres d’un serveur ESM 1. Sélectionnez la ligne du serveur ESM et cliquez sur Modifier. Ensuite, modifiez l’un des paramètres suivants : • Nom—Nom d’hôte du serveur • Adresse interne et port du serveur (par exemple, http://ESMServer1:2125/) • Adresse externe et port du serveur que le Traps utilise pour communiquer avec le serveur (par exemple, http://10.5.0124.73:2125/) • URL légale du serveur—Pour chiffrer les données légales, nous recommandons fortement que vous utilisiez la SSL pour communiquer avec le dossier légal. En cas d’utilisation de SSL, incluez le nom de domaine complètement qualifié (NDCQ) dans le chemin, par exemple, https://ESMserver.Domain.local:443/BitsUploads. Si vous n’utilisez pas de SSL, spécifiez le port 80 (par exemple http://ESMSERVER:80/BitsUploads). Pour spécifier le dossier d’investigation numérique à utiliser lorsque le dossier associé au serveur ESM n’est pas accessible, sélectionnez Paramètres > Général > Configuration du serveur, puis saisissez le URL légale du serveur. 2. Enregistrez vos modifications (Save). Désactiver un serveur ESM Sélectionnez Désactiver dans le menu en haut de la page. La console ESM modifie le statut du serveur en Désactivé. Cette action supprime temporairement le serveur ESM du pool de serveurs disponibles des serveurs ESM auxquels les agents Traps peuvent se connecter; cette option permet de réactiver le serveur ESM à une date ultérieure. Désactiver un serveur ESM Pour supprimer un serveur ESM du service, sélectionnez Supprimer la sélection du menu action en haut de la page Cette action supprime définitivement le serveur ESM de la console ESM et du pool de serveurs ESM disponibles auxquels les agents Traps peuvent se connecter; vous ne pouvez pas réactiver un serveur ESM supprimé, sauf si vous l’avez d’abord réinstallé. Administrer le serveur ESM Sélectionnez Désactiver dans le menu en haut de la page Cette action ajoute le serveur ESM dans le pool de serveurs disponibles. Configuration des paramètres du serveur RADIUS Reportez-vous à la section Configuration des paramètres du serveur RADIUS. (Gérer les paramètres du serveur ESM) © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 75 Configuration des paramètres du serveur RADIUS Administrer le serveur ESM Configuration des paramètres du serveur RADIUS Définir les paramètres de communication en utilisant la console ESM Définir les paramètres de communication en utilisant la console ESM Définir les paramètres de communication en utilisant la console ESM Le service Traps envoie périodiquement des messages sur le serveur ESM dans le cadre de trois tâches principales : Signaler l’état de fonctionnement de l’agent Rapport sur les processus en cours d’exécution vers le point final. Demander la dernière politique de sécurité. Vous pouvez modifier la fréquence de communication entre le serveur et le point de terminaison en utilisant l’outil de configuration de base de données (voir Définir les paramètres de communication en utilisant la console ESM) ou en utilisant la console ESM. Définir les paramètres de communication en utilisant la console ESM Step 1 Depuis la console ESM, sélectionnez Paramètres > ESM > Paramètres. Step 2 Configurez les paramètres du serveur suivants : • Chemin d’accès au réseau de quarantaine—(Traps 3.1 et versions antérieures dossier légal par défaut à utiliser lorsque l’agent Traps ne peut pas atteindre le dossier associé au serveur de gestion fonctionnel auquel l’agent est connecté. • Inventaire des intervalles (Minutes)—Entrez la fréquence à laquelle Traps envoie une liste au serveur l’ESM pour signaler les applications qui sont en cours d’exécution bers le point final. • Délai de battement de coeur (secondes)—Entrezle délai autorisé pour un agent Traps qui n’a pas répondu (la gamme vade 300 à 86.400; par défaut, c’est 300). • URL du dossier légal—URL du dossier légal en BITS exécutables. URL légale du serveur—Pour chiffrer les données légales, nous recommandons fortement que vous utilisiez la SSL pour communiquer avec le dossier légal. En cas d’utilisation de SSL, incluez le nom de domaine complètement qualifié (NDCQ) dans le chemin, par exemple, https://ESMserver.Domain.local:443/BitsUploads. Si vous n’utilisez pas de SSL, spécifiez le port 80 (par exemple http://ESMSERVER:80/BitsUploads). • Délai d’expiration d’éveil Spécifiez un intervalle (en minutes) auquel le point de terminaison envoie un message de maintien d’activité au journal ou rapport avec une valeur de 0 ou plus (la valeur par défaut est 0) : • Mise à jour du package d’adresses du serveur—URL du serveur de mise à jour du paquet • Utilisez le DNS pour la résolution d’adresse—Sélectionnez cette option pour activer le DNS pour la résolution d’adresses. Par défaut, cette option est désactivée pour empêcher l’enregistrement d’erreurs excessives de DNS. Step 3 Sauvegardez vos modifications 76 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Administrer le serveur ESM Configuration des paramètres du serveur RADIUS Définir les paramètres de communication en utilisant la console ESM Le service Traps envoie périodiquement des messages sur le serveur ESM dans le cadre de trois tâches principales: Signaler l’état de fonctionnement de l’agent Rapport sur les processus en cours d’exécution vers le point final. Demander la dernière politique de sécurité. Vous pouvez modifier la fréquence de communication entre le serveur et le point de terminaison en utilisant (voir Définir les paramètres de communication entre le point de terminaison et le serveur ESM) ou en utilisant l’outil de configuration de base de données. L’outil de configuration de base de données est une interface de commande en ligne qui fournit une alternative pour la gestion des paramètres de base du serveur en utilisant la console ESM. Vous pouvez accéder à l’outil de configuration de base de données en utilisant une invite de commandes MS-DOS Microsoft exécutée en tant qu’administrateur. L’outil de configuration de base de données est situé dans le dossier serveur sur le serveur ESM. Toutes les commandes exécutées à l’aide de l’outil de configuration de base de données sont sensibles à la casse. Définir les paramètres de communication en utilisant la console ESM Step 1 Ouvrez une invite de commande en tant qu’administrateur de deux façons : • Sélectionnez Démarrer > Tous les programmes > Accessoires. Effectuez un clic droit sur Invite de commandes, puis sélectionnez Exécuter en tant qu’administrateur. • Sélect Démarrer et, dans Démarrer la recherche boîte, type cmd mais n’appuyez pas sur Enter, encore. Ensuite, pour ouvrir l’invite de commande en tant qu’administrateur, appuyez sur CTRL+MAJ+ENTRÉE. Step 2 Accédez au dossier qui contient l’outil de configuration de base de données : C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Step 3 (En option) consultez les paramètres du serveur existant : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server show PreventionsDestFolder = \\ESMServer\Quarantine InventoryInterval = 284 HeartBeatGracePeriod = 300 NinjaModePassword = Password2 Step 4 (En option) Spécifiez l’intervalle d’inventaire qui définit la fréquence (en minutes) à laquelle Traps envoie la liste des applications qui se terminent au serveur ESM : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server inventoryinterval <valeur> La spécification d’une valeur de 120, par exemple, provoque l’envoi des informations de la part du point de terminaison toutes les 2 heures (120 minutes). Step 5 (En option) Spécifier le délai autorisé, en secondes, d’un point principal qui ne répond plus (se situe entre 300 à 86 400 ; valeur par défaut est 300) : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server heartbeatgraceperiod <valeur> Par exemple, une valeur de 300 signifie que, si le serveur ESM de gestion opérationnel ne reçoit pas decommunication entre le point de terminaison dans les cinq minutes (300 secondes), les rapports du Manager Principal de Sécurité considère le point de terminaison comme déconnecté. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 77 LicencesTraps Administrer le serveur ESM LicencesTraps A propos des LicencesTraps Gérer les licences en utilisant la console ESM Gérer les licences en utilisant la console ESM Retirer une licence Traps A propos des LicencesTraps La licence Trap impose la date d’expiration et le nombre maximum de points de terminaison que vous pouvez gérer. Les terminaux récupèrent leurs licences à partir du serveur ESM et chaque licence spécifie le type de licence (serveur, poste de travail, ou VDI), la taille d’équipe de l’agent, et la date d’expiration. Chaque instance de base de données nécessite une licence valide qui vous donne le droit de gérer la stratégie de sécurité du point de terminaison, d’activer WildFire et d’obtenir une assistance. Pour acheter des licences, contactez votre responsable de compte Palo Alto Networks ou votre revendeur. Vous pouvez installer Traps selon les méthodes suivantes : Voir la licence d’utilisation—Utilisez le Capacité de Licence tableau de bord pour voir l’utilisation actuelle de toutes les licences client, serveur et VDI. Ajouter une licence Traps—Utilisez la Paramètres > Licence la page pour ajouter le support de fonctionnalités supplémentaires pour les utilisateurs. Reportez-vous à la section Gérer les licences en utilisant la console ESM. (Gérer les paramètres du serveur ESM) Mise à jour d’une Licence—Pour mettre à jour la licence pour un terminal, créer une règle d’action précisant les paramètres cibles qui nécessitent une mise à jour de la licence. Reportez-vous à la section Mettre à jour ou révoquer la licence Traps sur le point de terminaison. (Gérer les paramètres du serveur ESM) Retirer une licence—Pour révoquer temporairement un licence à partir d’un terminal, vous pouvez Retirer une licence Traps le faire à partir d’un terminal sur la console ESM. Cette action met à jour immédiatement le groupe de licences disponibles et libère la licence d’utilisation pour un autre agent Traps. L’agent Traps reste sans licence jusqu’à ce que les Traps ou les services finaux redémarrent. A ce moment, l’agent tente d’établir une communication avec le serveur ESM et demande une nouvelle licence. Pour révoquer définitivement une licence à partir d’un terminal, vous pouvez créer une règle d’action pour le critère cible (voir : Mise à jour ou Révoquer les licences de pièges sur un terminal. Mettre à jour ou révoquer la licence Traps sur le point de terminaison) Lorsque Traps reçoit une règle d’action lors de la prochaine communication de pulsation avec le serveur ESM, Traps libère la licence et désactive la protection contre les Traps. 78 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Administrer le serveur ESM LicencesTraps Gérer les licences en utilisant la console ESM Avant de pouvoir commencer à utiliser les Traps pour protéger votre point de terminaison, vous devez installer une clé de licence valide. Gérer les licences en utilisant la console ESM Avant de commencer : Pour acheter des licences, contactez votre responsable de compte chez Palo Alto Networks ou votre revendeur. Step 1 Sélectionnez Paramètres > Licence, puis (Ajouter) une nouvelle licence. Step 2 Sélectionnez Parcourir pour chercher le fichier de licence, puis mettre à jourpour le charger. La console ESM affiche les informations sur la nouvelle licence, y compris les caractéristiques de la licence, la taille de l’équipe de l’agent, le nombre de terminaux auxquels la licence a été délivrée, la date à laquelle vous avez ajouté la licence, et la date d’expiration de la licence. Step 3 (En option) Pour vérifier l’utilisation de la licence Traps, sélectionnez Tableau de bord et consultez la capacité de la licence (Capacité de licence). Step 4 (En option) Pour envoyer la nouvelle licence aux points de terminaison dont la date d’expiration de la licence est proche ou dépassée, créez une règle d’action (voir Mettre à jour ou révoquer la licence Traps sur le point de terminaison). Step 5 (En option) Pour exporter les informations de licence dans un fichier CSV, cliquez sur l’icône du menu puis sélectionnez Export Logs. Step 6 Si vous n’avez pas installé la clé de licence lors de l’installation de la console ESM, vérifiez que le service de base Manager Endpoint Security est en cours d’exécution sur le serveur ESM : 1. Ouvrez le gestionnaire de services : • Dans le menu Démarrer, sélectionnez Panneau de configuration > Outils d’administration > Services. • Dans le menu Démarrer, sélectionnez Panneau de configuration > Système et sécurité > Outils d’administration > Services. 2. Repérez le service du noyau (appelé CyveraServer dans les anciennes versions de) et vérifiez que l’état du service est Démarré (Windows Server 2008) ou En cours d’exécution (Windows Server 2012). 3. Si l’état du service est Arrêté ou En pause, effectuez un double clic sur le service, puis sélectionnez Démarrer. 4. Cliquez sur Fermer. , Gérer les licences en utilisant la console ESM En utilisant l’outil de configuration de la base de données Outil de configuration de base de données, vous pouvez gérer les paramètres de base du serveur ESM, y compris la possibilité d’installer une licence. Vous pouvez accéder à l’outil de configuration de base de données en utilisant une invite de commandes MS-DOS Microsoft exécutée en tant qu’administrateur. L’outil de configuration de base de données est situé dans le dossier Serveur sur le serveur ESM. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 79 LicencesTraps Administrer le serveur ESM Toutes les commandes exécutées à l’aide de l’outil de configuration de base de données sont sensibles à la casse. Gérer les licences en utilisant la console ESM Avant de commencer : Pour acheter des licences, contactez votre responsable de compte chez Palo Alto Networks ou votre revendeur. Step 1 Ouvrez une invite de commande en tant qu’administrateur de deux façons : • Sélectionner Démarrer > Tous les programmes > Accessoires, clic-droit Invite de commande (prompt), et sélectionnez Ouvrir en tant qu’administrateur. • Sélect Démarrer et, dans Démarrer la recherche boîte, type cmd mais n’appuyez pas sur Enter, encore. Ensuite, pour ouvrir l’invite de commande en tant qu’administrateur, appuyez sur CTRL+MAJ+ENTRÉE. Step 2 Accédez au dossier qui contient l’outil de configuration de base de données : C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Step 3 Chargez la nouvelle licence : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig importlicense C:\<PathtoLicenseFile>\<LicenseFilename>.xml L’outil de configuration de base de données charge le fichier de licence. Pour vérifier la licence en utilisant la console ESM, voir Gérer les licences en utilisant la console ESM. Step 4 (En option) Si nécessaire, créer une règle d’action dans la console ESM pour pousser la nouvelle licence aux extrémités (Mettre à jour ou révoquer la licence Traps sur le point de terminaison). Retirer une licence Traps Cette action met à jour immédiatement le groupe de licences disponibles et libère la licence d’utilisation pour un autre agent Traps. L’agent Traps reste sans licence jusqu’à ce que les Traps ou les services finaux redémarrent. A ce moment, l’agent tente d’établir une communication avec le serveur ESM et demande une nouvelle licence. Le retrait d’une licence peut être utile dans les environnements VDI si une session de VDI ne se fermait pas correctement et ne relâcherait pas la licence flottante. Pour révoquer définitivement une licence à partir d’un terminal, vous pouvez créer une règle d’action pour le critère cible (voir : Mise à jour ou Révoquer les licences de Traps sur un terminal. Mettre à jour ou révoquer la licence Traps sur le point de terminaison) Cette action libère la licence et désactiver la protection des Traps lors de la prochaine communication de pulsation avec l’agent Traps. Retirer une licence Traps. Step 1 Sélectionner Moniteur > Agent > Santé. Step 2 Localisez le point final à partir duquel vous souhaitez révoquer la licence. Pour localiser rapidement un terminal, comme un ordinateur, utilisez les commandes de filtre en haut de la colonne de l’ordinateur. Step 3 Dans le tableau de la santé de l’agent, sélectionnez la case à cocher pour un ou plusieurs points d’extrémité. Step 4 Cliquez sur le menu d’action , puis sélectionnez Retirer la Licence. Le serveur ESM renvoie immédiatement la licence à l’équipe disponible et la conserve pour une utilisation par un autre agent Traps. 80 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Administrer le serveur ESM Gérer l’accès administrateur de la console ESM Gérer l’accès administrateur de la console ESM Lorsque vous installez la console, spécifiez le compte administrateur et le type d’authentification que les administrateurs utiliseront pour accéder au serveur. La console ESM peut authentifier les utilisateurs définis sur le serveur local ESM ou en utilisant les comptes de domaine (y compris les groupes et unités d’organisation) définis dans Active Directory (AD). Après l’installation, vous pouvez modifier le mode d’authentification, personnaliser les rôles avec des privilèges d’accès, et attribuer ces rôles à des comptes administratifs. Rôles d’administrateur Utilisateurs Administratifs Authentification des administrateurs Configuration de l’authentification et des comptes administrateurs Rôles d’administrateur Le contrôle d’accès basé sur les rôles (CABR) vous permet d’utiliser des rôles pré-configurés ou de définir des rôles personnalisés pour attribuer des droits d’accès aux utilisateurs administratifs. Chaque rôle étend les privilèges spécifiques aux utilisateurs auxquels vous attribuez un rôle et chaque privilège définit l’accès aux paramètres et aux pages de configuration spécifiques à l’intérieur de la console ESM. En personnalisant un rôle et l’attribution de privilèges spécifiques, vous pouvez appliquer la séparation de l’information entre les domaines fonctionnels ou régionaux de votre organisation afin de protéger la confidentialité des données sur la console ESM. La façon dont vous configurez l’accès administratif dépend des exigences de sécurité de votre organisation. Utilisez des rôles à attribuer des privilèges d’accès spécifiques aux comptes d’utilisateur de l’administrateur. Par défaut, la console ESM a des rôles intégrés avec des droits d’accès spécifiques qui ne peuvent pas être modifiés. Lorsque de nouvelles fonctionnalités sont ajoutées au produit, la console ESM ajoute automatiquement les nouvelles fonctionnalités pour les définitions de rôle par défaut. Le tableau suivant répertorie les privilèges d’accès associés aux rôles intégrés qui permettent d’accéder à la console ESM: Rôle Privilèges Super utilisateur Accès total en lecture-écriture sur la console ESM. Administrateur SNMP Accès lire-écrire pour surveiller les paramètres de configuration des pages et accès en lecture seule à toutes les autres pages de la console ESM; ne comprend pas la possibilité de désactiver toute protection. Administrateur de la sécurité Accès lire-écrire à la politique de configuration, au suivi et aux paramètres de pages dans la console ESM, y compris la possibilité de désactiver toute protection. Ce rôle inclut également l’accès en lecture seule aux pages de la santé de l’agent mais pas l’accès à la santé du serveur ou aux pages de licences. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 81 Gérer l’accès administrateur de la console ESM Administrer le serveur ESM Bien que vous ne pouvez pas modifier les privilèges associés aux rôles intégrés, vous pouvez créer des rôles personnalisés qui fournissent un contrôle d’accès plus granulaire aux domaines fonctionnels de l’interface web. Pour ces rôles, vous pouvez attribuer un accès en lecture-écriture, lecture seule, ou pas d’accès à toutes les fonctions et aux pages de configuration de la console ESM. Un exemple d’utilisation d’un rôle personnalisé est celui des administrateurs de sécurité qui doivent être en mesure d’afficher les journaux sur l’état des points de terminaison, mais qui n’ont pas besoin de configurer des règles de sécurité. Utilisateurs Administratifs Un utilisateur administratif est un compte local ou un domaine utilisateur qui a accès aux fonctions administratives et de rapports spécifiques sur la console ESM. En utilisant un contrôle d’accès basé sur les rôles (CABR), vous pouvez attribuer des privilèges et des responsabilités spécifiques à un rôle, puis attribuer ce rôle à un ou plusieurs utilisateurs qui ont besoin des mêmes autorisations d’accès. Comme meilleures pratiques, créez un compte administrateur séparé pour chaque personne qui a besoin d’accéder à la console ESM Cela vous protège mieux contre les configurations (ou les modifications) non autorisées et vous propose la journalisation des opérations de chaque administrateur individuel. Utilisez la console ESM pour attribuer un accès administratif à tous les types de comptes suivants : Type de compte Description Utilisateur (Authentication authentification de machine ou de domaine) domaine existant ou compte d’utilisateur local utilisé pour se connecter à la console ESM. La console ESM authentifie l’utilisateur dans l’une des deux manières : • Authentification de domaine—authentifie en utilisant les informations d’identification stockées dans le directoire actif. • Authentification de machine—authentifie en utilisant les informations d’identification stockées sur le système local sur lequel la console ESM est installée. Groupe (Seulement authentification de domaine) Etend l’accès administrateur à tous les membres d’un groupe de sécurité et utilise les informations d’authentification définis dans le directoire actif pour authentifier l’utilisateur. Unité d’organisation (Seulement authentification de domaine) Etend l’accès administrateur à tous les membres d’un groupe de sécurité et utilise les informations d’authentification définis dans le directoire actif pour authentifier l’utilisateur. La console ESM ne conserve pas les informations d’identification pour un compte administrateur. Pour modifier les informations d’identification d’un compte administrateur, vous devez les modifier sur la machine locale si vous utilisez l’authentification de la machine ou dans le directoire actif.si vous utilisez l’authentification de domaine. 82 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Administrer le serveur ESM Gérer l’accès administrateur de la console ESM Authentification des administrateurs Lorsque vous installez la console, spécifiez le compte administrateur et le type d’authentification que les administrateurs utiliseront pour accéder au serveur. Vous pouvez modifier ces préférences en utilisant l’outil de configuration de base de données Outil de configuration de base de données (voir Configuration de l’accès administrateur à en utilisant l’outil de configuration de la base de données) ou en utilisant la console ESM Configuration d’un mode d’authentification :. Vous pouvez aussi spécifier un groupe d’authentification à utiliser pour l’accès administrateur. Par défaut, aucun groupe n’est spécifié. Vous pouvez configurer les types d’authentification administrateur suivants : Type de compte Description Domaine Utilise les comptes définis dans le directoire actif, y compris utilisateurs, des groupes et des unités d’organisation pour l’accès administrateur. Machine Utilise les comptes locaux sur le serveur de Console ESM pour l’accès administrateur. Configuration de l’authentification et des comptes administrateurs Configurer l’authentification administrateur Configurer les utilisateurs, les groupes et les unités d’organisation administrative Configuration d’un mode d’authentification : Configuration de l’accès administrateur à en utilisant l’outil de configuration de la base de données Changer le mot de passe du Mode Ninja Configurer l’authentification administrateur Sur la Administration > Rôles page, vous pouvez voir tous les rôles intégrés et personnalisés pour votre organisation. La création de rôles personnalisés vous permet de personnaliser les autorisations d’accès en fonction des exigences de sécurité de votre organisation. Chaque rôle indique le nom du rôle et sa description, le nombre d’utilisateurs qui sont affectés au rôle, et la date à laquelle le rôle a été créé. Sélectionner la ligne pour un rôle élargit cette ligne pour afficher les détails et les actions supplémentaires. Les actions que vous pouvez effectuer sur le rôle varient à la fois des rôles intégrés et des rôles personnalisés. Alors que vous ne pouvez pas modifier ou supprimer les rôles intégrés, vous pouvez visualiser les privilèges d’accès qui sont associés au rôle. Vous pouvez, toutefois, ajouter, modifier ou supprimer un rôle personnalisé. Vous pouvez également bloquer tout rôle pour empêcher les utilisateurs qui sont affectés à ce rôle de se connecter à la console ESM. De même, la suppression d’un rôle personnalisé supprime les privilèges d’accès associés à ce rôle depuis la console ESM et empêche les utilisateurs de se connecter à la console ESM si ils sont affectés à ce rôle. La console ESM indique les rôles bloqués avec une icône rouge dans la colonne d’état © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 83 Gérer l’accès administrateur de la console ESM Administrer le serveur ESM Configurer l’authentification administrateur Step 1 Depuis la console ESM, sélectionnez Paramètres > Général > WildFire. La console ESM affiche tous les rôles intégrés et personnalisés pour votre organisation. Step 2 Sélectionnez Modifier un rôle existant ou Ajouter un nouveau. Step 3 Définissez le nom du rôle et entrez sa description. Step 4 Sélectionnez est active option pour activer le rôle ou désélectionnez l’option pour désactiver le rôle. Step 5 Sélectionnez un privilège pour basculer entre les différents niveaux d’accès pour ce privilège. Par défaut, tous les privilèges sont désactivés. La sélection du privilège change une fois que le réglage pour Seulement lire (Autoriser); et en sélectionnant le privilège d’un état activé désactivé le privilège. Step 6 Clicquez sur Enregistrer. La console ESM affiche le rôle nouveau ou modifié dans le tableau. Step 7 Affectez le rôle à un administrateur. Reportez-vous à la section Configurer les utilisateurs, les groupes et les unités d’organisation administrative. (Gérer les paramètres du serveur ESM) Configurer les utilisateurs, les groupes et les unités d’organisation administrative Depuis la Paramètres > Administration > Utilisateurs page, vous pouvez voir tous les comptes qui fournissent un accès administratif à la console ESM. Un compte peut être un utilisateur, un groupe ou une unité d’organisation. Pour fournir un accès administratif à un groupe ou une unité d’organisation, le compte doit exister sur le domaine. Pour fournir un accès administratif à un utilisateur, vous pouvez, soit ajouter un utilisateur sur la machine locale ou un utilisateur sur le domaine. La console ESM utilise le domaine ou les informations d’identification définies sur la machine locale pour authentifier l’utilisateur. Comme meilleure pratique, créez un compte administrateur séparé pour chaque personne qui a besoin d’accéder à la console ESM. Pour chaque compte, la console ESM affiche l’état du compte (Bloqué ou Débloqué), du compte Nom, le assigné Rôle, et la date à laquelle le compte a été créé. La sélection de la ligne pour un compte élargira la ligne pour afficher les détails et les actions additionnelles, y compris qui a créé le rôle (système, DbConfig, ou le compte administratif qui est connecté à la console ESM). Les actions que vous pouvez effectuer sur un rôle varient selon l’endroit où le rôle a été créé. Si vous disposez des autorisations pour le faire, vous pouvez modifier, bloquer, débloquer, ou supprimer tout compte créé par d’autres utilisateurs administratifs, mais vous ne pouvez pas bloquer ou supprimer des comptes qui ont été créés à partir de dbconfig. Le blocage du compte empêche de se connecter à la console ESM. De même, la suppression d’un compte supprime le compte et les paramètres de la console ESM et empêche le compte de se connecter à la console ESM. Lorsqu’un rôle associé à un compte est bloqué, la console ESM affiche le Rôle comme <nom du rôle> (inactif). Lorsqu’un rôle associé à un compte est bloqué, la console ESM affiche le Rôle comme <nom du dans la colonne d’état rôle> (inactif). La console ESM indique les rôles bloqués avec une icône rouge et indique un rôle supprimé ou bloqué avec une icône rouge à côté Rôle nom de. Configurer les utilisateurs, les groupes et les unités d’organisation administrative Step 1 Depuis la console ESM, sélectionnez Paramètres > Général > WildFire. La console ESM affiche les comptes de votre organisation, y compris les utilisateurs, les groupes et les unités organisationnelles. 84 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Administrer le serveur ESM Gérer l’accès administrateur de la console ESM Configurer les utilisateurs, les groupes et les unités d’organisation administrative Step 2 Cliquez Ajouter un utilisateur, Ajouter un Groupe, ou Ajouter une unité organisationnelle. pour créer un nouveau compte. Sinon, sélectionnez la ligne d’un compte existant et cliquez sur Modifier pour modifier les paramètres du compte. De ce point de vue, vous pouvez également Bloquer, Débloquer ou Supprimer un compte. Step 3 Entrez le Nom d’un compte existant. Si vous utilisez l’authentification de la machine, vous ne pouvez ajouter des utilisateurs existants sur la machine locale. Si vous utilisez l’authentification de domaine, vous pouvez ajouter un utilisateur existant du domaine, un groupe ou une unité d’organisation. Step 4 Sélectionnez est active option pour activer le rôle ou désélectionnez l’option pour désactiver le rôle. Step 5 Sélectionnez le rôle dans la liste pour attribuer des privilèges d’accès au compte. Pour créer un nouveau profil, reportez-vous à la section Configurer l’authentification administrateur. Step 6 Sauvegardez vos modifications La console ESM affiche le rôle nouveau ou modifié dans le tableau. Configuration d’un mode d’authentification : Lorsque vous installez la console, spécifiez le compte administrateur et le type d’authentification que les administrateurs utiliseront pour accéder au serveur. Vous pouvez modifier ces préférences en utilisant l’outil de configuration de base de données Outil de configuration de base de données (voir Configuration de l’accès administrateur à en utilisant l’outil de configuration de la base de données) ou en utilisant la console ESM. Configuration de l’accès administrateur en utilisant la console ESM Step 1 Depuis la console ESM, sélectionnez Paramètres > ESM > Paramètres. Step 2 Sélectionnez le Mode d’Authentification : • Machine—authentifie les utilisateurs en utilisant un compte local. ou • Domaine—authentifie les utilisateurs en utilisant le directoire actif Step 3 Sauvegardez vos modifications. Configuration de l’accès administrateur à en utilisant l’outil de configuration de la base de données Lorsque vous installez la console, spécifiez le compte administrateur et le type d’authentification que les administrateurs utiliseront pour accéder au serveur. Vous pouvez aussi spécifier un groupe d’authentification à utiliser pour l’accès administrateur. Par défaut, aucun groupe n’est spécifié. Vous pouvez modifier ces préférences en utilisant la console ESM (voir Configuration d’un mode d’authentification :) ou en utilisant l’outil de configuration de base de données. L’outil de configuration de base de données est une interface de commande en ligne qui fournit une alternative pour la gestion des paramètres de base du serveur en utilisant la console ESM. Vous pouvez accéder à l’outil de configuration de base de données en utilisant une invite de commandes MS-DOS Microsoft exécutée en tant qu’administrateur. L’outil de configuration de base de données est situé dans le dossier Serveur sur le serveur ESM. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 85 Gérer l’accès administrateur de la console ESM Administrer le serveur ESM Toutes les commandes exécutées à l’aide de l’outil de configuration de base de données sont sensibles à la casse. Configuration de l’accès administrateur à en utilisant l’outil de configuration de la base de données Step 1 Ouvrez une invite de commande en tant qu’administrateur de deux façons : • Sélectionner Démarrer > Tous les programmes > Accessoires, clic-droit Invite de commande (prompt), et sélectionnez Exécuter en tant qu’administrateur. • Sélect ionnez Démarrer et, dans Démarrer la recherche boîte, type cmd mais n’appuyez pas sur Enter, encore. Ensuite, pour ouvrir l’invite de commande en tant qu’administrateur, appuyez sur CTRL+MAJ+ENTRÉE. Step 2 Accédez au dossier qui contient l’outil de configuration de base de données : C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Step 3 (En option) Consultez les paramètres administrateur existants : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig usermanagement show AuthMode = Machine AllowedUsers = Administrator AllowedGroups = Step 4 (En option) Spécifiez le mode d’authentification, soit domaine soit machine. C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig usermanagement authmode [domain|machine] Step 5 (En option) Spécifiez les utilisateurs administrateurs supplémentaires. Utilisez un point-virgule pour séparer plusieurs valeurs. Par exemple, administrateur ; administrateur2. C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig usermanagement allowedusers <username1>;<username2> Les utilisateurs administratifs que vous spécifiez remplacent toutes les valeurs définies auparavant. Pour conserver les valeurs actuelles, vous devez les spécifier dans la commande. Step 6 (En option) Spécifiez les groupes administrateurs supplémentaires. Pour utiliser les groupes pour l’accès administratif, vous devez utiliser l’authentification de domaine et de spécifier un groupe existant défini dans le directoire actif. Utilisez un point-virgule pour séparer plusieurs valeurs. Par exemple, adminsécurité;adminpointterminaison. C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig usermanagement allowedusers <groupname1>;<groupname2> Les groupes administrateurs que vous spécifiez remplacent toutes les valeurs définies auparavant. Pour conserver les valeurs actuelles, vous devez les spécifier dans la commande. 86 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Administrer le serveur ESM Gérer l’accès administrateur de la console ESM Changer le mot de passe du Mode Ninja Pour afficher et modifier les paramètres avancés dans la console ESM, vous devez entrer le mot de passe du mode ninja. Pour modifier le mot de passe, utilisez l’outil de configuration de base de données. Modifier le mot de passe du mode ninja en utilisant l’outil de configuration de base de données Step 1 Ouvrez une invite de commande en tant qu’administrateur de deux façons : • Sélectionner Démarrer > Tous les programmes > Accessoires, clic-droit Invite de commande (prompt), et sélectionnez Exécuter en tant qu’administrateur. • Sélect ionnez Démarrer et, dans Démarrer la recherche boîte, type cmd mais n’appuyez pas sur Enter, encore. Ensuite, pour ouvrir l’invite de commande en tant qu’administrateur, appuyez sur CTRL+MAJ+ENTRÉE. Step 2 Accédez au dossier qui contient l’outil de configuration de base de données : C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Step 3 (En option) consultez les paramètres du serveur existant : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server show PreventionsDestFolder = \\ESMServer\Quarantine InventoryInterval = 284 HeartBeatGracePeriod = 300 NinjaModePassword = Password2 Step 4 Spécifiez le nouveau mot de passe du mode ninja. C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server ninjamodepassword <password> © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 87 Exporter et importer les fichiers de stratégie Administrer le serveur ESM Exporter et importer les fichiers de stratégie Les fonctions d’exportation et importation dans la console vous permettent de sauvegarder les règles avant la migration ou la mise à niveau vers un nouveau serveur ou le déploiement d’une stratégie vers plusieurs serveurs indépendants. Vous pouvez exporter les règles de stratégie de manière globale ou individuelle et les enregistrer dans un fichier XML. L’importation de règles de stratégie ajoute les règles à la stratégie existante et affecte un numéro d’identifiant unique à chaque nouvelle règle. Chaque type de règle de stratégie possède sa propre page de gestion à partir de laquelle vous pouvez sauvegarder ou importer les règles de stratégie de ce type. Lors du chargement d’un fichier de stratégie qui contient des règles de différents types (règles d’action et règles de prévention d’attaque, par exemple), la console ESM charge puis affiche les stratégies dans leurs pages de gestion respectives. Exporter et importer les fichiers de stratégie Step 1 Sélectionnez la page de gestion des politiques pour l’ensemble de règles que vous importez. Par exemple, Politiques > Exploitez > Modules de Protection. Step 2 Choisissez l’une des actions suivantes : • Pour sauvegarder ou exporter les règles de stratégie, cochez la case à côté des règles que vous voulez exporter. Dans le menu eu haut du tableau, sélectionnez Export Sélectionné. La console ESM enregistre les processus dans un fichier XML. • Pour restaurer ou importer de nouvelles règles de stratégie, sélectionnez Importer règles dans le menu en haut du tableau. Accédez au fichier de stratégie, puis cliquez sur Emettre. 88 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Surveillance La console ESM fournit des informations qui sont utiles pour surveiller les serveurs, les points de terminaison et la stratégie de sécurité de votre organisation. Vous pouvez surveiller les journaux et filtrer les informations pour interpréter un comportement inhabituel sur votre réseau. Après l’analyse d’un évènement de sécurité, vous pouvez choisir de créer une règle personnalisée pour le point de terminaison ou le processus. Les sujets suivants décrivent comment consulter et surveiller les rapports sur l’état de sécurité des points de terminaison. Entretien des points de terminaison et de Traps Utiliser le tableau de bord Endpoint Security Manager Surveillance des évènement de sécurité Surveiller les points de terminaison Surveiller les serveurs ESM Surveiller les règles Surveiller l’extraction d’investigation numérique © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 89 Entretien des points de terminaison et de Traps Surveillance Entretien des points de terminaison et de Traps Effectuez les actions suivantes tous les jours ou toutes les semaines : Examiner le tableau de bord pour vérifier que l’agent Traps est actif sur tous les points de terminaison. Reportez-vous à la section Utiliser le tableau de bord Endpoint Security Manager. Examiner les événements de sécurité (Security Events) signalés par Traps. Après l’analyse d’un évènement de sécurité, vous pouvez vouloir effectuer l’une des tâches suivantes : – – – – Chercher les points de terminaison devant faire l’objet d’une Requête aux agents et chercher à savoir si les indicateurs sont liés à des fichiers exécutables malveillants. Désactiver temporairement les règles qui interfèrent avec le travail quotidien. Dans les cas où un évènement de sécurité n’indique pas une attaque et interfère avec le travail quotidien, vous pouvez désactiver une règle de prévention d’attaque ou de restriction sur un point de terminaison spécifique. Reportez-vous à la section Exclure un point de terminaison d’une règle de protection contre les attaques. Appliquer un correctif, mettre à niveau ou corriger un bogue dans un logiciel qui indique un comportement erroné ou une vulnérabilité de sécurité. L’application d’un correctif ou la mise à niveau des applications tierces ou encore la correction de bogues dans des applications qui sont développées en interne peuvent réduire le nombre d’évènement de sécurité signalés à la console ESM. Activer la protection pour une application non protégée. Reportez-vous à la section Afficher, modifier ou supprimer un processus. Examiner les pages Monitor (Surveillance) et examinez les rapports de plantage et les évènement de sécurité. Si vous avez configuré votre console ESM pour qu’elle Collecter les informations sur les nouveaux processus, revoir les processus non protégés et décider s’il faut activer la protection pour ces processus. Reportez-vous à la section Afficher, modifier ou supprimer un processus. Après une modification au sein de l’organisation ou dans les versions du logiciel Traps disponibles, vous pouvez : Ajouter une applications qui vient d’être installée à la liste des processus protégés. Reportez-vous à la section Ajouter un processus Protégé, Provisoire ou Non protégé. Installer Traps sur un nouveau point de terminaison. Reportez-vous à la section Installer Traps sur le point de terminaison. Mettre à niveau la version de l’agent Traps sur les points de terminaison. Reportez-vous à la section Désinstaller ou mettre à niveau Traps sur le point de terminaison. Mettre à jour la licence Traps sur les points de terminaison. Reportez-vous à la section Mettre à jour ou révoquer la licence Traps sur le point de terminaison. 90 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Surveillance Utiliser le tableau de bord Endpoint Security Manager Utiliser le tableau de bord Endpoint Security Manager Le tableau de bord est la première page qui est affichée après la connexion à Endpoint Security Manager. Vous pouvez aussi accéder ou actualiser cette page en cliquant sur Dashboard (Tableau de bord) dans le menu supérieur. Le tableau de bord affiche plusieurs graphiques qui présentent les statistiques des instances de l’agent Traps. Le tableau de bord ne peut pas être configuré. Le tableau suivant décrit chaque graphique : Graphique du tableau de bord Description SERVICE STATUS (État du service) Affiche l’état des instances de l’agent Traps installées sur les points de terminaison en nombre et en pourcentage. Les états possibles sont : • Running (En cours d’exécution)—L’agent est en cours d’exécution. • Stopped (Arrêté)—Le service de l’agent a été arrêté. • Disconnected (Déconnecté)—Le serveur n’a pas reçu de message de pulsation de la part de l’agent pendant une période préconfigurée. • Shutdown (Éteint)—Le point de terminaison a été éteint. COMPUTER DISTRIBUTION Affiche la version des instances de l’agent Traps installées sur les points de AND VERSION (Distribution terminaison en nombre et en pourcentage. informatique et version) LICENSE CAPACITY (Capacité de la licence) Affiche l’utilisation de la licence Traps pour le serveur et le client par nombre de licences utilisées et disponibles. MOST TARGETED APPLICATIONS (Applications les plus ciblées) Affiche les applications qui ont la plus grande distribution des préventions. MOST TARGETED COMPUTERS (Ordinateurs les plus ciblés) Affiche les points de terminaison qui ont la plus grande distribution des préventions. MOST TARGETED USERS Affiche les préventions qui ont la plus grande distribution par utilisateur final. (Utilisateurs les plus ciblés) © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 91 Surveillance des évènement de sécurité Surveillance Surveillance des évènement de sécurité Utilisez la page et les onglets Security Events (Événements de sécurité) pour gérer les alertes et détecter de nouvelles menaces. Utiliser le tableau de bord Security Events (Événements de sécurité) Affichage de l’historique d’évènement de sécurité sur un point de terminaison Exclure un point de terminaison d’une règle de protection contre les attaques Utiliser le tableau de bord Security Events (Événements de sécurité) Utilisez le tableau de bord Security Events (Événements de sécurité) (Security Events (Événements de sécurité) > Summary (Résumé)) pour surveiller les informations de niveau supérieur relatives aux évènement de sécurité qui se produisent sur les points de terminaison dans votre organisation. Sur cet affichage, vous pouvez voir le nombre d’évènement qui se sont produits au cours de la dernière journée, de la dernière semaine ou du dernier mois. Le tableau de bord Security Events (Événements de sécurité) affiche les évènements pour lesquels les tentatives d’attaque ont été bloquées et les évènements qui n’ont déclenché que des notifications. Le tableau suivant présente les divers éléments du tableau de bord de façon plus détaillée. Composant du tableau de bord Description THREATS (Menaces) Affiche toutes les menaces aux processus et aux fichiers exécutables protégés qui se sont produites sur votre réseau. Pour votre commodité, vous pouvez cliquer tous les types de règles afin d’afficher les détails additionnels sur le type d’événements. Vous pouvez également cliquer sur le nombre d’événements qui se sont produits pour afficher uniquement ces événements. Pour plus d’informations, voir Consulter les détails des menaces. 92 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Surveillance Surveillance des évènement de sécurité Composant du tableau de bord Description PROVISIONAL MODE (Mode provisoire) La zone Provisional Mode (Mode provisoire) du tableau de bord Security Events (Événements de sécurité) inclut un récapitulatif de niveau supérieur des évènements qui sont liés aux types d’événements suivants : • Échec du processus • WildFire inconnu • WildFire après la détection inconnue • Protection contre le détournement de DLL • Java • Injection de thread • Surveillance de suspension Cliquez sur un évènement de la zone Provisional Mode (Mode provisoire) pour passer à un affichage filtré de la page Monitor (Surveillance) > Provisional Mode (Mode provisoire) pour les évènements de ce type. Pour plus d’informations, voir Affichage des détails du mode provisoire. SECURITY ERROR LOG (Journal d’erreur de sécurité) Affiche toutes les erreurs et les problèmes récents que Traps signale relativement aux points de terminaison dans votre organisation. Cliquez sur un type d’erreur ou sur le nombre d’erreurs de sécurité afin d’afficher une liste des erreur filtrées à partir de la page Monitor (Surveillance) > Security Errors Log (Journal d’erreur de sécurité). Pour plus d’informations, voir Affichage des détails du journal d’erreur de sécurité. Consulter les détails des menaces Sélectionnez Security Events (Événements de sécurité) > Threats (Menaces) pour afficher une liste des menaces qui se sont produites sur votre réseau. L’affichage par défaut de la page des menaces présente les événements de prévention et ceux de notification. Le menu qui se trouve sur le côté de la page Threats (Menaces) fournit également des liens vers des listes de menaces filtrées par événement (Preventions (Préventions) et Notifications (Notifications)) ainsi que par type de règle. Par défaut, l’affichage des détails standard sur la page Threats (Menace) présente un tableau des évènements de sécurité avec des champs affichés en haut. La sélection d’un évènement dans le tableau Threats développe la ligne pour révéler d’autres détails sur l’évènement de sécurité. En plus d’afficher les détails sur les événements liés aux menaces, vous pouvez créer et consulter des notes concernant les évènements, récupérer les données du journal concernant l’évènement à partir du point de terminaison, ou créer une règle d’exclusion pour autoriser l’exécution du processus sur un point de terminaison particulier. Vous pouvez aussi exporter les événements dans un fichier CSV en cliquant sur l’icône du menu , puis en sélectionnant Export Selected (Sélection de l’exportation) ou supprimer les événements en sélectionnant Delete Selected (Sélection de la suppression). Le tableau suivant décrit les champs et les actions disponibles pour chaque menace. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 93 Surveillance des évènement de sécurité Champ Surveillance Description Standard Details View (Affichage des détails standard) Time (Heure) La date et l’heure auxquelles s’est produit l’évènement de prévention. Computer (Ordinateur) Le nom d’hôte du point de terminaison sur lequel l’évènement de prévention s’est produit. User (Utilisateur) Le nom de l’utilisateur pour lequel le processus (qui a causé l’évènement) était exécuté. OS (Système d’exploitation) Le système d’exploitation installé sur le point de terminaison. Agent (Version) La version de Traps installée sur le point de terminaison. Process (Processus) Le nom du processus qui a causé l’évènement. EPM Le modules de prévention d’attaque (EPM) ou la règle de restriction qui a déclenché la prévention. Additional Details View (Affichage des détails supplémentaires) Sélectionnez à nouveau la ligne pour réduire l’affichage des détails supplémentaires. Type d’événement Type de menace (post-détection WildFire, logique, logiciel malveillant, actions suspectes ou corruption de mémoire). Module Module qui a déclenché l’événement de prévention ou de notification. Action Action que la règle effectue (terminer le processus ou avertir l’utilisateur). Architecture Type d’architecture du système d’exploitation (OS). Par exemple, x64. Source Process (Processus source) Processus source qui a déclenché l’événement. Source Path (Chemin d’accès source) Chemin d’accès vers le processus source qui a déclenché l’événement. Source Version (Version source) Version du processus ou du fichier exécutable qui a déclenché l’événement. Source Triggered By (Source déclenchée par) Fichier ou fichiers qui ont déclenché l’évènement de sécurité. Prevention Key (Clé de prévention) Identifiant unique de l’évènement de sécurité. Lors de la récupération des données concernant un évènement, Traps créé un fichier journal en utilisant cette clé de prévention comme nom de dossier. Bouton View Notes (Afficher les notes) Afficher les notes concernant l’évènement de sécurité. S’il n’y a aucune note, cette option est grisée. Bouton Create Note (Créer une note) Créer des notes concernant l’évènement de sécurité pour le suivi ultérieur. 94 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Surveillance Surveillance des évènement de sécurité Champ Description Bouton Retrieve Data (Extraire les données) Récupérer les données de prévention sur le point de terminaison. Créé une règle qui utilise la clé de prévention et les informations de déclenchement pour demander à l’agent les données concernant l’évènement de prévention. Les informations sont envoyées au dossier d’investigation numérique. Bouton Create Rule (Créer une règle) (Evénements liés à une attaque uniquement) Créer automatiquement une règle d’exclusion à partir d’une prévention. La règle permet l’exécution d’une application sur un point de terminaison spécifique sans la protection de la règles de prévention d’attaque. Bouton WildFire Report (Rapport WildFire) (Événements WildFire uniquement) Réviser un rapport d’analyse par WildFire du fichier exécutable. Bouton Hash Control (Contrôle des empreintes) (Événements WildFire uniquement) Afficher des informations sur les empreintes, y compris le verdict WildFire et la possibilité de substituer le mode de terminaison afin d’autoriser ou de bloquer le fichier exécutable. Affichage des détails du mode provisoire Sélectionnez Monitor (Surveillance) > Provisional Mode (Mode provisoire) pour afficher une liste d’évènements de sécurité liés aux modules provisoires. Les modules provisoires sont configurés par défaut et incluent ProcessCrashed, WildFireUnknown, WildFirePostUnknownDetection, protection contre le détournement de DLL, Java, injection de thread et surveillance de suspension. À partir de la page Provisional Mode (Mode provisoire), vous pouvez consulter les détails des évènements de sécurité, créer et consulter des notes concernant les évènements, récupérer les données du journal concernant l’évènement à partir du point de terminaison, ou créer une règle d’exclusion pour autoriser l’exécution du processus sur un point de terminaison particulier. Par défaut, l’affichage des détails standard sur la page Provisional Mode (Mode provisoire) présente un tableau des évènements de sécurité avec des champs affichés en haut. La sélection d’un évènement dans le tableau Provisional Mode (Mode provisoire) développe la ligne pour révéler d’autres détails sur l’évènement de sécurité. Vous pouvez aussi exporter les journaux dans un fichier CSV en cliquant sur l’icône du menu , puis en sélectionnant Export Logs (Exporter les journaux). Le tableau suivant décrit les champs et les actions disponibles pour chaque évènement de sécurité en mode provisoire. Champ Description Standard Details View (Affichage des détails standard) Time (Heure) © Palo Alto Networks, Inc. La date et l’heure auxquelles s’est produit l’évènement de prévention. Traps 3.3 Guide de l’administrateur • 95 Surveillance des évènement de sécurité Surveillance Champ Description Computer (Ordinateur) Le nom du point de terminaison sur lequel l’évènement de prévention s’est produit. User (Utilisateur) Le nom de l’utilisateur pour lequel le processus (qui a causé l’évènement) était exécuté. OS (Système d’exploitation) Le système d’exploitation installé sur le point de terminaison. Agent (Traps Version) La version de Traps installée sur le point de terminaison. Process (Processus) Le nom du processus qui a causé l’évènement. EPM Le modules de prévention d’attaque (EPM) ou la règle de restriction qui a déclenché la prévention. Additional Details View (Affichage des détails supplémentaires) Event Type (Type d’événement) Type de menace (post-détection WildFire, logique, logiciel malveillant, actions suspectes ou corruption de mémoire). Module Module qui a déclenché l’événement de prévention ou de notification. Prevention Mode (Mode de prévention) Action que la règle effectue (terminer le processus ou avertir l’utilisateur). Architecture Type d’architecture du système d’exploitation (OS). Par exemple, x64. Source Process (Processus source) Processus source qui a déclenché l’événement. Source Path (Chemin d’accès source) Chemin d’accès vers le processus source qui a déclenché l’événement. Source Version (Version source) Version du processus ou du fichier exécutable qui a déclenché l’événement. Source Triggered By (Source déclenchée par) Fichier ou fichiers qui ont déclenché l’évènement de sécurité. Prevention Key (Clé de prévention) Clé unique associée à l’évènement de sécurité. Lors de la récupération des données concernant un évènement, Traps créé un fichier journal en utilisant cette clé de prévention comme nom de dossier. Bouton View Notes (Afficher les notes) Afficher les notes concernant l’évènement de sécurité. S’il n’y a aucune note, cette option est grisée. Bouton Create Note (Créer une note) Créer des notes concernant l’évènement de sécurité pour le suivi ultérieur. Bouton Retrieve Data (Récupérer les données) Récupérer les données de prévention sur le point de terminaison. Créé une règle qui utilise la clé de prévention et les informations de déclenchement pour demander à l’agent les données concernant l’évènement de prévention. Les informations sont envoyées au dossier d’investigation numérique. 96 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Surveillance Surveillance des évènement de sécurité Champ Description Bouton Create Rule (Créer une règle) (Evénements liés à une attaque uniquement) Créer automatiquement une règle d’exclusion à partir d’une prévention. La règle permet l’exécution d’une application sur un point de terminaison spécifique sans la protection de la règle de prévention d’attaque. Bouton WildFire Report (Rapport WildFire) (Événements WildFire uniquement) Réviser un rapport d’analyse par WildFire du fichier exécutable. Bouton Hash Control (Contrôle des empreintes) (Événements WildFire uniquement) Afficher des informations sur les empreintes, y compris le verdict WildFire et la possibilité de substituer le mode de terminaison afin d’autoriser ou de bloquer le fichier exécutable. Affichage des détails du journal d’erreur de sécurité Sélectionnez Monitor (Surveillance) > Security Error Log (Journal d’erreur de sécurité) pour afficher les événements liés au comportement de l’agent et la sécurité du point de terminaison. Les évènements incluent les modifications de service, comme le démarrage ou l’arrêt d’un service. Dans de rares cas, le journal d’erreur de sécurité peut aussi montrer les problèmes rencontrés durant la protection d’un processus lorsqu’une injection échoue ou plante. Le tableau suivant décrit les champs affichés dans le journal d’erreur de sécurité. Champ Description ID Numéro d’identifiant unique associé à l’erreur de sécurité. Computer (Ordinateur) Nom du point de terminaison sur lequel l’évènement de prévention s’est produit. Message Texte du message de notification. Severity (Gravité) Gravité de l’erreur, qui dépend du type de rapport : • High (Élevée) • Medium (Moyenne) • Low (Faible) © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 97 Surveillance des évènement de sécurité Surveillance Champ Description Report type (Type de rapport) Type d’erreur ayant déclenché la notification. Les valeurs possibles sont : • One Time Action Completion Status (État de la progression d’une action ponctuelle)—Une action terminée sur le point de terminaison. La gravité est faible si l’action se termine ou moyenne si l’action échoue. • Process crash (Plantage du processus)—Un processus a planté sur le point de terminaison. Gravité faible. • Process injection timed out (Dépassement du délai de l’injection dans le processus)—L’injection dans le processus a dépassé le délai. Gravité moyenne. • Agent Service Alive (Service de l’agent en cours)—Le service de l’agent a démarré. Gravité faible. • Agent Service stopped (Service de l’agent arrêté)—Le service de l’agent s’est arrêté. Gravité faible. • System Shutdown (Arrêt du système)—Le point de terminaison a été éteint. Gravité faible. • Unallocated DEP Access (Accès DEP non alloué)—Un pointeur d’instruction saute à un emplacement non alloué en mémoire. Cela est habituellement dû à un bogue dans l’application, mais pourrait aussi indiquer une tentative d’attaque (échouée). Gravité moyenne. • Native Reporting Service Start Failed (Échec du démarrage du service de création de rapports)—Le service de création de rapports n’a pas pu démarrer. Gravité élevée. Time (Heure) Date et heure auxquelles Traps a signalé l’erreur. Affichage de l’historique d’évènement de sécurité sur un point de terminaison Lorsqu’un utilisateur lance un processus sur le point de terminaison, Traps injecte du code dans le processus et active un module de protection, appelé module de prévention d’attaque (EPM), au sein du processus. Les règles de stratégie de sécurité du point de terminaison déterminent les EPM qui sont injectés dans chaque processus. Durant l’injection, le nom du processus apparaît sur le console en rouge. Après une injection réussie, la console inscrit dans le journal l’évènement de sécurité sur l’onglet Events. Chaque évènement de sécurité sur l’onglet Events affiche la date et l’heure de l’évènement, le nom du processus affecté et l’EPM qui a été injecté dans le processus. Généralement, le mode indique si Traps a terminé ou non le processus ou seulement averti l’utilisateur à propos de l’évènement. Affichage de l’historique d’évènement de sécurité sur un point de terminaison Step 1 Step 2 Lancez la console Traps : • Depuis la zone de notification de Windows, effectuez une clic droit sur l’icône Traps Console, ou effectuez un double clic sur l’icône. • Exécutez CyveraConsole.exe à partir du dossier d’installation de Traps. La console Traps se lance. et sélectionnez Affichez les évènement de sécurité : 1. Sélectionnez Advanced (Avancé) > Events (Événements) pour afficher les évènement de sécurité sur le point de terminaison. 2. Utilisez les flèches haut et bas pour faire défiler la liste des évènements. 98 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Surveillance Surveiller les points de terminaison Surveiller les points de terminaison Afficher les détails de santé du point de terminaison Afficher les notifications sur les modifications d’état de l’agent Afficher les détails sur le journal de l’agent Consulter le status de l’agent à partir de la console Traps Affichage de l’historique des règles sur un point de terminaison Afficher les modifications à la stratégie de sécurité à partir de la console Traps Affichage de l’historique d’état du service sur un point de terminaison Supprimer un point de terminaison de la page Health (Santé) Afficher les détails de santé du point de terminaison Depuis la console ESM, sélectionnez Monitor (Surveillance) > Agent > Health (Santé) pour afficher une liste des points de terminaison dans l’organisation et leur état de sécurité correspondant. Le tableau suivant décrit les champs et les actions disponibles pour chaque point de terminaison affiché sur la page Health (Santé). Par défaut, l’affichage des détails standard sur la page Health (Santé) présente un tableau des points de terminaison avec des champs affichés en haut. La sélection d’un point de terminaison dans le tableau Health (Santé) développe la ligne pour révéler d’autres détails sur le point de terminaison et les actions que vous pouvez effectuer. Vous pouvez aussi exporter les journaux dans un fichier CSV en cliquant sur l’icône du menu , puis en sélectionnant Export Logs (Exporter les journaux). Champ Description Standard Details View (Affichage des détails standard) Status (États) L’état de l’agent, qui peut être En exécution (Running), Arrêté (Stopped), Déconnecté (Disconnected) ou Éteint (Shut down). Last Heartbeat (Dernière pulsation) La date et l’heure auxquelles le dernier message de pulsation a été envoyé par l’agent. Computer (Ordinateur) Le nom du point de terminaison. Type Le type de point de terminaison, soit Workstation (Poste de travail), Server (Serveur), ou VDI (virtual desktop infrastructure ; infrastructure de bureau virtuel). © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 99 Surveiller les points de terminaison Surveillance Champ Description Last User (Dernier utilisateur) Le nom du dernier utilisateur qui s’est connecté sur le point de terminaison. Version La version de l’agent Traps installé. IP (Adresse IP) L’adresse IP du point de terminaison. Domain (Domaine) Le nom de domaine du point de terminaison. Additional Details View (Affichage des détails supplémentaires) Sélectionnez à nouveau la ligne pour réduire l’affichage des détails supplémentaires. OS (Système d’exploitation) Le système d’exploitation installé sur le point de terminaison. Architecture Type d’architecture du système d’exploitation (OS). Par exemple, x64. Last Heartbeat (Agent Local Time) (Dernière pulsation (Heure locale de l’agent)) La date et l’heure de modification de la stratégie ou la date et l’heure de modification de l’état, selon l’heure affichée sur le point de terminaison. Last Heartbeat (Server Local Time) (Dernière pulsation (Heure locale de serveur)) La date et l’heure de modification de la stratégie politique ou la date et l’heure de modification de l’état, selon l’heure affichée sur la console ESM. License expiration date (Dat d’expiration de la licence) Date à laquelle la licence expire sur le point de terminaison. Base DN (ND de base) Chemin Lightweight Directory Access Protocol (protocole allégé d’accès annuaire ; LDAP) du point de terminaison. Bouton Details (Détails) Sélectionnez les journaux Agent Policy (Stratégie de l’agent) ou Service Status (État du service) dans le menu déroulant et cliquez sur Details (Détails) pour examiner la liste complète pour le point de terminaison. Pour plus d’informations, reportez-vous à aux sections Affichage de l’historique des règles sur un point de terminaison et Affichage de l’historique d’état du service sur un point de terminaison. Afficher les notifications sur les modifications d’état de l’agent Utilisez la page Monitor (Surveillance) > Agent > Logs (Journaux) pour consulter les notifications sur les modifications d’état de l’agent incluant le démarrage et l’arrêt des services, des systèmes, et des processus. Afficher les notifications sur les modifications d’état de l’agent Step 1 Depuis la console ESM, sélectionnez Monitor (Surveillance) > Agent > Logs (Journaux). Step 2 Pour afficher les entrées du tableau, utilisez les contrôles de page en haut à droite de chaque page pour voir différentes portions du tableau. 100 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Surveillance Surveiller les points de terminaison Afficher les notifications sur les modifications d’état de l’agent Step 3 (En option) Pour trier les éléments du tableau, sélectionnez l’en-tête de colonne pour effectuer le tri par ordre croissant. Sélectionnez à nouveau l’en-tête de colonne pour effectuer le tri par ordre décroissant. Step 4 (En option) Pour filtrer les entrées du tableau, cliquez sur l’icône du filtre à droite de la colonne pour spécifier jusqu’à deux ensembles de critères selon lesquels filtrer les résultats. Step 5 (En option) Afin d’exporter les journaux vers un fichier CSV, cliquez sur l’icône de menu Export Logs (Exporter les journaux). , puis sélectionnez Afficher les détails sur le journal de l’agent La page Agent Logs (Journaux de l’agent) affiche les notifications sur les modifications d’état de l’agent incluant le démarrage ou l’arrêt des services, des systèmes et des processus. Le tableau suivant décrit les champs affichés sur la page Monitor (Surveillance) > Agent > Logs (Journaux). Champ Description ID Identifiant numérique unique pour le message de notification. Machine Name (Nom de la machine) Nom du point de terminaison ayant produit la notification. Message Texte du message de notification. Severity (Gravité) Gravité de la notification, qui dépend du type de rapport : • High (Élevée) • Medium (Moyenne) • Low (Faible) Report type (Type de rapport) Type d’évènement ayant déclenché la notification. • One time action completion status (État de la progression d’une action ponctuelle)— Une action terminée sur le point de terminaison. La gravité est faible si l’action se termine ou moyenne si l’action échoue. • Process crash (Plantage du processus)—Un processus a planté sur le point de terminaison. Gravité faible. • Process injection timed out (Dépassement du délai de l’injection dans le processus)— L’injection dans le processus a dépassé le délai. Gravité moyenne. • Service Alive (Service cours)—Le service de l’agent a démarré. Gravité faible. • Service stopped (Service arrêté)—Le service de l’agent s’est arrêté. Gravité faible. • System shutdown (Arrêt du système)—Le point de terminaison a été éteint. Gravité faible. • Unallocated DEP Access (Accès DEP non alloué)—Un pointeur d’instruction saute à un emplacement non alloué en mémoire. Cela est habituellement dû à un bogue dans l’application, mais pourrait aussi indiquer une tentative d’attaque (échouée). Gravité moyenne. • Native Reporting Service Start Failed (Échec du démarrage du service de création de rapports)—Le service de création de rapports n’a pas pu démarrer. Gravité élevée. Time (Heure) La date et l’heure d’envoi de la notification. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 101 Surveiller les points de terminaison Surveillance Consulter le status de l’agent à partir de la console Traps La console affiche les services actifs et inactifs en affichant ou à gauche du type de service. Sélectionnez l’onglet Advanced (Avancé) pour afficher d’autres onglets en haut de la console. Les onglets vous permettent de parcourir les pages qui affichent d’autres détails sur les évènements de sécurité, les processus protégés et les mises à jour de la stratégie de sécurité. Habituellement, un utilisateur n’a pas besoin d’exécuter la console Traps, mais les informations peuvent être utiles lors de l’enquête sur un évènement lié à la sécurité. Vous pouvez choisir de masquer l’icône de la zone de notification qui permet de lancer la console ou d’empêcher totalement son lancement. Pour plus d’informations, voir Masquer ou limiter l’accès à la console Traps. Élément du système Description Anti-Exploit Protection (Protection contre les attaques) Indique si des règles de prévention d’attaque sont actives ou non dans la stratégie de sécurité du point de terminaison. Anti-Malware Protection Indique si des modules de restriction et/ou de prévention contre les logiciels (Protection contre les malveillants sont activés ou non dans la stratégie de sécurité du point de logiciels malveillants) terminaison. Forensic Data Collection (Collecte des données d’investigation) Indique si l’intégration WildFire est activée ou non. Onglet Status (État) Affiche l’état de connexion (Connection) et le niveau de protection du point de terminaison. La console Traps ouvre par défaut l’onglet Status (État) au lancement. Onglet Events (Événements) Affiche les évènements de sécurité qui se sont produits sur le point de terminaison. Onglet Protection Affiche les processus que l’agent Traps protège et qui sont en cours d’exécution sur le point de terminaison. Onglet Policy (Stratégie) Affiche les modifications à la stratégie de sécurité du point de terminaison en incluant la date et l’heure de la mise à jour. Onglet Verdict Updates Affiche les modifications de verdict pour les exécutables qui ont été ouverts sur (Mises à jour des verdicts) le point de terminaison. Settings (Paramètres) Affiche les options de langue que vous pouvez utiliser pour changer la langue de la console Traps. 102 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Surveillance Surveiller les points de terminaison Élément du système Description Lien Check-in now (Vérifier maintenant) Lance une mise à jour immédiate de la stratégie de sécurité. Connexion Affiche l’état de la connexion entre Traps et le serveur ESM. Last Check-In (Dernière vérification) Affiche la date et l’heure de la dernière réception d’un message de pulsation par Traps. Open Log File... (Ouvrir le fichier journal...) Ouvre le fichier de trace le plus récent sur le point de terminaison. Send Support File (Envoyer le fichier de support) Créé un fichier compressé des traces et l’envoie au dossier d’investigation numérique. Affichage de l’historique des règles sur un point de terminaison Par défaut, l’affichage des détails standard sur la page Health (Santé) présente un tableau des points de terminaison avec des champs affichés en haut. La sélection d’un point de terminaison dans le tableau Health (Santé) développe la ligne pour révéler d’autres détails sur le point de terminaison et vous permet d’afficher l’historique des règles pour les objets dans votre organisation. Chaque règle dans la stratégie d’agent affiche la date et l’heure d’application de la règle par Traps, la source de la règles de stratégie (locale ou distante), le nom et la description de la règle, et l’état actuel de cette règle. Affichage de l’historique des règles sur un point de terminaison Step 1 Ouvrez le Endpoint Security Manager et sélectionnez Monitor (Surveillance) > Agent > Health (Santé). Step 2 Sélectionnez la ligne du point de terminaison pour lequel vous voulez afficher l’historique des règles. La ligne se développe pour afficher d’autres détails et les actions que vous pouvez effectuer. Step 3 Sélectionnez Agent Policy (Stratégie de l’agent) dans le menu déroulant à droite. Les informations sur l’état récent s’affichent dans la section Agent Policy (Stratégie de l’agent) et Logs (Journaux) de la page. Step 4 Cliquez sur Details (Détails) pour afficher le journal complet de l’historique de règle. L’état indique l’une des conditions suivantes : • Active—La règle est active dans la stratégie de sécurité du point de terminaison. • Historic (Historique)—La règle est une ancienne version d’une règle qui est active dans la stratégie de sécurité du point de terminaison. • Disabled (Désactivée)—La règle a été désactivée dans la stratégie de sécurité. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 103 Surveiller les points de terminaison Surveillance Afficher les modifications à la stratégie de sécurité à partir de la console Traps L’onglet Policy (Stratégie) sur la console Traps affiche les modifications à la stratégie de sécurité du point de terminaison. Chaque règle affiche le numéro d’identifiant unique, le nom de la règle, la date et l’heure auxquelles Traps a reçu la stratégie de sécurité à jour contenant la règle, et la description. Chaque type de règle possède une page de gestion dédiée que vous pouvez utiliser pour afficher et gérer les règles pour votre organisation. Pour créer un fichier texte contenant la stratégie de sécurité active sur un point de terminaison, exécutez la commande suivante à partir d’une invite de commandes : cyveraconsole.exe export(641980) C:\{DossierCible}\policy.txt Afficher les modifications à la stratégie de sécurité du point de terminaison Step 1 Effectuez l’une des actions suivantes pour lancer la console Traps sur le point de terminaison : • Depuis la zone de notification de Windows, effectuez une clic droit sur l’icône Traps et sélectionnez Console, ou effectuez un double clic sur l’icône. • Exécutez CyveraConsole.exe à partir du dossier d’installation de la console Traps. Step 2 Affichez les stratégies de sécurité : 1. Si nécessaire, cliquez sur Advanced (Avancé) pour révéler des onglets supplémentaires. Cliquez ensuite sur l’onglet Policy (Stratégie) pour afficher les règles de protection en cours d’exécution sur le point de terminaison. 2. Utilisez les flèches haut et bas pour faire défiler la liste des règles de protection. Affichage de l’historique d’état du service sur un point de terminaison Par défaut, l’affichage des détails standard sur la page Monitor (Surveillance) > Agent > Health (Santé) présente un tableau des points de terminaison avec des champs affichés en haut. La sélection d’un point de terminaison dans le tableau Health (Santé) développe la ligne pour révéler d’autres détails sur le point de terminaison et vous permet d’afficher l’état de l’agent Traps sur le point de terminaison. Un menu déroulant dans la section Agent Policy (Stratégie de l’agent) et Service Status (État du service) vous permet d’afficher une liste partielle des évènements d’état de service (Service Status). Depuis cette section, vous pouvez aussi afficher le journal complet de l’historique d’état du service. Chaque évènement dans le journal affiche la date et l’heure de modification du service, la version de Traps exécutée sur le point de terminaison et la modification d’état (déconnecté, en exécution, éteint ou arrêté). Affichage de l’historique d’état du service sur un point de terminaison Step 1 Depuis la console ESM, sélectionnez Monitor (Surveillance) > Agent (Agent) > Health (Santé) de la console ESM.. Step 2 Sélectionnez la ligne du point de terminaison pour lequel vous voulez afficher l’historique des règles. La ligne se développe pour afficher d’autres détails et les actions que vous pouvez effectuer. Step 3 Sélectionnez Service Status (État du service) dans le menu déroulant à droite. Les informations sur l’état récent s’affichent dans la section Agent Policy (Stratégie de l’agent) et Logs (Journaux) de la page. Step 4 Cliquez sur Details pour afficher le journal complet de l’état du service. 104 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Surveillance Surveiller les points de terminaison Supprimer un point de terminaison de la page Health (Santé) La page Monitor (Surveillance) > Agent > Health (Santé) affiche un tableau de tous les points de terminaison qui ont réussi à se connecter à Endpoint Security Manager. Dans les situations où vous devez supprimer un ou plusieurs points de terminaison de Endpoint Security Manager, par exemple pour éliminer les doublons ou supprimer les points de terminaison qui ne sont plus utilisés, vous pouvez utiliser l’option Delete selected (Supprimer sélectionné) dans le menu en haut du tableau. Supprimer un point de terminaison de la page Health (Santé) Step 1 Depuis la console ESM, sélectionnez Monitor (Surveillance) > Agent (Agent) > Health (Santé) de la console ESM. Step 2 Sélectionnez une ou plusieurs lignes de points de terminaison que vous aimeriez supprimer. Step 3 Sélectionnez Delete selected (Supprimer les éléments sélectionnés) dans le menu Health (Santé). Cliquez sur OK pour confirmer la suppression. en haut du tableau La console ESM supprime le ou les points de terminaison de la page Health (Santé). Après la communication de pulsation au point de terminaison, l’état de la connexion sur la console Traps signale une absence de connexion au serveur (No connection to server). Retirez une licence d’un point de terminaison de la page Health (Santé) La page Monitor (Surveillance) > Agent > Health (Santé) affiche un tableau de tous les points de terminaison qui ont réussi à se connecter à Endpoint Security Manager. Dans les situations où vous devez retirer une licence d’un ou plusieurs points de terminaison, par exemple pour éliminer les doublons ou supprimer les points de terminaison qui ne sont plus utilisés, vous pouvez utiliser l’option Detach License (Retirer la licence) dans le menu en haut du tableau. Retirer une licence d’un point de terminaison de la page Health (Santé) Step 1 Depuis la console ESM, sélectionnez Monitor > Agent > Health (Surveiller > Agent > Santé). Step 2 Sélectionnez une ou plusieurs lignes de points de terminaison que vous aimeriez supprimer. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 105 Surveiller les points de terminaison Surveillance Retirer une licence d’un point de terminaison de la page Health (Santé) (Continued) Step 3 Sélectionnez Detach License (Retirer la licence) dans le menu sur OK pour confirmer la suppression. en haut du tableau Health (Santé). Cliquez La console ESM retire la licence du point de terminaison ou des points de terminaison à partir de la page Health (Santé) et libère la licence pour qu’elle puisse être utilisée par un autre agent. Après la communication de pulsation au point de terminaison, l’état de la connexion sur la console Traps signale une absence de connexion au serveur (No connection to server). 106 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Surveillance Surveiller les serveurs ESM Surveiller les serveurs ESM Depuis la console ESM vous pouvez surveiller la santé des serveurs ESM de votre organisation et consulter les modifications d’état qui se produisent. Afficher la santé des serveurs ESM Afficher les détails sur la santé des serveurs ESM Afficher les notifications concernant le serveur ESM Afficher les détails des journaux du serveur ESM Afficher la santé des serveurs ESM Utilisez la page Monitor (Surveillance) > ESM > Health (Santé) pour consulter les notifications par rapport aux changements qui se produisent dans la santé du serveur ESM, y compris le nombre d’agents qui sont connectés au serveur ou déconnectés du serveur. Afficher la santé des serveurs ESM Step 1 Depuis la console ESM, sélectionnez Monitor (Surveillance) > ESM (Agent) > Health (Santé). Step 2 Pour afficher les entrées du tableau, utilisez les contrôles de page en haut à droite de chaque page pour voir différentes portions du tableau. Step 3 (En option) Pour trier les éléments du tableau, sélectionnez l’en-tête de colonne pour effectuer le tri par ordre croissant. Sélectionnez à nouveau l’en-tête de colonne pour effectuer le tri par ordre décroissant. Step 4 (En option) Pour filtrer les entrées du tableau, cliquez sur l’icône du filtre à droite de la colonne pour spécifier jusqu’à deux ensembles de critères selon lesquels filtrer les résultats. Step 5 (En option) Afin d’exporter les journaux vers un fichier CSV, cliquez sur l’icône de menu Export Logs (Exporter les journaux). Step 6 (En option) Pour afficher une liste des agents qui sont connectés au serveur ESM, développez la ligne du serveur, puis cliquez sur Agent List (Liste des agents), qui se trouve à côté du champ connected (connecté) ou disconnected (déconnecté). S’il n’y a aucun agent, cette option est grisée. , puis sélectionnez Afficher les détails sur la santé des serveurs ESM Depuis la console ESM, sélectionnez Monitor (Surveillance) > ESM > Health (Santé) pour afficher une liste des serveurs ESM dans l’organisation et leur état de sécurité correspondant. Le tableau suivant décrit les champs et les actions disponibles pour chaque serveur affiché sur la page Health (Santé). Par défaut, l’affichage des détails standard sur la page Health (Santé) présente un tableau des serveurs avec des champs affichés en haut. La sélection d’un serveur dans le tableau Health (Santé) développe la ligne pour révéler d’autres détails sur le serveur et les actions que vous pouvez effectuer. Vous pouvez aussi exporter les journaux dans un fichier CSV en cliquant sur l’icône du menu , puis en sélectionnant Export Logs (Exporter les journaux). © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 107 Surveiller les serveurs ESM Champ Surveillance Description Standard Details View (Affichage des détails standard) Status (État) L’état du serveur, qui est soit actif (Active) ou inactif (Inactive). AUTRE ? Last Heartbeat (Dernière pulsation) La date et l’heure auxquelles le dernier message de pulsation a été envoyé par l’agent. Name (Nom) Nom du serveur ESM. Internal Address (Adresse interne) L’adresse interne du serveur ESM. Connected (Connecté) Nombre d’agents Traps qui sont connectés au serveur ESM. Disconnected (Déconnecté) Nombre d’agents Traps qui sont déconnectés du serveur ESM. Additional Details View (Affichage des détails supplémentaires) Sélectionnez à nouveau la ligne pour réduire l’affichage des détails supplémentaires. OS (Système d’exploitation) Le système d’exploitation installé sur le serveur. Architecture Type d’architecture du système d’exploitation (OS). Par exemple, x64. Version ESM La version du logiciel ESM Core. External Address (Adresse externe) L’adresse externe du serveur. Last WildFire Connection (Dernière connexion WildFire) Heure et date de la dernière communication avec WildFire. Bouton Agent List (Liste d’agents) Affiche le nombre d’agents qui sont déconnectés du serveur ESM ou qui sont connectés au serveur ESM. Afficher les notifications concernant le serveur ESM Afficher les notifications concernant le serveur ESM Step 1 Depuis la console ESM, sélectionnez Monitor (Surveillance) > ESM > Logs (Journaux). Step 2 Pour afficher les entrées du tableau, utilisez les contrôles de page en haut à droite de chaque page pour voir différentes portions du tableau. Step 3 (En option) Pour trier les éléments du tableau, sélectionnez l’en-tête de colonne pour effectuer le tri par ordre croissant. Sélectionnez à nouveau l’en-tête de colonne pour effectuer le tri par ordre décroissant. 108 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Surveillance Surveiller les serveurs ESM Afficher les notifications concernant le serveur ESM Step 4 (En option) Pour filtrer les entrées du tableau, cliquez sur l’icône du filtre à droite de la colonne pour spécifier jusqu’à deux ensembles de critères selon lesquels filtrer les résultats. Step 5 (En option) Afin d’exporter les journaux vers un fichier CSV, cliquez sur l’icône de menu Export Logs (Exporter les journaux). , puis sélectionnez Afficher les détails des journaux du serveur ESM La page Monitor (Surveillance) > ESM > Logs (Journaux) affiche des notifications à propos d’un ou de plusieurs serveurs ESM et des actions lancées à partir d’un ou de plusieurs serveurs ESM, notamment des changements administratifs, des changements de licence, des changements de gestion de serveurs, des changements de gestion de politiques, et des changements WildFire). Le tableau suivant décrit les champs affichés sur la page Monitor (Surveillance) > ESM > Logs (Journaux). Champ Description ID Identifiant numérique unique pour le message de notification. Message Texte du message de notification. Severity (Gravité) Gravité de la notification, qui dépend du type de rapport : • High (Élevée) • Medium (Moyenne) • Low (Faible) Report type (Type de rapport) Changements administratifs : • User Login (Connexion utilisateur) • User Added/Edited (Utilisateur ajouté/modifié) Changements de licence : • Agent License Request (Demande d’une licence d’agent) • Agent License Revoked (Licence d’agent révoquée) • License Sent to Agent (Licence envoyée à l’agent) Gestion de serveurs • ESM Configuration Changed (Configuration ECMP modifiée) Gestion de stratégie : • Rule Deleted (Règle supprimée) • Rule Added/Edited (Règle ajoutée/modifiée) • Condition Added/Edited (Condition ajoutée/modifiée) • Enabled Protection (Protection activée) • Disabled Protection (Protection désactivée) Gestion de WildFire : • Verdict Changed - Any to Any (Verdict modifié - Passage de tout à tout) • Hash Added (Empreinte ajoutée) • Agent File Upload Failed (Échec du chargement du fichier par l’agent) Time (Heure) © Palo Alto Networks, Inc. La date et l’heure d’envoi de la notification. Traps 3.3 Guide de l’administrateur • 109 Surveiller les règles Surveillance Surveiller les règles Chaque page de récapitulatif et gestion de règle affiche les règles actives et inactives pour votre organisation et possède des outils que vous pouvez utiliser pour gérer les règles. Affichage du récapitulatif de la règle Afficher les détails des règles Affichage du récapitulatif de la règle Chaque type de règle possède une page de récapitulatif et de gestion propre à la règle. Pour afficher un récapitulatif des règles d’un certain type : Affichage du récapitulatif de la règle Step 1 Depuis la console ESM, sélectionnez la page de gestion de règle pour ce type de règle, par exemple Policies (Politiques) > Exploit (Attaque) > Protection Modules (Modules de protection). Step 2 Pour afficher les entrées du tableau, utilisez les contrôles de page en haut à droite de chaque page pour voir différentes portions du tableau. Step 3 (En option) Pour trier les éléments du tableau, sélectionnez l’en-tête de colonne pour effectuer le tri par ordre croissant. Sélectionnez à nouveau l’en-tête de colonne pour effectuer le tri par ordre décroissant. Step 4 (En option) Pour filtrer les entrées du tableau, cliquez sur l’icône du filtre à droite de la colonne pour spécifier jusqu’à deux ensembles de critères selon lesquels filtrer les résultats. Step 5 (En option) Pour développer une entrée de règle, cliquez sur la flèche d’expansion à droite de la règle. Dans l’affichage développé, vous pouvez voir d’autres détails sur la règle ou effectuer l’une des actions pour gérer la règle. Reportez-vous à la section Enregistrer les règles. Afficher les détails des règles Chaque page de récapitulatif et de gestion de règle dans la console ESM affiche les détails sur les règles qui composent la stratégie de sécurité de votre organisation. Le tableau suivant décrit les champs et les actions qui sont disponibles pour chaque page de gestion de règle, en incluant la prévention d’attaque, la prévention contre les logiciels malveillants, la restriction, les paramètres WildFire, les actions, les paramètres d’agent et les règles d’investigation numérique. L’affichage des détails standard fournit des informations récapitulatives pour chaque règle et affiche un tableau des règles avec des champs affichés en haut. La sélection d’une règle dans le tableau développe la ligne pour révéler d’autres détails sur la règle et les actions que vous pouvez effectuer. Champ Description Standard Details View (Affichage des détails standard) ID Identifiant numérique unique pour la règle. 110 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Surveillance Surveiller les règles Champ Description Status (État) • • Type • Exploit Protection (Protection contre les attaques) —Actif —Inactif • Restriction • Malware Protection (Protection contre les logiciels malveillants) • WildFire • Agent Action (Action de l’agent) • Agent settings (Paramètres de l’agent) • Forensics (Investigation numérique) Date Modified (Date de modification) La date et l’heure de la création ou de la dernière modification de la règle. Name (Nom) Le nom de la règle. Description La description de la règle. Associated (Lié) Les objets cibles auxquels s’applique la règle. Condition Conditions devant être satisfaites (le cas échéant) pour que la règle s’applique. Additional Details View (Affichage des détails supplémentaires) Creator (Créateur) L’utilisateur ayant créé la règle. Created (Créé) La date et l’heure de création de la règle. Modifier (Modificateur) Le compte utilisateur auteur de la dernière modification de la règle (si connu). Processes (Processus) (Règles de prévention d’attaque uniquement) Les processus cibles de la règle. EPMs (EPM) (Règles de prévention d’attaque uniquement) Le module de prévention d’attaque (EPM) qui protège le processus. One time action (Règles d’activités uniquement) L’action à effectuer sur le point de terminaison. Restrictions (Règles de restriction uniquement) Méthode de restriction qui protège contre les exécutables malveillants. Agent settings (Paramètres d’agent) (Règles de paramètres d’agent uniquement) L’action à effectuer sur le logiciel Traps. Duplicate (Dupliquer) (Règles d’action uniquement) Exécuter à nouveau la règle d’action. Delete (Supprimer) Supprimer la règle. Activate (Activer) Activer la règle (règles inactives uniquement). Deactivate (Désactiver) Désactiver la règle (règles actives uniquement). Edit (Modifier) Modifier la règle (règles de prévention d’attaque, de restrictions et de paramètres d’agent uniquement). © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 111 Surveiller l’extraction d’investigation numérique Surveillance Surveiller l’extraction d’investigation numérique Depuis la page Monitor (Surveillance) > Forensics Retrieval (Extraction d’investigation numérique), vous pouvez consulter les informations sur les fichiers de données d’investigation numérique, y compris les journaux, les mises à jour WildFire, la collecte de vidage mémoire, et gérer les fichiers de données à partir d’un emplacement centralisé. Le tableau suivant décrit les champs et les actions disponibles pour chaque fichier de données d’investigation numérique. La page Forensics Retrieval (Extraction d’investigation numérique) affiche un tableau avec des champs affichés en haut et des actions que vous pouvez effectuer pour gérer l’extraction des données d’investigation numérique. Champ Description File Name (Nom du fichier) Identifiant numérique unique pour la règle. Upload State (État du chargement) État du chargement, par exemple échoué (Failed), en cours (In Progress), etc. Machine Name (Nom de la machine) Nom de la machine sur laquelle les données d’investigation numérique ont été collectées. File Type (Type de fichier) Type de données d’investigation numérique, par exemple, journaux, WildFire ou vidage. File Size (Taille du fichier) Taille du fichier d’investigation numérique. Date Created (Date de création) La date et l’heure de la création ou de la dernière modification de la règle d’extraction. Bouton Download (Télécharger) Télécharger le fichier de données d’investigation numérique. Bouton Delete (Supprimer) Supprimer le fichier de données d’investigation numérique. Vous pouvez trier les entrées du tableau dans l’ordre croissant en sélectionnant l’en-tête de colonne. Sélectionnez à nouveau l’en-tête de colonne pour trier les entrées du tableau dans l’ordre décroissant. Pour limiter les résultats, cliquez sur l’icône du filtre à droite de la colonne et spécifiez jusqu’à deux ensembles de critères. Vous pouvez aussi exporter les journaux dans un fichier CSV en cliquant sur l’icône du menu , puis en sélectionnant Export Logs (Exporter les journaux). 112 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Prise en main des règles Les sujets suivants décrivent les composants de base et les processus associés à chaque règle : Vue d’ensemble de la règle de stratégie du point de terminaison Composants et actions communs des règles © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 113 Vue d’ensemble de la règle de stratégie du point de terminaison Prise en main des règles Vue d’ensemble de la règle de stratégie du point de terminaison Types de règle de stratégie Application de la stratégie Types de règle de stratégie Une stratégie de sécurité du point de terminaison complète englobe des stratégies qui ciblent des moyens de protection spécifiques. Les règles qui composent chacune des ces stratégies vous permettent d’appliquer une protection, de gérer les paramètres de Traps et d’effectuer des actions sur chaque point de terminaison. Vous pouvez configurer des règles qui ciblent des objets spécifiques ou qui s’appliquent lorsqu’elles concordent avec des conditions spécifiques de correspondance. Ensemble, ces règles vous aident à sécuriser les points de terminaison de votre organisation. Le tableau suivant décrit les types de stratégies que vous pouvez configurer dans la console ESM : Politique Description Exploit protection (Protection contre les attaques) Les règles de protection contre les attaques déterminent la méthode de protection des processus exécutés sur vos points de terminaison. Chaque règle dans la stratégie de prévention d’attaque spécifie le type de modules de protection qui servent à protéger les processus. Pour plus d’informations, voir Règles de protection contre les attaques. Malware Protection (Protection contre les logiciels malveillants) Les règles de protection contre les fichiers malveillants se servent des modules de protection pour bloquer des comportements courants déclenchés par des fichiers exécutables malveillants. Chaque règle dans la stratégie de protection contre les fichiers malveillants spécifie le type de module de protection qui sert à bloquer les actions suspectes. La règle peut également comprendre une liste blanche qui précise les exceptions à la règle. Pour plus d’informations, voir Gérer les règles de protection de Malware. Restriction Les règles de restriction limitent la portée d’une attaque en spécifiant l’endroit où les fichiers exécutables peuvent s’exécuter sur les points de terminaison ainsi que la façon de faire. Pour plus d’informations, voir Règles de restriction. WildFire Les règles WildFire permettent l’analyse des fichiers exécutables pré-intervention et post-prevention en envoyant les empreintes de fichier exécutable et, en option, les empreintes des fichiers inconnus au nuage WildFire. Pour plus d’informations, voir Règles du WildFire. Forensics (Investigation numérique) Les règles d’investigation numérique vous permettent de définir des préférences concernant le vidage mémoire et la collecte de fichier d’investigation numérique. Pour plus d’informations, voir Règles d’investigation numérique. Agent settings (Paramètres d’agent) Les règles de paramètres d’agent vous permettent de modifier les valeurs des paramètres de l’agent Traps relatives à la journalisation, à la fréquence de pulsation et à l’accessibilité de la console. Pour plus d’informations, consultez la section Règles de paramètres d’agent Traps. 114 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Prise en main des règles Vue d’ensemble de la règle de stratégie du point de terminaison Politique Description Action Les règles d’action vous permettent d’effectuer des activités d’administration sur les points de terminaison. Les actions de gestion unique incluent la désinstallation et la mise à niveau de Traps, la mise à jour des licences, la protection du logiciel Traps et l’effacement des fichiers de données. Pour plus d’informations, consultez la section Règles d’action Traps. Application de la stratégie Traps évalue les règles selon le type de stratégie qui est associée à la règle. Les règles de protection contre les attaques, de protection contre les fichiers malveillants et de restriction ne font l’objet d’une évaluation que lorsqu’un processus ou un fichier exécutable est lancé et que la règle correspond aux Objets cibles, aux Conditions et aux paramètres. Un objet cible peut être tout utilisateur, groupe, unité d’organisation ou ordinateur qui apparaît dans Active Directory ou dans tout point de terminaison sur lequel Traps est installé. Endpoint Security Manager identifie les points de terminaison en fonction des messages qu’envoie Traps au serveur. Une condition peut être une correspondance exacte avec un fichier, un fichier et une version de fichier, ou un chemin du registre qui doivent exister sur le point de terminaison. Vous pouvez aussi définir une condition pour une version spécifique d’un fichier exécutable défini dans le chemin de fichier. À intervalles de pulsation réguliers, l’agent Traps demande la stratégie de sécurité la plus récente sur le serveur ESM. Vous pouvez définir la fréquence à laquelle la stratégie de sécurité se met à jour sur le point de terminaison en réglant le paramètre de pulsation. De plus, vous pouvez manuellement récupérer la stratégie de sécurité la plus récente à partir de la console Traps. Traps applique les paramètres d’agent ou les règles de stratégie d’action lorsque le point de terminaison reçoit la mise à jour de stratégie de sécurité et qu’une règle correspondant aux Objets cibles, aux Conditions et aux paramètres du point de terminaison. Traps évalue chaque règle en séquence dans la stratégie de sécurité par numéro d’identifiant : un numéro d’identifiant plus élevé indique une plus grande priorité de la règle. Les règles qui ont été récemment créées ou modifiées reçoivent un numéro d’identifiant plus élevé et sont donc évaluées en premier. Contrairement aux pare-feu Palo Alto Networks, qui évaluent les règles de manière hiérarchique, Traps évalue toutes les règles de la stratégie de sécurité du point de terminaison de manière séquentielle. Si plusieurs règles possèdent la même configuration de base (par exemple, plusieurs règles configurées pour le même module de protection contre les logiciels malveillants), Traps détermine la règle qui est prioriaire afin d’éviter tout conflit de règles. Pour ce faire, Traps examine la spécificité de la règle et le numéro d’identification. Si la portée d’une règle est plus restreinte que celle d’une autre règle, par exemple une règle de protection contre les attaques configurée pour un processus donné par rapport à une règle de protection contre les attaques configurée pour tous les processus, c’est la règle qui a la portée la plus retreinte (plus spécifique) qui primera. Si les règles ont la même portée, Traps donne préséance à la règle qui possède le numéro d’identification le plus élevé (ce qui indique une date de création plus récente). © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 115 Composants et actions communs des règles Prise en main des règles Composants et actions communs des règles Chaque type de règle possède un ensemble spécifique de champs obligatoires et en option que vous pouvez personnaliser pour satisfaire les exigences de la stratégie de sécurité de votre organisation. Le tableau suivant décrit les étapes communes pour la création d’une règle de stratégie de sécurité du point de terminaison. Gérer les règles Sujet Définissez les paramètres et les actions qui sont spécifiques Pour plus de détails sur les paramètres au type de règle. spécifiques requis pour chaque type de règle, voir : • Gérer les règles de protection contre les attaques • Gérer les règles de protection de Malware • Gérer les règles et paramètres WildFire • Gérer les restrictions sur les fichiers exécutables • Gérer les règles d’action Traps • Gérer les règles de paramètres d’agent • Gérer les règles et paramètres d’investigation numérique Ajoutez des conditions d’activation à la règle—des conditions Conditions que le point de terminaison doit satisfaire pour qu’une règle soit appliquée. Définissez les objets cibles (utilisateurs, ordinateurs, unités d’organisation, groupes et points de terminaison). Objets cibles Fournissez un nom de description pour la règle. Nommer ou renommer une règle Enregistrez et activez en option la règle. • Enregistrer les règles • Gérer les règles enregistrées Filtrez les règles qui figurent sur la page. Filtrer les règles Désactivez ou activez toutes les règles de protection. Désactiver ou activer toutes les règles de protection Conditions Définir les conditions d’activation pour une règle Inclure ou exclure des points de terminaison à l’aide de conditions Supprimer ou modifier une condition de règle 116 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Prise en main des règles Composants et actions communs des règles Définir les conditions d’activation pour une règle Les conditions d’activation de règle sont les conditions que le point de terminaison doit satisfaire pour appliquer cette règle sur le point de terminaison. Pour chaque condition, vous pouvez spécifier un chemin de fichier exécutable, un chemin de fichier exécutable et une version de fichier, ou un chemin du registre qui doivent exister sur le point de terminaison. Définir les conditions d’activation pour une règle Step 1 Sélectionnez Settings (Paramètres) > Conditions (Conditions). La page Conditions affiche le numéro d’identifiant (ID) unique, le nom (Name), la Description et le chemin d’accès (Path) (le cas échéant) pour chaque condition. Step 2 Ajoutez (Add) une nouvelle condition. Step 3 Saisissez le nom (Name) et la descriptions (Description) de la condition. Step 4 Configurez le type de condition qui doit correspondre au chemin d’accès d’un fichier exécutable spécifique, à une version spécifique ou à une plage de versions d’un fichier exécutable spécifique ou à une clé de registre spécifique : • Pour faire correspondre à un fichier exécutable spécifique (ou à une version spécifique d’un fichier exécutable), spécifiez le chemin d’accès (Path) d’un fichier exécutable qui existe sur le point de terminaison. Vous pouvez également utiliser des variables de système dans le chemin d’accès. Par exemple, spécifiez %windir%\system32\calc.exe pour appliquer la règle, si le ficher exécutable du calculateur est lancé à partir de cet emplacement. • Si vous avez spécifié un fichier exécutable dans le champ Path (chemin d’accès), vous pouvez également définir une condition de correspondance pour une version ou une plage de versions de ce fichier exécutable. Si vous spécifiez une valeur de version, Traps n’appliquera la règle que si l’exécutable est lancé de l’emplacement spécifié dans le champ Path (Chemin d’accès) et qu’il correspond à la valeur de Version. Par défaut, la condition correspond à toutes les versions du fichier. Pour restreindre le nombre de versions, sélectionnez l’une des options Version Comparison (Comparaison de versions) suivantes, puis saisissez le numéro de la Version : • Equal (Égal)—Correspond à une version exacte. • Greater (Supérieur à)—Correspond à toute version qui est égale ou ultérieure à la version spécifiée. • Lesser (Inférieur à)—Correspond à toute version qui est égale ou antérieure à la version spécifiée. • Between (Entre)—Correspond à toute version qui correspond aux deux valeurs spécifiées ou qui se situe entre ces deux valeurs. Par exemple, pour établir une condition qui correspond aux versions 8 et 9 d’Internet Explorer et à celles qui se situent entre ces deux versions, saisissez C:\Program Files\Internet Explorer\iexplore.exe dans le champ Path (Chemin d’accès), sélectionnez Version Comparison:Between (Comparaison de versions : entre), puis saisissez 8 et 9 dans les champs Version. • Regex—Correspond à une version à l’aide des expressions régulières de .NET Framework 4. (Voir la page Éléments du langage des expressions régulières à l’adresse https://msdn.microsoft.com/fr-ca/library/az24scfc(v=vs.100).aspx). Par exemple, pour faire correspondre à toute version 3.1.x, y compris la version 3.1, utilisez l’expression régulière suivante : 3\.1(\.[0-9]+)? Pour ne faire correspondre qu’aux versions 3.1.0 à 3.1.9, utilisez : 3\.1\.[0-9] Pour ne faire correspondre qu’aux versions 3.2 et 3.4, utilisez : 3\.[24] © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 117 Composants et actions communs des règles Prise en main des règles Définir les conditions d’activation pour une règle (Continued) • Spécifiez un chemin du registre (Registry Path) pour une entrée du registre, en commençant pas l’une des options suivantes : LocalMachine, ClassesRoot, Users, PerformanceData, CurrentConfig or DynData. Vous ne pouvez spécifier de chemins de registre CurrentUser, étant donné que Traps fonctionne en tant que système local. Traps n’appliquera la règle que si le point de terminaison contient le chemin spécifié dans son registre. Vous pouvez également configurer une clé (Key) ou une valeur de données (Data) de registre spécifique (châine et DWord uniquement) en tant que condition de correspondance. Par exemple, pour appliquer une règle à des points de terminaison pour lesquels IPv6 est activé, configurez une condition qui correspond aux paramètres de registre suivants : • Registry Path (Chemin du registre) : LocalMachine\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters\EnableICSI Pv6. • Key (Clé) : DisabledComponents • Data (Données) : 0 Step 5 Enregistrez (Save) la condition. Vous pouvez maintenant utiliser la condition comme critère de correspondance pour inclure ou exclure des points de terminaison de la réception d’une règle. Reportez-vous à la section Inclure ou exclure des points de terminaison à l’aide de conditions. Inclure ou exclure des points de terminaison à l’aide de conditions En configurant des conditions, vous pouvez activer les règles uniquement pour les points de terminaison qui correspondent à la condition. Par exemple, songez à une condition qui correspond aux systèmes clients Windows XP. Lorsque vous ajoutez cette condition à une liste d’inclusion, la règle ne s’appliquera que si le système client utilise Windows XP. Inversement, si vous ajoutez cette même condition à une liste d’exclusion, la règle s’appliquera à tous les systèmes clients, à l’exception de ceux qui utilisent Windows XP. Après avoir ajouté une condition à une liste (d’inclusion ou d’exclusion), vous ne pouvez l’utiliser dans l’autre liste. Utilisez le flux de travail suivant pour inclure ou exclure un point de terminaison d’une règle à l’aide de conditions. Inclure ou exclure des points de terminaison à l’aide de conditions Step 1 À la page de configuration des règles, sélectionnez l’onglet Conditions. Step 2 Sélectionnez une condition et ajoutez-la (Add) à la liste d’inclusion ou d’exclusion. Pour sélectionner plusieurs conditions, appuyez sur la touche Ctrl et maintenez-la enfoncée pendant que vous effectuez votre sélection. Step 3 Configurez les paramètres de la règle, puis enregistrez (Save) ou appliquez (Apply) la règle (voir Enregistrer les règles). 118 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Prise en main des règles Composants et actions communs des règles Supprimer ou modifier une condition de règle Les conditions d’activation de règle sont les conditions que le point de terminaison doit satisfaire pour qu’une règle s’applique à ce point de terminaison. Après avoir créé une condition, vous pouvez la supprimer ou la modifier à partir de la page Conditions (Conditions). Modifier ou supprimer une condition de règle Step 1 Sélectionnez Settings (Paramètres) > Conditions (Conditions). La page Conditions affiche le numéro d’identifiant (ID) unique, le nom (Name) et la Description pour chaque condition. Step 2 Sélectionnez la condition à modifier ou supprimer. Step 3 Effectuez l’une des actions suivantes. • Cliquez sur Delete (Supprimer) pour supprimer la condition. • Modifiez les paramètres de condition, puis enregistrez (Save) les modifications. Objets cibles Les objets cibles définissent la portée d’une règle et les points de terminaison auxquels une règle s’applique. Un objet peut être l’un des éléments suivants : Objet cible Description Users (Utilisateurs) Un utilisateur défini dans Active Directory. Groups (Groupes) Un groupe d’utilisateurs défini dans Active Directory. Computers (Ordinateurs) Le nom d’une ordinateur ou d’un dispositif mobile défini dans Active Directory. Organizational Unit (Unité Une subdivision au sein d’Active Directory dans laquelle vous pouvez placer des d’organisation) utilisateurs, des groupes, des ordinateurs et d’autres unités d’organisation. Existing Endpoints (Points Un ordinateur ou dispositif mobile sur lequel l’agent Traps est installé. Endpoint de terminaison existants) Security Manager identifie les points de terminaison existants par des messages de communication qu’il reçoit par les agents Traps. Pour les objets définis dans Active Directory, la console ESM fournit la saisie automatique au fur et à mesure que vous tapez. Les ordinateurs peuvent faire l’objet d’une saisie automatique même s’ils n’exécutent pas Traps à ce moment-là. Vous pouvez appliquer les règles à tous les objets, à des objets sélectionnés ou à tous les objets à l’exception de ceux qui sont dans la liste d’exclusion (Exclude). Les règles que vous définissez pour les utilisateurs et les groupes s’appliqueront aux utilisateurs et aux groupes sans tenir compte du point de terminaison sur lequel ils sont connectés. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 119 Composants et actions communs des règles Prise en main des règles Nommer ou renommer une règle La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle et de l’heure de la création. Pour substituer le nom généré automatiquement, sélectionnez l’onglet Name (Nom), effacez l’option Activate automatic description (Activer la description automatique), puis saisissez votre propre nom et description de règle. La règle qui a fait l’objet de la plus récente modification a préséance sur les règles les plus anciennes de même type. Par conséquent, la modificatioon du nom d’une règle change la date de modification de la règle, ce qui peut faire en sorte que la règle modifiée peut substituer des règles plus anciennes. Les motifs de la création d’une règle peuvent être inclus dans la description de la règle. Par exemple, vous pourriez inclure un numéro d’identification d’incident ou un lien vers un billet d’assistance. Enregistrer les règles Pour enregistrer une règle, vous devez remplir tous les champs obligatoires pour ce type de règle. Les onglets avec des champs obligatoires sont indiqués par un onglet fond rouge. Remplissez les champs obligatoires avant de tenter d’enregistrer ou de modifier une règle. Après avoir spécifié les champs obligatoires pour une règle, vous pouvez sélectionner une ou plusieurs des actions suivantes : Action Description Save (Enregistrer) Enregistrer la règle sans l’activer. L’état de la règle affiché est Inactive, et vous pouvez l’activer plus tard. Cette option n’est offerte que pour les nouvelles règles ou pour celles qui sont inactives ou clonées. Apply (Appliquer) Enregistrer la règle et l’activer immédiatement. Le serveur ESM envoie la règle mise à jour lors de la communication de pulsation suivante avec l’agent Traps. Vous pouvez cependant déclencher une mise à jour de stratégie en cliquant sur Check-in now (Vérifier maintenant) sur la console Traps installée sur un point de terminaison. 120 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Prise en main des règles Composants et actions communs des règles Gérer les règles enregistrées Après l’enregistrement de la règle, le nom et la description apparaissent dans les journaux et tables du système appropriés. Sélectionnez la règle pour consulter les détails et effectuer l’une des actions suivantes : Action Description Duplicate (Dupliquer) (Règles d’action uniquement) Créer une nouvelle règle à partir d’une règle existante. Delete (Supprimer) Supprimez la règle ; la règle est éliminée du système. Pour supprimer plusieurs règles en même temps, sélectionnez les règles, puis sélectionnez Delete selected non-Default Rules (Supprimer les règles personnalisées sélectionnées) dans le menu d’action en haut du tableau. Activate/Deactivate (Activer/Désactiver) Si la règle a déjà été enregistrée, mais pas encore appliquée, vous pouvez activer (Activate) la règle pour l’ajouter à la stratégie de sécurité actuelle. Si la règle est active, vous pouvez la désactiver (Deactivate) pour supprimer la règle de la stratégie de sécurité actuelle, mais pas du système. Pour activer ou désactiver plusieurs règles en même temps, sélectionnez les règles, puis sélectionnez Activate Selected (Activer les règles sélectionnées) ou Deactivate Selected (Désactiver les règles sélectionnées) dans le menu en haut du tableau. Pour désactiver ou activer toutes les règles d’attaque, de logiciel malveillant ou d’investigation numérique, voir Désactiver ou activer toutes les règles de protection. Edit (Modifier) Modifier la définition de la règle. La sélection de cette option ouvre la boîte de dialogue Configuration de la règle et vous permet de modifier la définition de la règle. Pour plus d’informations, voir Créer une règle de protection contre les attaques. Import rules/Export selected (Règles d’importation/exportation sélectionnées) Dans le menu d’action en haut du tableau, vous pouvez importer des règles ou exporter les règles sélectionnées. L’exportation des règles enregistre les règles sélectionnées dans un fichier XML. Pour plus d’informations, consultez la section Exporter et importer les fichiers de stratégie. Show Default Rules/Hide Default Rules (Montrer les règles par défaut/Masquer les règles par défaut) Dans le menu d’action en haut du tableau, vous pouvez développer les règles par défaut ou masquer les règles par défaut. La sélection d’une règle dans le tableau révèle d’autres détails sur la règle et offre l’option de cloner la règle. Le clonage vous permet de créer une nouvelle règle qui substitue les paramètres de la stratégie par défaut. Pour plus d’informations, voir Afficher ou Masquer les règles de stratégie par défaut. Filtrer les règles Chaque page de récapitulatif et gestion de règle dans la console ESM affiche les détails sur les règles qui définissent la stratégie de sécurité de votre organisation. Pour restreindre le nombre de règles que la console ESM affiche, vous pouvez filtrer les règles à l’aide du contrôle de filtrage situé au-dessus de chaque colonne. Servez-vous du contrôle de filtrage pour définir une ou deux valeurs à filtrer (l’état de la règle, le nom de la règle, la description de la règle ou la date de modification). Les opérateurs qui sont disponibles pour chaque colonne dépendent du type de colonne. Par exemple, vous pouvez filtrer des colonnes qui affichent du texte en utilisant l’un ou l’autre des opérateurs suivants pour chercher une chaîne de valeurs : Is equal to (Est égal à), Is not equal to (N’est pas égal à), Starts with (Commence par), Contains (Contient), Does not contain (Ne contient pas), or Ends with (Se termine par). Si les colonnes © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 121 Composants et actions communs des règles Prise en main des règles affichent une date, vous pouvez filtrer une date donnée ou une plage de date à l’aide des opérateurs suivants : Is equal to (Est égal à), Is not equal to (N’est pas égal à), Is after or equal to (Est après ou égal à), Is after, Is before or equal to (Est avant ou égal à) ou Is before (Est avant). La console ESM identifie les colonnes faisant l’objet d’un filtrage actif à l’aide d’un icône de filtrage arrière-plan bleu. Pour supprimer le filtre, cliquez sur l’icône, puis sélectionnez Clear (Effacer). et d’un Le tableau suivant présente les colonnes, les opérateurs et les valeurs que vous pouvez utiliser pour filtrer les règles. Colonne Opérateurs Valeur Rule Status (État de la règle) • Is equal to (Est égal à) • Is not equal to (N’est pas égal à) • Starts with (Commence par) • Contains (Contient) • Does not contain (Ne contient pas) • Ends with (Se termine par) • Pending (En attente)—Règles enregistrées qui n’ont pas encore été appliquées. • Active (Actives)—Règles qui ont été appliquées. • Inactive (Inactives)—Règles qui ont été désactivées. • Historic (Historique)—Règles qui ont été supprimées. • Migrated (Migrées)—Règles qui ont été créées dans d’anciens versions et qui ont été mises à jour afin de prendre en charge une nouvelle configuration. Name (Nom) • Is equal to (Est égal à) <string> • Is not equal to (N’est pas égal à) • Starts with (Commence par) • Contient • Does not contain (Ne contient pas) • Ends with (Se termine par) Description • Is equal to (Est égal à) <string> • Is not equal to (N’est pas égal à) • Starts with (Commence par) • Contient • Does not contain (Ne contient pas) • Ends with (Se termine par) Date Modified (Date modifiée) • Is equal to (Est égal à) <mm/jj/aaaa> • Is not equal to (N’est pas égal à) • Is after or equal to (Est après ou égal à) • Is after (Est après) • Is before or equal to (Est avant ou égal à) • Is before (Est avant) 122 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Prise en main des règles Composants et actions communs des règles Désactiver ou activer toutes les règles de protection Si la stratégie de sécurité relative à la protection des points de terminaison cause des problèmes pour les points de terminaison dans votre organisation, vous pouvez rapidement désactiver toutes les règles de stratégie, y compris les règles de stratégie par défaut. La désactivation de la protection supprime effectivement toutes les restrictions et interrompt les tâches suivantes : l’injection de Traps dans tous les futurs processus ; la validation avec WildFire ; la collecte d’autres données. La modification des règles des stratégies de sécurité lorsque la protection est désactivée ne prend effet que lorsque la protection est réactivée. Après la désactivation de la protection et la résolution des problèmes, vous pouvez rétablir toutes les règles de stratégie en même temps en activant toutes les protections. (L’activation de la protection n’active pas les règles qui étaient désactivées au préalable.) Dans un scénario où vous avez besoin de désactiver une seule règle ou un petit groupe de règles, vous pouvez sélectionner et désactiver ces règles individuellement à partir de la page de gestion des règles qui est spécifique à ce type de règle. Désactiver ou activer toutes les règles de protection Step 1 Depuis la console ESM, sélectionnez une page de gestion de règle, comme Policies (Politiques) > Malware (Logiciels malveillants) > Restrictions. Step 2 Effectuez l’une des actions suivantes : • Pour désactiver la protection, cliquez sur Disable All Protection (Désactiver toutes les protections). ESM désactive toutes les règles et envoie la stratégie de sécurité à jour aux points de terminaison lors de la prochaine communication de pulsation avec les agents Traps. • Pour activer la protection, cliquez sur Enable All Protection (Activer toutes les protections). ESM réactive toutes les règles et envoie la stratégie de sécurité des points de terminaison à jour aux points de terminaison lors de la prochaine communication de pulsation avec les agents Traps. Afficher ou Masquer les règles de stratégie par défaut La stratégie de sécurité de Endpoint Security Manager est préconfigurée et comporte des règles qui protègent contre les attaques qui profitent des vulnérabilités et des exploitations courantes du logiciel ainsi que des vecteurs d’attaques. Lors de la configuration de nouvelles règles, vous pouvez adopter le comportement par défaut ou vous pouvez substituer les paramètres au besoin pour personnaliser la stratégie de sécurité de votre organisation. Pour réduire le nombre de règles que vous voyez dans votre stratégie de sécurité, les règles par défaut sont groupées sous une seule stratégie par défaut. Pour développer et afficher les règles de stratégie par défaut, sélectionnez Show Default Rules (Afficher les règles par défaut) dans le menu d’action en haut de la page. Pour réduire la liste des règles, servez-vous de l’action Hide Default Rules (Masquer les règles par défaut). Pour substituer une règle par défaut, vous pouvez la cloner et modifier ses paramètres. Dans l’éventualité où des règles sont similaires, c’est la règle la plus récente qui a préséance sur les règles plus anciennes. L’option Clone est offerte lorsque vous utilisez l’action Show Default Rules (Afficher les règles par défaut). Il suffit de sélectionner la règle souhaitée pour afficher des informations supplémentaires. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 123 Composants et actions communs des règles 124 • Traps 3.3 Guide de l’administrateur Prise en main des règles © Palo Alto Networks, Inc. Protection contre les attaques Gérer les processus Gérer les règles de protection contre les attaques © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 125 Gérer les processus Protection contre les attaques Gérer les processus Par défaut, Endpoint Security Manager protège les processus les plus vulnérables et les plus couramment utilisés dans les environnements Windows. Les détails sur ces processus sont disponibles sur la page Process Management (Gestion des processus) et incluent les informations sur le type de protection, le nombre d’ordinateurs qui exécutent le processus, ainsi que la date et l’heure de la première découverte du processus. Les processus sont classés selon trois catégories : Protected (Protégé), Unprotected (Non protégé) ou Provisional (Provisoire). Le but de l’état Provisional (Provisoire) est d’indiquer que le processus subi un essai d’exécution en tant que processus protégé, habituellement sur un petit nombre de points de terminaison et avec un petit nombre de règles. Une fois l’essai d’exécution terminé et après avoir effectué les ajustements nécessaires aux règles associées, vous pouvez modifier le type de processus à l’état Protected (Protégé). Vous pouvez activer la collecte des nouveaux processus en activant WildFire (se reporter à la section Activation de WildFire) ou en créant une règle de paramètres d’agent pour collecter des informations sur les nouveaux processus (se reporter à la section Collecter les informations sur les nouveaux processus). Lorsque de nouveaux processus ou fichiers exécutables s’exécutent sur vos points de terminaison, Traps les signale à Endpoint Security Manager. Vous pouvez aussi ajouter une protection à d’autres applications de tiers et propriétaires sans collecter les informations sur les nouveaux processus en ajoutant ces applications directement à la liste des processus protégés sur la page Process Management (Gestion des processus). Protection des processus Ajouter un processus Protégé, Provisoire ou Non protégé Importer ou exporter un processus Afficher, modifier ou supprimer un processus Afficher les processus actuellement protégés par Traps 126 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Protection contre les attaques Gérer les processus Protection des processus Par défaut, la console ESM de Traps 3.3 protège les processus suivants. Processus protégés par défaut • • • • • • • • • • • • • • • • • • • • • • • • • • 7z.exe 7zfm.exe 7zg.exe acrobat.exe acrord32.exe acrord32info.exe amp.exe applemobiledeviceservice. exe apwebgrb.exe armsvc.exe browser_broker.exe bsplayer.exe chrome.exe cmd.exe corelcreatorclient.exe corelcreatormessages.exe ctfmon.exe cuteftppro.exe divx player.exe divx plus player.exe divxconverterlauncher.exe divxupdate.exe dllhost.exe excel.exe explorer.exe filezilla.exe • • • • • • • • • • • • • • • • • • • • • • • • • • firefox.exe flashfxp.exe fotoslate4.exe foxit reader.exe foxitreader.exe ftp.exe ftpbasicsvr.exe groovemonitor.exe hxmail.exe i_view32.exe icq.exe icqlite.exe iexplore.exe infopath.exe ipodservice.exe itunes.exe ituneshelper.exe journal.exe jqs.exe microsoft.photos.exe microsoftedge.exe microsoftedgecp.exe mirc.exe msaccess.exe msnmsgr.exe mspub.exe • • • • • • • • • • • • • • • • • • • • • • • • • • nginx.exe notepad.exe notepad++.exe nslookup.exe opera.exe opera_plugin_wrapper.exe outlook.exe plugin-container.exe powerpnt.exe pptview.exe qttask.exe quicktimeplayer.exe rar.exe reader_sl.exe realconverter.exe realplay.exe realsched.exe rundll32.exe runtimebroker.exe safari.exe skype.exe soffice.exe spoolsv.exe svchost.exe sws.exe taskeng.exe • • • • • • • • • • • • • • • • • • • • • • • • • taskhost.exe telnet.exe unrar.exe vboxservice.exe vboxsvc.exe vboxtray.exe video.ui.exe visio.exe vlc.exe vpreview.exe webkit2webprocess.exe wftp.exe winamp.exe winampa.exe winrar.exe winword.exe winzip32.exe winzip64.exe wireshark.exe wmiprvse.exe wmplayer.exe wmpnetwk.exe wwahost.exe xftp.exe xpsrchvw.exe Ajouter un processus Protégé, Provisoire ou Non protégé Un processus est une instance active d’un programme exécuté par le système d’exploitation. À partir du Gestionnaire des tâches Windows sur le point de terminaison, vous pouvez voir tous les processus actifs qui s’exécutent actuellement, y compris les processus système de base. De nombreux processus de base sont protégés par le système d’opération et ne peuvent être renommés. La modification du nom de ces processus système—par exemple, la modification du nom du processus calc.exe en calc1.exe—peut amener le processus à ne plus fonctionner. Étant donné que Traps identifie les processus par leur nom, la modification du nom d’un processus peut également empêcher Traps d’appliquer les règles de protection au processus nouvellement renommé. La console ESM est préconfigurée avec une politique de prévention d’attaque par défaut qui protège les processus les plus vulnérables et les plus couramment utilisés. Vous pouvez protéger d’autres applications non courantes, de tiers et propriétaires en ajoutant leur nom à la liste des processus protégés. Chaque règle © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 127 Gérer les processus Protection contre les attaques dans la stratégie de prévention d’attaque protège un ou plusieurs processus contre un type donné d’attaque ou de vulnérabilité à l’aide de modules de protection contre les attaques (EPM). Selon la configuration, Traps peut activer le module de protection contre les attaques dans tous les processus ou pour des noms de processus donnés. L’ajout d’un nouveau processus à la liste des processus protégés vous permet de le protéger automatiquement - sans aucune autre configuration - à l’aide des règles de prévention d’attaque qui s’appliquent à tous les processus. Pour garantir la poursuite du processus de protection, nous recommandons de ne pas modifier le nom des processus couramment utilisés sur le système. Si la modification d’un nom s’avère nécessaire, assurez-vous d’ajouter le processus nouvellement renommé aux processus protégé et de reproduire les règles de protection qui s’appliquaient à l’ancien nom. Au besoin, vous pouvez également configurer d’autres règles de protection contre les attaques pour protéger le processus. En étendant la protection aux applications importantes pour votre organisation, vous pouvez fournir une protection maximale avec un minimum de perturbation des activités quotidiennes. Ajoutez les processus avec l’état protégé, provisoire ou non protégé et configurez-les en utilisant la page Process Management (Gestion des processus). Vous pouvez uniquement configurer les règles de protection contre les attaques sur les processus Protected (Protégés) ou Provisional (Provisoires). Vous ne pouvez pas modifier les processus Protected (Protégés) par défaut qui sont inclus dans la configuration initiale. Consultez l’équipe d’assistance Palo Alto Networks pour toute question. Ajouter un processus Protégé, Provisoire ou Non protégé Step 1 Accédez à la page Process Management. À partir de la console ESM, sélectionnez Policies (Politiques) > Exploit (Attaque) > Process Management (Gestion des processus). 128 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Protection contre les attaques Gérer les processus Ajouter un processus Protégé, Provisoire ou Non protégé (Continued) Step 2 Step 3 Ajoutez un nouveau processus. Enregistrez vos modification au processus protégé. 1. Cliquez sur Add (Ajouter). 2. Saisissez le nom du processus (Process name). 3. Sélectionnez le type de protection (Protection type) : • Protected (Protégé)—Indique que les règles de sécurité protègent activement le processus. • Provisional (Provisoire)—Vous permet de séparer logiquement les processus protégés des processus qui subissent un essai de fonctionnement en tant que processus protégés. • Unprotected (Non protégé)—Indique que les règles de sécurité ne protègent pas activement le processus. Cliquez sur Create (Créer) Importer ou exporter un processus Utilisez les fonctions d’exportation et importation dans la console ESM pour sauvegarder une ou plusieurs définitions de processus utilisées dans votre stratégie de sécurité. Les fonctions d’exportation et importation vous permettent de sauvegarder les processus avant la migration ou la mise à niveau vers un nouveau serveur ou le déploiement d’un processus géré vers plusieurs serveurs indépendants. Vous pouvez exporter les processus de manière globale ou individuelle et les enregistrer dans un fichier XML. La fonction d’importation ajoute les processus importés à la liste existante des processus par défaut et ajoutés et affiche également leurs types de protection. Importer ou exporter un processus Step 1 Accédez à la page Process Management À partir de la console ESM, sélectionnez Policies (Politiques) > (Gestion des processus) Exploit > (Attaque) Process Management (Gestion des processus). Step 2 Importez ou exportez un ou plusieurs processus. © Palo Alto Networks, Inc. • Pour importer les processus, cliquez sur l’action du menu, puis sélectionnez Import processes (Importer les processus). Accédez (Browse) au fichier qui contient les détails sur les processus que vous souhaitez importer et chargez-le (Upload). Les processus apparaissent dans le tableau une fois que le chargement est terminé. • Pour exporter les processus, sélectionnez un ou plusieurs processus que vous voulez exporter. Dans le menu d’action , sélectionnez Export selected (Sélection de l’exportation). La console ESM enregistre les processus dans un fichier XML. Traps 3.3 Guide de l’administrateur • 129 Gérer les processus Protection contre les attaques Afficher, modifier ou supprimer un processus La page Processes Management (Gestion des processus) dans la console ESM affiche tous les processus que la stratégie de sécurité de votre organisation protège. Pour modifier ou supprimer un processus, vous devez d’abord retirer le processus de toutes les règles associées. Afficher, modifier ou supprimer un processus Step 1 Accédez à la page Process Management À partir de la console ESM, sélectionnez Policies (Politiques > (Gestion des processus). Exploit (Attaque) > Process Management (Gestion des processus). Step 2 Afficher les processus dans le tableau Process Management. Utilisez les contrôles de page en haut du tableau pour voir différentes portions du tableau. Les champs suivants sont affichés : • Process (Processus)—Nom de fichier du fichier exécutable du processus. • Protection Type (Type de protection)—Protégé, non protégé, ou provisoire. • Computers (Ordinateurs)—Nombre de points de terminaison sur lesquels le processus a été exécuté. • Linked Rules (Règles liées)—Nombre de règles configurées pour le processus. • First Discovered On (Première détection sur)—Nom du point de terminaison sur lequel le processus a été découvert la première fois. • First Seen (Première analyse)—Date et heure de la première découverte du processus sur le point de terminaison (après réception d’une règle pour signaler les nouveaux processus). Step 3 Supprimez ou modifiez le processus. Si le processus est utilisé dans toutes les règles, vous devez d’abord dissocier (supprimer) le processus de la règle. Une fois le processus dissocié, vous pouvez sélectionner le nom du processus et effectuez l’une des actions suivantes : • Supprimez (Delete) le processus. • Modifiez le nom du processus (Process Name), puis enregistrez (Save) vos modifications. • Modifiez le type de protection (Protection type), puis enregistrez (Save) vos modifications. 130 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Protection contre les attaques Gérer les processus Afficher les processus actuellement protégés par Traps Lorsqu’un utilisateur crée ou ouvre un processus protégé sur un point de terminaison, l’agent Traps injecte un module de protection, appelé module de prévention d’attaque (EPM), au sein du processus. Les règles de stratégie de sécurité du point de terminaison déterminent les EPM qui sont injectés dans les processus. Vous pouvez voir les processus actuellement protégés par Traps en utilisant la console Traps ou une interface en ligne de commande appelée Cytool (voir Afficher les processus actuellement protégés par Traps). L’onglet Protection sur la console Traps affiche les processus actuellement protégés par Traps. Pour chaque processus, Traps affiche le nom, la description, le numéro d’identifiant unique, l’heure à laquelle le processus a été lancé et le registre d’allocation de mémoire. Afficher les processus actuellement protégés par Traps Step 1 Step 2 Lancez la console Traps : • Depuis la zone de notification de Windows, effectuez un double clic sur l’icône Traps clic droit sur l’icône et sélectionnez Console. • Exécutez CyveraConsole.exe à partir du dossier d’installation de Traps. La console Traps se lance. ou effectuez un Sélectionnez l’onglet Advanced (Avancé) > Protection pour afficher les processus protégés. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 131 Gérer les règles de protection contre les attaques Protection contre les attaques Gérer les règles de protection contre les attaques Règles de protection contre les attaques Hiérarchie des règles de protection contre les attaques Modules de protection contre les attaques (EPM) Stratégie de protection contre les attaques par défaut Créer une règle de protection contre les attaques Exclure un point de terminaison d’une règle de protection contre les attaques Règles de protection contre les attaques Une règle de protection contre les attaques utilise les Modules de protection contre les attaques (EPM) pour protéger les processus de votre organisation contre les techniques d’exploitation spécifiques. Un EPM est un module de code que vous activez pour un ou plusieurs processus afin d’éviter les attaques aux vulnérabilités du programme basées sur la corruption de mémoire ou sur des failles logiques. La Stratégie de protection contre les attaques par défaut comprend un ensemble préconfiguré de règles de protection contre les attaques qui sont activées pour les processus protégés couramment utilisés. Pour protéger les processus et autres applications qui sont importants pour votre organisation, vous pouvez les ajouter à la liste des processus protégés ou provisoires, puis configurer des règles de protection contre les attaques supplémentaires. Par exemple, pour protéger deux processus que votre organisation utilise (par exemple, ProcessA.exe et ProcessB.exe) contre un type d’attaque de corruption de la mémoire, nommé return oriented programming (programmation orientée retour ; ROP), vous pouvez ajouter les processus à la liste des processus protégés, puis créer une règle de protection contre les attaques qui active l’EPM d’atténuation ROP. Lorsqu’un utilisateur ouvre un fichier ou un URL, l’agent Traps injecte du code dans le ou les processus protégés qui sont impliqués par l’ouverture du fichier et active l’EPM. Si le fichier contient du code conçu pour exploiter les API utilisées dans les chaînes ROP, Traps bloque l’attaque par corruption de mémoire. Lorsqu’un évènement de sécurité déclenche une prévention, l’agent Traps prend également un instantané de la mémoire pour l’investigation numérique suivante. L’agent Traps récupère régulièrement la stratégie de sécurité la plus récente sur le serveur ESM. La stratégie de sécurité détermine les processus qui sont protégés par Traps et le type d’EPM que Traps active pour protéger le processus. Affichez un récapitulatif des règles de protection contre les attaques sur la page Policies (Politiques) > Exploit (Attaque) > Protection Modules (Modules de protection). La sélection d’une règle sur la page affiche d’autres informations sur la règle et les autres actions que vous pouvez entreprendre à l’égard de la règle (supprimer (Delete), activer/désactiver (Activate/Deactivate), ou modifier (Edit) la règle). Pour plus d’informations, voir Gérer les règles de protection contre les attaques. Consultez l’assistance Palo Alto Networks avant d’effectuer toute modification aux EPM dans les règles de stratégie de sécurité. 132 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Protection contre les attaques Gérer les règles de protection contre les attaques Hiérarchie des règles de protection contre les attaques Lorsque de nouvelles règles de protection contre les attaques sont ajoutées à la stratégie de sécurité, le mécanisme de règle Traps fusionne toutes les règles configurées dans une stratégie efficace qui est évaluée pour chaque point de terminaison. Dans le cas d’un conflit potentiel entre deux règles ou plus, Traps se sert des considérations suivantes pour déterminer la règle qui s’applique : Process specificity (Spécificité du processus)—Plus une règle est spécifique, plus le niveau de priorité est élevé. Par exemple, une règle qui a été configurée pour un processus donné a préséance sur une règle qui a été configurée pour tous les processus. Modification date (Date de modification)—Une règle qui a été créée ou modifiée récemment a la priorité sur une règle plus ancienne. Modules de protection contre les attaques (EPM) Le tableau suivant décrit les types d’EPM et le type d’attaque contre lequel chaque module fournit une protection. Nom Type Description Protection CPL Faille logique logicielle Protège contre les vulnérabilités liées à la routine d’affichage pour les images de raccourci du panneau de configuration de Windows, qui peut être utilisée comme vecteur d’infection. DEP Corruption de mémoire Prévention d’exécution des données (DEP). Empêche l’exécution d’un code exécutable aux zones de mémoire désignées comme contenant des données. Sécurité DLL Corruption de mémoire Empêche l’accès aux métadonnées cruciales de DLL à partir d’emplacements de code douteux. Protection contre le détournement de DLL Faille logique logicielle Empêche les attaques de détournement de DLL où le pirate tente de charger des DLL à partir d’emplacements non sécurisés pour obtenir le contrôle d’un processus. Vérification des exceptions de pulvérisation sur le tas Corruption de mémoire Détecte les instances de type heap spray lors de l’occurrence de plantages de processus suspects (indicatives de tentatives d’exploitation). Protection des polices Faille logique logicielle Empêche la manipulation incorrecte des polices, cible courante des attaques. Cookies GS Faille logique logicielle Protège contre une technique d’attaque courante qui tire partie du dépassement de tampon pour exploiter un code qui n’applique pas les restrictions de taille du tampon. Un dépassement de tampon résulte de l’entropie des contrôles de sécurité du tampon de Windows. Une modification de la taille du cookie de sécurité qui est utilisé pour allouer l’espace indique que la pile peut avoir été réécrite ; le processus est terminé si une valeur différente est détectée. Mitigation de corruption de tas Corruption de mémoire Empêche le déclenchement des vulnérabilités de corruption de tas comme le double libération. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 133 Gérer les règles de protection contre les attaques Protection contre les attaques Nom Type Description Protection des correctifs Faille logique logicielle Empêche l’utilisation des fonctions du système pour contourner la DEP et la distribution aléatoire de l’espace d’adressage (ASLR). Atténuation JIT Corruption de mémoire Empêche un pirate de contourner les atténuations de mémoire du système d’exploitation en utilisant les moteurs de compilation just-in-time (juste à temps ; JIT). En mode ninja, vous pouvez également configurer des listes blanches et des crochets avancés pour ce module. Préaffectation de bibliothèques Corruption de mémoire Applique le réadressage de modules spécifiques que l’exploitation tente couramment d’utiliser. Vérification de la pulvérisation sur le tas de mémoire limité Corruption de mémoire Détecte les instances de type heap spray qui utilisent l’algorithme propriétaire de Palo Alto Networks, qui est déclenché par une augmentation soudaine de la consommation de mémoire (indicative d’une exploitation en cours). Protection contre le Corruption de déréférencement mémoire NULL Empêche un code malicieux d’effectuer la mise en correspondance avec l’adresse zéro dans l’espace mémoire, rendant ainsi inexploitable les vulnérabilités de déréférence de pointeur Null. DLL compressées Corruption de mémoire Une extension du module de sécurité DLL qui fournit la prise en charge des DLL condensées qui seront décondensées en mémoire. Vérification périodique de la pulvérisation sur le tas Corruption de mémoire Détecte les instances de type heap spray qui utilisent l’algorithme propriétaire de Palo Alto Networks en examinant le tas à des intervalles de temps prédéfinis. Préaffectation aléatoire Corruption de mémoire Augmente l’entropie de la disposition de mémoire du processus pour réduire les possibilités d’attaque réussie. Atténuation ROP Corruption de mémoire Protège contre l’utilisation de la programmation orientée retour (ROP) en protégeant les API utilisées dans les chaînes ROP. Protection SEH Corruption de mémoire Empêche le détournement du gestionnaire d’exception structuré (SEH), une structure de contrôle d’attaque couramment utilisée appelée Liste liée, qui contient une séquence d’enregistrements de fonctions. Préaffectation de codes Shell Corruption de mémoire Réserver et protège certaines zones de la mémoire couramment utilisées pour loger les charges utiles en utilisant des techniques de type heap spray. Protection du ShellLink Faille logique logicielle Empêche les vulnérabilités logiques de lien shell. SysExit Corruption de mémoire Protège contre l’utilisation de la programmation orientée retour (ROP) en protégeant les API utilisées dans les chaînes ROP. UASLR Corruption de mémoire Améliore ou implémente complètement ASLR (randomisation de l’emplacement du module) avec une meilleure entropie, robustesse et une application stricte. 134 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Protection contre les attaques Gérer les règles de protection contre les attaques Stratégie de protection contre les attaques par défaut Par défaut, la stratégie de sécurité de Endpoint Security Manager contient des Règles de protection contre les attaques qui sont activées pour la protection contre les attaques qui profitent des vulnérabilités et exploitations courantes du logiciel. Le tableau suivant décrit les paramètres de la stratégie de protection contre les attaques par défaut. Lors de la configuration de nouvelles règles de protection contre les attaques, vous pouvez adopter le comportement par défaut affiché dans la colonne Mode et notification utilisateur ou vous pouvez substituer les paramètres pour répondre aux exigences de la stratégie de sécurité de votre entreprise. Pour configurer les paramètres EPM et les EPM avancés vous devez saisir le mot de passe du mode ninja . EPM Activé par défaut ? Mode Notification utilisateur Protection CPL pour certains processus Notification de DEP sur certains systèmes d’exploitation Prévention relative à la sécurité DLL Prévention relative à la protection contre le détournement de DLL Notification lors de la vérification des exceptions de pulvérisation sur le tas Prévention relative à la protection des polices Prévention relative aux génériques Prévention relative à la mitigation de corruption de tas Prévention relative à la protection des correctifs Prévention relative à Prévention relative à la Prévention relative à la vérification de la pulvérisation sur le tas de mémoire limité Prévention relative à la protection contre le déréférencement NULL Prévention relative aux Mode ninja ? cookies GS l’atténuation JAT pour certains processus préaffectation de bibliothèques SEH maître VEH maître DLL compressées Liste vide par défaut Prévention de la vérification périodique de la pulvérisation sur le tas pour certains processus Prévention © Palo Alto Networks, Inc. relative à la Traps 3.3 Guide de l’administrateur • 135 Gérer les règles de protection contre les attaques EPM Mode Notification utilisateur préaffectation aléatoire Prévention relative à l’atténuation ROP Prévention relative à la protection SEH Prévention relative à la préaffectation de codes Shell Prévention relative à la protection du ShellLink Prévention relative à SysExit Prévention relative à la Prévention relative à la Prévention relative à la compatibilité T01 Activé par défaut ? Protection contre les attaques pour certains processus UASLR Mode ninja ? protection URI Créer une règle de protection contre les attaques Une règle de protection contre les attaques utilise les Modules de protection contre les attaques (EPM) pour protéger les processus de votre organisation contre les technique d’exploitation spécifique. Créez une règle de protection contre les attaques pour définir le module spécifique utilisé pour protéger les processus d’usage courant dans votre organisation. Chaque module empêche les tentatives d’exploitation les vulnérabilités des programmes liées à la corruption de mémoire ou à des failles logiques des logiciels et protège contre une méthode d’attaque spécifique, comme le détournement de DLL ou la corruption du tas. Activez un module EPM pour protéger un ou plusieurs processus qui peuvent être vulnérables à un type particulier d’attaque. Pour chaque règle de protection contre les attaques que vous ajoutez, configurez des paramètres propres au EPM et choisissez le ou les processus auxquels la règle s’applique (vous pouvez préciser un seul processus, plusieurs processus ou tous les processus). Généralement, ces paramètres comprennent l’activation du EPM, le comportement de Traps et l’envoi de notifications aux utilisateurs. 136 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Protection contre les attaques Gérer les règles de protection contre les attaques Comme c’est le cas pour les autres types de règles, vous pouvez réduire la portée d’une règle de protection contre les attaques en spécifiant les Objets cibles et les Conditions qui doivent être satisfaits pour que la règle s’applique. Un objet cible peut être tout utilisateur, groupe, unité d’organisation ou ordinateur qui apparaît dans Active Directory ou dans tout point de terminaison existant sur lequel l’agent Traps est installé. Une condition peut se référer à un fichier donné, à une certaine version ou plage de versions d’un fichier, ou à un chemin du registre qui doit exister sur le point de terminaison. Des EPM et des paramètres affinés supplémentaires sont cachés et ne sont accessibles qu’en mode ninja Pour configurer les paramètres et les EPM, vous devez saisir un mot de passe d’administrateur . La configuration des règles de protection contre les attaques est une fonctionnalité avancée. Pour modifier ou substituer une règle de protection contre les attaques, consultez l’équipe d’assistance Palo Alto Networks. Créer une nouvelle règle de protection contre les attaques Step 1 Configurez une nouvelle règle de protection contre les attaques. Sélectionnez Policies (Politiques) > Exploit (Attaque) > Protection Modules (Modules de protection), puis ajoutez (Add) une nouvelle règle. Step 2 Configurez l’injection de l’EPM. L’injection de l’EPM est activée par défaut. Pour désactiver la protection contre les attaques de tous les processus protégés sur votre système, sélectionnez l’option Disable All EPM Injection (Désactiver toutes les injections de l’EPM), qui se trouve au bas de la liste des EPM. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 137 Gérer les règles de protection contre les attaques Protection contre les attaques Créer une nouvelle règle de protection contre les attaques (Continued) Step 3 Step 4 Configurez les paramètres du module EPM. 1. Sélectionnez l’EPM dans la liste et configurez ses paramètres dans la section Details (Détails). Les paramètres pour chaque type d’EPM sont différents, mais peuvent inclure des préférences indiquant s’il faut ou non terminer un processus et avertir l’utilisateur à propos d’un évènement de sécurité. 2. Répétez l’opération pour ajouter et configurer d’autres EPM. Pour plus d’informations sur les différents types d’EPM, voir Règles de protection contre les attaques. La modification des définitions d’EPM modifie l’ordre d’évaluation des règles et peut avoir un effet sur votre degré de protection (voir Application de la stratégie). Pour éviter de compromettre la sécurité de votre organisation, consultez l’assistance Palo Alto Networks. Sélectionnez les processus pour lesquels 1. vous voulez appliquer la règle. 2. Avant de configurer une règle de protection contre les attaques sur un nouveau processus, vous devez définir le processus et le type de protection sur la page Policies (Politiques) > Exploit (Attaque) > Process Management (Gestion des processus). Pour ajouter un 3. nouveau processus, voir Ajouter un processus Protégé, Provisoire ou Non protégé. Pour modifier le type de protection d’un processus, par exemple de l’état inconnu (Unknown) à l’état protégé (Protected), voir Afficher, modifier ou supprimer un processus. Sélectionnez l’onglet Processes (Processus). Limitez la liste des processus en sélectionnant le type de processus dans le menu déroulant (protégé (Protected) ou provisoire (Provisional)). Les processus provisoires sont des processus qui subissent un essai de fonctionnement et sont surveillés séparément des processus protégés. Pour obtenir une liste des processus qui sont protégés par la stratégie de sécurité par défaut, voir Protection des processus. Sélectionnez un ou plusieurs processus auxquels appliquer la règle et cliquez sur Add (Ajouter). Pour appliquer la règle à tous les processus protégés ou provisoires, vous pouvez sélectionner All Processes (Tous les processus). Pour spécifier une condition, sélectionnez l’onglet Conditions (conditions), sélectionnez ensuite la condition dans la liste Conditions, puis ajoutez-la (Add) à la liste Selected Conditions (conditions sélectionnées). Répétez cette étape pour ajouter d’autres conditions, au besoin. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d’activation pour une règle. Step 5 (En option) Ajoutez des Conditions à la règle. Par défaut, une nouvelle règle ne contient aucune condition. Step 6 (En option) Définissez les Objets cibles Pour définir un sous-groupe plus petit d’objets cibles, sélectionnez auxquels s’applique la règle de restriction. l’onglet Objects, puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d’organisation (Organizational Units) ou points de terminaison existants (Existing Endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d’organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Step 7 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle; elle vous permet toutefois de modifier ces champs, au besoin. 138 • Traps 3.3 Guide de l’administrateur Pour substituer le nom généré automatiquement, sélectionnez l’onglet Name (Nom), effacez l’option Activate automatic description (Activer la description automatique), puis saisissez un nom et une description de règle de votre choix. © Palo Alto Networks, Inc. Protection contre les attaques Gérer les règles de protection contre les attaques Créer une nouvelle règle de protection contre les attaques (Continued) Step 8 Enregistrez la règle de protection contre Effectuez l’une des actions suivantes : les attaques. • Enregistrez (Save) la règle sans l’activer. Cette option n’est offerte que pour les nouvelles règles ou pour celles qui sont inactives ou clonées. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle dans la page Policies (Politique) > Exploit (Attaque) > Protection Modules (Modules de protection), puis cliquez sur Activate (Activer). • Appliquez (Apply) la règle pour l’activer immédiatement. Après avoir enregistré ou appliqué une règle, vous pouvez revenir à la page Protection Modules (Modules de protection) en tout temps pour l’effacer (Delete) ou la désactiver (Deactivate). Exclure un point de terminaison d’une règle de protection contre les attaques Lorsqu’un point de terminaison tente de lancer une application qui viole une stratégie de protection contre les attaques, l’agent Traps interrompt l’exécution du processus et signale le processus malicieux à Endpoint Security Manager. La page Security Events (Événements de sécurité) > Threats (Menaces) fournit des informations détaillées sur les processus qui déclenchent des évènements de sécurité et sur les modules de prévention d’attaque (EPM) qui empêchent les attaques. Pour autoriser l’exécution du processus sur un point de terminaison spécifique sans supprimer ou désactiver la règle de stratégie, créez une règle d’exclusion basée sur les détails de l’évènement de sécurité. La définition d’une règle d’exclusion désactive l’EPM qui a empêché l’exécution du processus sur un point de terminaison spécifique. Pour éviter l’exposition inutile de votre organisation aux attaques, ne créez des règles d’exclusion que lorsque cela est nécessaire. Vous pouvez aussi créer des règles d’exclusion pour un ou plusieurs objets d’organisation (voir Créer une règle de protection contre les attaques). Exclure un point de terminaison d’une règle de protection contre les attaques Step 1 Lancez la page Threats (Menaces). Depuis la console ESM, sélectionnez Security Events (Événements de sécurité) > Threats (Menaces). Step 2 Sélectionnez l’évènement. Sélectionnez l’évènement de sécurité pour lequel vous voulez créer la règle d’exclusion. L’évènement se développe pour afficher d’autres détails et actions concernant l’évènement de sécurité. Step 3 Créez une règle d’exclusion. 1. Cliquez sur Create (Créer) pour remplir la règle avec les détails sur l’EPM et le point de terminaison spécifiques. Le bouton est disponible uniquement pour les règles de protection contre les attaques. 2. Si nécessaire, examinez les détails sur les onglets Processes (Processus), Conditions, Objects (Objets) et Name (Nom). 3. Appliquez (Apply) la règle immédiatement ou enregistrez-la (Save) pour l’activer ultérieurement. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 139 Gérer les règles de protection contre les attaques Protection contre les attaques Exclure un point de terminaison d’une règle de protection contre les attaques (Continued) Step 4 Vérifiez que la règle d’exclusion permet l’exécution du processus sur le point de terminaison. 140 • Traps 3.3 Guide de l’administrateur 1. Ouvrez la console Traps. 2. Sélectionnez Check-in now (Vérifier maintenant) pour demander la dernière stratégie de sécurité. 3. Sélectionnez Advanced (Avancé) > Policy (Stratégie) et vérifiez que la règle apparaît. 4. Lancez l’application sur le point de terminaison pour vérifier que l’utilisateur parvient à exécuter le processus. © Palo Alto Networks, Inc. Prévention contre les logiciels malveillants Flux de prévention contre les logiciels malveillants Gérer les règles et paramètres WildFire Gérer les Hashes des fichiers exécutables Gérer les restrictions sur les fichiers exécutables Gérer les règles de protection de Malware © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 141 Flux de prévention contre les logiciels malveillants Prévention contre les logiciels malveillants Flux de prévention contre les logiciels malveillants Le moteur de prévention des logiciels malveillants se concentre sur trois méthodes pour protéger le point final : Analyse WildFire des fichiers exécutables connus et inconnus Règles de la politique de restriction qui examinent la source du fichier Modules de protection des logiciels malveillants qui ciblent les comportements souvent initiés par les processus malveillants Phase 1 : Évaluation des verdicts d’empreinte Phase 2 : Évaluation de la politique de restriction Phase 3 : Évaluation de la politique de prévention de Malware 142 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Prévention contre les logiciels malveillants Flux de prévention contre les logiciels malveillants Phase 1 : Évaluation des verdicts d’empreinte Lorsque WildFire est activé (voir Activation de WildFire), Piège calcule un hash unique en utilisant l’algorithme SHA-256 pour chaque fichier exécutable que l’utilisateur ou le terminal tente d’ouvrir. Traps effectue ensuite une recherche dans son cache local pour déterminer si le hachage correspond à une décision officielle (connue sous le nom WildFire verdict) Pour savoir si le fichier est malveillant ou bénin. Si le hachage ne correspond pas à un verdict dans le cache local, Traps interroge le serveur ESM et, si le serveur ESM n’a pas non plus de verdict pour le hachage, le serveur ESM interroge WildFire. Ces étapes d’évaluation sont décrits plus en détail dans les sections suivantes : Recherche sur le cache local (sur le Endpoint) Le cache du serveur de recherche (dans la base de données) Recherche sur WildFire Mises à jour automatiques des verdicts Mises à jour manuelles des verdicts Recherche sur le cache local (sur le Endpoint) Lorsqu’un utilisateur ouvre un fichier exécutable, l’agent Traps effectue un verdict recherche de hachage dans son cache local. Le cache local est stocké dans le dossier C:\ProgramData\Cyvera\LocalSystem sur le endpoint et que le cache contienne des hashes et les verdicts correspondants pour chaque fichier qu’un utilisateur ou la machine tente d’ouvrir sur ce point de terminaison. Le cache ajuste sa taille pour accueillir le nombre de fichiers exécutables uniques ouverts sur le nœud final. En outre, lorsque la protection de service est activée (voir Gérer la protection de service), les hashs ne sont accessibles que par l’agent Traps et ne peuvent pas être modifiés. Si le verdict pour un hachage est malveillant, Traps signale l’événement de sécurité au gestionnaire de Sécurité Endpoint et, en fonction du comportement de terminaison configuré pour les fichiers malveillants, Traps effectue alors l’une des opérations suivantes : Bloque le fichier exécutable malveillant Il avertit l’utilisateur du fichier mais autorise tout de même l’exécution Il inscrit le problème dans le journal en avertissant l’utilisateur et autorise l’exécution du fichier. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 143 Flux de prévention contre les logiciels malveillants Prévention contre les logiciels malveillants Si le verdict d’un hachage indique que le fichier associé est bénin, Traps passe à l’étape suivante de l’évaluation (voir Phase 2 : Évaluation de la politique de restriction). Si le hachage n’existe pas dans le cache local ou a un verdict inconnu, Traps interroge le serveur ESM pour voir s’il y a un verdict pour le hachage dans le cache du serveur. Le cache du serveur de recherche (dans la base de données) Après avoir reçu un verdict requête de hachage, le serveur ESM effectue une recherche dans son cache de serveur (dans la base de données) et répond aux Traps par un verdict, s’il est connu. Le cache du serveur contient des verdicts pour tous les fichiers exécutables qui ont été ouverts par tous les paramètres de votre organisation. Si la recherche de hachage rend un verdict bénin, Traps passe à l’étape suivante de l’évaluation (voir Phase 2 : Évaluation de la politique de restriction). Si la recherche de hachage rend un verdict malveillant, Traps enregistre l’événement de sécurité et gère le fichier en fonction de la politique de sécurité pour les fichiers malveillants (typiquement : blocage). Si le cache du serveur ne contient pas de verdict pour le hachage ou contient un verdict Inconnusignifiant que WildFire a déjà reçu une demande de consultation pour le hachage, mais n’a pas analysé le fichier, le serveur ESM va questionner WildFire. Recherche sur WildFire WildFire garde tous les verdicts pour chaque fichier qui ont été soumis et analysés par WildFire, y compris les échantillons soumis par l’équipe Threat Intelligence de Palo Alto Networks et par les clients WildFire. Après avoir reçu une requête de verdict de hachage, WildFire effectue une recherche et répond au serveur ESM avec le verdict : bénin, malveillant ou inconnu. Le serveur ESM met à jour le verdict dans son cache de serveur et renvoie le verdict à l’agent Traps qui a initié la requête. Pour demander à WildFire d’analyser automatiquement les fichiers exécutables qui ont un verdict inconnu, vous pouvez configurer le serveur ESM pour soumettre automatiquement les fichiers (jusqu’à 100Mb chacun) pour une analyse WildFire. Après que WildFire ait analysé le fichier, il met à jour le verdict qu’il a pour le fichier et renvoie ce verdict au moment de répondre aux questions suivantes au sujet de ce hachage. Si l’ajout automatique de fichiers inconnus est désactivé (par défaut), vous pouvez sélectionner manuellement les fichiers à envoyer à WildFire pour analyse. Pour activer téléchargement automatique de fichiers inconnus, voir Activation de WildFire. Dans le cas où le serveur ESM ne peut pas atteindre WildFire, il indique le verdict de hachage comme Pas de connection et renvoie le verdict à l’agent Traps qui a initié la requête. Selon la façon dont vous configurez le comportement de terminaison pour les fichiers avec inconnue, pas de connexion, et malicieux verdicts, Traps ou bloque le fichier ou permet à l’utilisateur de l’ouvrir. Vous pouvez maintenir les hashes et leurs verdicts comme décrit dans Mises à jour automatiques des verdicts et Mises à jour manuelles des verdicts. 144 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Prévention contre les logiciels malveillants Flux de prévention contre les logiciels malveillants Mises à jour automatiques des verdicts Quand WildFire reçoit et analyse de nouveaux échantillons, il met à jour sa base de données de hashes et de verdicts. Pour maintenir à jour un cache de hashes et de verdicts WildFire, le serveur ESM interroge périodiquement WildFire sur les modifications aux verdicts, comme un verdict de hachage qui passe de bénin à malveillant. Le serveur ESM interroge WildFire- en lots de jusqu’à 500 hashes uniques -pour les fichiers qui ont un verdict inconnu, une fois toutes les 30 minutes et interroge également WildFire pour les fichiers qui ont un verdict malveillant ou bénin, qui a été changé au cours des 30 derniers jours. La requête pour les changements de verdict pour les fichiers connus s’exécute toutes les 1440 minutes (24 heures). Utilisez la console ESM pour changer la fréquence des requêtes et de modifier le nombre de jours où WildFire devrait revenir pour chercher des verdicts changés (voir Activation de WildFire). Mises à jour manuelles des verdicts Vous pouvez obtenir une copie officielle du rapport WildFire pour chaque fichier exécutable bénin et malveillant que WildFire a analysé (voir Affichage d’un rapport WildFire). Le rapport contient des informations de fichier, un résumé du comportement sur le fichier exécutable, et des détails sur le réseau et l’activité le l’hôte. Utilisez les informations dans le rapport WildFire pour vous aider à décider de remplacer un verdict ou de revenir un dernier verdict connu verdict par WildFire. Si après avoir examiné le rapport WildFire, vous croyez que l’évaluation est erronée, vous pouvez aussi signaler l’échantillon pour analyse ultérieure par Palo Alto Networks (voir Signaler un verdict incorrect). La substitution d’un verdict ne modifie le verdict que pour un fichier spécifique dans le cache du serveur et n’affecte pas WildFire ni votre stratégie de sécurité globale (voir Remplacer un verdict WildFire). La console ESM affiche le verdict redéfinie sur la page de contrôle Hash. La dérogation reste en place jusqu’à ce que vous la retiriez, à quel moment elle revient au dernier verdict connu par le serveur ESM. Si vous soupçonnez qu’un verdict WildFire ait changé, et vous ne voulez pas attendre que le serveur ESM interroge WildFire pour verdicts modifiés, vous pouvez Revérifier une décision WildFire. Cette action déclenche une requête immédiate à WildFire pour obtenir le verdict courant associé à la table de hachage. Le serveur ESM envoie tout changement de verdict (en raison d’une mise à jour de WildFire ou par commande manuelle) avec la prochaine communication de pulsation à tous les paramètres qui ont ouvert précédemment ce fichier. Phase 2 : Évaluation de la politique de restriction Lorsqu’un utilisateur ou la machine tente d’ouvrir un fichier exécutable, Traps évalue d’abord le verdict de hachage pour le fichier exécutable comme décrit dans Phase 1 : Évaluation des verdicts d’empreinte. Si le fichier exécutable n’est pas malveillant, Traps vérifie ensuite que le fichier exécutable ne viole pas les règles de restriction. Par exemple, vous pourriez avoir une règle de restriction qui bloque les fichiers exécutables non signés ou qui bloque les fichiers exécutables lancés à partir d’emplacements réseau. Si une règle de restriction se rapporte à un fichier exécutable, Traps bloque l’exécution du fichier et rapporte l’événement au gestionnaire de sécurité Endpoint et, en fonction de la configuration de chaque règle de restriction, les Traps peuvent également informer l’utilisateur sur l’événement de prévention. Si aucune règle de restriction n’est applicable à un fichier exécutable, Traps permet au fichier d’exécuter et évalue ensuite les règles qui protègent le critère de comportement malveillant (voir Phase 3 : Évaluation de la politique de prévention de Malware). © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 145 Flux de prévention contre les logiciels malveillants Prévention contre les logiciels malveillants Phase 3 : Évaluation de la politique de prévention de Malware Si un fichier exécutable n’est pas bloqué à la fois par WildFire (comme décrit dans Phase 1 : Évaluation des verdicts d’empreinte) ni par la politique de restriction (telle que décrite dans Phase 2 : Évaluation de la politique de restriction), Traps permet l’exécution du fichier à. Si le fichier exécutable présente un comportement malveillant tel que déterminé par votre politique de prévention des logiciels malveillants, Traps arrête l’exécution du fichier et empêche le comportement malveillant de continuer. Par exemple, considérons le cas où vous avez une règle d’injection de menaces qui empêche les processus de création de menaces distants. Si le lancement de fichiers exécutables et puis tente de créer des menaces distants, Traps bloque le fichier exécutable de continuer à fonctionner et signale l’événement de sécurité au gestionnaire final de sécurité. 146 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Prévention contre les logiciels malveillants Gérer les règles et paramètres WildFire Gérer les règles et paramètres WildFire Activation de WildFire Règles du WildFire Configurer une règle WildFire Activation de WildFire WildFire c’est la solution Sandbox Palo Alto Networks pour l’analyse de fichiers, y compris les fichiers exécutables inconnus. WildFire contient des verdicts pour tous les fichiers scrutées : bénins dans le cas d’un fichier sûr et malveillants dans le cas des logiciels malveillants. L’intégration de WildFire avec Traps est un service optionnel qui intègre l’analyse WildFire dans votre solution Traps de point de terminaison. Lorsqu’un utilisateur ou une machine tente d’ouvrir un fichier exécutable sur le terminal, Traps calcule un identifiant unique (connu sous le nom hash) En utilisant l’algorithme et le vérifie contre la base de données WildFire SHA256. Si WildFire confirme qu’un fichier est connu comme logiciel malveillant, l’agent Traps bloque le fichier et en informe le gestionnaire de sécurité terminal (pour plus d’informations, voir Gérer les Hashes des fichiers exécutables). L’intégration à WildFire est désactivée par défaut ; effectuer les tâches suivantes pour Activation de WildFire. Activation de WildFire Step 1 Dans la console ESM, sélectionnez Paramètres > ESM > WildFire. Step 2 Activer les paramètres de communication WildFire : • Sélectionner Autoriser la communication externe avec WildFire pour permettre à l’ESM de comparer les hashes avec WildFire. • Sélectionner Autoriser le téléchargement des fichiers exécutables vers WildFire pour permettre à l’ESM d’envoyer des fichiers à WildFire pour analyse. La désactivation de cette option de téléchargement permet au serveur ESM de vérifier les verdicts avec WildFire mais pas d’envoyer des fichiers pour l’analyse. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 147 Gérer les règles et paramètres WildFire Prévention contre les logiciels malveillants Activation de WildFire (Continued) Step 3 Dans le champ Intervalle de revérification des verdicts inconnus, entrez la fréquence (en minutes) à laquelle le serveur ESM resoumet les hashes à WildFire pour les fichiers inconnus. Un fichier peut avoir un verdict inconnu si c’est la première fois qu’un point terminal soumet le hachage au serveur ou si WildFire n’a pas encore analysé, ou terminé l’analyse du fichier, (la plage est de 1 à 20160, par défaut 30). Step 4 Dans le intervalle de revérification du verdict Bénin / Malware champ, entrez la fréquence (en minutes) à laquelle le serveur ESM revérifie avec WildFire la valeur du hash bénin ou malveillant connu (la plage est de 1 à 20160, par défaut, 1440). Step 5 Dans le Télécharger l’intervallle de revérification (Minutes) champ, entrez la fréquence (en minutes) à laquelle le serveur ESM tente de re-télécharger tous les fichiers qui n’ont pas été téléchargés à WildFire avec succès (la plage est de 1 à 20160, par défaut 1440). Step 6 Le serveur ESM interroge WildFire toutes les 24 heures ou comme spécifié dans Step 4 pour déterminer quels verdicts, le cas échéant, ont changé au cours des 30 derniers jours (par défaut). Vous pouvez modifier la façon dont le serveur ESM envoie les requêtes pour les verdicts modifiées en spécifiant une valeur de 1 à 30 dans le changement d’intervalle de vérification des verdicts champ. Par exemple, en spécifiant une valeur de 15 signifie que le serveur ESM interrogera les verdicts qui ont changé au cours des 15 derniers jours. Step 7 Entrez l’adresse web du cloud WildFire (https://wildfire.paloaltonetworks.com) qui sera utilisé pour vérifier les hachages et les fichiers. Step 8 Par défaut, le serveur ESM envoie des fichiers jusqu’à 100 Mo à WildFire pour analyse. Pour modifier la taille maximale du fichier, entrez une valeur de 1 à 100 (MB). Les fichiers qui dépassent la taille maximale ne sont pas soumis à WildFire, ni automatiquement ni manuellement. Step 9 Sauvegarder vos modifications. Règles du WildFire Configurez les règles du WildFire pour affiner le comportement et les préférences liées à l’analyse des fichiers exécutables pour différents groupes de Objets cibles. Un objet cible peut être un utilisateur, un groupe, une unité d’organisation ou un ordinateur qui apparaît dans le directoire actif ou tout critère sur lequel l’agent Traps est installé. Le gestionnaire final de sécurité identifie les endpoints par les messages que Traps envoie au serveur. Pour chaque règle du WildFire, vous pouvez configurer les paramètres suivants : Que ce soit pour envoyer des fichiers inconnus à WildFire pour analyse Que Traps informe l’utilisateur sur un fichier exécutable malveillant Le comportement des Traps quand il n’y a pas de communication avec le serveur ou avec WildFire Le comportement des Traps quand WildFire ne reconnaît pas un processus Vous pouvez créer ou modifier des règles sur le WildFire résumé et la page de gestion (Politiques > Malware > WildFire). La sélection d’une règle affiche des informations supplémentaires sur cette règle et d’autres actions que vous pouvez prendre sur la règle (Effacer, Activer/Désactiver, ou modifier). Pour plus d’informations, voir Activation de WildFire. 148 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Prévention contre les logiciels malveillants Gérer les règles et paramètres WildFire Configurer une règle WildFire Lorsque WildFire est activé, Traps calcule un hachage unique pour chaque fichier exécutable et vérifie l’état du fichier avec WildFire. Configurer des règles WildFire vous permet d’affiner les préférences et activer la fonctionnalité pour différents objets cibles. Configurer une règle WildFire Step 1 Vérifiez que WildFire est activé. Step 2 Configurer une règle WildFire. Step 3 (Optionnel) Configurer les paramètres WildFire. Par défaut, WildFire hérite du comportement de la stratégie par défaut mais vous pouvez modifier les paramètres pour répondre aux besoins de votre organisation. © Palo Alto Networks, Inc. Voir Activation de WildFire. 1. Sélectionner Politiques > Malware > WildFire. 2. Ajouter une nouvelle règle ou sélectionnez et modifier une règle existante. 1. Configurer l’activation du WildFire en sélectionnant l’une des options suivantes : • Oui permet l’intégration WildFire pour permettre au Traps de calculer et vérifier les verdicts de hachage contre son cache local de hashes. • Non désactive l’intégration WildFire. 2. Spécifie le action le comportement des Traps quand WildFire confirme qu’un fichier est un exécutable malveillant. • Sélectionner Hériter pour utiliser le comportement défini par la politique par défaut (mode d’apprentissage). • Sélectionner Prévention pour bloquer le fichier exécutable malveillant. • Sélectionner Notification pour permettre à l’utilisateur d’ouvrir le fichier exécutable, soumettre la question, et informer l’utilisateur sur le fichier malveillant. • Sélectionner Apprentissage pour permettre à l’utilisateur d’ouvrir un fichier exécutable malveillant et soumettez la question, mais de ne pas prévenir l’utilisateur. 3. Depuis le Alerte de l’utilisateur menu déroulant, indiquez si Traps informe l’utilisateur sur le fichier exécutable malveillant en sélectionnant Oui ou Non. 4. Pour permettre à l’agent Traps de télécharger des fichiers inconnus sur le serveur ESM, sélectionnez Activé du Télécharger Exécutable Inconnu menu déroulant. 5. Sélectionnez le Comportement de Processus Inconnu le comportement des Traps quand WildFire ne reconnaît pas un processus. • Sélectionner Continuer pour permettre à un utilisateur d’ouvrir un fichier exécutable inconnu. • Sélectionner Stopper pour bloquer un fichier exécutable inconnu. 6. Configurer le comportement des Traps lorsqu’un utilisateur ouvre un fichier exécutable inconnu, mais que les Traps ne peuvent pas atteindre le serveur ESM : Cliquez sur l’icône du mode ninja et entrez le mot de passe superviseur, puis sélectionnez l’une des options suivantes. • Sélectionner Continuer pour permettre à un fichier exécutable de s’ouvrir si Traps ne peut pas atteindre le serveur ESM ou que WildFire ne puisse vérifier la sécurité du fichier. • Sélectionner Mettre fin pour bloquer un fichier exécutable si Traps ne peut atteindre le serveur ESM ou WildFire vérifier la sécurité du fichier. Traps 3.3 Guide de l’administrateur • 149 Gérer les règles et paramètres WildFire Prévention contre les logiciels malveillants Configurer une règle WildFire (Continued) Step 4 (Optionnel) Ajouter Conditions à la règle. Pour spécifier une condition, sélectionnez le Conditions onglet, Par défaut, une nouvelle règle ne sélectionnez la condition dans la liste des Conditions, puis l’ajouter contient pas de conditions. à la liste de conditions sélectionnées. Répétez cette étape pour ajouter d’autres conditions, selon les besoins. Pour ajouter une condition à la liste des Conditions, voir Définir les conditions d’activation pour une règle. Step 5 (Optionnel) Définir la Objets cibles auquel appliquer la règle WildFire. Par défaut, une nouvelle règle est applicable à tous les objets de votre organisation. Step 6 (Optionnel) Examiner le nom de la règle Pour remplacer le nom auto généré, sélectionnez l’Nom onglet, et sa description. La console ESM génère désactivez Activer la description automatique option, puis entrez automatiquement le nom de la règle et sa un nom de la règle et la description de votre choix. description, basée sur les détails de la règle, mais vous permet de modifier ces champs, si nécessaire. Step 7 Enregistrez la règle WildFire. 150 • Traps 3.3 Guide de l’administrateur Pour définir un sous-ensemble d’objets cibles, sélectionnez le Objets onglet, puis entrez un ou plusieurs Utilisateurs, Ordinateurs, Groupes, Unités organisationnelles, ou Endpoints existants dans les zones inclure ou exclure. Le gestionnaire de sécurité terminal interroge le directoire actif pour vérifier les utilisateurs, les ordinateurs, les groupes ou les unités organisationnelles ou identifier les endpoints des précédents messages de communication. Effectuez l’une des opérations suivantes : • Sauvegarder la règle sans l’activer. Cette option est disponible uniquement pour les règles inactives, clonées, ou nouvelles. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle depuis la Politiques > Malware > WildFire page puis cliquez sur Activer. • Appliquer la règle pour l’activer immédiatement. Après l’enregistrement ou l’application d’une règle, vous pouvez revenir à la WildFire page à tout moment pour Effacer ou Désactiver la règle. © Palo Alto Networks, Inc. Prévention contre les logiciels malveillants Gérer les Hashes des fichiers exécutables Gérer les Hashes des fichiers exécutables Lorsque l’intégration WildFire est activée, Traps calcule un hash unique en utilisant l’algorithme SHA-256 pour les fichiers exécutables qui fonctionnent sur un point final et les contrôle à nouveau avec WildFire. La contrôle Hash page affiche la réponse du WildFire pour chaque hachage envoyé au WildFire. Si WildFire a déjà analysé un fichier exécutable et déterminé que c’un est malware, WildFire envoie une réponse qui identifie le fichier exécutable comme Mal intentionné. Si WildFire a déjà analysé un fichier exécutable et déterminé qu’il ne contient pas de code ou de comportement malveillant, WildFire envoie une réponse qui identifie le fichier exécutable comme bénin. Si WildFire n’a pas analysé le fichier exécutable précédemment, il répond avec un statut de Inconnu et, si le serveur ESM ne peut pas atteindre WildFire du tout, le serveur ESM marque l’état du fichier en tant que Pas de connection. Vous pouvez spécifier les actions associées à malveillante, bénigne, inconnu, et aucun verdicts de connexion dans les paramètres d’intégration WildFire (voir Activation de WildFire). Consulter et rechercher les empreintes Exportation et importation d’Hashes Affichage d’un rapport WildFire Remplacer un verdict WildFire Revérifier une décision WildFire Signaler un verdict incorrect Charger un fichier sur WildFire pour l’analyse Consulter et rechercher les empreintes La Contrôle de Hash page affiche un tableau de tous les hashs et leurs verdicts pour les fichiers exécutables rapportés par les agents pièges dans votre organisation. Un champ de recherche en haut de la page vous permet de filtrer les résultats par une chaîne complète ou partielle. Le moteur de recherche interroge les valeurs de hachage, noms de processus et ne renvoie aucun résultat correspondant. La recherche d’une entière valeur de hachage renvoie un rapport pour seulement un hash unique, si trouvé ; la recherche d’un nom de processus renvoie tous les enregistrements de hachage qui correspondent au nom du processus, si trouvé. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 151 Gérer les Hashes des fichiers exécutables Prévention contre les logiciels malveillants Exportation et importation d’Hashes La Control Hash page affiche un tableau de tous les hashes et leurs verdicts pour les fichiers exécutables rapportés par les agents Traps de votre organisation. L’utilisation la fonction d’exportation dans le menu d’action vous permet de sauvegarder des enregistrements de hachage avant de migrer ou d’une mise à niveau vers un nouveau serveur ou avant de déployer des enregistrements de hachage pour plusieurs serveurs indépendants. Vous pouvez exporter des enregistrements de hachage sur une base globale ou individuelle et les enregistrer dans un fichier XML. L’importation des enregistrements de hachage ajoute de nouveaux hachages à la table de contrôle de hachage existant. Exporter et importer les fichiers de hashes Step 1 Dans la console ESM, sélectionnez Politiques > Malware > Contrôle Hash. Step 2 Effectuez l’une des opérations suivantes : • Pour sauvegarder ou exporter les enregistrements de hachage, activez la case à cocher en regard de l’enregistrement que vous souhaitez exporter. Dans le menu d’action en haut de la table, sélectionnez Export Sélectionné. La console ESM enregistre les enregistrements de hachage sélectionnés dans un fichier XML. • Pour restaurer ou importer de nouvelles règles de politique, sélectionnez Importer Hashes à partir du menu actions dans la partie supérieure de la table. Recherchez le fichier XML, puis Télécharger. Affichage d’un rapport WildFire Pour aider à faciliter les décisions de contrôle de hachage, vous pouvez voir une copie officielle du rapport WildFire pour chaque fichier exécutable qu’analyse WildFire. Le serveur ESM remet le rapport et le rend disponible sur la Contrôle Hash page de la console ESM. Le rapport contient des informations de fichier, un résumé du comportement sur le fichier exécutable, et des détails sur le réseau et l’activité d’accueil. Affichage d’un rapport WildFire Step 1 Dans la console ESM, sélectionnez Politiques > Malware > Contrôle Hash. Step 2 Recherchez et sélectionnez le hash pour lequelle vous voulez consulter le rapport. 152 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Prévention contre les logiciels malveillants Gérer les Hashes des fichiers exécutables Affichage d’un rapport WildFire (Continued) Step 3 Cliquez sur WildFire Report. La console ESM affiche le rapport mis en cache. Step 4 Examiner le rapport et prendre des mesures supplémentaires, si nécessaire : • Remplacer un verdict WildFire • Revérifier une décision WildFire • Signaler un verdict incorrect Remplacer un verdict WildFire Vous pouvez remplacer localement un verdict WildFire pour autoriser ou bloquer un fichier sans impact sur le verdict officiel dans WildFire. Ceci est utile lorsque vous avez besoin de créer une exception pour un fichier spécifique dans des circonstances ou des paramètres spécifiques sans modifier la politique de sécurité globale. Après avoir remplacé le verdict, la console ESM affiche tout changement dans le verdict du WildFire Contrôle Hash page. La dérogation reste en place jusqu’à ce que vous la retiriez, à quel moment elle revient au dernier verdict connu par le serveur ESM. Par exemple, considérons le cas où WildFire retourne un verdict sur un hachage spécifique et indique que le fichier est inconnu. Si votre politique de sécurité est configurée pour bloquer tous les fichiers inconnus et que vous croyez que le fichier soit bénin, vous pouvez remplacer la politique pour permettre au fichier spécifique de s’exécuter sans modifier la politique globale. Plus tard, si WildFire retourne un nouveau verdict indiquant que le fichier a été analysé et déterminé comme malveillant, vous pouvez voir le changement de verdict sur la contrôle Hash page. Dans ce cas, vous pouvez supprimer la dérogation et permettre à la politique de sécurité de bloquer le fichier malveillant. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 153 Gérer les Hashes des fichiers exécutables Prévention contre les logiciels malveillants Remplacer un verdict WildFire Step 1 Dans la console ESM, sélectionnez Politiques > Malware > Contrôle Hash. Step 2 Pour voir le verdict WildFire pour un hachage spécifique, effectuez une des opérations suivantes : • Utilisez la recherche en haut de la page pour rechercher une valeur de hash ou un nom de processus. • Utilisez les contrôles de page en haut à droite de chaque page pour voir différentes portions du tableau. Step 3 Pour passer en revue les endpoints sur lesquels un utilisateur a tenté d’ouvrir un fichier exécutable, sélectionnez Liste d’Agent (disponible uniquement quand il y a cinq ou plusieurs instances d’un processus de hachage). Step 4 Examiner le rapport WildFire pour le fichier exécutable pour valider votre décision d’annuler le verdict. Voir Affichage d’un rapport WildFire. Step 5 Sélectionnez l’enregistrement de hachage, puis Permettre au fichier de s’exécuter ou Bloquer l’exécution du fichier. Cette dérogation ne porte pas atteinte au verdict officiel du WildFire, mais il change le verdict dans la politique locale de sécurité pour votre organisation. Si vous soupçonnez un verdict WildFire incorrect, veuillez envisager de signaler le problème à Palo Alto Networks. Voir Signaler un verdict incorrect. Step 6 Régulièrement, examinez les disparités entre le verdict officiel WildFire et votre action politique locale. Step 7 Lorsque la dérogation n’est plus nécessaire, retirez-la. Dans le menu Action , sélectionnez Revenir au Verdict WildFire. La console ESM revient au verdict dernier connu par le serveur ESM. Revérifier une décision WildFire Si vous pensez que WildFire a changé le verdict d’un fichier, vous pouvez forcer le serveur ESM à interroger WildFire pour le verdict. Si la réponse WildFire indique une modification du verdict, le serveur ESM met à jour le verdict dans le cache du serveur local. Puis, lors de la prochaine communication de battement de coeur avec des agents Traps, le serveur ESM communique le verdict aux endpoints sur lesquels un utilisateur a tenté d’ouvrir le fichier exécutable. Revérifier un Verdict WildFire Step 1 Dans la console ESM, sélectionnez Politiques > Malware > Contrôle Hash. Step 2 Pour voir le verdict WildFire pour un hachage spécifique, effectuez une des opérations suivantes : • Utilisez la recherche en haut de la page pour rechercher une valeur de hash ou un nom de processus. • Utilisez les contrôles de page en haut à droite de chaque page pour voir différentes portions du tableau. Step 3 Sélectionnez l’enregistrement de hachage pour afficher des détails supplémentaires sur le processus de hachage, puis cliquez sur Revérifier. Pour revérifier plusieurs enregistrements en même temps, sélectionnez la case à cocher pour chaque enregistrement de hachage, puis sélectionnez Revérifiez avec WildFire à partir du menu action . Ces actions déclenchent une requête immédiate à WildFire. 154 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Prévention contre les logiciels malveillants Gérer les Hashes des fichiers exécutables Signaler un verdict incorrect Lorsque vous souhaitez que WildFire réanalyse un fichier et change son verdict officiel, vous pouvez utiliser la Rapport de Verdict incorrect fonction de la Politiques > Malware > Contrôle Hash page de la console ESM. Cette action marque un échantillon pour analyse ultérieure par Palo Alto Networks. Lors de la déclaration d’un verdict de fichier incorrect, vous pouvez fournir votre adresse e-mail et d’autres informations sur la raison pour laquelle vous croyez que le verdict est incorrect. Si vous choisissez de fournir votre adresse email, vous recevrez une notification par e-mail contenant les résultats de l’analyse. Si WildFire modifie le verdict, la console ESM affiche également le verdict mis à jour sur la Contrôle Hash page. Signaler un verdict incorrect Step 1 Step 2 Localisez le verdict et le signaler à WildFire. Remplissez le rapport avec des détails qui indiquent pourquoi le verdict est incorrect. 1. Dans la console ESM, sélectionnez Politiques > Malware > Contrôle Hash. 2. Dans le champ de recherche, entrez la valeur de hachage complète ou partielle ou le nom du processus, puis cliquez sur l’icône de recherche pour filtrer la liste des hachages. 3. Sélectionnez la ligne de la table de hachage pour étendre les détails de hachage puis cliquez sur Signaler comme incorrect. 1. Vérifiez les informations d’échantillon et vérifiez le verdict que vous signalez. 2. (Optionnel) Entrez une adresse de courriel pour recevoir une notification par e-mail après que Palo Alto Networks ait terminé l’analyse supplémentaire. 3. (Facultatif mais recommandé) Entrez tous les détails qui pourraient nous aider à mieux comprendre pourquoi vous êtes en désaccord avec le verdict. 4. Cliquez sur Envoyer. Charger un fichier sur WildFire pour l’analyse Avant l’intégration à la solution Traps, WildFire analyse seulement un fichier exécutable s’il a été envoyé par l’intermédiaire ou téléchargé à partir du pare-feu ou s’il a été soumis à l’aide du portail WildFire. Cela signifie que certains fichiers exécutables, alors communs, peuvent ne pas avoir été analysés, car il n’ont pas été jugés utiles de les soumettre en utilisant les méthodes traditionnelles. Pour réduire le nombre de fichiers exécutables qui sont inconnus par le serveur ESM et par WildFire, vous pouvez envoyer manuellement ou automatiquement des fichiers exécutables inconnus au WildFire pour une analyse immédiate. Pour envoyer automatiquement des fichiers inconnus au WildFire, voir Activation de WildFire. Si l’option pour envoyer automatiquement des fichiers inconnus est désactivée, vous pouvez plutôt télécharger manuellement un fichier sur une base de cas par cas. Lorsqu’un utilisateur ouvre un fichier exécutable inconnu, Traps télécharge le fichier dans le dossier légal (tant que le fichier ne dépasse pas la taille maximale configurée dans Step 8 lorsque vous Activation de WildFire). Ensuite, lorsque vous lancez un téléchargement manuel du fichier, le serveur ESM envoie le fichier à partir du dossier légal à WildFire. Une fois que WildFire a terminé l’analyse et renvoie le verdict et le rapport, le serveur ESM envoie le verdict modifié à tous les agents Traps et applique la stratégie. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 155 Gérer les Hashes des fichiers exécutables Prévention contre les logiciels malveillants Comme plusieurs agents permettent ou le transfert automatique de fichiers inconnus ou de les soumettre manuellement, le nombre total de fichiers inconnus devrait diminuer de façon spectaculaire pour tous les utilisateurs. Charger un fichier sur WildFire pour l’analyse Step 1 Dans la console ESM, sélectionnez Politiques > Malware > Contrôle Hash. Step 2 Pour consulter le verdict WildFire d’une empreinte spécifique, effectuez l’une des actions suivantes : • Utilisez la recherche en haut de la page pour rechercher une valeur de hash ou un nom de processus. • Utilisez les contrôles de page en haut à droite de chaque page pour voir différentes portions du tableau. • Filtrer les entrées de la table en cliquant sur l’icône de filtre à la droite d’une colonne pour spécifier jusque deux ensembles de critères pour filtrer les résultats. Par exemple, filtrer la colonne Verdict pour les fichiers inconnus. Step 3 Sélectionnez la ligne pour afficher des détails supplémentaires sur le processus de hachage, puis Télécharger le fichier à WildFire. 156 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Prévention contre les logiciels malveillants Gérer les restrictions sur les fichiers exécutables Gérer les restrictions sur les fichiers exécutables Les règles de restriction vous permettent de définir des limites sur où et comment l’agent Traps gère les fichiers exécutables sur les paramètres de votre réseau. Règles de restriction Wildcards et variables dans les règles de restriction Ajouter une nouvelle règle de restriction Gérer les listes blanches globales Dossiers locaux en liste noire Dossiers réseau en liste blanche Définir les restrictions et exemptions pour les supports externes Définir les restrictions de processus enfants Définir les restrictions et exemptions pour Java Définir les exceptions et limitations des fichiers exécutables non signés Règles de restriction Une règle de restriction limite la surface d’une attaque en définissant où et comment vos utilisateurs peuvent exécuter les fichiers exécutables. Le tableau suivant présente les différents types de restrictions que vous pouvez configurer : Règles de restriction Description Exécution de fichiers exécutables à partir de certains dossiers De nombreux scénarios d’attaques sont basées sur l’écriture de fichiers exécutables malveillants dans certains dossiers et les exécuter ensuite. Il est conseillé de limiter l’accès à un temporaire local et de télécharger des dossiers sur les points de terminaison et de dossiers réseau. Pour faire une exception à cette restriction générale, vous pouvez ajouter des dossiers à une liste blanche. Pour plus d’informations, voyez Gérer les listes blanches globales, Dossiers locaux en liste noire, et Dossiers réseau en liste blanche. Exécution de fichiers exécutables à partir de supports externes Un code malicieux peut obtenir l’accès aux points de terminaison via des supports externes comme les lecteurs amovibles et les lecteurs optiques. Pour se protéger contre cela, vous pouvez définir des restrictions qui contrôlent les fichiers exécutables, le cas échéant, que les utilisateurs peuvent lancer à partir de disques externes connectés aux terminaux de votre réseau. Pour plus d’informations, reportez-vous à la section Définir les restrictions et exemptions pour les supports externes. Processus qui engendrent Le code malveillant peut activer en provoquant un processus légitime pour générer des processus enfants des processus enfants malveillants. Vous pouvez bloquer le code malveillant en définissant une règle de restriction appropriée. Pour plus d’informations, voir Définir les restrictions de processus enfants. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 157 Gérer les restrictions sur les fichiers exécutables Règles de restriction Prévention contre les logiciels malveillants Description Processus Java exécutés à Un point d’entrée commun pour le code malveillant est à travers des processus Java partir des navigateurs qui sont importés à partir d’un hôte distant et lancé par le biais des navigateurs Internet. Pour se protéger contre ces exploits, vous avez besoin pour empêcher les applets Java non fiables d’exécuter des objets en utilisant des navigateurs malgré une liste blanche des processus de confiance spécifiques afin qu’ils puissent fonctionner sur les endpoints selon les besoins. Vous pouvez choisir de manière sélective les actions sont autorisées (lire, écrire ou exécuter) sur la base des types de fichiers de processus, les emplacements et les chemins de Registre. Pour plus d’informations, reportez-vous à la section Définir les restrictions et exemptions pour Java. Exécution de processus sans signature Un signé processus a une signature d’authentification numérique pour prouver que la signature provient d’une source fiable. La meilleure pratique dicte que toutes les demandes légitimes soient signées mais cette pratique n’est pas toujours suivie. Les restrictions sur les processus non signés empêchent tous les processus non signés de fonctionner sur vos paramètres, sauf ceux que vous avez explicitement placés en liste blanche. Vous pouvez également définir une période d’ajournement, ce qui empêche les processus non signés de fonctionner pendant un certain nombre de minutes après qu’ils soient d’abord écrits sur le disque du terminal. Parce que l’attaque peut impliquer l’écriture d’un fichier exécutable malveillant sur le disque et l’exécuter immédiatement, en utilisant une période de report et de limiter les processus non signés est efficace pour prévenir les attaques de logiciels malveillants. Pour plus d’informations, reportez-vous à la section Définir les exceptions et limitations des fichiers exécutables non signés. Pour chaque restriction, vous spécifiez l’objet cible, les condition, le type de restriction, et l’action pour la gestion des fichiers exécutables. Un objet cible peut être un utilisateur, un groupe, une unité d’organisation ou un ordinateur qui apparaît dans le directoire actif ou tout critère sur lequel l’agent Traps est installé. Le gestionnaire final de sécurité identifie les endpoints par les messages que Traps envoie au serveur. Une condition peut se référer à un fichier spécifique, une version spécifique ou plusieurs versions d’un fichier, ou un chemin de registre qui doit exister sur le point de terminaison. Lorsqu’un utilisateur tente d’ouvrir un fichier exécutable, l’agent Traps évalue, le cas échéant, la restriction qui doit être appliquée au fichier, puis effectue les actions associées à ces règles d’application. Les actions déterminent si l’agent Traps empêchera l’exécution du fichier et si l’agent informe l’utilisateur quand une règle de restriction est déclenchée. Vous pouvez créer ou modifier des règles de restriction sur la Restrictions résumé et la page de gestion (Politiques > Malware > Restrictions). La sélection d’une règle affiche plus d’informations sur la règle et d’autres actions que vous pouvez prendre pour cette règle (Effacer, Activer/Désactiver, ou Modifier). Pour plus d’informations, voir Gérer les restrictions sur les fichiers exécutables. 158 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Prévention contre les logiciels malveillants Gérer les restrictions sur les fichiers exécutables Wildcards et variables dans les règles de restriction Lors de la configuration d’une règle de restriction, par exemple pour configurer le comportement d’un dossier local ou réseau, vous ajoutez un ou plusieurs fichiers ou dossiers à une liste blanche ou à la liste noire. Le chemin peut être un chemin complet ou un chemin partiel qui contient des caractères génériques (« * » ou « ? ») Et / ou des variables d’environnement. Wildcards dans les règles de restriction Variables d’environnement dans les règles de restriction Exemple : Utilisation des Wildcards et variables dans les règles de restriction Wildcards dans les règles de restriction Le tableau suivant affiche les caractères génériques que vous pouvez utiliser dans les règles de restriction, faire correspondre un nom de fichier (indépendamment de l’emplacement), un fichier situé dans un chemin de dossier ou un dossier spécifique, ou tout autre fichier dans un chemin de dossier ou un dossier spécifique. Valeur Objectif ? Correspond à un seul caractère. Par exemple, Wor?.exe signifie Word.exe et Worm.exe. Correspond à toute chaîne de caractères. Par exemple, Word*.exe signifie Word11.exe and Word2013.exe. * Variables d’environnement dans les règles de restriction En plus de wildcards, les règles de restriction prennent également en charge les variables d’environnement indigènes, y compris les variables et par l’utilisateur l’ensemble du système. Des règles de restriction prennent également en charge l’utilisation de plusieurs variables d’environnement, tant que la variable d’environnement ne se répande pas à une autre variable d’environnement. Vous pouvez utiliser de nombreuses variables d’environnement qui sont prises en charge par le système d’exploitation Windows, mais certaines variables d’environnement, y compris cet ensemble spécifique de variables, ne sont pas pris en charge : environnement variable %USERNAME% Des variables d’environnement qui sont privées Les variables d’environnement récursives qui comprennent d’autres variables d’environnement dans leur définition (par exemple, %MySystemDrive% avec une définition de %SystemDrive%) Les sujets suivants décrivent les variables d’environnement prises en charge dans Windows et des exemples de valeurs cibles. Soutien des variables d’environnement pour Windows Vista et versions ultérieures Soutien de la variable d’environnement pour Windows XP © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 159 Gérer les restrictions sur les fichiers exécutables Prévention contre les logiciels malveillants Soutien des variables d’environnement pour Windows Vista et versions ultérieures Le tableau suivant présente les variables d’environnement et des valeurs cibles prises en charge sur les terminaux fonctionnant sous Windows Vista et les versions ultérieures. Le %CommonProgramFiles (x86)% et %Fichiers de programme% les variables d’environnement se dilatent à la valeur native de la machine. Sur les machines 64 bits, la variable d’environnement se développe à la valeur 64 bits, même lors de l’utilisation pour le compte d’un processus 32 bits. Sur les machines 32 bits, les variables d’environnement élargissent le chemin du fichier fourni par l’application. Variable d’environnement Valeur d’exemple %ALLUSERSPROFILE% C:\ProgramData %CommonProgramFiles% C:\Program Files\Common Files %CommonProgramFiles(x86)% (64 bits uniquement) C:\Program Files (x86)\Common Files %CommonProgramW6432% (64 bits uniquement) C:\Program Files\Common Files %ProgramFiles% C:\Program Files %ProgramFiles(x86)% (64 bits uniquement) C:\Program Files (x86) %ProgramW6432% (64 bits uniquement) C:\Program Files (x86) %ProgramData% C:\ProgramData %SystemDrive% C: %SystemRoot% C:\Windows %TEMP% et %TMP% C:\Users\<nom d’utilisateur>\AppData\Local\Temp %USERPROFILE% C:\Users\<nom d’utilisateur> %windir% C:\Windows %COMPUTERNAME% <Nom_ordinateur> %ComSpec% %SystemRoot%\system32\cmd.exe %FP_NO_HOST_NAME% NON %NUMBER_OF_PROCESSORS% 1 %OS% Windows_NT %PATH% %SystemRoot%\system32;%SystemRoot%... %PATHEXT% .COM, .EXE,. BAT;.CMD;.VBS;.VBE;.JS;.JSE;. wsf;.WSH;.MSC %PROCESSSOR_ARCHITECTURE% AMD64 %PROCESSOR_IDENTIFIER% Intel64 Family 6 Model 69 Stepping 1, GenuineIntel %PROCESSOR_LEVEL% 6 %PROCESSOR_REVISION% 4501 160 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Prévention contre les logiciels malveillants Gérer les restrictions sur les fichiers exécutables Soutien de la variable d’environnement pour Windows XP Le tableau suivant présente des exemples de variables d’environnement et des valeurs cibles prises en charge sur les terminaux fonctionnant sous Windows XP. Variable d’environnement Valeur d’exemple %ALLUSERSPROFILE% C:\Documents and Settings\All Users %CommonProgramFiles% C:\Program Files\Common Files %ProgramFiles% C:\Program Files %SystemDrive% C: %SystemRoot% C:\Windows %TEMP% et %TMP% C:\Documents and Settings\<nom d’utilisateur>\Local Settings\Temp %USERPROFILE% C:\Documents and Settings\<nom d’utilisateur> %windir% C:\Windows %COMPUTERNAME% <Nom_ordinateur> %ComSpec% %SystemRoot%\system32\cmd.exe %FP_NO_HOST_NAME% NON %NUMBER_OF_PROCESSORS% 1 %OS% Windows_NT %PATH% %SystemRoot%\system32; %SystemRoot% %PATHEXT% .COM, .EXE,. BAT;.CMD;.VBS;.VBE;.JS;.JSE;. wsf;.WSH;.MSC %PROCESSSOR_ARCHITECTURE% x86 %PROCESSOR_IDENTIFIER% x86 Family 6 Model 58 Stepping 9, GenuineIntel %PROCESSOR_LEVEL% 6 %PROCESSOR_REVISION% 3a09 © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 161 Gérer les restrictions sur les fichiers exécutables Prévention contre les logiciels malveillants Exemple : Utilisation des Wildcards et variables dans les règles de restriction Le tableau suivant affiche les caractères génériques que vous pouvez utiliser dans les règles de restriction, faire correspondre un nom de fichier (indépendamment de l’emplacement), un fichier situé dans un chemin de dossier ou un dossier spécifique, ou tout autre fichier dans un chemin de dossier ou un dossier spécifique. Exemple Résultat C:\temp\a.exe Correspond seulement au a.exe fichier et seulement s’il est lancé à partir du C:\temp dossier %TEMP%\a.exe Concerne seulement le a.exe fichier et seulement si lancé à partir de la C:\Users\<nom d’utilisateur>\AppData\Local\Temp dossier sur Windows Vista et machines ultérieures ou C:\Documents and Settings\<nom d’utilisateur>\Local Settings\Temp sur les ordinateurs Windows XP C:\temp* Correspond à tout fichier lancé à partir de la C:\temp dossier ou de tout dossier ou sous-dossier dans un chemin qui commence par C:\temp (par exemple, C:\temp\dossier\a.exe, C:\temp1\a.scr, et C:\\temporaire\dossier\b.exe) C:\temp\* Correspond à tout fichier lancé à partir de la C:\temp\ dossier ou sous-dossier (par exemple : C:\temp\a.scr et C:\temp\temp2\b.exe\) C:\temp\a?.exe Correspond à tout fichier commençant par a et suivi d’un second caractère lancé à partir de la C:\temp\ dossier (par exemple : C:\temp\a1.exe et C:\temp\az.exe) C:\temp*.exe Correspond à tout fichier exécutable avec une extension de fichier .exe, un nom de fichier qui commence avec la température, et qui est lancé à partir du C:\ drive (par exemple, C:\temp1.exe et C:\temporary.exe) et correspond à tout fichier exécutable avec une extension de fichier .exe qui est lancé à partir d’un dossier ou sous-dossier dans un chemin de fichier qui commence par C:\temp (par exemple, C:\temp\folder\a.exe, C:\temp1\b.exe, and C:\temporary\folder\c.exe) C:\Temp\*.exe Correspond à tout fichier exécutable avec une extension de fichier .exe qui est lancé à partir de la C:\temp\ (ou équivalent %SystemDrive%\temp\ dossier) ou de tout dossier ou sous-dossier dans un chemin qui commence par C:\temp\ %SystemDrive%\temp\*.exe *\a.exe Correspond seulement au a.exe fichier, indépendamment de l’emplacement où il est lancé %SystemDrive%\%MyVar% Quand %MyVar% est égal à un nom de fichier, par exemple monfichier.exe, cela correspond à ce nom de fichier lors de son lancement à partir du %SystemDrive% dossier (dans la plupart des cas C:\) a.exe (Java ou exécutable non signé règles de restriction seulement) Correspond seulement au a.exe fichier indépendamment de l’emplacement d’où il est lancé Java et des règles de restriction exécutable non signées vous obligent à inclure le fichier .exe à la fin du nom de fichier. C:\temp Ne correspond pas à tous les fichiers exécutables parce que le chemin n’est pas un chemin complet (les chemins partiels doivent contenir au moins un caractère générique pour être utilisés) C:\temp\ 162 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Prévention contre les logiciels malveillants Gérer les restrictions sur les fichiers exécutables Ajouter une nouvelle règle de restriction Créer une nouvelle règle de restriction pour définir des limites pour où et comment les fichiers exécutables s’exécutent sur les endpoints. Ajouter une nouvelle règle de restriction Step 1 Configurer une nouvelle règle de restriction. Sélectionner Politiques > Malware > Restrictions et Ajouter une nouvelle règle. Step 2 Sélectionnez le type de règle de restriction que vous ajoutez. Sélectionnez l’une des options suivantes, puis configurer les paramètres en fonction du type de restriction que vous ajoutez à votre politique de sécurité : • Comportement des dossiers locaux—accès restreint aux dossiers locaux sur les endpoints. Pour plus d’informations, voir Dossiers locaux en liste noire. • Comportement des dossiers réseau—accès restreint aux dossiers du réseau. Pour plus d’informations, voir Dossiers réseau en liste blanche. • Média externe—For more information, see Définir les restrictions et exemptions pour les supports externes. • Processus enfants—Blocage de processus enfants malveillants engendrés par des processus légitimes. Pour plus d’informations, voir Définir les restrictions de processus enfants. • Java—prévenir les applets Java non fiables de l’exécution d’objets à l’aide de navigateurs et d’ajouter des processus de confiance spécifiques à des listes blanches afin qu’ils puissent fonctionner sur les endpoints selon les besoins. Pour plus d’informations, voir Définir les restrictions et exemptions pour Java. • Exécutables non signés—empêcher tous les processus non signés de s’exécuter sur vos endpoints, sauf ceux que vous explicitement whitelistés. Pour plus d’informations, voir Définir les exceptions et limitations des fichiers exécutables non signés. Step 3 (Optionnel) Ajouter Conditions à la règle. Pour spécifier une condition, sélectionnez le Conditions onglet, Par défaut, une nouvelle règle ne sélectionnez la condition dans la liste des Conditions, puis l’ajouter contient pas de conditions. à la liste des conditions. Répétez cette étape pour ajouter d’autres conditions, selon les besoins. Pour ajouter une condition à la liste des Conditions, voir Définir les conditions d’activation pour une règle. Step 4 (Optionnel) Définir Objets cibles à quoi appliquer la règle de restriction. Par défaut, une nouvelle règle est applicable à tous les objets de votre organisation. © Palo Alto Networks, Inc. Pour définir un sous-ensemble d’objets cibles, sélectionnez leObjets onglet, puis entrez un ou plusieursUtilisateurs, Ordinateurs, Groupes, Unités organisationnelles, ou Endpoints existants dans les zones inclure ou exclure. Le gestionnaire de sécurité terminal interroge le directoire actif pour vérifier les utilisateurs, les ordinateurs, les groupes ou les unités organisationnelles ou identifier les endpoints des précédents messages de communication. Traps 3.3 Guide de l’administrateur • 163 Gérer les restrictions sur les fichiers exécutables Prévention contre les logiciels malveillants Ajouter une nouvelle règle de restriction (Continued) Step 5 (Optionnel) Examiner le nom de la règle Pour remplacer le nom auto généré, sélectionnez le Nom onglet, et sa description. La console ESM génère désactivez la Activer la description automatique option, puis automatiquement le nom de la règle et sa entrez un nom de règle et la description de votre choix. description, basée sur les détails de la règle, mais vous permet de modifier ces champs, si nécessaire. Step 6 Enregistrez la règle de restriction. Effectuez l’une des opérations suivantes : • Sauvegarder la règle sans l’activer. Cette option est disponible uniquement pour les règles inactives, clonées, ou nouvelles. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle de la Politiques > Malware > WildFire page puis cliquez sur Activer. • Appliquer la règle pour l’activer immédiatement. Après l’enregistrement ou l’application d’une règle, vous pouvez revenir à la WildFire page à tout moment Effacer ou Désactiver la règle. Gérer les listes blanches globales Pour permettre à des fichiers exécutables de s’exécuter à partir des dossiers locaux et des médias externes et permettre des processus enfants initiés à partir de processus parents dans un dossier spécifique, vous pouvez configurer une liste blanche globale. Semblable à la fonctionnalité de liste blanche existante pour les processus Java, les fichiers exécutables non signés, et l’injection de menaces, vous pouvez spécifier les chemins complets et variables de chemin et pouvez également utiliser des caractères génériques pour le modèle correspondant (% pour correspondre à des termes similaires et * pour correspondre à tous les caractères). Les éléments dans la section liste blanche ont également la priorité sur tous les éléments en liste noire et sont évalués en premier dans la stratégie de sécurité. 164 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Prévention contre les logiciels malveillants Gérer les restrictions sur les fichiers exécutables Configurer une règle de restriction globale Step 1 Sélectionner Politiques > Malware > Paramètres de restriction. Step 2 Pour spécifier si les Traps bloquent un fichier exécutable qui est ouvert à partir d’un emplacement non inclus dans la liste blanche ou qui est plus récent que la période de blocage, configurer l’action comme l’un des éléments suivants : • Notification—Ne pas bloquer l’accès à des fichiers et des processus exécutables, mais se connecter lorsque les fichiers qui sont ouverts à partir d’emplacements non inclus dans la liste blanche et de faire rapport de ces événements à l’ESM. ou • Prévention—Bloquer les fichiers et processus exécutables. Step 3 Pour spécifier si les Traps doivent avertir l’utilisateur lorsqu’un fichier exécutable est ouvert à partir d’un emplacement non inclus dans la liste blanche, configurer l’alerte de l’utilisateur comme l’un des éléments suivants : • ON—notifier l’utilisateur. ou • OFF—Ne Pas avertir l’utilisateur. Step 4 Cliquez sur l’icône ajouter un dossier à côté de la zone whitelistée pour le dossier local, le processus enfant, ou le Media Control et entrez le chemin complet ou le chemin partiel. Par exemple, C:\Windows\filename.exe. Les listes blanches soutiennent également les wildcards (voir Wildcards et variables dans les règles de restriction) et les variables d’environnement, telles que % Windir %. Step 5 Pour spécifier une période de bloc pour les fichiers non signés, sélectionnez l’Autoriser les exécutables signés et bloquer exécutables créés non signés option. Configurez ensuite la période de bloc (en minutes) pendant laquelle Traps doit bloquer un fichier exécutable non signé qui n’est pas défini dans la liste blanche, ou sélectionnez À tout moment pour configurer que les Traps bloquent toujours les fichiers exécutables qui ne sont pas signés. Les Traps permettent à tous les exécutables signés de s’exécuter indépendamment de la période de blocage. Vous ne pouvez pas spécifier une période de blocage pour les fichiers exécutables non signés qui s’exécutent sur un support externe. Step 6 Cliquez sur Valider pour enregistrer vos modifications. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 165 Gérer les restrictions sur les fichiers exécutables Prévention contre les logiciels malveillants Dossiers locaux en liste noire De nombreux scénarios d’attaques sont basés sur l’écriture de fichiers exécutables malveillants dans les dossiers locaux communs, tels que temporaires et téléchargement, puis exécutent ces fichiers exécutables. Pour restreindre l’accès à un dossier commun local, fichier exécutable ou un fichier qui peut créer des processus, l’ajouter à une liste noire. Lorsqu’un utilisateur tente d’ouvrir un fichier qui est sur la liste noire ou situé dans un dossier sur la liste noire, les Traps bloquent la tentative et rapportent l’événement de sécurité à l’ESM. Pour accorder une exception à la restriction générale, ajoutez un dossier à une liste blanche (voir Gérer les listes blanches globales). Dossiers locaux en liste noire Step 1 Configurer une nouvelle règle de restrictions. Sélectionner Politiques > Malware > Restrictions et Ajouter une nouvelle règle. Step 2 Ajouter un dossier local à la liste noire. 1. Pour spécifier un dossier ou un fichier, 2. utilisez soit un chemin complet ou un chemin partiel. Pour des exemples de syntaxe, voir Wildcards et variables dans 3. les règles de restriction. Sélectionner Comportement Local du dossier. Sélectionnez l’option pour restreindre l’exécution de fichiers, cliquez sur l’icône ajouter dossier , et ajoutez le chemin du dossier à la section Blacklistée. Répétez ces étapes pour ajouter plusieurs dossiers au besoin. Step 3 (Optionnel) Ajouter Conditions à la règle. Pour spécifier une condition, sélectionnez l’Conditions onglet, Par défaut, une nouvelle règle ne sélectionnez la condition dans la liste des Conditions, puis contient pas de conditions. l’ajouterà la liste des conditions. Répétez cette étape pour ajouter d’autres conditions, selon les besoins. Pour ajouter une condition à la liste des Conditions, voir Définir les conditions d’activation pour une règle. Step 4 (Optionnel) Définir Objets cibles à quoi appliquer la règle de restriction. Par défaut, une nouvelle règle est applicable à tous les objets de votre organisation. Step 5 (Optionnel) Examiner le nom de la règle Pour remplacer le nom auto généré, sélectionnez l’Nom onglet, et sa description. La console ESM génère désactivez la Activer la description automatique option, puis automatiquement le nom de la règle et sa entrez un nom de règle et la description de votre choix. description, basée sur les détails de la règle, mais vous permet de modifier ces champs, si nécessaire. Step 6 Enregistrez la règle de restriction. 166 • Traps 3.3 Guide de l’administrateur Pour définir un sous-ensemble d’objets cibles, sélectionnez le Objets onglet, puis entrez un ou plusieurs Utilisateurs, Ordinateurs, Groupes, Unités organisationnelles, or Endpoints existants dans les zones inclure ou exclure. Le gestionnaire de sécurité terminal interroge le directoire actif pour vérifier les utilisateurs, les ordinateurs, les groupes ou les unités organisationnelles ou identifier les endpoints des précédents messages de communication. Effectuez l’une des opérations suivantes : • Sauvegarder la règle sans l’activer. Cette option est disponible uniquement pour les règles inactives, clonées, ou nouvelles. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle de la Politiques > Malware > WildFire page puis cliquez sur Activer. • Appliquer la règle pour l’activer immédiatement. Après l’enregistrement ou l’application d’une règle, vous pouvez revenir à la WildFire page à tout moment Effacer ou Désactiver la règle. © Palo Alto Networks, Inc. Prévention contre les logiciels malveillants Gérer les restrictions sur les fichiers exécutables Dossiers réseau en liste blanche Pour éviter les scénarios d’attaque qui sont basés sur l’écriture de fichiers exécutables malveillants dans des dossiers distants, vous pouvez créer une règle de restriction pour le comportement de dossier réseau qui définit les emplacements réseau autorisés à partir desquels les fichiers exécutables peuvent s’exécuter. Lorsqu’un utilisateur tente d’ouvrir un fichier exécutable à partir d’un dossier qui est pas spécifié dans la règle de restriction, les Traps bloquent la tentative et signalent l’événement de sécurité au serveur ESM. Dossiers réseau en liste blanche Step 1 Configurer une nouvelle règle de restrictions. Sélectionner Politiques > Malware > Restrictions et Ajouter une nouvelle règle. Step 2 Définissez le comportement du dossier 1. réseau. 2. Pour spécifier un dossier ou un fichier, utilisez soit un chemin complet ou un chemin partiel. Pour des exemples de syntaxe, voir Wildcards et variables dans 3. les règles de restriction. Sélectionner Comportement des dossiers réseau. Pour permettre à des fichiers exécutables de s’exécuter à partir des dossiers de réseau spécifiques, sélectionnez la case à cocher, cliquez sur l’icône ajouter dossier , et ajoutez le chemin complet ou chemin partiel à la section Whitelistée. Répétez ces étapes pour ajouter plusieurs dossiers au besoin. Step 3 (Optionnel) Ajouter Conditions à la règle. Pour spécifier une condition, sélectionnez l’Conditions onglet, Par défaut, une nouvelle règle ne sélectionnez la condition dans la liste des Conditions, puis contient pas de conditions. l’ajouterà la liste de conditions. Répétez cette étape pour ajouter d’autres conditions, selon les besoins. Pour ajouter une condition à la liste des Conditions, voir Définir les conditions d’activation pour une règle. Step 4 (Optionnel) Définir Objets cibles à quoi appliquer la règle de restriction. Par défaut, une nouvelle règle est applicable à tous les objets de votre organisation. Step 5 (Optionnel) Examiner le nom de la règle Pour remplacer le nom auto généré, sélectionnez l’Nom onglet, et sa description. La console ESM génère désactivez l’description automatique option, puis entrez un nom automatiquement le nom de la règle et sa de règle et la description de votre choix. description, basée sur les détails de la règle, mais vous permet de modifier ces champs, si nécessaire. Step 6 Enregistrez la règle de restriction. © Palo Alto Networks, Inc. Pour définir un sous-ensemble d’objets cibles, sélectionnez le Objets onglet, puis entrez un ou plusieursUtilisateurs, Ordinateurs, Groupes, Unités organisationnelles, or Endpoints existants dans les zones inclure ou exclure. Le gestionnaire de sécurité terminal interroge le directoire actif pour vérifier les utilisateurs, les ordinateurs, les groupes ou les unités organisationnelles ou identifier les endpoints des précédents messages de communication. Effectuez l’une des opérations suivantes : • Sauvegarder la règle sans l’activer. Cette option est disponible uniquement pour les règles inactives, clonées, ou nouvelles. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle de la Politiques > Malware > Restrictions page puis cliquez sur Activer. • Appliquer la règle pour l’activer immédiatement. Après l’enregistrement ou l’application d’une règle, vous pouvez revenir à la Restrictions page à tout moment Effacer ou Désactiver la règle. Traps 3.3 Guide de l’administrateur • 167 Gérer les restrictions sur les fichiers exécutables Prévention contre les logiciels malveillants Définir les restrictions et exemptions pour les supports externes Le code malveillant peut obtenir l’accès aux points de terminaison via des supports externes comme les lecteurs amovibles et les lecteurs optiques. Pour se protéger contre ce type d’attaque, vous pouvez définir des règles de restriction qui empêchent les fichiers exécutables de fonctionner sur des disques externes qui sont attachés à vos extrémités. Définir une restriction sur un support externe protège contre toute tentative de lancer un fichier exécutable à partir d’un disque dur externe. Définir les restrictions et exemptions pour les supports externes Step 1 Configurer une nouvelle règle de restrictions. Sélectionner Politiques > Malware > Restrictions et Ajouter une nouvelle règle. Step 2 Définissez le comportement de 1. restriction pour les supports externes. 2. Par défaut, l’exécution d’applications non malicieuses et inconnues à partir de lecteurs amovibles et optiques est autorisée. Sélectionner média externe. Cochez la case pour le type de support externe à partir duquel vous voulez empêcher l’exécution des applications. • Lecteurs amovibles • Lecteurs optiques Step 3 (Optionnel) Ajouter Conditions à la règle. Pour spécifier une condition, sélectionnez le Conditions onglet, Par défaut, une nouvelle règle ne sélectionnez la condition dans la liste des Conditions, puisl’ajouter contient pas de conditions. à la liste de conditions. Répétez cette étape pour ajouter d’autres conditions, selon les besoins. Pour ajouter une condition à la liste des Conditions, voir Définir les conditions d’activation pour une règle. Step 4 (Optionnel) Définir Objets cibles à quoi appliquer la règle de restriction. Par défaut, une nouvelle règle est applicable à tous les objets de votre organisation. Step 5 (Optionnel) Examiner le nom de la règle Pour remplacer le nom auto généré, sélectionnez l’Nom onglet, et sa description. La console ESM génère désactivez l’description automatique option, puis entrez un nom automatiquement le nom de la règle et sa de règle et la description de votre choix. description, basée sur les détails de la règle, mais vous permet de modifier ces champs, si nécessaire. Step 6 Enregistrez la règle de restriction. 168 • Traps 3.3 Guide de l’administrateur Pour définir un sous-ensemble d’objets cibles, sélectionnez le Objets onglet, puis entrez un ou plusieursUtilisateurs, Ordinateurs, Groupes, Unités organisationnelles, ou Endpoints existants dans les zones inclure ou exclure. Le gestionnaire de sécurité terminal interroge le directoire actif pour vérifier les utilisateurs, les ordinateurs, les groupes ou les unités organisationnelles ou identifier les endpoints des précédents messages de communication. Effectuez l’une des opérations suivantes : • Sauvegarder la règle sans l’activer. Cette option est disponible uniquement pour les règles inactives, clonées, ou nouvelles. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle de la Politiques > Malware > Restrictions page puis cliquez sur Activer. • Appliquer la règle pour l’activer immédiatement. Après l’enregistrement ou l’application d’une règle, vous pouvez revenir à la Restrictions page à tout moment Effacer ou Désactiver la règle. © Palo Alto Networks, Inc. Prévention contre les logiciels malveillants Gérer les restrictions sur les fichiers exécutables Définir les restrictions de processus enfants Lors d’une tentative de contrôle d’un point de terminaison, un pirate peut obliger un processus légitime à engendrer des processus enfants malicieux. Définissez une règle de restriction pour empêcher le lancement de processus enfants à partir d’un ou plusieurs processus. Définir les restrictions et exemptions pour les processus enfants Step 1 Configurer une nouvelle règle de restrictions. Sélectionner Politiques > Malware > Restrictions et Ajouter une nouvelle règle. Step 2 Définissez le comportement de restriction pour les processus enfants. Par défaut, les processus enfants engendrés à partir d’un processus protégé sont autorisés. 1. Sélectionner Processus d’enfants. 2. Dans le Sélectionnez processus champ de recherche, entrez puis sélectionnez le nom du processus protégé. Lorsque vous tapez, la console ESM affiche tous les processus protégés qui répondent à votre terme de recherche. Pour modifier la liste des processus protégés, voir Gérer les processus. 3. Répétez les étapes 2 pour ajouter des noms de processus supplémentaires, au besoin. Step 3 (Optionnel) Ajouter Conditions à la règle. Pour spécifier une condition, sélectionnez leConditions onglet, Par défaut, une nouvelle règle ne sélectionnez la condition dans la liste des Conditions, puisl’ajouter contient pas de conditions. à la liste de conditions. Répétez cette étape pour ajouter d’autres conditions, selon les besoins. Pour ajouter une condition à la liste des Conditions, voir Définir les conditions d’activation pour une règle. Step 4 (Optionnel) Définir Objets cibles à quoi appliquer la règle de restriction. Par défaut, une nouvelle règle est applicable à tous les objets de votre organisation. Step 5 (Optionnel) Examiner le nom de la règle Pour remplacer le nom auto généré, sélectionnez l’Nom onglet, et sa description. La console ESM génère désactivez l’description automatique option, puis entrez un nom automatiquement le nom de la règle et sa de règle et la description de votre choix. description, basée sur les détails de la règle, mais vous permet de modifier ces champs, si nécessaire. Step 6 Enregistrez la règle de restriction. © Palo Alto Networks, Inc. Pour définir un sous-ensemble d’objets cibles, sélectionnez le Objets onglet, puis entrez un ou plusieurs Utilisateurs, Ordinateurs, Groupes, Unités organisationnelles, ou Endpoints existantsdans les zones inclure ou exclure. Le gestionnaire de sécurité terminal interroge le directoire actif pour vérifier les utilisateurs, les ordinateurs, les groupes ou les unités organisationnelles ou identifier les endpoints des précédents messages de communication. Effectuez l’une des opérations suivantes : • Sauvegarder la règle sans l’activer. Cette option est disponible uniquement pour les règles inactives, clonées, ou nouvelles. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle de la Politiques > Malware > Restrictions page puis cliquez sur Activer. • Appliquer la règle pour l’activer immédiatement. Après l’enregistrement ou l’application d’une règle, vous pouvez revenir à la Restrictions page à tout moment Effacer ou Désactiver la règle. Traps 3.3 Guide de l’administrateur • 169 Gérer les restrictions sur les fichiers exécutables Prévention contre les logiciels malveillants Définir les restrictions et exemptions pour Java Un point d’entrée commun pour le code malveillant est à travers des processus Java qui sont importés à partir d’un hôte distant et lancé par le biais des navigateurs Internet. Pour se protéger contre ces exploits, vous pouvez configurer les pièges pour empêcher une applet Java d’exécuter des objets à partir de navigateurs Web et uniquement les processus des listes blanches de confiance afin qu’ils puissent s’exécuter au besoin. Utilisez l’option whitelist pour choisir sélectivement les types de fichiers, les emplacements et les chemins de registre pour lesquels ces processus sont autorisés à lire et à écrire. Définir les restrictions et exemptions pour Java Step 1 Configurer une nouvelle règle de restrictions. Step 2 Définissez les restrictions sur les 1. processus Java. 2. Par défaut, les restrictions de processus Java sont désactivées. Activation de la règle de restriction Java vous permet de placer des 3. restrictions sur les processus Java mais ne pas activer ou de désactiver l’une des règles de l’EPM. 170 • Traps 3.3 Guide de l’administrateur Sélectionner Politiques > Malware > Restrictions et Ajouter une nouvelle règle. Sélectionner Java. Sélectionner activation Java déroulante, sélectionnez ON pour permettre à la règle ou OFF pour désactiver la règle. Tous les paramètres supplémentaires sont grisées si Java est désactivé. Configurer le action à prendre quand un processus Java tente d’appeler un processus enfant, modifier les paramètres de registre, ou modifier les fichiers système à partir d’un navigateur Web : • Hériter—hériter du comportement de la stratégie par défaut. • La prévention—terminer le processus Java. • Notification—soumettez la question et permettre au processus Java pour continuer. 4. Configurer le Alerte de l’utilisateur comportement quand un processus Java tente d’appeler un processus enfant, modifier les paramètres de registre, ou modifier les fichiers système à partir d’un navigateur Web. • Hériter—hériter du comportement de la stratégie par défaut. • ON—notifier à l’utilisateur. • OFF—Ne pas avertir l’utilisateur. 5. Dans la section Processus Java de la liste blanche, cliquez sur le bouton ajouter processus pour spécifier les processus Java qui seront autorisés à s’exécuter à partir des navigateurs Web (par exemple AcroRd32.exe). Répétez cette étape pour ajouter d’autres processus. 6. Pour spécifier si un processus Java peut modifier les paramètres de registre, sélectionnez Activée du Registre des modifications déroulant, puis configurer les autorisations de Registre : a. Pour chaque chemin de Registre, définissez chaque autorisation (Lire, Écrire, et Effacer) à Permettre, Bloquer, ou Hériter (défaut). b. Cliquez sur le bouton Ajouter chemins de Registre pour ajouter des chemins de registre supplémentaires au besoin. 7. Pour spécifier si un processus Java peut lire ou écrire dans un fichier, sélectionnez Activé du menu Modifications du système de fichiers déroulant, puis configurer les permissions de fichiers : a. Pour chaque nouveau modèle de fichier, définissez chaque autorisation (lecture et écriture) Permettre, Bloquer, ou Hériter (défaut). b. Cliquez sur le bouton ajouter la configuration de fichier pour ajouter un nouveau modèle de fichier. 8. Depuis la Navigateurs list. des, sélectionnez les navigateurs sur lesquels appliquer la protection Java. © Palo Alto Networks, Inc. Prévention contre les logiciels malveillants Gérer les restrictions sur les fichiers exécutables Définir les restrictions et exemptions pour Java (Continued) Step 3 (Optionnel) Ajouter Conditions à la règle. Pour spécifier une condition, sélectionnez le Conditionsonglet, Par défaut, une nouvelle règle ne sélectionnez la condition dans la liste des Conditions, puis l’ajouter contient pas de conditions. à la liste de conditions sélectionnées. Répétez cette étape pour ajouter d’autres conditions, selon les besoins. Pour ajouter une condition à la liste des Conditions, voir Définir les conditions d’activation pour une règle. Step 4 (Optionnel) Définir Objets cibles à quoi appliquer la règle de restriction. Par défaut, une nouvelle règle est applicable à tous les objets de votre organisation. Step 5 (Optionnel) Examiner le nom de la règle Pour remplacer le nom auto généré, sélectionnez l’Nom onglet, et sa description. La console ESM génère désactivez l’description automatique option, puis entrez un nom automatiquement le nom de la règle et sa de règle et la description de votre choix. description, basée sur les détails de la règle, mais vous permet de modifier ces champs, si nécessaire. Step 6 Enregistrez la règle de restriction. Pour définir un sous-ensemble d’objets cibles, sélectionnez leObjets onglet, puis entrez un ou plusieurs Utilisateurs, Ordinateurs, Groupes, Unités organisationnelles, or Endpoints existants dans les zones inclure ou exclure. Le gestionnaire de sécurité terminal interroge le directoire actif pour vérifier les utilisateurs, les ordinateurs, les groupes ou les unités organisationnelles ou identifier les endpoints des précédents messages de communication. Effectuez l’une des opérations suivantes : • Sauvegarder la règle sans l’activer. Cette option est disponible uniquement pour les règles inactives, clonées, ou nouvelles. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle de la Politiques > Malware > Restrictions page puis cliquez sur Activer. • Appliquer la règle pour l’activer immédiatement. Après l’enregistrement ou l’application d’une règle, vous pouvez revenir à la Restrictions page à tout moment Effacer ou Désactiver la règle. Définir les exceptions et limitations des fichiers exécutables non signés Un signé processus a une signature d’authentification numérique pour prouver que la signature provient d’une source fiable. La meilleure pratique dicte que toutes les demandes légitimes soient signées. Les restrictions sur les processus non signés empêchent tous les processus non signés de fonctionner, sauf ceux que vous avez explicitement mis en liste blanche. Vous pouvez également définir une période d’ajournement, ce qui empêche les processus non signés de fonctionner pendant un certain nombre de minutes après qu’ils soient écrits sur le disque du terminal. Parce que l’attaque peut impliquer l’écriture d’un fichier exécutable malveillant sur le disque et l’exécuter immédiatement, en utilisant une période de report et de limiter les processus non signés est efficace pour prévenir les attaques de logiciels malveillants. Définir les exceptions et limitations des fichiers exécutables non signés Step 1 Configurer une nouvelle règle de restrictions. © Palo Alto Networks, Inc. Sélectionner Politiques > Malware > Restrictions et Ajouter une nouvelle règle. Traps 3.3 Guide de l’administrateur • 171 Gérer les restrictions sur les fichiers exécutables Prévention contre les logiciels malveillants Définir les exceptions et limitations des fichiers exécutables non signés (Continued) Step 2 Définir les restrictions sur les fichiers exécutables non signés. 1. Sélectionner Exécutables non signés. 2. Configurer le Action à prendre lorsqu’un utilisateur ouvre un fichier exécutable non signé : • Hériter—hériter du comportement de la stratégie par défaut. • Prévention—Bloque le processus. • Notification—soumettez la question et permettez au processus Java de continuer. 3. Configurer le Alerte de l’utilisateur comportement lorsqu’un utilisateur ouvre un fichier exécutable non signé. • Hériter—hériter du comportement de la stratégie par défaut. • ON—notifier l’utilisateur. • OFF—Ne pas avertir l’utilisateur. 4. Spécifier la Période Blacklist (en minutes) pour empêcher les processus non signés de fonctionner pendant un certain laps de temps après que le fichier exécutable ait été initialement écrit sur le disque dur du terminal. 5. Pour permettre à un processus de fonctionner immédiatement, sans attendre que la période de liste noire expire, cliquez sur le bouton ajouter processus et ajoutez le processus comme l’un des processus en liste blanche. 6. Pour permettre à tous les processus d’un certain dossier de fonctionner immédiatement, sans attendre que la période de liste noire expirer, cliquez sur le bouton ajouter des dossiers et ajoutez le dossier au chemin de liste blanche. Step 3 (Optionnel) Ajouter Conditions à la règle. Pour spécifier une condition, sélectionnez le Conditions onglet, Par défaut, une nouvelle règle ne sélectionnez la condition dans la liste des Conditions, puis l’ajouter contient pas de conditions. à la liste de conditions sélectionnées. Répétez cette étape pour ajouter d’autres conditions, selon les besoins. Pour ajouter une condition à la liste des Conditions, voir Définir les conditions d’activation pour une règle. Step 4 (Optionnel) Définir Objets cibles à quoi appliquer la règle de restriction. Par défaut, une nouvelle règle est applicable à tous les objets de votre organisation. Step 5 (Optionnel) Examiner le nom de la règle Pour remplacer le nom auto généré, sélectionnez l’Nom onglet, et sa description. La console ESM génère désactivez l’Activer la description automatique option, puis entrez automatiquement le nom de la règle et sa un nom de règle et la description de votre choix. description, basée sur les détails de la règle, mais vous permet de modifier ces champs, si nécessaire. 172 • Traps 3.3 Guide de l’administrateur Pour définir un sous-ensemble d’objets cibles, sélectionnez le Objets tab, onglet, puis entrez un ou plusieurs Utilisateurs, Ordinateurs, Groupes, Unités organisationnelles, ou Endpoints existants dans les zones inclure ou exclure. Le gestionnaire de sécurité terminal interroge le directoire actif pour vérifier les utilisateurs, les ordinateurs, les groupes ou les unités organisationnelles ou identifier les endpoints des précédents messages de communication. © Palo Alto Networks, Inc. Prévention contre les logiciels malveillants Gérer les restrictions sur les fichiers exécutables Définir les exceptions et limitations des fichiers exécutables non signés (Continued) Step 6 Enregistrez la règle de restriction. © Palo Alto Networks, Inc. Effectuez l’une des opérations suivantes : • Sauvegarder la règle sans l’activer. Cette option est disponible uniquement pour les règles inactives, clonées, ou nouvelles. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle de la Politiques > Malware > Restrictions page puis cliquez sur Activer. • Appliquer la règle pour l’activer immédiatement. Après l’enregistrement ou l’application d’une règle, vous pouvez revenir à la Restrictions page à tout moment Effacer ou Désactiver la règle. Traps 3.3 Guide de l’administrateur • 173 Gérer les règles de protection de Malware Prévention contre les logiciels malveillants Gérer les règles de protection de Malware Les règles de protection des logiciels malveillants permettent de limiter les comportements liés à des logiciels malveillants. Lorsqu’elle est activée, ces modules utilisent un modèle de whitelist qui ne permet l’injection de processus que pour que les processus spécifiés dans la politique. Les politiques de prévention des logiciels malveillants par défaut qui arrivent préconfigurées au logiciel ESM accordent des dérogations aux processus légitimes communs qui doivent être injectés dans d’autres processus ou modules. Lorsque de nouvelles règles de protection des logiciels malveillants sont ajoutés à la politique de sécurité, le mécanisme des règles Traps fusionne toutes les règles configurées dans une politique efficace qui est évaluée pour chaque critère. Dans le cas d’un conflit potentiel entre deux ou plusieurs règles, il y a un ensemble de considérations, telles que la date de modification, qui déterminent quelle règle prend effet. Par exemple, si une règle a été créée ou modifiée plus récemment que l’autre, cette règle à une date ultérieure l’emporte sur la règle avec une date précédente. En conséquence, de nouvelles règles de protection des logiciels malveillants remplacent la stratégie par défaut, ce qui peut faire que votre politique soit inefficace ou provoquer des paramètres à être instables. En outre, les whitelists définies par l’utilisateur ne sont pas fusionnées entre les différentes règles et ne sont évaluées que si la règle associée a la priorité. Faites preuve de prudence lors de la configuration de nouvelles règles de politique de prévention des logiciels malveillants pour éviter que la redéfinition de la politique par défaut provoque de l’instabilité dans votre réseau. Pour des questions supplémentaires sur la configuration des règles de protection des logiciels malveillants, contactez l’équipe de soutien ou votre ingénieur commercial. Pour éviter des dépassements accidentels de la politique par défaut, nous vous recommandons de ne configurer de nouvelles règles que sur les processus qui ne sont pas couverts par la politique par défaut. Lors de la configuration d’une nouvelle règle, vous pouvez activer la protection du module Malware pour le processus parent et utiliser les paramètres de stratégie par défaut ou vous pouvez personnaliser les paramètres de règle pour votre organisation. Pour apporter des modifications à la politique de sécurité pour les processus qui sont déjà protégés, nous vous recommandons d’utiliser les workflows suivants lors de l’importation ou de modifier les règles par défaut que nécessaire pour répondre aux exigences de votre politique de sécurité : Gérer les règles de protection de Malware Configurer la vaccination de thread Gérer la liste blanche d’injection de thread Configurer la protection de surveillance de suspension Gérer la Whitelist de Suspendre la garde Gérer les règles de protection de Malware Une règle de protection malware empêche l’exécution de logiciels malveillants, souvent déguisés ou incorporés dans des fichiers non malveillants, en utilisant des modules logiciels malveillants pour cibler les comportements de processus qui sont généralement déclenchés par des logiciels malveillants. 174 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Prévention contre les logiciels malveillants Gérer les règles de protection de Malware Contrairement aux règles de protection qui sont opt-in (vous activez les modules pour les processus spécifiques que vous souhaitez protéger), les règles de protection des logiciels malveillants sont opt-out (vous activez les modules pour protéger tous les processus et spécifiez les processus qui sont exemptés, les processus qui sont autorisés à exercer le comportement défini qui est rejeté par la politique de protection contre les malwares). Vous pouvez activer les modules de protection des logiciels malveillants dans tous les processus ou activer la protection d’un ou plusieurs processus protégés dans votre organisation. Pour permettre à des processus légitimes de s’exécuter, vous pouvez whitelister les processus parents qui s’injectent dans d’autres processus. Des options supplémentaires de whitelist sont disponibles en mode Ninja ; ces paramètres de whitelist avancés permettent à Palo Alto Networks Support et aux ingénieurs commerciaux de configurer les paramètres plus affinés supplémentaires pour chaque module malware. Le tableau suivant décrit les modules de protection de logiciels malveillants : Gérer les règles de protection de Malware Description Suspendre la garde Protège contre une technique malware commune où l’attaquant crée des processus dans un état suspendu et injecte et exécute le code avant même que le processus commence. Vous pouvez activer Suspendre la garde sur un mode de processus de source et permet de configurer la notification de l’utilisateur. En option, vous pouvez également whitelister des modules de fonction que pouvez appeler processus enfants. Pour plus d’informations, voir Configurer la protection de surveillance de suspension. Injection de threads Le code malicieux peut aussi obtenir un accès en créant des threads et processus distants. Vous pouvez activer la vaccination de thread pour interrompre la création de threads et processus distants et spécifier la limitation ou sur le processus ou thread ou sur la source ou la destination. Ensuite, vous pouvez whitelister des dossiers spécifiques pour faire des exceptions à la règle de restriction générale. Pour plus d’informations, voir Configurer la vaccination de thread. Configurer la vaccination de thread Un processus peuvent comprendre un ou plusieurs threads qui exécutent chaque partie du processus de code. Certains scénarios d’attaque sont basés sur l’injection de code malicieux dans un processus cible afin de créer des threads distants, de maintenir la persistance et de contrôler le système infecté. La stratégie par défaut contient des règles prévues pour empêcher la création de threads distants malicieux et autorise les processus légitimes qui doivent injecter des threads dans d’autres processus. Faites preuve de prudence lors de la configuration de nouvelles règles d’injection de menaces pour éviter de redéfinir la politique par défaut et de provoquer l’instabilité dans votre réseau. Pour des questions supplémentaires sur la configuration des règles de protection des logiciels malveillants, contactez l’équipe d’assistance ou votre ingénieur système. Si le processus n’est pas déjà protégé par la stratégie de sécurité par défaut, vous pouvez créer une nouvelle règle qui active la protection d’injection de thread pour un processus en utilisant les paramètres d’injection de thread par défaut ou vous pouvez configurer les paramètres au besoin pour votre stratégie de sécurité. Les paramètres incluent le nom du processus, activation (ON ou OFF), Action (Prévention ou Notification), Alerte de l’utilisateur (ON ou OFF), st les processus cibles whitelistés dans lesquels le processus source peut injecter. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 175 Gérer les règles de protection de Malware Prévention contre les logiciels malveillants Si le processus est déjà protégé par la politique de sécurité par défaut, nous vous recommandons d’importer l’injection de menace par défaut comme une nouvelle règle et de faire des changements pour répondre aux exigences de votre organisation. De cette façon, lorsque la stratégie est activée, elle remplace la stratégie par défaut, mais contient toujours les paramètres de configuration par défaut, en plus de toutes les modifications apportées. Configurer la vaccination de thread Step 1 Step 2 Configurer une règle d’injection de thread. 1. Effectuer les opérations suivantes : • Ajouter une nouvelle règle. • Sélectionnez et modifier une règle existante. • Revoir les règles de stratégie par défaut (sélectionnez Afficher Règles par défaut à partir du menu d’actions en haut de la table), sélectionnez une règle, puis Cloner la. 2. Sélectionner Injection de thread. (Optionnel) Définissez les paramètres 1. d’injection de thread. Pour utiliser les paramètres définis par la stratégie par défaut, activez le module, puis passez à Step 5. 2. Alternativement, vous pouvez remplacer les valeurs par défaut pour personnaliser les paramètres d’injection de menace selon les besoins de votre organisation. Dans la activation liste déroulante, sélectionnez ON pour permettre à la règle ou OFF pour désactiver la règle. Tous les paramètres supplémentaires sont ignorés si le module de protection contre les malwares est désactivé. 3. Configurer le Alerte de l’utilisateur comportement lorsque le processus source tente d’injecter dans un autre processus. • Hériter—hériter du comportement de la stratégie par défaut. • ON—alerte l’utilisateur lorsqu’un processus tente d’injecter dans un autre. • OFF—Ne pas avertir l’utilisateur lorsqu’un processus tente de s’injecter dans un autre processus. Step 3 (Nouvelles règles uniquement) Activer la protection d’injection de thread pour un processus unique ou pour tous les processus. Step 4 (Optionnel) La liste blanche d’un 1. processus cible. Pour éviter de contourner la 2. whitelist dans la politique de protection des logiciels malveillants par défaut, nous vous recommandons fortement de ne pas modifier le Actions whitelist et, à la place, gardez la valeur par défaut Fusionner réglage. 176 • Traps 3.3 Guide de l’administrateur Configurer l’action à prendre quand un processus source tente d’injecter dans un autre processus : • Hériter—hériter du comportement de la stratégie par défaut. • Prévention—termine le processus. • Notification—soumettez la question et permettez au processus d’injecter dans un autre processus. Pour configurer la protection d’injection de thread pour un processus parent, sélectionnez l’option pour Sélectionnez un processus et entrez le nom du processus dans le champ prévu. Sinon, conservez le paramètre par défaut pour appliquer la protection d’injection de thread à Tous les processus. Cliquez sur l’icône du mode ninja administrateur. et entrez le mot de passe Ajoutez un ou plusieurs processus à la liste. © Palo Alto Networks, Inc. Prévention contre les logiciels malveillants Gérer les règles de protection de Malware Configurer la vaccination de thread (Continued) Step 5 (Optionnel) Ajouter Conditions à la règle. Pour spécifier une condition, sélectionnez le Conditionsonglet, Par défaut, une nouvelle règle ne sélectionnez la condition dans la liste des Conditions, puis Add it to contient pas de conditions. the Selected Conditions list. Répétez cette étape pour ajouter d’autres conditions, selon les besoins. Pour ajouter une condition à la liste des Conditions, voir Définir les conditions d’activation pour une règle. Step 6 (Optionnel) Définir la Objets cibles auquel appliquer la règle de protection contre les malwares. Par défaut, une nouvelle règle est applicable à tous les objets de votre organisation. Step 7 (Optionnel) Examiner le nom de la règle Pour remplacer le nom auto généré, sélectionnez l’Nom onglet, et sa description. La console ESM génère désactivez l’description automatique option, puis entrez un nom automatiquement le nom de la règle et sa de règle et la description de votre choix. description, basée sur les détails de la règle, mais vous permet de modifier ces champs, si nécessaire. Step 8 Enregistrer la règle de protection contre Effectuez l’une des opérations suivantes : les malwares. • Sauvegarder la règle. Cette option est disponible uniquement pour les règles inactives, clonées, ou nouvelles. Pour activer la règle ultérieurement, sélectionnez la règle de la Politiques > Malware > Modules de protection la page puis cliquez sur Activer. • Appliquer la règle pour l’activer immédiatement. Après l’enregistrement ou l’application d’une règle, vous pouvez revenir à la Politiques > Malware > Modules de protection la page à tout moment Effacer ou Désactiver la règle. Pour définir un sous-ensemble d’objets cibles, sélectionnez le Objets onglet, puis entrez un ou plusieurs Utilisateurs, Ordinateurs, Groupes, Unités organisationnelles, ou Endpoints existantsdans les zones inclure ou exclure. Le gestionnaire de sécurité terminal interroge le directoire actif pour vérifier les utilisateurs, les ordinateurs, les groupes ou les unités organisationnelles ou identifier les endpoints des précédents messages de communication. Gérer la liste blanche d’injection de thread Si un processus légitime doit injecter dans un processus cible spécifique, vous pouvez utiliser ce flux de travail pour ajouter le processus cible à une liste blanche d’injection de thread. Gérer la liste blanche d’injection de thread Step 1 Utilisez le filtre pour localiser la règle d’injection de thread actif pour un processus spécifique. Cette méthode de règles de filtrage ne fonctionne que si la description de fonction automatique est activée lors de la création de règles ou si vous entrez manuellement le nom du processus dans la description de la règle. © Palo Alto Networks, Inc. 1. Sélectionner Politiques > Malware > Modules de protection. 2. Sélectionnez l’icône de filtre pour la La description colonne. 3. Met le Voir l’article les critères de Contient et entrez un nom de processus dans le champ prévu. 4. Sélectionner un filtre Traps 3.3 Guide de l’administrateur • 177 Gérer les règles de protection de Malware Prévention contre les logiciels malveillants Gérer la liste blanche d’injection de thread (Continued) Step 2 Modifier une règle de protection contre les malwares. Sélectionnez puis modifier la règle. Si la règle n’existe pas, la créer comme décrit dans Configurer la vaccination de thread. Step 3 Ajouter un processus cible à une liste blanche. 1. Cliquez sur l’icône du mode ninja administrateur. 2. Ajouter le processus cible à la liste. Step 4 et entrez le mot de passe Enregistrer la règle de protection contre Effectuez l’une des opérations suivantes : les malwares. • Sauvegarder la règle. Cette option est disponible uniquement pour les règles inactives, clonées, ou nouvelles. Pour activer la règle ultérieurement, sélectionnez la règle de la Politiques > Malware > Modules de protection la page puis cliquez sur Activer. • Appliquer la règle pour l’activer immédiatement. Après l’enregistrement ou l’application d’une règle, vous pouvez revenir à la Politiques > Malware > Modules de protection la page à tout moment Effacer ou Désactiver la règle. Configurer la protection de surveillance de suspension Suspendre la garde protège contre une technique malware commune où l’attaquant crée des processus dans un état suspendu et injecte et exécute le code avant même que le processus commence. Lorsqu’il est activé, le module Suspendre la garde empêche tous les processus de suspendre les attaques de la Garde et utilise les whitelists pour permettre aux processus légitimes communs d’injecter dans d’autres processus ou modules. La stratégie par défaut contient des règles prévues pour empêcher la création de menaces malicieuses distantes et autorise les processus légitimes qui doivent injecter des menaces dans d’autres processus. Faites preuve de prudence lors de la configuration de nouvelles règles d’injection de menaces pour éviter de redéfinir la politique par défaut et de provoquer l’instabilité dans votre réseau. Pour des questions supplémentaires sur la configuration des règles de protection des logiciels malveillants, contactez l’équipe d’assistance ou votre ingénieur système. Si le processus n’est pas déjà protégé par la politique de sécurité par défaut, vous pouvez créer une nouvelle règle qui permet de suspendre la protection de garde pour un processus en utilisant la valeur par défaut Suspendre les paramètres de la Garde où vous pouvez configurer les paramètres au besoin pour répondre aux exigences de votre politique de sécurité. Les paramètres incluent le nom du processus, Activation (ON ou OFF), Action (Prévention ou Notification), Alerter l’utilisateur (ON ou OFF), et des modules de fonction de la whitelist qui peuvent appeler des processus enfants. Si le processus est déjà protégé par la politique de sécurité par défaut, nous vous recommandons d’importer le défaut Suspend la politique de garde comme une nouvelle règle et de faire des changements pour répondre aux exigences de votre organisation. De cette façon, lorsque la stratégie est activée, elle remplace la stratégie par défaut, mais contient toujours les paramètres de configuration par défaut, en plus de toutes les modifications apportées. 178 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Prévention contre les logiciels malveillants Gérer les règles de protection de Malware Configurer la protection de surveillance de suspension Step 1 Configurer une règle Suspendre la garde. 1. 2. Step 2 Effectuer les opérations suivantes : • Ajouter une nouvelle règle. • Sélectionnez et modifier une règle existante. • Revoir les règles de stratégie par défaut (sélectionnez Afficher Règles par défaut à partir du menu actions en haut de la table), sélectionnez une règle, puis Clonerla. Sélectionner Suspendre la Garde. (Optionnel) Définir la Suspension des 1. paramètres de Garde. Pour utiliser les paramètres définis par la stratégie par défaut, activez le module, puis passez à Step 5. 2. Dans la activation liste déroulante, sélectionnez ON pour permettre à la règle ou OFF pour désactiver la règle. Tous les paramètres supplémentaires sont ignorés si le module de protection contre les malwares est désactivé. 3. Configurer le Alerte de l’utilisateur comportement lorsque le processus source tente d’injecter dans un autre processus. • Hériter—hériter du comportement de la stratégie par défaut. • ON—alerte l’utilisateur lorsqu’un processus tente d’injecter dans un autre. • OFF—Ne pas avertir l’utilisateur lorsqu’un processus tente de s’injecter dans un autre processus. Step 3 (Les nouvelles règles uniquement) Activer Suspendre la protection de Garde pour un processus unique ou pour tous les processus. Step 4 1. (Optionnel) Ajouter un processus de fonction et d’enfant à une liste blanche. Par défaut, quand une règle Suspendre la 2. garde est activée, Traps bloque toutes les fonctions du processus parent de l’injection dans tous les processus enfants. Pour autoriser explicitement l’injection dans les fonctions et les processus enfants, les ajouter à une liste blanche. Pour éviter de contourner la whitelist dans la politique de protection des logiciels malveillants par défaut, nous vous recommandons fortement de ne pas modifier le Actions whitelist et, à la place, gardez la valeur par défaut Fusionner réglage. © Palo Alto Networks, Inc. Configurer l’action à prendre quand un processus source tente d’injecter dans un autre processus : • Hériter—hériter du comportement de la stratégie par défaut. • Prévention—termine le processus. • Notification—soumettez la question et permettez au processus d’injecter dans un autre processus. Pour configurer la protection d’injection de thread pour un processus parent, sélectionnez l’option pour Sélectionnez un processus et entrez le nom du processus dans le champ prévu. Sinon, conservez le paramètre par défaut pour appliquer Suspendre la protection de gardeTous les processus. Cliquez sur l’icône du mode ninja administrateur. et entrez le mot de passe Hériter les paramètres de whitelist par défaut ou processus Whitelist de fonction et d’enfant spécifiques. Configurez la whitelist pour permettre toute combinaison des éléments suivants : • Toutes les fonctions qui injectent dans tout processus enfant • Une fonction spécifique qui injecte dans tout processus enfant • Toutes les fonctions qui injectent dans un processus spécifique • Une fonction spécifique qui injecte dans un processus spécifique Répétez si nécessaire pour ajouter plusieurs combinaison par processus parent. Traps 3.3 Guide de l’administrateur • 179 Gérer les règles de protection de Malware Prévention contre les logiciels malveillants Configurer la protection de surveillance de suspension (Continued) Step 5 (Optionnel) Ajouter Conditions à la règle. Pour spécifier une condition, sélectionnez le Conditionsonglet, Par défaut, une nouvelle règle ne sélectionnez la condition dans la liste des Conditions, puis l’ajouter contient pas de conditions. à la liste de conditions sélectionnées. Répétez cette étape pour ajouter d’autres conditions, selon les besoins. Pour ajouter une condition à la liste des Conditions, voir Définir les conditions d’activation pour une règle. Step 6 (Optionnel) Définir la Objets cibles auquel appliquer la règle de protection contre les malwares. Par défaut, une nouvelle règle est applicable à tous les objets de votre organisation. Step 7 (Optionnel) Examiner le nom de la règle Pour remplacer le nom auto généré, sélectionnez l’Nom onglet, et sa description. La console ESM génère désactivez l’description automatique option, puis entrez un nom automatiquement le nom de la règle et sa de règle et la description de votre choix. description, basée sur les détails de la règle, mais vous permet de modifier ces champs, si nécessaire. Step 8 Enregistrer la règle de protection contre Effectuez l’une des opérations suivantes : les malwares. • Sauvegarder la règle. Cette option est disponible uniquement pour les règles inactives, clonées, ou nouvelles. Pour activer la règle ultérieurement, sélectionnez la règle de la Politiques > Malware > Modules de protection la page puis cliquez sur Activer. • Appliquer la règle pour l’activer immédiatement. Après l’enregistrement ou l’application d’une règle, vous pouvez revenir à la Politiques > Malware > Modules de protection la page à tout moment Effacer ou Désactiver la règle. Pour définir un sous-ensemble d’objets cibles, sélectionnez leObjetsonglet, puis entrez un ou plusieursUtilisateurs, Ordinateurs, Groupes, Unités organisationnelles, or Endpoints existants dans les zones inclure ou exclure. Le gestionnaire de sécurité terminal interroge le directoire actif pour vérifier les utilisateurs, les ordinateurs, les groupes ou les unités organisationnelles ou identifier les endpoints des précédents messages de communication. Gérer la Whitelist de Suspendre la garde Si un module de fonction légitime d’un processus parent doit injecter dans un processus enfant, utilisez ce flux de travail pour permettre explicitement le module de fonction d’injecter dans le processus de l’enfant, au besoin en ajoutant le processus de module ou de l’enfant à une liste blanche. Gérer la Whitelist de Suspendre la garde Step 1 Utilisez le filtre pour localiser la règle Suspendre la garde active pour un processus spécifique. Cette méthode de règles de filtrage ne fonctionne que si la description de fonction automatique est activée lors de la création de règles ou si vous entrez manuellement le nom du processus dans la description de la règle. 180 • Traps 3.3 Guide de l’administrateur 1. Sélectionner Politiques > Malware > Modules de protection. 2. Sélectionnez l’icône de filtre pour la La description colonne. 3. Met le Voir l’article les critères de Contient et entrez un nom de processus dans le champ prévu. 4. Sélectionner un filtre © Palo Alto Networks, Inc. Prévention contre les logiciels malveillants Gérer les règles de protection de Malware Gérer la Whitelist de Suspendre la garde (Continued) Step 2 Modifier une règle de protection contre les malwares. Step 3 Ajouter un processus cible à une liste 1. blanche. Par défaut, la liste blanche empêche tous 2. les modules de fonction du processus parent de s’injecter dans tout processus 3. enfant. Si un module de fonction légitime doit injecter dans un processus enfant, autoriser explicitement l’injection en ajoutant le processus de module ou processus enfant à une liste blanche. Step 4 Sélectionnez puis modifier la règle. Si la règle n’existe pas, la créer comme décrit dans Configurer la protection de surveillance de suspension. Cliquez sur l’icône du mode ninja administrateur. et entrez le mot de passe Ajouter le nom du module de fonction ou processus enfant à la liste blanche dans l’une des façons suivantes : Configurez la whitelist pour permettre toute combinaison des éléments suivants : • Toutes les fonctions qui injectent dans tout processus enfant • Une fonction spécifique qui injecte dans tout processus enfant • Toutes les fonctions qui injectent dans un processus spécifique • Une fonction spécifique qui injecte dans un processus spécifique Répétez si nécessaire pour ajouter plusieurs combinaison par processus parent. Enregistrer la règle de protection contre Effectuez l’une des opérations suivantes : les malwares. • Sauvegarder la règle. Cette option est disponible uniquement pour les règles inactives, clonées, ou nouvelles. Pour activer la règle ultérieurement, sélectionnez la règle de la Politiques > Malware > Modules de protection la page puis cliquez sur Activer. • Appliquer la règle pour l’activer immédiatement. Après l’enregistrement ou l’application d’une règle, vous pouvez revenir à la Politiques > Malware > Modules de protection la page à tout moment Effacer ou Désactiver la règle. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 181 Gérer les règles de protection de Malware Prévention contre les logiciels malveillants 182 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Gérer les points de terminaison Les rubriques suivantes décrivent comment gérer les points de terminaison en utilisant Endpoint Security Manager : Gérer les règles d’action Traps Gérer les règles de paramètres d’agent © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 183 Gérer les règles d’action Traps Gérer les points de terminaison Gérer les règles d’action Traps Utilisez des règles d’action pour effectuer des actions uniques sur l’agent Traps qui s’exécute sur chaque point de terminaison. Règles d’action Traps Ajouter une nouvelle règle d’action Gérer les données collectées par Traps Désinstaller ou mettre à niveau Traps sur le point de terminaison Mettre à jour ou révoquer la licence Traps sur le point de terminaison Règles d’action Traps Les règles d’action vous permettent d’effectuer des actions uniques sur l’agent Traps qui s’exécute sur chaque point de terminaison. Pour chaque règle d’action, vous devez spécifier le ou les objets cibles, la ou les conditions et l’une des actions d’administration suivantes à effectuer sur chaque point de terminaison. Règles d’action Description Gérer les fichiers de données créés par l’agent Traps Chaque point de terminaison stocke des informations de prévention et de sécurité qui incluent des données historiques, des vidages mémoire et des fichiers en quarantaine. En utilisant ce type de règle d’action, vous pouvez effacer ou récupérer les fichiers de données que l’agent Traps créé sur le point de terminaison. Pour plus d’informations, consultez la section Gérer les données collectées par Traps. Désinstaller ou mettre à niveau le logiciel Traps Créez une règle d’action pour désinstaller ou mettre à niveau Traps à partir de Endpoint Security Manager. Pour mettre à niveau le logiciel Traps sur un point de terminaison, chargez le fichier zip du logiciel sur le serveur ESM (ESM) et spécifiez le chemin lors de la configuration de la règle d’action. Pour plus d’informations, voir Désinstaller ou mettre à niveau Traps sur le point de terminaison. Mettre à jour ou révoquer Endpoint Security Manager distribue les licences à l’agent Traps. Vous pouvez la licence Traps révoquer ou mettre à jour la licence à tout moment sur un point de terminaison. Pour plus d’informations, voir Mettre à jour ou révoquer la licence Traps sur le point de terminaison. Traps n’applique pas de règles d’action tant que l’agent Traps n’a pas reçu la stratégie de sécurité à jour, ce qui se produit habituellement avec la communication de pulsation suivante avec le serveur. Pour récupérer manuellement la dernière stratégie de sécurité à partir du serveur ESM, sélectionnez Check-in now (Vérifier maintenant) sur la console Traps. Vous pouvez créer ou modifier des règles d’action sur la page de récapitulatif et gestion Actions (Actions) (Settings (Paramètres) > Agent Actions (Actions d’agent). La sélection d’une règle pour afficher d’autres informations sur la règle et les autres actions que vous pouvez entreprendre sur cette règle (dupliquer (Duplicate), supprimer (Delete) ou activer/désactiver (Activate/Deactivate) la règle). Pour plus d’informations, voir Gérer les règles d’action Traps. 184 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Gérer les points de terminaison Gérer les règles d’action Traps Ajouter une nouvelle règle d’action Pour chaque règle d’action, vous pouvez spécifier les objets d’organisation, les conditions et les actions à effectuer sur chaque point de terminaison. Ajouter une nouvelle règle d’action Step 1 Créez une nouvelle règle d’action. Sélectionnez Settings (Paramètres) > Agent (Agent) > Actions (Actions), puis ajoutez (Add) une nouvelle règle. Step 2 Sélectionnez le type de tâche à effectuer. Sélectionnez l’un des types de règle d’action suivants, puis configurez les paramètres en fonction du type d’action : • Agent Data (Données de l’agent)—Pour plus d’informations, voir Gérer les données collectées par Traps. • Agent Installation (Installation de l’agent)—Pour plus d’informations, voir Désinstaller ou mettre à niveau Traps sur le point de terminaison. • Agent License (License de l’agent)—Pour plus d’informations, voir Mettre à jour ou révoquer la licence Traps sur le point de terminaison. Step 3 (En option) Ajoutez des Conditions à la règle. Par défaut, une nouvelle règle ne contient aucune condition. Pour spécifier une condition, sélectionnez l’onglet Conditions (conditions), sélectionnez ensuite la condition dans la liste Conditions, puis ajoutez-la (Add) à la liste Selected Conditions (conditions sélectionnées). Répétez cette étape pour ajouter d’autres conditions, au besoin. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d’activation pour une règle. Step 4 (En option) Définissez les Objets cibles auxquels s’applique la règle d’action. Par défaut, une nouvelle règle s’applique à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d’objets cibles, sélectionnez l’onglet Objects (Objets), puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d’organisation (Organizational Units) ou points de terminaison existants (Existing Endpoints) dans les zones Include (Inclure) ou Exclude (Exclure). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d’organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Step 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle; elle vous permet toutefois de modifier ces champs, au besoin. Pour substituer le nom généré automatiquement, sélectionnez l’onglet Name (Nom), effacez l’option Activate automatic description (Activer la description automatique), puis saisissez un nom et une description de règle de votre choix. Step 6 Enregistrez la règle d’action. Effectuez l’une des actions suivantes : • Enregistrez (Save) la règle sans l’activer. Cette option n’est offerte que pour les nouvelles règles ou pour celles qui sont inactives ou clonées. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle dans la page Settings (Paramètres) > Agent (Agent) > Actions (Actions) et cliquez sur Activate (Activer). • Appliquez (Apply) la règle pour l’activer immédiatement. Après avoir enregistré ou appliqué une règle, vous pouvez revenir à la page Actions (Actions) en tout temps pour l’effacer (Delete) ou la désactiver (Deactivate). © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 185 Gérer les règles d’action Traps Gérer les points de terminaison Gérer les données collectées par Traps Pour gérer les données collectées par Traps, vous pouvez configurer une règle d’action qui ne s’exécute qu’une seule fois sur chaque point de terminaison ; une fois que l’agent Traps a effectué l’action, il ne la répétera pas. Pour reprendre la même action, dupliquez l’action à partir de la page Settings (Paramètres) > Agent (Agent) > Actions (Actions). Le tableau suivant présente le type de règles d’action que vous pouvez configurer pour Gérer les données collectées par Traps. Action Description Clear History (Effacer l’historique) Chaque point de terminaison stocke un historique des événements de prévention de la sécurité. Sélectionnez cette option pour effacer les fichiers de données historiques de la console Traps. Erase Memory Dumps (Effacer les vidages mémoire) Les vidages mémoire sont des enregistrements du contenu de la mémoire système lorsqu’un évènement de prévention se produit. Sélectionnez cette option pour effacer les enregistrement de mémoire du système des objets cibles. Erase Quarantined Files (Supprimer les fichiers mis en quarantaine) Lorsqu’un évènement de sécurité se produit sur un point de terminaison, Traps capture les vidages mémoire et les fichiers récents associés à l’évènement et les stocke (les met en quarantaine) dans le dossier d’investigation numérique sur le point de terminaison. Sélectionnez cette option pour supprimer les fichiers associés à l’évènement de sécurité sur les objets cibles. Retrieve Data that the Agent Collects (Récupérer les données que l’agent recueille) Traps collecte l’historique des évènements de sécurité, les vidages mémoire et d’autres informations associées à un évènement de sécurité. Sélectionnez cette option pour récupérer toutes les informations enregistrées de tous les évènements qui se sont produits sur le point de terminaison. Après l’exécution de cette règle, l’agent envoie toutes les données liées à l’événement de prévention, en incluant un vidage mémoire du processus protégé dans le dossier d’investigation numérique désigné. Retrieve Logs that the Agent Collects (Récupérer les journaux que l’agent recueille) Traps collecte les journaux de trace d’application détaillés et stocke les informations sur les processus et les applications qui sont exécutés sur le point de terminaison. Utilisez le fichier journal pour résoudre un problème avec une application ou enquêter sur un problème spécifique qui apparaît dans le journal. Sélectionnez cette option pour créer une règle d’action qui récupère toutes les informations de trace d’application pour un point de terminaison. Après l’exécution de cette règle, l’agent Traps envoie tous les journaux au dossier d’investigation numérique. Gérer les données collectées par Traps Step 1 Créez une nouvelle règle d’action. 186 • Traps 3.3 Guide de l’administrateur Sélectionnez Settings (Paramètres) > Agent (Agent) > Actions (Actions), puis ajoutez (Add) une nouvelle règle. © Palo Alto Networks, Inc. Gérer les points de terminaison Gérer les règles d’action Traps Gérer les données collectées par Traps (Continued) Step 2 Configurez les tâches que vous souhaitez effectuer sur les données Traps stockées sur les points de terminaison. Sélectionnez Agent Data (Données collectées par l’agent), puis sélectionnez l’une des options suivantes pour gérer les données collectées par l’agent Traps. • Clear history (Supprimer l’historique) • Erase memory dumps (Effacer les vidages mémoire) • Erase quarantined files (Supprimer les fichiers mis en quarantaine) • Retrieve collected data from the agent (Récupérer les données collectées de l’agent) • Retrieve collected logs from the agent (Récupérer les journaux collectés de l’agent) Step 3 (En option) Ajoutez des Conditions à la règle. Par défaut, une nouvelle règle ne contient aucune condition. Pour spécifier une condition, sélectionnez l’onglet Conditions (conditions), sélectionnez ensuite la condition dans la liste Conditions, puis ajoutez-la (Add) à la liste Selected Conditions (conditions sélectionnées). Répétez l’opération pour ajouter d’autres conditions, au besoin. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d’activation pour une règle. Step 4 (En option) Définissez les Objets cibles auxquels s’applique la règle d’action. Par défaut, une nouvelle règle s’applique à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d’objets cibles, sélectionnez l’onglet Objects (Objets), puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d’organisation (Organizational Units) ou points de terminaison existants (Existing Endpoints) dans les zones Include (Inclure) ou Exclude (Exclure). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d’organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Step 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle; elle vous permet toutefois de modifier ces champs, au besoin. Pour substituer le nom généré automatiquement, sélectionnez l’onglet Name (Nom), effacez l’option Activate automatic description (Activer la description automatique), puis saisissez un nom et une description de règle de votre choix. Step 6 Enregistrez la règle d’action. Effectuez l’une des actions suivantes : • Enregistrez (Save) la règle sans l’activer. Cette option n’est offerte que pour les nouvelles règles ou pour celles qui sont inactives ou clonées. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle dans la page Settings (Paramètres) > Agent (Agent) > Actions (Actions) et cliquez sur Activate (Activer). • Appliquez (Apply) la règle pour l’activer immédiatement. Après avoir enregistré ou appliqué une règle, vous pouvez revenir à la page Actions (Actions) en tout temps pour l’effacer (Delete) ou la désactiver (Deactivate). © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 187 Gérer les règles d’action Traps Gérer les points de terminaison Désinstaller ou mettre à niveau Traps sur le point de terminaison Créez une nouvelle règle d’actions d’agent pour désinstaller Traps sur les objets cibles ou mettre à niveau Traps en utilisant le logiciel accessible par la console ESM. Désinstaller ou mettre à niveau Traps sur le point de terminaison Step 1 Créez une nouvelle règle d’action. Sélectionnez Settings (Paramètres) > Agent (Agent) > Actions (Actions), puis ajoutez (Add) une nouvelle règle. Step 2 Définissez les tâches que vous souhaitez 1. effectuer sur l’agent Traps stocké sur les points de terminaison. 2. Sélectionnez Agent Installation (Installation de l’agent), puis sélectionnez Uninstall (Désinstaller) pour désinstaller le logiciel Traps ou Upgrade from path (Mettre à niveau à partir du chemin d’accès) pour accéder au fichier d’installation à utiliser pour la mise à niveau du logiciel Traps et le sélectionner. Saisissez le mot de passe de désinstallation (Uninstall Password). Step 3 (En option) Ajoutez des Conditions à la règle. Par défaut, une nouvelle règle ne contient aucune condition. Pour spécifier une condition, sélectionnez l’onglet Conditions, sélectionnez ensuite la condition dans la liste Conditions, puis ajoutez-la (Add) à la liste Selected Conditions (Conditions sélectionnées). Répétez l’opération pour ajouter d’autres conditions, au besoin. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d’activation pour une règle. Step 4 (En option) Définissez les Objets cibles auxquels s’applique la règle d’action. Par défaut, une nouvelle règle s’applique à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d’objets cibles, sélectionnez l’onglet Objects (Objets), puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d’organisation (Organizational Units) ou points de terminaison existants (Existing Endpoints) dans les zones Include (Inclure) ou Exclude (Exclure). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d’organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Step 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle; elle vous permet toutefois de modifier ces champs, au besoin. Pour substituer le nom généré automatiquement, sélectionnez l’onglet Name (Nom), effacez l’option Activate automatic description (Activer la description automatique), puis saisissez un nom et une description de règle de votre choix. Step 6 Enregistrez la règle d’action. Effectuez l’une des actions suivantes : • Enregistrez (Save) la règle sans l’activer. Cette option n’est offerte que pour les nouvelles règles ou pour celles qui sont inactives ou clonées. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle dans la page Settings (Paramètres) > Agent (Agent) > Actions (Actions) et cliquez sur Activate (Activer). • Appliquez (Apply) la règle pour l’activer immédiatement. Après avoir enregistré ou appliqué une règle, vous pouvez revenir à la page Actions (Actions) en tout temps pour l’effacer (Delete) ou la désactiver (Deactivate). 188 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Gérer les points de terminaison Gérer les règles d’action Traps Mettre à jour ou révoquer la licence Traps sur le point de terminaison Créez une nouvelle règle d’action pour mettre à jour ou révoquer une licence d’un agent Traps sur un point de terminaison. Lorsque vous révoquez une licence à l’aide d’une règle d’action, l’agent Traps effectue cette action lors de la communication de pulsation suivante avec le serveur ESM. Une fois que la règle d’action s’est exécutée sur le point de terminaison, Traps cesse de protéger le point de terminaison et permet au serveur ESM de réaffecter la licence à un autre agent Traps. Lorsque le point de terminaison ou le service Traps est remis en marche (par exemple, lors d’un redémarrage), l’agent demande une nouvelle licence au serveur ESM. Pour reprendre la protection Traps, vous devez créer une nouvelle règle d’action pour mettre à jour la licence de l’agent Traps. Dans une situation urgente qui exige qu’une licence soit immédiatement libérée de la base de données, vous pouvez Retirer une licence Traps sans attendre la communication de pulsation suivante. Mettre à jour ou révoquer la licence Traps sur le point de terminaison Step 1 Créez une nouvelle règle d’action. Step 2 Définissez les tâches que vous souhaitez Sélectionnez Agent License (Licence de l’agent), puis sélectionnez effectuer sur la licence Traps stockée sur l’une des actions suivantes : les points de terminaison. • Update (Mettre à jour)—Mettre à jour la licence Traps sur un point de terminaison. • Revoke (Révoquer)—Révoquer une licence et arrêter le service d’agent Traps sur un point de terminaison. Step 3 (En option) Ajoutez des Conditions à la règle. Par défaut, une nouvelle règle ne contient aucune condition. Pour spécifier une condition, sélectionnez l’onglet Conditions, sélectionnez ensuite la condition dans la liste Conditions, puis ajoutez-la (Add) à la liste Selected Conditions (Conditions sélectionnées). Répétez l’opération pour ajouter d’autres conditions, au besoin. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d’activation pour une règle. Step 4 (En option) Définissez les Objets cibles auxquels s’applique la règle d’action. Par défaut, une nouvelle règle s’applique à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d’objets cibles, sélectionnez l’onglet Objects (Objets), puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d’organisation (Organizational Units) ou points de terminaison existants (Existing Endpoints) dans les zones Include (Inclure) ou Exclude (Exclure). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d’organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Step 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle; elle vous permet toutefois de modifier ces champs, au besoin. Pour substituer le nom généré automatiquement, sélectionnez l’onglet Name (Nom), effacez l’option Activate automatic description (Activer la description automatique), puis saisissez un nom et une description de règle de votre choix. © Palo Alto Networks, Inc. Sélectionnez Settings (Paramètres) > Agent (Agent) > Actions (Actions), puis ajoutez (Add) une nouvelle règle. Traps 3.3 Guide de l’administrateur • 189 Gérer les règles d’action Traps Gérer les points de terminaison Mettre à jour ou révoquer la licence Traps sur le point de terminaison (Continued) Step 6 Enregistrez la règle d’action. 190 • Traps 3.3 Guide de l’administrateur Effectuez l’une des actions suivantes : • Enregistrez (Save) la règle sans l’activer. Cette option n’est offerte que pour les nouvelles règles ou pour celles qui sont inactives ou clonées. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle dans la page Settings (Paramètres) > Agent (Agent) > Actions (Actions) et cliquez sur Activate (Activer). • Appliquez (Apply) la règle pour l’activer immédiatement. Après avoir enregistré ou appliqué une règle, vous pouvez revenir à la page Actions (Actions) en tout temps pour l’effacer (Delete) ou la désactiver (Deactivate). © Palo Alto Networks, Inc. Gérer les points de terminaison Gérer les règles de paramètres d’agent Gérer les règles de paramètres d’agent Créez des règles de paramètres d’agent à partir d’un emplacement centralisé pour modifier les préférences relatives à Traps. Règles de paramètres d’agent Traps Ajouter une nouvelle règle de paramètres d’agent Définir les préférences de journalisation d’évènement Masquer ou limiter l’accès à la console Traps Définir les paramètres de communication entre le point de terminaison et le serveur ESM Collecter les informations sur les nouveaux processus Gérer la protection de service Modifier le mot de passe de désinstallation Créer un message d’alerte aux utilisateurs personnalisé Règles de paramètres d’agent Traps Les règles de paramètres d’agent vous permettent de modifier les préférences relatives à Traps à partir d’un emplacement centralisé. Sur la page Settings (Paramètres) > Agent (Agent) > Settings (Paramètres), vous pouvez créer des règles pour gérer les paramètres de Traps suivants : Agent Settings Description Event logging (Journalisation d’évènements) Déterminez la façon dont l’agent Traps gère les journaux d’évènements. Ces paramètres incluent le réglage d’un quota de taille pour les journaux du point de terminaison, ainsi que l’envoi, en option, des journaux du point de terminaison au journal d’évènements Windows. Pour plus d’informations, voir Définir les préférences de journalisation d’évènement. User visibility and access (Visibilité et accès de l’utilisateur) Déterminez si et comment les utilisateurs finaux peuvent accéder à l’application de console Traps. En option, vous pouvez configurer la console de sorte que seuls les administrateurs puissent y accéder. Pour plus d’informations, voir Masquer ou limiter l’accès à la console Traps. Heartbeat frequency (Fréquence de pulsation) Déterminez la fréquence à laquelle l’agent Traps envoie un message de pulsation au serveur ESM. La fréquence optimale est déterminée en fonction du nombre de points de terminaison dans l’organisation et de la charge réseau type. Pour plus d’informations, voir Définir les paramètres de pulsation entre l’agent et le serveur ESM. New process information collection (Collecte d’informations sur les nouveaux processus) Configurez les agents Traps pour collecter les nouveaux processus sur les points de terminaison. Lorsque cette option est activée, Traps signale chaque nouveau processus exécuté sur un point de terminaison au serveur ESM. Vous pouvez consulter les processus dans l’affichage Process Management (Gestion des processus) des écrans de la console ESM et choisir de créer ou non des règles de sécurité liées aux processus. Pour plus d’informations, voir Collecter les informations sur les nouveaux processus. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 191 Gérer les règles de paramètres d’agent Gérer les points de terminaison Agent Settings Description Service protection (Protection de service) Empêchez les tentatives de désactiver ou d’effectuer des modifications aux valeurs de registre et fichiers de Traps. Lorsque cette option est activée, les utilisateurs ne peuvent pas éteindre ni modifier le service de l’agent Traps. Pour plus d’informations, consultez la section Gérer la protection de service. Agent security (Sécurité de l’agent) Par défaut, les utilisateurs et les administrateurs doivent saisir un mot de passe pour désinstaller l’application Traps. Utilisez cette option pour modifier le mot de passe. Pour plus d’informations, consultez la section Modifier le mot de passe de désinstallation. Communication Configurez le laps de temps, appelé valeur de délai, après lequel Traps abandonne toute tentative de se reconnecter au serveur ESM dans l’éventualité où le serveur devient inaccessible. Configurez la période de grace qui permet de spécifier le moment où Traps doit tenter de rétablir la communication. Pour plus d’informations, voir Définir les paramètres de communication entre l’agent et le serveur ESM. User alerts (Alertes aux utilisateurs) Personnalisez les paramètres généraux des alertes aux utilisateurs, notamment le pied de page et l’image affichée. Vous pouvez également configurer le titre qui figure sur les alertes aux utilisateurs relativement aux modules de protection, aux restrictions et aux fichiers inconnus. Pour plus d’informations, voir Créer un message d’alerte aux utilisateurs personnalisé. Traps n’applique pas de règles de paramètres d’agent tant que l’agent Traps n’a pas reçu la stratégie de sécurité à jour, ce qui se produit habituellement lors de la communication de pulsation suivante avec le serveur. Pour récupérer manuellement la dernière stratégie de sécurité à partir du serveur ESM, sélectionnez Check-in now (Vérifier maintenant) sur la console Traps. Sélectionnez une règle sur la page Settings (Paramètres) pour afficher d’autres informations sur cette règle et les autres actions que vous pouvez entreprendre pour la gérer (supprimer (Delete), activer/désactiver (Activate/Deactivate), ou modifier (Edit)). Pour plus d’informations, voir Gérer les règles de paramètres d’agent. Ajouter une nouvelle règle de paramètres d’agent Pour chaque règle de paramètres d’agent, vous pouvez spécifier les objets d’organisation, les conditions et les préférences de Traps à appliquer. Ajouter une nouvelle règle de paramètres d’agent Step 1 Créez une nouvelle règle de paramètres Sélectionnez Settings (Paramètres) > Agent (Agent) > Settings d’agent. (Paramètres), puis ajoutez (Add) une nouvelle règle. 192 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Gérer les points de terminaison Gérer les règles de paramètres d’agent Ajouter une nouvelle règle de paramètres d’agent (Continued) Step 2 Sélectionnez le type de paramètre à modifier et configurez vos préférences. Sélectionnez l’un des éléments suivants, puis configurez les paramètres en fonction du type de préférence : • Event Logging (Journalisation d’évènements)—Pour plus d’informations, voir Définir les préférences de journalisation d’évènement. • User Visibility & Access (Visibilité et accès de l’utilisateur)—Pour plus d’informations, voir Masquer ou limiter l’accès à la console Traps. • Heartbeat Settings (Paramètres de pulsation)—Pour plus d’informations, voir Définir les paramètres de pulsation entre l’agent et le serveur ESM. • Process Management (Gestion des processus)—Pour plus d’informations, voir Collecter les informations sur les nouveaux processus. • Service Protection (Protection de service)—Pour plus d’informations, voir Gérer la protection de service. • Agent Security (Sécurité de l’agent)—Pour plus d’informations, voir Modifier le mot de passe de désinstallation. • Communication Settings (Paramètres de communication)— Pour plus d’informations, voir Définir les paramètres de communication entre l’agent et le serveur ESM. • User Alerts (Alertes aux utilisateurs) Step 3 (En option) Ajoutez des Conditions à la règle. Par défaut, une nouvelle règle ne contient aucune condition. Pour spécifier une condition, sélectionnez l’onglet Conditions, sélectionnez ensuite la condition dans la liste Conditions, puis ajoutez-la (Add) à la liste Selected Conditions (Conditions sélectionnées). Répétez l’opération pour ajouter d’autres conditions, au besoin. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d’activation pour une règle. Step 4 (En option) Définissez les Objets cibles auxquels s’applique la règle de paramètres d’agent. Par défaut, une nouvelle règle s’applique à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d’objets cibles, sélectionnez l’onglet Objects (Objets), puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d’organisation (Organizational Units) ou points de terminaison existants (Existing Endpoints) dans les zones Include (Inclure) ou Exclude (Exclure). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d’organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Step 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle; elle vous permet toutefois de modifier ces champs, au besoin. Pour substituer le nom généré automatiquement, sélectionnez l’onglet Name (Nom), effacez l’option Activate automatic description (Activer la description automatique), puis saisissez un nom et une description de règle de votre choix. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 193 Gérer les règles de paramètres d’agent Gérer les points de terminaison Ajouter une nouvelle règle de paramètres d’agent (Continued) Step 6 Enregistrez la règle de paramètres d’agent. Effectuez l’une des actions suivantes : • Enregistrez (Save) la règle sans l’activer. Cette option n’est offerte que pour les nouvelles règles ou pour celles qui sont inactives ou clonées. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle dans la page Settings (Paramètres) > Agent (Agent) > Settings (Paramètres) et cliquez sur Activate (Activer). • Appliquez (Apply) la règle pour l’activer immédiatement. Après avoir enregistré ou appliqué une règle, vous pouvez revenir à la page Settings (Paramètres) en tout temps pour l’effacer (Delete) ou la désactiver (Deactivate). Définir les préférences de journalisation d’évènement Le journal d’évènements Windows stocke les évènements d’application, de sécurité et du système qui vous aident à diagnostiquer la source des problèmes du système. Utilisez l’assistant Agent Settings (Paramètres d’agent) pour spécifier s’il faut envoyer les évènements de sécurité que rencontre Traps au journal d’évènements Windows et pour définir un quota de taille pour le dossier de stockage local temporaire que Traps utilise pour stocker les informations d’évènement. Définir les préférences de journalisation d’évènement Step 1 Créez une nouvelle règle de paramètres Sélectionnez Settings (Paramètres) > Agent (Agent) > Settings d’agent. (Paramètres), puis ajoutez (Add) une nouvelle règle. Step 2 Définissez les paramètres de journalisation d’évènement pour les points de terminaison. Sélectionnez Event Logging (Journalisation d’événements) et spécifiez l’une des options suivantes : • Set disk quota (MB) (Définir le quota du disque (en Mo))— Spécifiez la taille du dossier de stockage local temporaire que Traps utilisera pour stocker les journaux d’évènements. Spécifiez le quota en Mo. La valeur par défaut est de 5 120. La plage est de 0 à 10 000 000. Un fois que le dossier de stockage a atteint le quota du disque, Traps supprime les journaux d’évènements, en commençant par les plus anciens, pour libérer de l’espace pour les nouveaux journaux. • Write agent events in the Windows event log (Consigner les évènements de l’agent dans le journal d’évènements Windows)—Envoyez les évènements de Traps au journal d’évènements Windows. Step 3 (En option) Ajoutez des Conditions à la règle. Par défaut, une nouvelle règle ne contient aucune condition. Pour spécifier une condition, sélectionnez l’onglet Conditions, sélectionnez ensuite la condition dans la liste Conditions, puis ajoutez-la (Add) à la liste Selected Conditions (Conditions sélectionnées). Répétez l’opération pour ajouter d’autres conditions, au besoin. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d’activation pour une règle. 194 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Gérer les points de terminaison Gérer les règles de paramètres d’agent Définir les préférences de journalisation d’évènement (Continued) Step 4 (En option) Définissez les Objets cibles auxquels s’applique la règle de paramètres d’agent. Par défaut, une nouvelle règle s’applique à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d’objets cibles, sélectionnez l’onglet Objects (Objets), puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d’organisation (Organizational Units) ou points de terminaison existants (Existing Endpoints) dans les zones Include (Inclure) ou Exclude (Exclure). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d’organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Step 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle; elle vous permet toutefois de modifier ces champs, au besoin. Pour substituer le nom généré automatiquement, sélectionnez l’onglet Name (Nom), effacez l’option Activate automatic description (Activer la description automatique), puis saisissez un nom et une description de règle de votre choix. Step 6 Enregistrez la règle de paramètres d’agent. Effectuez l’une des actions suivantes : • Enregistrez (Save) la règle sans l’activer. Cette option n’est offerte que pour les nouvelles règles ou pour celles qui sont inactives ou clonées. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle dans la page Settings (Paramètres) > Agent (Agent) > Settings (Paramètres) et cliquez sur Activate (Activer). • Appliquez (Apply) la règle pour l’activer immédiatement. Après avoir enregistré ou appliqué une règle, vous pouvez revenir à la page Settings (Paramètres) en tout temps pour l’effacer (Delete) ou la désactiver (Deactivate). Masquer ou limiter l’accès à la console Traps Par défaut, un utilisateur peut accéder à la console Traps pour consulter les informations sur l’état actuel du point de terminaison, les modifications à la stratégie de sécurité et les évènements de sécurité. Lorsqu’un évènement de sécurité est déclenché, l’utilisateur reçoit également une notification sur l’évènement. La notification comprend le nom de l’application, l’éditeur et une description de la prévention d’attaque ou de la règle de restriction qui a déclenché la notification. Vous pouvez créer une règle de paramètres d’agent pour modifier l’accessibilité de la console et spécifier s’il faut masquer les notifications pour les utilisateurs. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 195 Gérer les règles de paramètres d’agent Gérer les points de terminaison Masquer ou limiter l’accès à la console Traps Step 1 Créez une nouvelle règle de paramètres Sélectionnez Settings (Paramètres) > Agent (Agent) > Settings d’agent. (Paramètres), puis ajoutez (Add) une nouvelle règle. Step 2 Définissez la visibilité et l’accès de l’utilisateur pour les points de terminaison. Sélectionnez User Availability & Access (Disponibilité et accès de l’utilisateur), puis sélectionnez l’une ou plusieurs des options suivantes : • Hide tray icon (Masquer l’icône de la zone de notification)— Masquez l’icône que Traps ajoute à la zone de notification du point de terminaison. • Disable access to the Traps console (Désactiver l’accès à la console de Traps)—Désactivez la possibilité de lancer la console. • Hide Traps user notifications (Masquer les notifications Traps aux utilisateurs)—Masquez les notifications que Traps affiche lorsque l’agent rencontre un évènement de prévention ou de notification. Step 3 (En option) Ajoutez des Conditions à la règle. Par défaut, une nouvelle règle ne contient aucune condition. Pour spécifier une condition, sélectionnez l’onglet Conditions, sélectionnez ensuite la condition dans la liste Conditions, puis ajoutez-la (Add) à la liste Selected Conditions (Conditions sélectionnées). Répétez l’opération pour ajouter d’autres conditions, au besoin. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d’activation pour une règle. Step 4 (En option) Définissez les Objets cibles auxquels s’applique la règle de paramètres d’agent. Par défaut, une nouvelle règle s’applique à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d’objets cibles, sélectionnez l’onglet Objects (Objets), puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d’organisation (Organizational Units) ou points de terminaison existants (Existing Endpoints) dans les zones Include (Inclure) ou Exclude (Exclure). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d’organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Step 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle; elle vous permet toutefois de modifier ces champs, au besoin. Pour substituer le nom généré automatiquement, sélectionnez l’onglet Name (Nom), effacez l’option Activate automatic description (Activer la description automatique), puis saisissez un nom et une description de règle de votre choix. Step 6 Enregistrez la règle de paramètres d’agent. Effectuez l’une des actions suivantes : • Enregistrez (Save) la règle sans l’activer. Cette option n’est offerte que pour les nouvelles règles ou pour celles qui sont inactives ou clonées. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle dans la page Settings (Paramètres) > Agent (Agent) > Settings (Paramètres) et cliquez sur Activate (Activer). • Appliquez (Apply) la règle pour l’activer immédiatement. Après avoir enregistré ou appliqué une règle, vous pouvez revenir à la page Settings (Paramètres) en tout temps pour l’effacer (Delete) ou la désactiver (Deactivate). 196 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Gérer les points de terminaison Gérer les règles de paramètres d’agent Définir les paramètres de communication entre le point de terminaison et le serveur ESM L’agent Traps qui se trouve sur le point de terminaison communique avec le serveur ESM à intervalles spécifiques en envoyant des rapports et des messages de pulsation et en cherchant des verdicts d’empreinte inconnue. Traps cesse tout tentative de joindre le serveur si les tentatives de communication échouent sur une période temps qui dépasse une valeur de délai définie et Traps recommence à tenter de rétablir une communication avec le serveur à l’issue d’une période de grace. Pour modifier les valeurs par défaut du cycle de pulsation, de l’intervalle des rapport, de la valeur de délai ou de la période de grace, créez une règle de paramètres d’agent sur la console ESM à l’aide des flux de travail suivants : Définir les paramètres de pulsation entre l’agent et le serveur ESM Définir les paramètres de communication entre l’agent et le serveur ESM Définir les paramètres de pulsation entre l’agent et le serveur ESM Durant la communication de pulsation, l’agent Traps demande la stratégie de sécurité actuelle et envoie une réponse à Endpoint Security Manager pour signaler l’état du point de terminaison. La fréquence à laquelle l’agent Traps envoie les messages de pulsation au serveur ESM est appelée cycle de pulsation. La fréquence optimale est déterminée en fonction du nombre de points de terminaison dans l’organisation et de la charge réseau type. Traps signale également les modifications dans le service, incluant les évènements de démarrage, arrêt et plantage et les nouveaux processus découverts sur le point de terminaison. La fréquence à laquelle l’agent Traps envoie la notification de signalisation est appelée intervalle de signalisation. Définir les paramètres de pulsation entre l’agent et le serveur ESM Step 1 Créez une nouvelle règle de paramètres Sélectionnez Settings (Paramètres) > Agent (Agent) > Settings d’agent. (Paramètres), puis ajoutez (Add) une nouvelle règle. Step 2 Définissez la fréquence des messages de Sélectionnez Heartbeat Settings (Paramètres de pulsation), puis pulsation ou des notifications de rapport. configurez l’un des paramètres suivants, ou les deux : • Set distinct heartbeat cycle (Définir le cycle de pulsation distinct)—Modifiez la fréquence (en minutes) à laquelle l’agent Traps envoie des messages de pulsation au serveur ESM. (Plage de 0 à 144 000 ; valeur par défaut : 60). • Set send reports interval (Définir l’intervalle de transmission des rapports)—Modifiez la fréquence (en minutes) à laquelle l’agent Traps envoie des notifications de rapport, notamment les modifications dans le service, les évènements de plantage et les nouveaux processus. (Plage de 0 à 144 000; valeur par défaut : 480 (8 heures)). Step 3 (En option) Ajoutez des Conditions à la règle. Par défaut, une nouvelle règle ne contient aucune condition. © Palo Alto Networks, Inc. Pour spécifier une condition, sélectionnez l’onglet Conditions, sélectionnez ensuite la condition dans la liste Conditions, puis ajoutez-la (Add) à la liste Selected Conditions (Conditions sélectionnées). Répétez l’opération pour ajouter d’autres conditions, au besoin. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d’activation pour une règle. Traps 3.3 Guide de l’administrateur • 197 Gérer les règles de paramètres d’agent Gérer les points de terminaison Définir les paramètres de pulsation entre l’agent et le serveur ESM (Continued) Step 4 (En option) Définissez les Objets cibles auxquels s’applique la règle de paramètres d’agent. Par défaut, une nouvelle règle s’applique à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d’objets cibles, sélectionnez l’onglet Objects (Objets), puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d’organisation (Organizational Units) ou points de terminaison existants (Existing Endpoints) dans les zones Include (Inclure) ou Exclude (Exclure). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d’organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Step 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle; elle vous permet toutefois de modifier ces champs, au besoin. Pour substituer le nom généré automatiquement, sélectionnez l’onglet Name (Nom), effacez l’option Activate automatic description (Activer la description automatique), puis saisissez un nom et une description de règle de votre choix. Step 6 Enregistrez la règle de paramètres d’agent. Effectuez l’une des actions suivantes : • Enregistrez (Save) la règle sans l’activer. Cette option n’est offerte que pour les nouvelles règles ou pour celles qui sont inactives ou clonées. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle dans la page Settings (Paramètres) > Agent (Agent) > Settings (Paramètres) et cliquez sur Activate (Activer). • Appliquez (Apply) la règle pour l’activer immédiatement. Après avoir enregistré ou appliqué une règle, vous pouvez revenir à la page Settings (Paramètres) en tout temps pour l’effacer (Delete) ou la désactiver (Deactivate). Définir les paramètres de communication entre l’agent et le serveur ESM Par défaut, l’agent Traps applique une stratégie de Non connexion à tous les fichiers exécutables inconnus lors du démarrage. La stratégie demeure en vigueur jusqu’à ce que l’agent Traps puisse effectuer la découverte du serveur ESM afin de créer une liste de serveurs disponibles, dans l’ordre de celui qui possède le chemin d’accès le plus près à celui qui possède le chemin d’accès le plus éloigné. Une fois que l’agent Trap a créé la liste des serveurs disponibles et qu’un utilisateur ouvre un fichier exécutable inconnu, Traps interroge le premier serveur ESM de la liste pour déterminer le verdict d’empreinte. Si ce serveur est inaccessible ou qu’il n’est pas en mesure de répondre à la requête dans la période de temps maximale allouée, l’agent Traps cesse d’essayer d’accéder au serveur ESM et affecte au fichier exécutable un verdict de Non connexion. Si l’utilisateur ouvre un autre fichier exécutable inconnu avant que Traps arriver à déterminer l’inaccessibilité du serveur ESM, il interrogera également le premier serveur ESM de la liste pour déterminer le verdict d’empreinte. Cependant, si l’utilisateur ouvre un autre fichier exécutable inconnu après que l’agent Traps a déterminé que le serveur ESM est inaccessible, Traps interrogera le serveur ESM suivant de la liste. L’agent Traps interroge régulièrement le serveur ESM afin de déterminer quels serveurs sont disponibles et, parmi les serveurs disponibles, quels sont les plus près. D’autres évènements, comme une modification d’adresse IP sur le point de terminaison, peuvent également déclencher la création d’une nouvelle liste de serveurs ESM par Traps. 198 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Gérer les points de terminaison Gérer les règles de paramètres d’agent Servez-vous du flux de travail suivant pour modifier le délai et les intervalles d’établissement d’une communication avec le serveur ESM. Définir les paramètres de communication entre l’agent et le serveur ESM Step 1 Créez une nouvelle règle de paramètres Sélectionnez Settings (Paramètres) > Agent (Agent) > Settings d’agent. (Paramètres), puis ajoutez (Add) une nouvelle règle. Step 2 Définissez les paramètres de communication entre l’agent Traps et le serveur ESM. Sélectionnez Communication Settings (Paramètres de communication), puis sélectionnez l’une ou plusieurs des options suivantes : • Set Agent-WildFire Process Verdict Timeout (Définir le délai pour recevoir un verdict de traitement entre l’agent et WildFire)—Spécifiez le laps de temps (en secondes) pendant lequel Traps attendra une réponse du serveur ESM relativement à une requête de verdict (valeur par défaut : 10). Une fois le délai expiré, Traps attribue au processus un verdict de Non connexion (No Connection). Traps tentera de réétablir la communication seulement si un utilisateur clique sur Check-In Now (Vérifier maintenant) sur la console Traps ou si Traps doit interroger le serveur ESM pour obtenir des verdicts d’empreintes inconnues. Si vos points de terminaison perdent fréquemment la connexion avec le serveur, envisagez d’augmenter la valeur du délai. • Set No Connection Refresh Interval (Définir l’intervalle d’actualisation de la Non connexion)—Précisez la fréquence (en minutes) à laquelle l’agent Traps vérifie la disponibilité des serveurs ESM après être entré dans un état de non connexion (No Connection) (valeur par défaut : 1). • Set ESM Server Validation Interval (Définir l’intervalle de validation du serveur ESM)—Précisez la fréquence (en heures) à laquelle l’agent vérifiera l’integrité de la liste du serveur ESM (valeur par défaut : 1). Step 3 (En option) Ajoutez des Conditions à la règle. Par défaut, une nouvelle règle ne contient aucune condition. Pour spécifier une condition, sélectionnez l’onglet Conditions, sélectionnez ensuite la condition dans la liste Conditions, puis ajoutez-la (Add) à la liste Selected Conditions (Conditions sélectionnées). Répétez l’opération pour ajouter d’autres conditions, au besoin. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d’activation pour une règle. Step 4 (En option) Définissez les Objets cibles auxquels s’applique la règle de paramètres d’agent. Par défaut, une nouvelle règle s’applique à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d’objets cibles, sélectionnez l’onglet Objects (Objets), puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d’organisation (Organizational Units) ou points de terminaison existants (Existing Endpoints) dans les zones Include (Inclure) ou Exclude (Exclure). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d’organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 199 Gérer les règles de paramètres d’agent Gérer les points de terminaison Définir les paramètres de communication entre l’agent et le serveur ESM (Continued) Step 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle; elle vous permet toutefois de modifier ces champs, au besoin. Pour substituer le nom généré automatiquement, sélectionnez l’onglet Name (Nom), effacez l’option Activate automatic description (Activer la description automatique), puis saisissez un nom et une description de règle de votre choix. Step 6 Enregistrez la règle de paramètres d’agent. Effectuez l’une des actions suivantes : • Enregistrez (Save) la règle sans l’activer. Cette option n’est offerte que pour les nouvelles règles ou pour celles qui sont inactives ou clonées. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle dans la page Settings (Paramètres) > Agent (Agent) > Settings (Paramètres) et cliquez sur Activate (Activer). • Appliquez (Apply) la règle pour l’activer immédiatement. Après avoir enregistré ou appliqué une règle, vous pouvez revenir à la page Settings (Paramètres) en tout temps pour l’effacer (Delete) ou la désactiver (Deactivate). Collecter les informations sur les nouveaux processus Par défaut, Traps protège les processus les plus couramment utilisées et les mieux connus sur vos points de terminaison. De plus, lorsque WildFire est activé, Traps signale automatiquement les fichiers exécutables inconnus à Endpoint Security Manager. Si WildFire est désactivé, il est recommandé de créer une règle de paramètres d’agent pour permettre à Traps de collecter le nom des nouveaux processus qui s’exécutent sur les points de terminaison et de les signaler à Endpoint Security Manager. Sur la page Process Management (Gestion des processus) de la console ESM, les processus sont affichés comme étant Unprotected (Non protégés). Collecter les informations sur les nouveaux processus Step 1 Créez une nouvelle règle de paramètres Sélectionnez Settings (Paramètres) > Agent (Agent) > Settings d’agent. (Paramètres), puis ajoutez (Add) une nouvelle règle. Step 2 Activez la collecte des nouveaux Sélectionnez Process Management (Gestion des processus), puis processus sur les points de terminaison. activez l’option Collect new process information (Collecter des informations sur les nouveaux processus). Lorsque Traps détecte de nouveaux processus, il les signale au serveur ESM. La console ESM énumère les nouveaux processus à la page Policies (Politiques) > Exploit (Attaque) > Process Management (Gestion des processus) en tant que processus non protégés. À partir de cette page, vous pouvez modifier le type de protection (voir Afficher, modifier ou supprimer un processus). Après avoir changé le type de protection, vous pouvez vous en servir pour Créer une règle de protection contre les attaques. 200 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Gérer les points de terminaison Gérer les règles de paramètres d’agent Collecter les informations sur les nouveaux processus (Continued) Step 3 (En option) Ajoutez des Conditions à la règle. Par défaut, une nouvelle règle ne contient aucune condition. Pour spécifier une condition, sélectionnez l’onglet Conditions, sélectionnez ensuite la condition dans la liste Conditions, puis ajoutez-la (Add) à la liste Selected Conditions (Conditions sélectionnées). Répétez l’opération pour ajouter d’autres conditions, au besoin. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d’activation pour une règle. Step 4 (En option) Définissez les Objets cibles auxquels s’applique la règle de paramètres d’agent. Par défaut, une nouvelle règle s’applique à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d’objets cibles, sélectionnez l’onglet Objects (Objets), puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d’organisation (Organizational Units) ou points de terminaison existants (Existing Endpoints) dans les zones Include (Inclure) ou Exclude (Exclure). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d’organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Step 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle; elle vous permet toutefois de modifier ces champs, au besoin. Pour substituer le nom généré automatiquement, sélectionnez l’onglet Name (Nom), effacez l’option Activate automatic description (Activer la description automatique), puis saisissez un nom et une description de règle de votre choix. Step 6 Enregistrez la règle de paramètres d’agent. Effectuez l’une des actions suivantes : • Enregistrez (Save) la règle sans l’activer. Cette option n’est offerte que pour les nouvelles règles ou pour celles qui sont inactives ou clonées. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle dans la page Settings (Paramètres) > Agent (Agent) > Settings (Paramètres) et cliquez sur Activate (Activer). • Appliquez (Apply) la règle pour l’activer immédiatement. Après avoir enregistré ou appliqué une règle, vous pouvez revenir à la page Settings (Paramètres) en tout temps pour l’effacer (Delete) ou la désactiver (Deactivate). Step 7 Revoyez régulièrement la liste des 1. processus non protégés et évaluez si vous devez les ajouter aux règles de 2. sécurité existantes ou créer de nouvelles règles pour les protéger. 3. © Palo Alto Networks, Inc. Sélectionnez Policies (Politiques)) > Exploit (Attaque) > Process Management (Gestion des processus). Filtrez ou triez le tableau selon le type de protection Unprotected (Non protégé). Revoyez chaque processus et décidez si vous devez changer le type de protection : • Faites passer le type de protection à Provisional (Provisoire), si vous souhaitez utiliser le processus dans une règle de sécurité qui fait office d’essai. • Faites passer le type de protection à Protected (Protégé) pour tirer parti des règles existantes qui s’appliquent à tous les processus. Reportez-vous à la section Afficher, modifier ou supprimer un processus. Vous pouvez également ajouter le processus aux règles qui s’appliquent à des processus spécifiques, au besoin. Traps 3.3 Guide de l’administrateur • 201 Gérer les règles de paramètres d’agent Gérer les points de terminaison Gérer la protection de service La protection de service vous permet de protéger le service Traps exécuté sur vos points de terminaison. Lorsque la protection de service est activée, les utilisateurs ne peuvent pas modifier les valeurs de registre ou les fichiers associés à l’agent Traps, ni arrêter ou modifier le service Traps d’aucune manière. Gérer la protection de service Step 1 Créez une nouvelle règle de paramètres Sélectionnez Settings (Paramètres) > Agent (Agent) > Settings d’agent. (Paramètres), puis ajoutez (Add) une nouvelle règle. Step 2 Activez la protection de service. Sélectionnez Service Protection (Protection de service), puis choisissez l’une des options suivantes : • Enable service protection (Activer la protection de service) • Disable service protection (Désactiver la protection de service) Step 3 (En option) Ajoutez des Conditions à la règle. Par défaut, une nouvelle règle ne contient aucune condition. Pour spécifier une condition, sélectionnez l’onglet Conditions, sélectionnez ensuite la condition dans la liste Conditions, puis ajoutez-la (Add) à la liste Selected Conditions (Conditions sélectionnées). Répétez l’opération pour ajouter d’autres conditions, au besoin. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d’activation pour une règle. Step 4 (En option) Définissez les Objets cibles auxquels s’applique la règle de paramètres d’agent. Par défaut, une nouvelle règle s’applique à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d’objets cibles, sélectionnez l’onglet Objects (Objets), puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d’organisation (Organizational Units) ou points de terminaison existants (Existing Endpoints) dans les zones Include (Inclure) ou Exclude (Exclure). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d’organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Step 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle; elle vous permet toutefois de modifier ces champs, au besoin. Pour substituer le nom généré automatiquement, sélectionnez l’onglet Name (Nom), effacez l’option Activate automatic description (Activer la description automatique), puis saisissez un nom et une description de règle de votre choix. Step 6 Enregistrez la règle de paramètres d’agent. Effectuez l’une des actions suivantes : • Enregistrez (Save) la règle sans l’activer. Cette option n’est offerte que pour les nouvelles règles ou pour celles qui sont inactives ou clonées. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle dans la page Settings (Paramètres) > Agent (Agent) > Settings (Paramètres) et cliquez sur Activate (Activer). • Appliquez (Apply) la règle pour l’activer immédiatement. Après avoir enregistré ou appliqué une règle, vous pouvez revenir à la page Settings (Paramètres) en tout temps pour l’effacer (Delete) ou la désactiver (Deactivate). 202 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Gérer les points de terminaison Gérer les règles de paramètres d’agent Modifier le mot de passe de désinstallation Par défaut, vous devez saisir le mot de passe de désinstallation spécifié durant l’installation afin de désinstaller Traps d’un point de terminaison. Modifiez le mot de passe par défaut en créant une règle de paramètres d’agent. Modifier le mot de passe de désinstallation Step 1 Créez une nouvelle règle de paramètres Sélectionnez Settings (Paramètres) > Agent (Agent) > Settings d’agent. (Paramètres), puis ajoutez (Add) une nouvelle règle. Step 2 Modifiez le mot de passe. 1. Sélectionnez Agent Security (Sécurité de l’agent), puis sélectionnez l’option Set uninstall password (Définir le mot de passe de désinstallation). 2. Saisissez le mot de passe que l’utilisateur ou l’administrateur doit saisir pour désinstaller Traps. Le mot de passe doit contenir au moins huit caractères. Step 3 (En option) Ajoutez des Conditions à la règle. Par défaut, une nouvelle règle ne contient aucune condition. Pour spécifier une condition, sélectionnez l’onglet Conditions, sélectionnez ensuite la condition dans la liste Conditions, puis ajoutez-la (Add) à la liste Selected Conditions (Conditions sélectionnées). Répétez l’opération pour ajouter d’autres conditions, au besoin. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d’activation pour une règle. Step 4 (En option) Définissez les Objets cibles auxquels s’applique la règle de paramètres d’agent. Par défaut, une nouvelle règle s’applique à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d’objets cibles, sélectionnez l’onglet Objects (Objets), puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d’organisation (Organizational Units) ou points de terminaison existants (Existing Endpoints) dans les zones Include (Inclure) ou Exclude (Exclure). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d’organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Step 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle; elle vous permet toutefois de modifier ces champs, au besoin. Pour substituer le nom généré automatiquement, sélectionnez l’onglet Name (Nom), effacez l’option Activate automatic description (Activer la description automatique), puis saisissez un nom et une description de règle de votre choix. Step 6 Enregistrez la règle de paramètres d’agent. Effectuez l’une des actions suivantes : • Enregistrez (Save) la règle sans l’activer. Cette option n’est offerte que pour les nouvelles règles ou pour celles qui sont inactives ou clonées. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle dans la page Settings (Paramètres) > Agent (Agent) > Settings (Paramètres) et cliquez sur Activate (Activer). • Appliquez (Apply) la règle pour l’activer immédiatement. Après avoir enregistré ou appliqué une règle, vous pouvez revenir à la page Settings (Paramètres) en tout temps pour l’effacer (Delete) ou la désactiver (Deactivate). © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 203 Gérer les règles de paramètres d’agent Gérer les points de terminaison Créer un message d’alerte aux utilisateurs personnalisé Traps affiche des messages de prévention et de notification lorsqu’un fichier ou un processus viole une stratégie de sécurité et le comportement de terminaison est configuré pour bloquer le fichier et avertir l’utilisateur ou pour consigner le problème et avertir l’utilisateur. Servez-vous d’une règle de paramètres d’agent pour personnaliser les paramètres généraux des alertes aux utilisateurs, notamment le pied de page et l’image affichée. Vous pouvez également configurer le titre qui figure sur les alertes aux utilisateurs relativement aux modules de protection, aux restrictions ou aux fichiers inconnu. Créer un message d’alerte aux utilisateurs personnalisé Step 1 Créez une nouvelle règle de paramètres Sélectionnez Settings (Paramètres) > Agent (Agent) > Settings d’agent. (Paramètres), puis ajoutez (Add) une nouvelle règle. Step 2 (En option) Personnalisez l’icône et le pied de page utilisés pour tous les messages d’alerte aux utilisateurs. 1. Sélectionnez User Alerts (Alertes aux utilisateurs), puis sélectionnez General Settings (icon and footer) (Paramètres généraux (icône et pied de page)). 2. Sélectionnez l’une des options suivantes ou les deux : • Icon (Icône)—Pour sélectionner une image qui apparaîtra à la place de l’icône de Traps dans les messages d’alerte aux utilisateurs, accédez à (Browse), puis cliquez sur Upload (Charger). La prévisualisation à droite vous permet de visualiser l’apparence d’un message d’alerte aux utilisateurs avec le nouvel icône. • Action/Footer (Action/Pied de page)—Pour fournir un contact ou d’autres informations au bas du message, saisissez jusqu’à 250 caractères. La prévisualiation à droite vous montre les changements au fur et à mesure que vous les apportez. Pour spécifier une adresse e-mail, utilisez le format HTML standard, par exemple : <a href="mailto://support@votre_organization.com"> Assistance</a>. 3. 204 • Traps 3.3 Guide de l’administrateur Sélectionnez l’action de déclenchement : Prevention Mode (Mode de prévention) ou Notification Mode (Mode de notification). © Palo Alto Networks, Inc. Gérer les points de terminaison Gérer les règles de paramètres d’agent Créer un message d’alerte aux utilisateurs personnalisé (Continued) Step 3 (En option) Personnalisez le texte de titre 1. des alertes aux utilisateurs. À partir du menu déroulant User Alert Window (Fenêtre d’alerte aux utilisateurs), sélectionnez le type d’alerte aux utilisateurs : • Protection Modules (Modules de protection)—Une alerte aux utilisateurs que Traps affiche lorsqu’il active un module de protection contre les attaques ou les logiciels malveillants afin de protéger un processus ou de bloquer un comportement suspect. • Execution Restrictions (Restrictions d’exécution)—Une alerte aux utilisateurs que Traps affiche lorsqu’un utilisateur ouvre un fichier exécutable à partir d’un emplacement qui est restreint par une règle de restriction. • WildFire Unknowns-Terminate (WildFire Inconnus— Mettre fin au processus)—Une alerte aux utilisateurs que Traps affiche lorsqu’un utilisateur ouvre un fichier exécutable inconnu et que la configuration du comportement que doit adopter WildFire relativement aux fichiers inconnus consiste à mettre fin au processus. 2. Saisissez le titre qui doit s’afficher sur le type d’alerte aux utilisateurs. 3. Sélectionnez l’action de déclenchement : Prevention Mode (Mode de prévention) ou Notification Mode (Mode de notification). Step 4 (En option) Ajoutez des Conditions à la règle. Par défaut, une nouvelle règle ne contient aucune condition. Pour spécifier une condition, sélectionnez l’onglet Conditions, sélectionnez ensuite la condition dans la liste Conditions, puis ajoutez-la (Add) à la liste Selected Conditions (Conditions sélectionnées). Répétez l’opération pour ajouter d’autres conditions, au besoin. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d’activation pour une règle. Step 5 (En option) Définissez les Objets cibles auxquels s’applique la règle de paramètres d’agent. Par défaut, une nouvelle règle s’applique à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d’objets cibles, sélectionnez l’onglet Objects (Objets), puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d’organisation (Organizational Units) ou points de terminaison existants (Existing Endpoints) dans les zones Include (Inclure) ou Exclude (Exclure). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d’organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Step 6 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle ; elle vous permet toutefois de modifier ces champs, au besoin. Pour substituer le nom généré automatiquement, sélectionnez l’onglet Name (Nom), effacez l’option Activate automatic description (Activer la description automatique), puis saisissez un nom et une description de règle de votre choix. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 205 Gérer les règles de paramètres d’agent Gérer les points de terminaison Créer un message d’alerte aux utilisateurs personnalisé (Continued) Step 7 Enregistrez la règle de paramètres d’agent. 206 • Traps 3.3 Guide de l’administrateur Effectuez l’une des actions suivantes : • Enregistrer (Save) la règle sans l’activer. Cette option n’est offerte que pour les nouvelles règles ou pour celles qui sont inactives ou clonées. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle dans la page Settings (Paramètres) > Agent (Agent) > Settings (Paramètres) et cliquez sur Activate (Activer). • Appliquez (Apply) la règle pour l’activer immédiatement. Après avoir enregistré ou appliqué une règle, vous pouvez revenir à la page Settings (Paramètres) en tout temps pour l’effacer (Delete) ou la désactiver (Deactivate). © Palo Alto Networks, Inc. Investigation numérique Aperçu de l’investigation numérique Gérer les règles et paramètres d’investigation numérique Requête aux agents Activer la collecte d’URI dans Chrome © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 207 Aperçu de l’investigation numérique Investigation numérique Aperçu de l’investigation numérique Flux d’investigation numérique Types de données d’investigation numérique Flux d’investigation numérique Phase 1 : Évènement de prévention déclenché Phase 2 : Analyse automatisée Phase 3 : Détection automatisée Phase 4 : Collecte des données d’investigation numérique Phase 1 : Évènement de prévention déclenché Lorsqu’un pirate tente d’exploiter la vulnérabilité d’un logiciel, les modules de protection Traps entrent en action pour interrompre le comportement du processus malicieux et enfin bloquer l’attaque. Par exemple, imaginez le cas où un fichier tente d’accéder à des métadonnées de DLL cruciales à partir d’emplacements de code douteux. Si le module de sécurité de DLL est activé pour protéger les processus dans votre organisation, Traps interrompt immédiatement le processus qui tente d’accéder aux métadonnées de DLL. Traps enregistre l’évènement dans son journal d’évènements et avertit l’utilisateur de l’évènement de sécurité. S’il est configuré, Traps affiche un message de notification personnalisé (pour plus d’informations, voir Créer un message d’alerte aux utilisateurs personnalisé). Après avoir interrompu une tentative d’exploitation avec succès, Traps collecte et analyse les données liées à l’évènement, comme décrit dans Phase 2 : Analyse automatisée. Phase 2 : Analyse automatisée Lorsqu’un évènement de sécurité se produit sur un point de terminaison, Traps congèle le contenu de la mémoire et le stocke dans un fichier de données appelé vidage mémoire. À partir de la console ESM, vous pouvez peaufiner les paramètres de vidage mémoire qui spécifient la taille du vidage mémoire—petite, moyenne ou complète (le jeu d’informations le plus grand et complet)—et si Traps doit automatiquement charger le vidage mémoire dans le dossier d’investigation numérique. Pour plus d’informations, consultez la section Définir les préférences de vidage mémoire. 208 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Investigation numérique Aperçu de l’investigation numérique Après la création du vidage mémoire, Traps déchiffre le fichier et extrait les informations pour identifier la cause sous-jacente et pour vérifier la validité de la prévention. Utilisez les résultats de l’analyse pour diagnostiquer et comprendre l’évènement. Selon le type d’évènement, Traps peut aussi utiliser des outils de détection automatisés pour effectuer une analyse de comportement malicieux, comme décrit dans Phase 3 : Détection automatisée. Phase 3 : Détection automatisée Après avoir analysé le vidage mémoire, Traps effectue automatiquement une analyse secondaire dont vous pouvez utiliser les résultats pour vérifier la légitimité d’un évènement de prévention. L’analyse secondaire fournit une meilleure vision de la nature de l’évènement en utilisant des outils de détection—incluant la détection de chaîne ROP et la détection de heap spray—pour identifier les traces d’activité malicieuse supplémentaires. Si les outils de détection parviennent à identifier des traces d’activité malicieuse, Traps stocke les informations dans un fichier journal du système sur le point de terminaison en utilisant la syntaxe suivante : Préfixe Traps-identifiant client unique-identifiant d’évènement. Traps signale également la détection au serveur ESM. La console ESM affiche les résultats dans la section Traps Automatic Dump Analysis (Analyse automatique des vidages mémoire de Traps) pour chaque enregistrement d’évènement de prévention en incluant si chaque outil de détection est parvenu ou non à identifier une activité malicieuse supplémentaire. Si Traps ne parvient pas à capturer la mémoire, créé un fichier de vidage de manière incorrecte ou ne parvient pas à terminer l’analyse secondaire, la console ESM masque cette section dans l’enregistrement d’évènement. Si les outils de détection identifient une ou plusieurs traces d’activité malicieuse, il est fort probable que l’évènement de prévention soit une menace légitime. Pour résoudre ou analyser davantage les évènements de sécurité, consultez les données d’investigation numérique que Traps collecte, comme décrit dans Phase 4 : Collecte des données d’investigation numérique. Phase 4 : Collecte des données d’investigation numérique Après l’analyse des fichiers, Traps avertit ESM de l’évènement de sécurité et peut envoyer des données d’investigation numérique supplémentaires au dossier d’investigation numérique. Si votre stratégie de sécurité contient une règle de collecte des données d’investigation numérique, Traps collecte un ou plusieurs types de données spécifiés et charge les fichiers dans le dossier d’investigation numérique. Selon les préférences, Traps peut collecter l’URI objet de l’accès, les pilotes, les fichiers et les DLL pertinents qui sont chargées en mémoire sous le processus attaqué, ainsi que les processus parents du processus ayant déclenché l’évènement de sécurité. Pour plus d’informations, consultez la section Définir les préférence de collecte d’investigation numérique. Par défaut, Traps utilise un dossier Background Intelligent Transfer Service (à service de transfert intelligent en arrière-plan ; BITS) basé sur le Web qui emploie la bande passante réseau libre pour charger les données. Pour plus d’informations, consultez la section Modifier le dossier d’investigation numérique par défaut. Vous pouvez aussi récupérer manuellement les données d’investigation numérique pour un évènement de sécurité en créant une règle d’action unique pour récupérer les données. Pour plus d’informations, consultez la section Récupérer les données concernant un évènement de sécurité. Pour consulter l’état du chargement d’investigation numérique, sélectionnez Monitor (Surveillance) > Data Retrieval (Extraction des données). © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 209 Aperçu de l’investigation numérique Investigation numérique Types de données d’investigation numérique Lorsqu’un évènement de sécurité se produit sur un point de terminaison, Traps peut collecter les informations suivantes : Type de données Description d’investigation numérique Vidage mémoire Contenu des emplacements de mémoire capturé au moment d’un évènement. Fichiers consultés Fichiers qui sont chargés en mémoire sous le processus attaqué pour une inspection approfondie de l’évènement, incluant : • Récupération des DLL pertinentes en incluant leur chemin • Fichiers pertinents dans le dossier des fichiers Internet temporaires • Fichiers ouverts (exécutables et non exécutables) Modules chargés Fichiers image PE qui sont chargés sur le système au moment d’un évènement de sécurité. URI consultés Ressources réseau qui ont été consultées au moment de l’évènement de sécurité et informations sur l’identifiant uniforme de ressource (URI), notamment : • URI y compris les liens cachés et les trames des threads pertinents attaqués; • URI de source applet Java, noms de fichier et chemins, incluant les processus parents, grands-parents et enfants • Collecte des appels d’URI des plug-ins de navigateur, lecteurs multimédia et logiciels clients de messagerie L’agent Traps peut recueillir les URI consultés des navigateurs Chrome, Internet Explorer et Firefox uniquement. Pour activer la collecte des URI dans Chrome, vous devez installer un plug-in (voir Activer la collecte d’URI dans Chrome). Processus parents Informations sur les processus parents—des processus de navigateurs, non navigateurs, et applet Java—au moment de l’évènement de sécurité, incluant : • Sources séparées et destinations pour l’injection de thread • Parents et grands-parents du processus enfant restreint 210 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Investigation numérique Gérer les règles et paramètres d’investigation numérique Gérer les règles et paramètres d’investigation numérique Règles d’investigation numérique Modifier le dossier d’investigation numérique par défaut Créer une règle d’investigation numérique Définir les préférences de vidage mémoire Définir les préférence de collecte d’investigation numérique Récupérer les données concernant un évènement de sécurité Règles d’investigation numérique Les règles de gestion de l’investigation numérique vous permettent de collecter les données d’investigation numérique capturées par Traps à partir d’un emplacement centralisé. Sur la page Policies > (Politiques) Forensics (Investigation numérique) > Management (Gestion), vous pouvez créer des règles pour gérer les paramètres d’investigation numérique suivants : Règles de paramètres d’agent Description Paramètres de vidage mémoire Spécifiez les paramètres des fichiers incluant une taille pour le vidage mémoire et autorisez Traps à envoyer automatiquement le vidage mémoire au serveur. Ce paramètre ne s’applique qu’aux données collectées des évènements de prévention liés aux processus protégés. Pour plus d’informations, consultez la section Définir les préférences de vidage mémoire. Collecte d’investigation numérique Autorisez Traps à collecter les données d’investigation numérique pour chaque évènement de sécurité en incluant les fichiers consultés, les modules chargés en mémoire, les URI consultés et les processus parents du processus qui a déclenché l’évènement de sécurité. Pour plus d’informations, consultez la section Définir les préférence de collecte d’investigation numérique. Modifier le dossier d’investigation numérique par défaut Modifier la destination du dossier d’investigation numérique en utilisant la console ESM Modifier la destination du dossier d’investigation numérique en utilisant l’outil de configuration de base de données Modifier la destination du dossier d’investigation numérique en utilisant la console ESM Pour vous permettre de résoudre ou d’analyse davantage les évènements de sécurité, comme une prévention ou un plantage, Traps charge les données d’investigation numérique dans un dossier d’investigation numérique basé sur le web. Durant l’installation de la console ESM, le programme d’installation active le Background Intelligent Transfer Service (service de transfert intelligent en arrière-plan ; BITS) qui emploie la bande passante réseau libre pour charger les données dans le dossier d’investigation numérique. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 211 Gérer les règles et paramètres d’investigation numérique Investigation numérique Pour analyser un évènement de sécurité, créez une règle d’action pour récupérer les données d’investigation numérique sur le point de terminaison (voir Gérer les données collectées par Traps). Lorsque Traps reçoit la requête d’envoi des données, il copie les fichiers dans le dossier d’investigation numérique (également appelé dossier de quarantaine dans Endpoint Security Manager), qui est un chemin local ou réseau que vous spécifiez durant l’installation initiale. Vous pouvez modifier le chemin du dossier d’investigation numérique à tout moment en utilisant Endpoint Security Manager ou en utilisant l’outil de configuration de base de données (voir Modifier la destination du dossier d’investigation numérique en utilisant l’outil de configuration de base de données). Tous les points de terminaison doivent disposer des droits d’écriture dans ce dossier. Modifier la destination du dossier d’investigation numérique en utilisant la console ESM Step 1 Sélectionnez Settings (Paramètres) > ESM > Settings (Paramètres). Step 2 Dans la section qui porte sur la configuration du serveur, saisissez l’URL web dans le champ Forensic Folder URL (URL du dossier d’investigation numérique) pour utiliser BITS afin de charger les données d’investigation numérique. Pour crypter des données d’investigation numérique, nous recommandons fortement d’utiliser SSL pour communiquer avec le dossier d’investigation numérique. En cas d’utilisation de SSL, incluez le fully qualified domain name (nom de domaine complètement qualifié ; FQDN) dans le chemin, par exemple, https://ESMserver.Domain.local:443/BitsUploads. Si vous n’utilisez pas SSL, précisez le port 80, par exemple http://ESMSERVER:80/BitsUploads. Modifier la destination du dossier d’investigation numérique en utilisant l’outil de configuration de base de données Pour vous permettre de résoudre ou d’analyse davantage les évènements de sécurité, comme une prévention ou un plantage, Traps charge les données d’investigation numérique dans un dossier d’investigation numérique basé sur le web. Durant l’installation de la console ESM, le programme d’installation active le Background Intelligent Transfer Service (service de transfert intelligent en arrière-plan ; BITS) qui emploie la bande passante réseau libre pour charger les données dans le dossier d’investigation numérique. Pour analyser un évènement de sécurité, créez une règle d’action pour récupérer les données d’investigation numérique sur le point de terminaison (voir Gérer les données collectées par Traps). Lorsque Traps reçoit la requête d’envoi des données, il copie les fichiers dans le dossier d’investigation numérique (également appelé dossier de quarantaine dans Endpoint Security Manager), qui est un chemin local ou réseau que vous spécifiez durant l’installation initiale. Vous pouvez modifier le chemin du dossier d’investigation numérique à tout moment en utilisant Endpoint Security Manager (voir Modifier la destination du dossier d’investigation numérique en utilisant la console ESM) ou en utilisant l’outil de configuration de base de données. L’outil de configuration de base de données est une interface en ligne de commande qui fournit une alternative pour la gestion des paramètres de base du serveur en utilisant la console ESM. Vous pouvez accéder à l’outil de configuration de base de données en utilisant une invite de commandes MS-DOS Microsoft exécutée en tant qu’administrateur. L’outil de configuration de base de données est situé dans le dossier Server sur le serveur ESM. Toutes les commandes exécutées à l’aide de l’outil de configuration de base de données sont sensibles à la casse. 212 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Investigation numérique Gérer les règles et paramètres d’investigation numérique Modifier la destination du dossier d’investigation numérique en utilisant l’outil de configuration de base de données Step 1 Ouvrez une invite de commande en tant qu’administrateur : • Sélectionnez Démarrer > Tous les programmes > Accessoires. Effectuez un clic droit sur Invite de commandes, puis sélectionnez Exécuter en tant qu’administrateur. • Sélectionnez Démarrer. Dans la case Rechercher les programmes et fichiers, saisissez cmd. Ensuite, pour ouvrir l’invite de commande en tant qu’administrateur, appuyez sur CTRL+MAJ+ENTRÉE. Step 2 Accédez au dossier qui contient l’outil de configuration de base de données : C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Step 3 (En option) Consultez les paramètres du serveur existant : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server show PreventionsDestFolder = \\ESMServer\Quarantine InventoryInterval = 284 HeartBeatGracePeriod = 4200 NinjaModePassword = Password2 BitsUrl = https://CYVERASERVER.Domain.local:443/BitsUploads MaxActions = 5000 Step 4 Saisissez l’URL web du dossier d’investigation numérique. C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server BitsUrl http://ESMserver.Domain.local:443/BitsUploads. Pour crypter des données d’investigation numérique, nous recommandons fortement d’utiliser SSL pour communiquer avec le dossier d’investigation numérique. En cas d’utilisation de SSL, incluez le fully qualified domain name (nom de domaine complètement qualifié ; FQDN) dans le chemin, par exemple, https://ESMserver.Domain.local:443/BitsUploads. Si vous n’utilisez pas SSL, précisez le port 80, par exemple http://ESMSERVER:80/BitsUploads. Step 5 (En option) Pour vérifier le chemin du dossier d’investigation numérique, exécutez la commande dbconfig server show : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server show PreventionsDestFolder = \\ESMServer-New\Quarantine InventoryInterval = 284 HeartBeatGracePeriod = 4200 NinjaModePassword = Password2 BitsUrl = HTTPS://ESMserver.Domain.local:443/BitsUploads MaxActions = 5000 © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 213 Gérer les règles et paramètres d’investigation numérique Investigation numérique Créer une règle d’investigation numérique Créez une règle d’investigation numérique pour définir les préférences de vidage mémoire et de collecte d’investigation numérique. Créer une règle d’investigation numérique Step 1 Configurez une nouvelle règle d’investigation numérique. Sélectionnez Policies (Politiques) > Forensics (Investigation numérique) > Management (Gestion), puis cliquez sur Add (Ajouter). Step 2 Sélectionnez le type de règle que vous voulez configurer. Sélectionnez l’un des types de règle d’investigation numérique suivants, puis configurez les paramètres en fonction du type de règle : • Memory Dump (Vidage mémoire)—Pour plus d’informations, voir Définir les préférences de vidage mémoire. • Forensics Collection (Collecte d’investigation numérique)—Pour plus d’informations, voir Définir les préférence de collecte d’investigation numérique. Step 3 (En option) Ajoutez des Conditions à la règle. Par défaut, une nouvelle règle ne contient aucune condition. Pour spécifier une condition, sélectionnez l’onglet Conditions, sélectionnez ensuite la condition dans la liste Conditions, puis ajoutez-la (Add) à la liste Selected Conditions (Conditions sélectionnées). Répétez l’opération pour ajouter d’autres conditions, au besoin. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d’activation pour une règle. Step 4 (En option) Définissez les Objets cibles auxquels s’applique la règle de restriction. Pour définir un sous-groupe plus petit d’objets cibles, sélectionnez l’onglet Objects (Objets), puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d’organisation (Organizational Units) ou points de terminaison existants (Existing Endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d’organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Step 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle; elle vous permet toutefois de modifier ces champs, au besoin. Pour substituer le nom généré automatiquement, sélectionnez l’onglet Name (Nom), effacez l’option Activate automatic description (Activer la description automatique), puis saisissez un nom et une description de règle de votre choix. Step 6 Enregistrez la règle d’investigation numérique. Effectuez l’une des actions suivantes : • Enregistrer (Save) la règle sans l’activer. Cette option n’est offerte que pour les nouvelles règles ou pour celles qui sont inactives ou clonées. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle dans la page Policies > (Politiques) Forensics (Investigation numérique) > Management (Gestion) et cliquez sur Activate (Activer). • Appliquez (Apply) la règle pour l’activer immédiatement. Après avoir enregistré ou appliqué une règle, vous pouvez revenir à la page Management (Gestion) en tout temps pour l’effacer (Delete) ou la désactiver (Deactivate). 214 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Investigation numérique Gérer les règles et paramètres d’investigation numérique Définir les préférences de vidage mémoire Lorsqu’un processus protégé plante ou se termine de manière anormale, Traps enregistre les informations sur l’évènement en incluant le contenu des emplacements de mémoire et d’autres données relatives à l’évènement dans ce qu’on appelle un vidage mémoire. Créez une règle d’investigation numérique pour déterminer comment Traps gère les vidages mémoire liés au processus en incluant si faut ou non envoyer automatiquement les vidages mémoire au dossier d’investigation numérique ou modifier la taille du vidage mémoire (petite, moyenne ou complète (le jeu d’informations le plus grand et complet)). Définir les préférences de vidage mémoire Step 1 Configurez une nouvelle règle d’investigation numérique. Sélectionnez Policies (Politiques) > Forensics (Investigation numérique) > Management (Gestion), puis cliquez sur Add (Ajouter). Step 2 Définissez les préférences de vidage mémoire lorsqu’un évènement de prévention se produit sur le point de terminaison. 1. Sélectionnez Memory Dump (Vidage mémoire), puis sélectionnez l’une des préférences suivantes : • Envoyez automatiquement les vidages mémoire au serveur en sélectionnant Send the memory dumps automatically (Envoyer automatiquement les vidages mémoire). • Spécifiez la taille du fichier de vidage mémoire en sélectionnant l’option Memory dump size (Taille du vidage mémoire), puis en sélectionnant Small (Petit), Medium (Moyen), ou Full (Intégral) dans le menu déroulant. 2. Sélectionnez les processus source à partir desquels Traps collectera les vidages mémoires, soit un ou plusieurs Specific processes (Processus spécifiques) ou All processes (Tous les processus). Step 3 (En option) Ajoutez des Conditions à la règle. Par défaut, une nouvelle règle ne contient aucune condition. Step 4 (En option) Définissez les Objets cibles Pour définir un sous-groupe plus petit d’objets cibles, sélectionnez auxquels s’applique la règle de restriction. l’onglet Objects (Objets), puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d’organisation (Organizational Units) ou points de terminaison existants (Existing Endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d’organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Step 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle; elle vous permet toutefois de modifier ces champs, au besoin. © Palo Alto Networks, Inc. Pour spécifier une condition, sélectionnez l’onglet Conditions, sélectionnez ensuite la condition dans la liste Conditions, puis ajoutez-la (Add) à la liste Selected Conditions (Conditions sélectionnées). Répétez l’opération pour ajouter d’autres conditions, au besoin. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d’activation pour une règle. Pour substituer le nom généré automatiquement, sélectionnez l’onglet Name (Nom), effacez l’option Activate automatic description (Activer la description automatique), puis saisissez un nom et une description de règle de votre choix. Traps 3.3 Guide de l’administrateur • 215 Gérer les règles et paramètres d’investigation numérique Investigation numérique Définir les préférences de vidage mémoire (Continued) Step 6 Enregistrez la règle d’investigation numérique. Effectuez l’une des actions suivantes : • Enregistrer (Save) la règle sans l’activer. Cette option n’est offerte que pour les nouvelles règles ou pour celles qui sont inactives ou clonées. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle dans la page Policies > (Politiques) Forensics (Investigation numérique) > Management (Gestion) et cliquez sur Activate (Activer). • Appliquez (Apply) la règle pour l’activer immédiatement. Après avoir enregistré ou appliqué une règle, vous pouvez revenir à la page Management (Gestion) en tout temps pour l’effacer (Delete) ou la désactiver (Deactivate). Définir les préférence de collecte d’investigation numérique Pour vous aider à mieux comprendre et trouver les implications concernant la nature réelle d’un évènement de sécurité lorsqu’il se produit sur un point de terminaison, vous pouvez configurer les options de collecte d’investigation numérique. Lors d’un évènement de sécurité, Traps peut signaler les fichiers consultés, les modules chargés en mémoire, les URI consultés et les processus parents du processus qui a déclenché l’évènement de sécurité. Définir les préférence de collecte d’investigation numérique Step 1 Configurez une nouvelle règle d’investigation numérique. Sélectionnez Policies (Politiques) > Forensics (Investigation numérique) > Management (Gestion), puis cliquez sur Add (Ajouter). Step 2 Définissez les préférence de collecte d’investigation numérique. Sélectionnez Forensics Collection (Collecte d’investigation numérique) et configurez les préférences dans les champs suivants : • Report Accessed Files (Signaler les fichiers consultés)— Sélectionnez Enabled (Activé) pour collecter les informations sur les fichiers qui sont chargés en mémoire sous le processus attaqué pour une inspection approfondie de l’évènement. • Report Loaded Modules (Signaler les modules chargés)— Sélectionnez Enabled (Activé) pour signaler les fichiers images PE qui sont chargés sur le système au moment d’un évènement de sécurité. • Report Accessed URI (Signaler les URI consultés)—Sélectionnez Enabled (Activé) pour recueillir les ressources réseau qui ont été consultées au moment de l’évènement de sécurité et les informations sur l’identifiant uniforme de ressource (URI) des plug-ins Web, des lecteurs multimédia et des clients de messagerie. • Report Ancestor Processes (Signaler les processus parents)— Certaines applications peuvent exécuter des applets Java en tant que processus enfant voire en tant que processus enfant d’un processus enfant, etc. Sélectionnez Enabled (Activé) pour enregistrer les informations sur les processus parents provenant des processus enfants de navigateurs, non navigateurs et applet Java afin de pouvoir mieux comprendre la racine d’un évènement. Par ailleurs, pour chaque type de données, vous pouvez désactiver (Disable) la collecte d’investigation numérique ou adopter (Inherit) les paramètres de la stratégie de sécurité par défaut. 216 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Investigation numérique Gérer les règles et paramètres d’investigation numérique Définir les préférence de collecte d’investigation numérique (Continued) Step 3 (En option) Ajoutez des Conditions à la règle. Par défaut, une nouvelle règle ne contient aucune condition. Pour spécifier une condition, sélectionnez l’onglet Conditions, sélectionnez ensuite la condition dans la liste Conditions, puis ajoutez-la (Add) à la liste Selected Conditions (Conditions sélectionnées). Répétez l’opération pour ajouter d’autres conditions, au besoin. Pour ajouter une condition à la liste Conditions, voir Définir les conditions d’activation pour une règle. Step 4 (En option) Définissez les Objets cibles auxquels s’applique la règle d’investigation numérique. Par défaut, une nouvelle règle s’applique à toutes les objets au sein de votre organisation. Pour définir un sous-groupe plus petit d’objets cibles, Pour définir un sous-groupe plus petit d’objets cibles, sélectionnez l’onglet Objects (Objets), puis saisissez un ou plusieurs utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d’organisation (Organizational Units) ou points de terminaison existants (Existing Endpoints) dans les zones Inclure (Include) ou Exclure (Exclude). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d’organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Step 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle ; elle vous permet toutefois de modifier ces champs, au besoin. Pour substituer le nom généré automatiquement, sélectionnez l’onglet Name (Nom), effacez l’option Activate automatic description (Activer la description automatique), puis saisissez un nom et une description de règle de votre choix. Step 6 Enregistrez la règle d’investigation numérique. Effectuez l’une des actions suivantes : • Enregistrer (Save) la règle sans l’activer. Cette option n’est offerte que pour les nouvelles règles ou pour celles qui sont inactives ou clonées. Lorsque vous êtes prêt à activer la règle, sélectionnez la règle dans la page Policies > (Politiques) Forensics (Investigation numérique) > Management (Gestion) et cliquez sur Activate (Activer). • Appliquez (Apply) la règle pour l’activer immédiatement. Après avoir enregistré ou appliqué une règle, vous pouvez revenir à la page Management (Gestion) en tout temps pour l’effacer (Delete) ou la désactiver (Deactivate). Récupérer les données concernant un évènement de sécurité Lorsqu’un évènement de sécurité se produit sur un point de terminaison, Traps collecte les données d’investigation numérique en incluant le contenu de la mémoire et les stocke sur le point de terminaison. Utilisez les données d’investigation numérique pour résoudre un problème ou enquêter sur un problème spécifique avec une application. La sélection de cette option créé une règle de paramètres d’agent pour récupérer les informations collectées par Traps. Une fois que Traps a reçu la règle de paramètres d’agent, l’agent envoie tous les journaux au dossier d’investigation numérique. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 217 Gérer les règles et paramètres d’investigation numérique Investigation numérique Pour créer une règle générale afin de récupérer les données d’un ou plusieurs points de terminaison, voir Gérer les données collectées par Traps. Récupérer les données concernant un évènement de sécurité Step 1 Depuis la console ESM, sélectionnez Security Events (Événements de sécurité) > Threats (Menaces) pour afficher les évènements de sécurité liés aux processus protégés, ou Monitor (Surveillance) > Provisional Mode (Mode provisoire) pour afficher les évènements de sécurité liés aux processus provisoires. Step 2 Sélectionnez l’évènement de sécurité pour lequel vous voulez récupérer les données. L’évènement se développe pour afficher d’autres détails et actions concernant l’évènement de sécurité. Step 3 Cliquez sur Retrieve Data (Récupérer les données). La console ESM remplit les paramètres pour une règle de paramètres d’agent. Step 4 Examinez les détails de la règle, puis cliquez sur Apply (Appliquer) pour activer la règle immédiatement ou sur Save (Enregistrer) pour activer la règle ultérieurement. Lors de la communication de pulsation suivante avec le serveur ESM, l’agent Traps reçoit la nouvelle règle et envoie les données de prévention au dossier d’investigation numérique. Step 5 Pour consulter l’état du chargement d’investigation numérique, sélectionnez Monitor (Surveillance) > Data Retrieval (Récupérer les données). Step 6 Une fois le chargement terminé, cliquez sur Download (Télécharger) pour enregistrer les données données de prévention localement ou accédez au dossier d’investigation numérique. Si vous n’avez plus besoin des données de prévention, vous pouvez avez la possibilité de les Supprimer (Delete) du tableau extraction des données. 218 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Investigation numérique Requête aux agents Requête aux agents Servez-vous de la requête aux agents (Agent Query) pour chercher un fichier système, un dossier ou une clé de registre sur vos points de terminaison. Chaque requête s’exécute en temps réel sous forme de règle d’action ponctuelle et vous permet de chercher des paramètres multiples à partir d’un emplacement central. Flux des requêtes aux agents Chercher un fichier, un dossier ou une clé de registre sur les points de terminaison Afficher les résultats d’une requête aux agents Flux des requêtes aux agents Après avoir créé une requête aux agents pour Chercher un fichier, un dossier ou une clé de registre sur les points de terminaison, le serveur ESM envoie la requête sous forme de règle d’action ponctuelle lors de la prochaine communication de pulsation avec l’agent Si la requête contient des objets cibles ou des conditions, le serveur ESM n’envoie la requête qu’aux points de terminaison qui correspondent aux objets cibles et aux conditions. Si vous n’avez spécifié aucun objet cible ni aucune condition, le serveur ESM envoie la requête à tous les points de terminaison. Lorsque l’agent Traps reçoit la requête, elle cherche immédiatement le nom de fichier, le dossier ou la clé de registre sur le point de terminaison local. Si la requête contient plusieurs paramètres de recherche, Traps évalue les requêtes séparément et signale une correspondance s’il trouve l’un des critères de recherche. Dans le cas d’un fichier système correspondant, l’agent Traps capture également les métadonnées propres au fichier. Lors de la pulsation de communication suivante, l’agent Traps envoie les informations au serveur ESM. Pour consulter les plus récents résultats de recherche, vous n’avez qu’à actualiser la page Agent Query (Requête aux agents) en tout temps. La console ESM affiche un maximum de 50 résultats dans l’affichage des détails de chaque demande de recherche (voir Afficher les résultats d’une requête aux agents). Chercher un fichier, un dossier ou une clé de registre sur les points de terminaison Pour effectuer une rechercher centralisée d’un fichier système, d’un dossier ou d’une clé de registre, servez-vous de la requête aux agents (Agent Query). Chercher un fichier, un dossier ou une clé de registre sur les points de terminaison Step 1 Créer une nouvelle requête. © Palo Alto Networks, Inc. 1. À partir de la console ESM, sélectionnez Policies (Politiques > Forensics (Investigation numérique) > Agent Query (Requête aux agents). 2. Ajoutez (Add) une nouvelle requête. Traps 3.3 Guide de l’administrateur • 219 Requête aux agents Investigation numérique Chercher un fichier, un dossier ou une clé de registre sur les points de terminaison Step 2 Configurez un ou plusieurs paramètres de recherche pour la requête. Lorsque plusieurs paramètres de recherche sont précisés, Traps renvoie un résultat si la recherche correspond à l’un ou l’autre des paramètres. 1. Sélectionnez les paramètres de recherche, soit un nom de fichier (File name), le nom de dossier (Folder name) ou le nom de la clé de registre (Registry Key). 2. Saisissez la valeur de correspondance de recherche, puis cliquez sur Add (Ajouter). Vous pouvez également utiliser des caractères génériques dans la dernière portion du nom de chemin d’un fichier ou d’un dossier, par exemple : C:\Temp\*.txt 3. Répétez l’opération au besoin pour saisir de multiples critères de recherche. (En option) Ajoutez des conditions à la requête. Les conditions spécifiées ici peuvent restreindre la portée de la requête en l’envoyant uniquement aux points de terminaison qui correspondent, ou non, à la condition. 1. Depuis l’onglet Conditions, sélectionnez la condition dans la liste Conditions et cliquez sur Add (Ajouter) qui se trouve à côté de la liste d’inclusion ou d’exclusion des conditions. 2. Répétez l’opération pour ajouter d’autres conditions, si nécessaire. Step 4 (En option) Définissez les objets cibles auxquels s’applique la requête. Par défaut, le serveur ESM envoie la requête à tous les points de terminaison au sein de votre organisation. Tout comme les conditions, les objets cibles peuvent réduire la portée d’une requête en cibles certains utilisateurs (Users), ordinateurs (Computers), groupes (Groups), unités d’organisation (Organizational Unit) ou points de terminaisons existants Existing Endpoints. Sélectionnez l’onglet Objects (Objets), puis saisissez un ou plusieurs objets cibles dans les sections Include (Inclure) ou Exclude (Exclure). Endpoint Security Manager interroge Active Directory pour vérifier les utilisateurs, ordinateurs, groupes ou unités d’organisation ou identifie les points de terminaison existants à partir des messages de communication précédents. Step 5 (En option) Examinez le nom et la description de la règle. La console ESM génère automatiquement le nom et la description de la règle en fonction des détails de la règle ; elle vous permet toutefois de modifier ces champs, au besoin. Pour substituer le nom généré automatiquement, sélectionnez l’onglet Name (Nom), effacez l’option Activate automatic description (Activer la description automatique), puis saisissez un nom et une description de règle de votre choix. Step 6 Enregistrez la requête. Effectuez l’une des actions suivantes : • Enregistrer (Save) la requête sans l’activer. Lorsque vous êtes prêt à exécuter la requête, sélectionnez la règle dans la page Policies > (Politiques) Forensics (Investigation numérique) > Agent Query (Requête aux agents) et cliquez sur Activate (Activer). • Appliquez (Apply) la requête pour l’exécuter immédiatement. Step 3 220 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Investigation numérique Requête aux agents Chercher un fichier, un dossier ou une clé de registre sur les points de terminaison Step 7 Examinez les résultats de la requête. Reportez-vous à la section Afficher les résultats d’une requête aux Bien que, dans le cadre de requête aux agents. agents (Agent Query), la recherche s’effectue en temps réel, la console ESM n’actualise pas la page pour afficher les résultats de la requête. Par conséquent, vous devez actualiser la page pour afficher les résultats actuels. Afficher les résultats d’une requête aux agents La page Agent Query (Requête aux agents) affiche toutes les requêtes enregistrées et appliquées et vous permet de revoir les résultats des requêtes qui ont été appliquées. En développant la ligne de la requête, vous pouvez afficher des informations supplémentaires sur les correspondances, notamment l’ordinateur sur lequel la correspondance a été détectée et le moment où cela s’est produit, le fichier ou la clé de registre qui correspondait au paramètre de recherche et les métadonnées du fichier. Servez-vous des résultats obtenus après avoir lancé une requête aux agents pour identifier et prendre des mesures supplémentaires, au besoin, en vue de sécuriser le point de terminaison. Afficher les résultats d’une requête aux agents Step 1 À partir de la page Policies (Politiques) > Forensics (Investigation numérique) > Agent Query (Requête aux agents), sélectionnez la ligne qui correspond à la requête appliquée. La ligne se développe pour afficher d’autres détails sur la requête et inclut toutes les correspondances de la requête à la section Agent Query, Found matches (Requête aux actions, correspondances trouvées). Pour chaque requête appliquée, la console ESM affiche le nombre de points de terminaison qui ont reçu la requête (Applied On), le nombre de points de terminaison qui ont bien effectués la recherche (Succeeded) et le nombre de points de terminaison qui n’ont pas réussi à effectuer la requête ou qui n’ont pas reçu la requête (Failed). Step 2 (En option) Pour afficher des informations détaillées sur la correspondance, cliquez sur Details (Détails). La console ESM affiche un maximum de 50 registres de correspondance. Step 3 (En option) Pour afficher le texte intégral, placez votre souris sur la cellule du champ Result (Résultat) ou Metadata (Métadonnées). Step 4 (En option) Pour enregistrer les résultats dans un fichier CSV que vous pouvez analyser, cliquez sur le menu d’action en haut de la page et sélectionnez Export Logs (Exporter les journaux). Step 5 (En option) Vous pouvez effectuer des tâches supplémentaires après avoir revu les résultats de la requête : • Remédiez aux problèmes des fichiers malveillants sur le point de terminaison. • Dupliquez (Duplicate) la requête, apportez des changements, au besoin, et appliquez-la (Apply) pour l’exécuter de nouveau. • Supprimez (Delete) la requête et les résultats de la console ESM. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 221 Activer la collecte d’URI dans Chrome Investigation numérique Activer la collecte d’URI dans Chrome Contrairement aux autres navigateurs, Chrome enregistre les URI de tous les onglets au sein d’un processus. Cela signifie donc que vous devez installer une extension Chrome pour activer la collecte d’URI dans Chrome. Ceci permet à Traps d’empêcher les tentatives d’exploitation sur ce navigateur. Après l’installation de l’extension, Chrome enregistre un rappel pour chaque requête web et enregistre l’URI dans un tampon cyclique, de la même manière que les autres mécanismes de collecte d’URI de Traps. Pour activer la collecte d’URI, vous pouvez installer l’extension localement sur le point de terminaison ou en utilisant le logiciel de gestion GPO. Les flux de travail suivants fournissent également des étapes pour la configuration de l’extension Chrome dans la configuration en ligne ou hors ligne : Installer l’extension Chrome sur le point de terminaison Installer l’extension Chrome en utilisant GPO Installer l’extension Chrome sur le point de terminaison Installer l’extension Chrome sur le point de terminaison Step 1 Téléchargez et décompressez le fichier d’extension Traps Chrome Monitor de Palo Alto Networks. Step 2 Modifiez les fichiers d’extension : • En ligne : Modifiez la dernière ligne du fichier Ext.reg avec le chemin exact du fichier traps.crx.xml : "1"="mobnfjmemnepjkflncmogkbnhafgblic;https://clients2.google.com/service/update2/crx" • Hors ligne : 1. Modifiez la dernière ligne du fichier Ext.reg avec le chemin exact du fichier traps.crx.xml : "1"="mobnfjmemnepjkflncmogkbnhafgblic;file:C:/....../traps.crx.xml" 2. Dans le fichier traps.crx.xml, modifiez le chemin de fichier de updatecheck codebase avec le chemin exact du fichier traps.crx : <updatecheck codebase=’file:C:/ChromeExtension/traps.crx’ version=’1.4’ /> Step 3 Enregistrez puis effectuez un double clic sur le fichier reg pour l’installer automatiquement en local. Step 4 Vérifiez l’installation de l’extension Chrome : Dans le navigateur Chrome, saisissez chrome://extensions et appuyez sur Entrée. L’extension Traps Chrome Monitor de Palo Alto Networks doit s’afficher dans la liste des extensions. Installer l’extension Chrome en utilisant GPO Installer l’extension Chrome sur le point de terminaison Step 1 Décompressez le fichier d’extension. 222 • Traps 3.3 Guide de l’administrateur Téléchargez et décompressez le fichier d’extension Traps Chrome Monitor de Palo Alto Networks. © Palo Alto Networks, Inc. Investigation numérique Activer la collecte d’URI dans Chrome Installer l’extension Chrome sur le point de terminaison Step 2 Step 3 Ajoutez chrome.adm comme modèle dans le contrôleur de domaine. Ajoutez le modèle au GPO. 1. Sur le bureau, sélectionnez Démarrer, saisissez gpmc.msc dans le champ de recherche, puis appuyez sur Entrée. 2. Créez le GPO : Dans le gestionnaire de stratégie de groupe, sélectionnez Forêt > Domaines. Effectuez un clic droit sur le domaine et sélectionnez Créer un objet de stratégie de groupe dans ce domaine. Renommez le GPO en TrapsChromeExtention, puis cliquez sur Enregistrer. 3. Modifiez le GPO : Effectuez un clic droit sur le GPO et sélectionnez Modifier. Développez la section des paramètres de l’ordinateur du GPO. Cliquez sur Stratégies > Modèles d’administration, puis effectuez un clic droit sur Modèles d’administration. Sélectionnez Ajout/Suppression de modèles. 4. Ajoutez le modèle Chrome : Cliquez sur Ajouter puis sur Parcourir et effectuez un double clic sur le fichier chrome.adm. Le fichier « chrome » se charge dans la fenêtre des modèles. Cliquez sur Fermer. 1. Dans la section des paramètres de l’ordinateur sélectionnez Stratégies > Modèles d’administration > Modèles d’administration classiques > Google > Google Chrome (paramètres pas par défaut) > Extensions. 2. Sur le côté droit de l’écran, vous trouverez cinq règles GPO. Effectuez un double clic sur Configurer la liste des extensions à installation forcée. 3. Vérifiez que le GPO est activé, puis cliquez sur Afficher (sur le côté gauche de l’écran, au milieu). • En ligne : Sur la ligne blanche, saisissez la chaîne suivante : mobnfjmemnepjkflncmogkbnhafgblic;https://clients 2.google.com/service/update2/crx • Hors ligne : Sur la ligne blanche, saisissez la chaîne suivante (modifiez le dossier pour indiquer le dossier d’investigation numérique, par exemple, //nomserveur/…/investigation) : mobnfjmemnepjkflncmogkbnhafgblic;file:C:/…………/tr aps.crx.xml 4. Step 4 Vérifiez l’installation de l’extension Chrome. © Palo Alto Networks, Inc. Cliquez sur OK. Ouvrez le navigateur Chrome sur le point de terminaison et saisissez chrome://extensions. Vérifiez que l’extension Traps Chrome Monitor de Palo Alto Networks s’affiche dans la liste des extensions. Traps 3.3 Guide de l’administrateur • 223 Activer la collecte d’URI dans Chrome 224 • Traps 3.3 Guide de l’administrateur Investigation numérique © Palo Alto Networks, Inc. Rapports et journalisation Endpoint Security Manager peut écrire les journaux sur une plate-forme de journalisation externe, comme la gestion d’informations et d’évènements de sécurité (SIEM), les contrôles d’organisation de service (SOC) ou le journal système (syslog), en plus du stockage interne de ses journaux. Endpoint Security Manager peut aussi envoyer des journaux à une adresse électronique. La spécification d’une plate-forme de journalisation externe permet un affichage agrégé des journaux de tous les serveurs ESM. Types de journalisations d’évènements Transfert de journaux vers un serveur Syslog Journaux de transfert vers courriel © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 225 Types de journalisations d’évènements Rapports et journalisation Types de journalisations d’évènements La console ESM affiche des informations sur les évènements qui se produisent dans les composants de Traps sur les pages Logs (Journaux) et Security Events (Évènements de sécurité). Les évènements peuvent inclure des évènements de sécurité ainsi que tout changement apporté à la stratégie, à l’état de l’agent ou du serveur ESM, et aux paramètres. Quand vous activez le transfert de journaux vers un périphérique SIEM ou syslog, ou vers une adresse électronique, vous pouvez personnaliser le type d’évènements que la console ESM envoie. Les événements sont regroupés dans les catégories suivantes en fonction du type d’évènements : Évènements de sécurité Stratégies - Général Stratégies - Règles Stratégies - Gestion des processus Stratégies - Paramètres de restriction Stratégies - Contrôle des empreintes Surveillance - Agent Surveillance de ESM Paramètres - Administration Paramètres - Agent Paramètres - ESM Paramètres - Conditions Paramètres - Licences Évènements de sécurité Nom de l’événement Description Événement de prévention Un processus ou un fichier exécutable a été bloqué. • CEF—PreventionEvent • LEEF—PreventionEvent • Syslog—PreventionEvent • Courrier électronique—PreventionEvent Évènement de notification Un processus ou un fichier exécutable a présenté un comportement suspect. • CEF—NotificationEvent • LEEF—NotificationEvent • Syslog—NotificationEvent • Courrier électronique—NotificationEvent 226 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Types de journalisations d’évènements Nom de l’événement Description Évènement provisoire Un processus provisoire a présenté un comportement suspect. • CEF—ProvisionalEvent • LEEF—ProvisionalEvent • Syslog—ProvisionalEvent • Courrier électronique—ProvisionalEvent Stratégies - Général Nom de l’événement Description Protection désactivée Un administrateur a désactivé la protection par à l’aide de toutes les règles de sécurité sur la console ESM. • CEF—DisabledProtection • LEEF—DisabledProtection • Syslog—DisabledProtection • Courrier électronique—DisabledProtection Protection activée Un administrateur a réactivé la protection à l’aide de toutes les règles de sécurité sur la console ESM. • CEF—EnabledProtection • LEEF—EnabledProtection • Syslog—EnabledProtection • Courrier électronique—EnabledProtection Stratégies - Règles Nom de l’événement Description Règle ajoutée/modifiée Un administrateur a ajouté une nouvelle règle ou modifié une règle existante. • CEF—RuleEdited • LEEF—RuleEdited • Syslog—RuleEdited • Courrier électronique—RuleEdited Règle supprimée Un administrateur a supprimé une règle. • CEF—RuleDeleted • LEEF—RuleDeleted • Syslog—RuleDeleted • Courrier électronique—RuleDeleted © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 227 Types de journalisations d’évènements Rapports et journalisation Stratégies - Gestion des processus Nom de l’événement Description Processus ajouté/modifié Un administrateur a ajouté ou modifié un processus. • CEF—ProcessEdited • LEEF—ProcessEdited • Syslog—ProcessEdited • Courrier électronique—ProcessEdited Processus supprimé Un administrateur a ajouté ou modifié un processus. • CEF—ProcessDeleted • LEEF—ProcessDeleted • Syslog—ProcessDeleted • Courrier électronique—ProcessDeleted Stratégies - Paramètres de restriction Nom de l’événement Description Paramètres de restriction ajoutés/modifiés Un administrateur a ajouté ou modifié un paramètre de restriction général. • CEF—RestrictionSettingsEdited • LEEF—RestrictionSettingsEdited • Syslog—RestrictionSettingsEdited • Courrier électronique—RestrictionSettingsEdited Stratégies - Contrôle des empreintes Nom de l’événement Description Empreinte ajoutée Une empreinte a été ajoutée à la cache du serveur ESM. • CEF—NewHash • LEEF—NewHash • Syslog—NewHash • Courrier électronique—NewHash Verdict modifié - Passage de tout à logiciel malveillant Un verdict d’empreinte est passé à logiciel malveillant. • CEF—VerdictChangeAnyToMalware • LEEF—VerdictChangeAnyToMalware • Syslog—VerdictChangeAnyToMalware • Courrier électronique—VerdictChangeAnyToMalware 228 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Types de journalisations d’évènements Nom de l’événement Description Verdict modifié - Passage de tout à tout Un verdict d’empreinte est passé à logiciel malveillant. • CEF—VerdictChange • LEEF—VerdictChange • Syslog—VerdictChange • Courrier électronique—VerdictChange Verdict modifié - Passage de logiciel malveillant à tout Le verdict d’empreinte est passé de logiciel malveillant à un nouveau verdict. • CEF—VerdictChangeMalwareToAny • LEEF—VerdictChangeMalwareToAny • Syslog—VerdictChangeMalwareToAny • Courrier électronique—VerdictChangeMalwareToAny Verdict modifié - Passage de non connexion à tout Le verdict d’empreinte est passé de non connexion à un nouveau verdict. • CEF—VerdictChangeNoconnectionToAny • LEEF—VerdictChangeNoconnectionToAny • Syslog—VerdictChangeNoconnectionToAny • Courrier électronique—VerdictChangeNoconnectionToAny Verdict modifié - Passage de inconnu à tout Le verdict d’empreinte est passé d’inconnu à un nouveau verdict. • CEF—VerdictChangeUnknownToAny • LEEF—VerdictChangeUnknownToAny • Syslog—VerdictChangeUnknownToAny • Courrier électronique—VerdictChangeUnknownToAny Empreintes importées Un administrateur a importé une ou plusieurs empreintes dans la cache du serveur. • CEF—HashesImport • LEEF—HashesImport • Syslog—HashesImport • Courrier électronique—HashesImport Surveillance - Agent Nom de l’événement Description Violation d’accès à l’agent Un agent a signalé une violation d’accès. • CEF—AccessViolation • LEEF—AccessViolation • Syslog—AccessViolation • Courrier électronique—AccessViolation Pulsation de la part de l’agent - Tout Une pulsation a été reçue de la parte de l’agent. • CEF—Heartbeat • LEEF—Heartbeat • Syslog—Heartbeat • Courrier électronique—Heartbeat © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 229 Types de journalisations d’évènements Rapports et journalisation Nom de l’événement Description Démarrage du service de l’agent Le service de l’agent a été démarré sur le point de terminaison. • CEF—ServiceAlive • LEEF—ServiceAlive • Syslog—ServiceAlive • Courrier électronique—ServiceAlive Le service de l’agent s’est arrêté Le service d’agent a été arrêté sur le point de terminaison. • CEF—ServiceStopped • LEEF—ServiceStopped • Syslog—ServiceStopped • Courrier électronique—ServiceStopped Agent éteint Le point de terminaison a été éteint. • CEF—SystemShutdown • LEEF—SystemShutdown • Syslog—SystemShutdown • Courrier électronique—SystemShutdown Avertissement du service de l’agent Le service de l’agent a émis un avertissement. • CEF—ServiceWarning • LEEF—ServiceWarning • Syslog—ServiceWarning • Courrier électronique—ServiceWarning Le processus de l’agent a planté Le processus de l’agent a planté. • CEF—ProcessCrashed • LEEF—ProcessCrashed • Syslog—ProcessCrashed • Courrier électronique—ProcessCrashed Expiration du délai d’injection du processus de l’agent L’agent a dépassé le laps de temps autorisé pour effectuer l’injection dans un processus. • CEF—ProcessInjectionTimedOut • LEEF—ProcessInjectionTimedOut • Syslog—ProcessInjectionTimedOut • Courrier électronique—ProcessInjectionTimedOut Le démarrage du service de création de rapport de l’agent a échoué Le service de création de rapport de l’agent n’est pas parvenu à démarrer. • CEF—ReportingServiceStartFailed • LEEF—ReportingServiceStartFailed • Syslog—ReportingServiceStartFailed • Courrier électronique—ReportingServiceStartFailed Échec du chargement du fichier par l’agent L’agent n’a pas réussi à charger un fichier. • CEF—FileUploadFailure • LEEF—FileUploadFailure • Syslog—FileUploadFailure • Courrier électronique—FileUploadFailure 230 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Types de journalisations d’évènements Nom de l’événement Description Agent installé sur le système Traps a été installé sur un point de terminaison. • CEF—ClientInstall • LEEF—ClientInstall • Syslog—ClientInstall • Courrier électronique—ClientInstall Agent désinstallé du système Traps a été désinstallé d’un point de terminaison. • CEF—ClientUninstall • LEEF—ClientUninstall • Syslog—ClientUninstall • Courrier électronique—ClientUninstall Agent mis à niveau Traps a été mis à niveau sur un point de terminaison. • CEF—ClientUpgrade • LEEF—ClientUpgrade • Syslog—ClientUpgrade • Courrier électronique—ClientUpgrade Modification de l’état de l’agent L’état de l’agent a été modifié. • CEF—TrapsServiceStatusChange • LEEF—TrapsServiceStatusChange • Syslog—TrapsServiceStatusChange • Courrier électronique—TrapsServiceStatusChange Modification à la stratégie La stratégie de l’agent a été modifiée. de l’agent • CEF—AgentPolicyChange • LEEF—AgentPolicyChange • Syslog—AgentPolicyChange • Courrier électronique—AgentPolicyChange Surveillance de ESM Nom de l’événement Description Connexion utilisateur Un administrateur s’est connecté à la console ESM. • CEF—UserLogin • LEEF—UserLogin • Syslog—UserLogin • Courrier électronique—UserLogin Pulsation ESM Une pulsation a été reçue de la part du serveur ESM. • CEF—ServerHeartbeat • LEEF—ServerHeartbeat • Syslog—ServerHeartbeat • Courrier électronique—ServerHeartbeat © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 231 Types de journalisations d’évènements Nom de l’événement Description Configuration ESM modifiée La configuration du serveur ESM a été modifiée. • CEF—EsmConfigurationChange • LEEF—EsmConfigurationChange • Syslog—EsmConfigurationChange • Courrier électronique—EsmConfigurationChange État ESM modifié L’état du serveur ESM a été modifié. • CEF—EsmStatusChange • LEEF—EsmStatusChange • Syslog—EsmStatusChange • Courrier électronique—EsmStatusChange Rapports et journalisation Paramètres - Administration Nom de l’événement Description Rôle supprimé Un rôle administratif a été supprimé. • CEF—RoleDeleted • LEEF—RoleDeleted • Syslog—RoleDeleted • Courrier électronique—RoleDeleted Rôle ajouté/modifié Un rôle administratif a été ajouté ou modifié. • CEF—RoleEdited • LEEF—RoleEdited • Syslog—RoleEdited • Courrier électronique—RoleEdited État du rôle modifié L’état d’un rôle administratif a été modifié. • CEF—RoleStatusChanged • LEEF—RoleStatusChanged • Syslog—RoleStatusChanged • Courrier électronique—RoleStatusChanged Utilisateur supprimé Un utilisateur administratif a été supprimé. • CEF—UserDeleted • LEEF—UserDeleted • Syslog—UserDeleted • Courrier électronique—UserDeleted Utilisateur ajouté/modifié Un utilisateur administratif a été ajouté ou supprimé. • CEF—UserEdited • LEEF—UserEdited • Syslog—UserEdited • Courrier électronique—UserEdited 232 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Nom de l’événement Types de journalisations d’évènements Description État de l’utilisateur modifié L’état d’un utilisateur administratif a été modifié. • CEF—UserStatusChanged • LEEF—UserStatusChanged • Syslog—UserStatusChanged • Courrier électronique—UserStatusChanged Paramètres - Agent Nom de l’événement Description Action ponctuelle d’un agent terminée Un agent a terminé d’exécuter une règle d’action sur un point de terminaison. • CEF—OneTimeActionComplete • LEEF—OneTimeActionComplete • Syslog—OneTimeActionComplete • Courrier électronique—OneTimeActionComplete Action ponctuelle d’un agent non réussie Un agent n’a pas réussi à exécuter une règle d’action sur un point de terminaison. • CEF—OneTimeActionFailed • LEEF—OneTimeActionFailed • Syslog—OneTimeActionFailed • Courrier électronique—OneTimeActionFailed Paramètres - ESM Nom de l’événement Description Éléments ESM supprimés Un événement de sécurité a été retiré de la console ESM. • CEF—ArchivedPreventions • LEEF—ArchivedPreventions • Syslog—ArchivedPreventions • Courrier électronique—ArchivedPreventions Suppression d’éléments ESM non réussie La console ESM n’a pas réussi à supprimer un événement de sécurité. • CEF—ArchivedPreventionsFailure • LEEF—ArchivedPreventionsFailure • Syslog—ArchivedPreventionsFailure • Courrier électronique—ArchivedPreventionsFailure © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 233 Types de journalisations d’évènements Rapports et journalisation Paramètres - Conditions Nom de l’événement Description Condition ajoutée/modifiée Une condition a été ajoutée ou modifiée. • CEF—ConditionEdited • LEEF—ConditionEdited • Syslog—ConditionEdited • Courrier électronique—ConditionEdited Condition supprimée Une condition a été supprimée. • CEF—ConditionDeleted • LEEF—ConditionDeleted • Syslog—ConditionDeleted • Courrier électronique—ConditionDeleted Paramètres - Licences Nom de l’événement Description Échec de validation de la licence de l’agent L’agent n’a pas réussi à valider la licence. • CEF—MachineLicenseValidationFailed • LEEF—MachineLicenseValidationFailed • Syslog—MachineLicenseValidationFailed • Courrier électronique—MachineLicenseValidationFailed Expiration de la licence La licence a expiré sur l’agent. • CEF—LicenseExpiration • LEEF—LicenseExpiration • Syslog—LicenseExpiration • Courrier électronique—LicenseExpiration Quantité de licences Le nombre de licences a changé. • CEF—LicenseQuantity • LEEF—LicenseQuantity • Syslog—LicenseQuantity • Courrier électronique—LicenseQuantity Demande d’une licence d’agent L’agent a fait une demande de licence. • CEF—ClientLicenseRequest • LEEF—ClientLicenseRequest • Syslog—ClientLicenseRequest • Courrier électronique—ClientLicenseRequest 234 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Nom de l’événement Types de journalisations d’évènements Description Licence d’agent non valide La licence stockée sur l’agent n’était pas valide. • CEF—ClientLicenseInvalid • LEEF—ClientLicenseInvalid • Syslog—ClientLicenseInvalid • Courrier électronique—ClientLicenseInvalid Licence envoyée à l’agent L’agent a reçu une nouvelle licence. • CEF—SendingLicenseToClient • LEEF—SendingLicenseToClient • Syslog—SendingLicenseToClient • Courrier électronique—SendingLicenseToClient Pool de licences ajouté Un nouveau pool de licences a été ajouté à la console ESM. • CEF—LicensePoolAdded • LEEF—LicensePoolAdded • Syslog—LicensePoolAdded • Courrier électronique—LicensePoolAdded Licence d’agent révoquée La licence d’un agent a été revoquée. • CEF—LicenseRevoked • LEEF—LicenseRevoked • Syslog—LicenseRevoked • Courrier électronique—LicenseRevoked © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 235 Transfert de journaux vers un serveur Syslog Rapports et journalisation Transfert de journaux vers un serveur Syslog Syslog est un mécanisme de transfert de journaux standard qui permet l’agrégation des données des journaux à partir de différents périphériques réseau et fournisseurs dans un référentiel central, pour l’archivage, l’analyse et la création de rapports. Selon le type et le niveau de gravité des données des fichiers journaux, vous pouvez être averti des événements critiques requérant votre attention, ou des politiques nécessitant l’archivage des données sur une période plus longue que leur durée de stockage sur la console ESM. Dans ces cas-là, vous pouvez transférer vos données de journaux vers un service externe pour l’archivage, la notification, l’analyse ou toute combinaison des trois. Activer le transfert des journaux vers un serveur Syslog Activer le transfert de journaux vers un serveur Syslog à l’aide de l’outil de configuration de base de données Format CEF Format LEEF Format Syslog Activer le transfert des journaux vers un serveur Syslog La console ESM génère des journaux pour plus de 60 types d’événements qui peuvent être transférés vers un serveur syslog externe, y compris des événements de sécurité, des modifications apportées à la configuration de la stratégie et des événements de surveillance (agent et serveur). Si vous souhaitez transférer certains ou tous ces journaux vers un service externe à des fins de stockage à long terme et d’analyse, vous pouvez utiliser TCP ou SSL comme moyen de transport fiable et sécurisé des journaux, ou UDP comme moyen de transport non sécurisé. Vous pouvez aussi personnaliser le format (CEF, LEEF ou Syslog) que la console ESM utilise pour envoyer les journaux. La date et l’heure de chacun des événements journalisés sont exprimées en UTC. Activer le transfert des journaux vers un Syslog Step 1 Activez le transfert des journaux. 236 • Traps 3.3 Guide de l’administrateur À partir de la console ESM, sélectionnez Settings (Paramètres) > ESM > Syslog, puis Enable Syslog (Activer Syslog). © Palo Alto Networks, Inc. Rapports et journalisation Transfert de journaux vers un serveur Syslog Activer le transfert des journaux vers un Syslog Step 2 Configurez les paramètres de syslog. Indiquez les paramètres syslog suivants : • Syslog Server (Serveur Syslog)—Nom d’hôte ou adresse IP du serveur syslog. • Syslog Port (Port syslog)—Port de communication du serveur syslog, comme 514. • Syslog Protocol (Protocole syslog)—Le format que la console ESM utilise pour envoyer des rapports syslog : CEF, LEEF ou Syslog. Voir aussi Journaux de transfert vers courriel. • Keep-alive timeout (Délai de persistance)—Période (en minutes) pendant laquelle Traps envoie un message de persistance au serveur syslog (valeur par défaut : 0 ; plage comprise entre 0 et 2 147 483 647). Une valeur de 0 indique que vous ne voulez pas envoyer de message de persistance au serveur syslog. • Send reports interval (Intervalle de transmission de rapports)— Fréquence (en minutes) selo laquelle Traps envoie des journaux à partir du point de terminaison (valeur par défaut : 10 ; plage comprise entre 1 et 2 147 483 647). • Syslog Communication Protocol (Protocole de communication syslog)—Protocole de couche de transport que la console ESM utilise pour envoyer des rapports syslog : UDP, TCP ou TCP with SSL (TCP avec SSL). Step 3 Sélectionnez les événements que vous voulez envoyer au serveur syslog. Dans la zone Logging Events (Événements de journalisation), sélectionnez un ou plusieurs événements. Faites défiler la liste pour voir les autres types d’événements que vous pouvez envoyer. Step 4 Enregistrez vos paramètres. Cliquez sur Save (Enregistrer). Step 5 Vérifiez la configuration de vos paramètres syslog. Cliquez sur Check Connectivity (Vérifier la connectivité). La console ESM envoie une communication d’essai au serveur syslog à l’aide des informations qui figurent à la page Syslog. Si vous ne recevez pas le message d’essai, confirmez que vos paramètres sont exacts et essayez de nouveau. Activer le transfert de journaux vers un serveur Syslog à l’aide de l’outil de configuration de base de données Endpoint Security Manager peut écrire les journaux sur une plate-forme de journalisation externe, comme la gestion d’informations et d’évènements de sécurité (SIEM), les contrôles d’organisation de service (SOC) ou le journal système (syslog), en plus du stockage interne de ses journaux. La spécfication d’une plate-forme de journalisation externe vous permet de voir les journaux agrégés de tous les serveurs ESM. Vous pouvez activer la création de rapport externe en utilisant Endpoint Security Manager (voir Transfert de journaux vers un serveur Syslog) ou en utilisant l’outil de configuration de base de données. L’outil de configuration de base de données est une interface en ligne de commande qui fournit une alternative pour la gestion des paramètres de base du serveur en utilisant la console ESM. Vous pouvez accéder à l’outil de configuration de base de données en utilisant une invite de commandes MS-DOS Microsoft exécutée en tant qu’administrateur. L’outil de configuration de base de données est situé dans le dossier Server sur le serveur ESM. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 237 Transfert de journaux vers un serveur Syslog Rapports et journalisation Toutes les commandes exécutées à l’aide de l’outil de configuration de base de données sont sensibles à la casse. Par défaut, le transfert de journaux est désactivé. Activer le transfert de journaux vers un serveur Syslog à l’aide de l’outil de configuration de base de données Step 1 Ouvrez une invite de commande en tant qu’administrateur : • Sélectionnez Démarrer > Tous les programmes > Accessoires. Effectuez un clic droit sur Invite de commandes, puis sélectionnez Exécuter en tant qu’administrateur. • Sélectionnez Démarrer. Dans la case Rechercher les programmes et fichiers, saisissez cmd. Ensuite, pour ouvrir l’invite de commande en tant qu’administrateur, appuyez sur CTRL+MAJ+ENTRÉE. Step 2 Accédez au dossier qui contient l’outil de configuration de base de données : C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Step 3 (En option) Affichez les paramètres de création de rapports existants : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting show EnableSyslog = False SyslogServer = SyslogPort = 0 SyslogProtocol = Cef KeepAliveTimeout = 0 SendReportsInterval = 120 MaximumReportsCount = 500000 MinReportsCount = 450000 SyslogCommunicationType = Udp Step 4 Activez la création de rapports syslog : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting EnableSyslog true Step 5 Spécifiez l’adresse IP du serveur syslog : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting SyslogServer ipaddress Step 6 Précisez le port de communication pour le serveur syslog avec une valeur comprise entre 1 et 65535 (la valeur par défaut est 514). C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting SyslogPort portnumber Step 7 Précisez le protocole syslog que la console ESM utilisera pour envoyer des rapports syslog, soit Cef, Leef ou Rfc5424 (syslog). C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting SyslogProtocol [Cef | Leef | Rfc5424] Step 8 (En option) Spécifiez un intervalle (en minutes) auquel le point de terminaison envoie un message de maintien d’activité au journal ou rapport avec une valeur de 0 ou plus (la valeur par défaut est 0) : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting KeepAliveTimeout value 238 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Transfert de journaux vers un serveur Syslog Activer le transfert de journaux vers un serveur Syslog à l’aide de l’outil de configuration de base de données Step 9 (En option) Spécifiez la fréquence des rapports envoyés par le point de terminaison en minutes avec une valeur de 0 ou plus (la valeur par défaut est 10) : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting SendReportsInterval value Spécifiez une valeur de 0 si vous ne voulez pas recevoir les rapports des points de terminaison. Step 10 (En option) Spécifiez le nombre maximum de notifications de rapport à conserver dans la base de données avec une valeur de 0 ou plus (la valeur par défaut est 4000) : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting MaximumReportsCount value Par exemple, la spécification d’un nombre maximum de rapports de 5000 notifications signifie que Endpoint Security Manager rejettera les notifications plus anciennes au-delà de 5000 notifications. Step 11 (En option) Spécifiez le nombre minimum de notifications de rapport à conserver dans la base de données avec une valeur de 0 ou plus (la valeur par défaut est 5000) : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting MinReportsCount value Par exemple, la spécification d’un nombre minimum de rapports de 1000 notifications signifie que Endpoint Security Manager conserve les 1000 notifications les plus récentes après le nettoyage des anciens rapports. Step 12 (En option Activez le protocole de couche de transportation que la console ESM utilise pour envoyer les rapports syslog, soit Udp, Tcp ou TcpSsl : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting SyslogCommunicationType [Udp | Tcp | TcpSsl] © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 239 Transfert de journaux vers un serveur Syslog Rapports et journalisation Format CEF AccessViolation CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Access Violation|Threat|[email protected]|rt=@Model["Time"] shost=@Model["host"] [email protected] cs2Label=Module cs2=@Model["EPM"] deviceProcessName=@Model["processName"] fileHash=@Model["hash"] msg=Access Violation- @Model["TargetName"]: @Model["TargetValue"] AgentPolicyChange CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Agent Policy Changed|Agent|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=Policy changed ArchivedPreventions CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Preventions Archived|System|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=@Model["totalPreventions"] preventions been archived ArchivedPreventionsFailure CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Preventions Archived Failed|System|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=Archived preventions failed ClientInstall CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Agent Install|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"] [email protected] msg=Agent installed ClientLicenseRequest CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Client License Request|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"] [email protected] msg=New license request 240 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Transfert de journaux vers un serveur Syslog ClientLicenseInvalid CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Client License Invalid|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"] [email protected] msg=Invalid license ClientUninstall CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Agent Uninstall|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"] [email protected] msg=Agent uninstalled ClientUpgrade CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Agent Upgrade|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"] [email protected] msg=Agent upgraded ConditionDeleted CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Condition Deleted|Config|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=Condition ID: @Model["id"] was deleted ConditionEdited CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Condition Edited|Config|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=Condition ID: @Model["id"] was added/changed. DisabledProtection CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Protection Disabled|Policy|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=Protection disabled on all agents EnabledProtection CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Protection Enabled|Policy|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=Protection restored on all agents © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 241 Transfert de journaux vers un serveur Syslog Rapports et journalisation EsmConfigurationChange CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|ESM Configuration Change|System|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=ESM configuration changed EsmStatusChange CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|ESM Status Change|System|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=ESM status changed. FileUploadFailure CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|File Upload Failure|System|[email protected]|rt=@Model["Time"] shost=@Model["host"] [email protected] fname=@Model["fileName"] msg=File failed to upload. HashesImport CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Hashes Import|Policy|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=@Model["Amount"] hashes were imported. Heartbeat CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Heartbeat|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"] [email protected] msg=Service is alive LicenseExpiration CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|License Expiration|System|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=User @Model["Name"] status was changed LicensePoolAdded CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|License Pool Added|System|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=User @Model["Name"] status was changed 242 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Transfert de journaux vers un serveur Syslog LicenseQuantity CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|License Quantity|System|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=User @Model["Name"] status was changed LicenseRevoked CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|License Revoked|Config|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] dhost=@Model["host"] msg=Licenses revoked MachineLicenseValidationFailed CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Machine License Validation Failed|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"] [email protected] msg=License Validation Failed NewHash CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|New Hash Added|Policy|[email protected]|rt=@Model["Time"] shost=@Model["host"] dhost=@Model["host"] fileHash=@Model["hash"] msg=New hash added NotificationEvent CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Notification Event|Threat|[email protected]|rt=@Model["Time"] shost=@Model["host"] [email protected] cs2Label=Module cs2=@Model["EPM"] deviceProcessName=@Model["processName"]fileHash=@Model["hash"] msg=New prevention event. Prevention Key: @Model["preventionKey"] OneTimeActionComplete CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|One Time Action Complete|agent|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=One Time Action completed OneTimeActionFailed CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|One Time Action Failed|agent|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=One Time Action failed to run © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 243 Transfert de journaux vers un serveur Syslog Rapports et journalisation PreventionEvent CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Prevention Event|Threat|[email protected]|rt=@Model["Time"] shost=@Model["host"] [email protected] cs2Label=Module cs2=@Model["EPM"] deviceProcessName=@Model["processName"] fileHash=@Model["hash"] msg=New prevention event. Prevention Key: @Model["preventionKey"] ProcessCrashed CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Process Crashed|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"] [email protected] deviceProcessName=@Model["processName"] msg= Process @Model["processName"] had crashed ProcessDeleted CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Process Deleted|Config|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] deviceProcessName=@Model["processName"] msg=Process was deleted ProcessEdited CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Process Edited|Config|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] deviceProcessName=@Model["processName"] msg=Process was added/edited ProcessInjectionTimedOut CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Process Injection Time Out|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"] [email protected] deviceProcessName=@Model["processName"] msg=Injection Timeout ProvisionalEvent CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Provisional Event|Threat|[email protected]|rt=@Model["Time"] shost=@Model["host"] [email protected] cs2Label=Module cs2=@Model["EPM"] deviceProcessName=@Model["processName"] fileHash=@Model["hash"] msg=New prevention event. Prevention Key: @Model["preventionKey"] 244 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Transfert de journaux vers un serveur Syslog ReportingServiceStartFailed CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Reporting Service Start Failed|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"] [email protected] msg=ReportingService start failed. RestrictionSettingsEdited CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Restriction Settings Edited|Config|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=Restriction Settings were added/changed RoleEdited CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Role Edited|config|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=Role @Model["Name"] was added\changed RoleDeleted CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Role Deleted|config|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=Role @Model["Name"] was deleted RoleStatusChanged CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Role Status Changed|config|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=Role @Model["Name"] status was changed RuleDeleted CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Rule Deleted|Policy|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] cs1Label=Rule [email protected]=Rule @Model["id"]: Deleted RuleEdited CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Rule Edited|Policy|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] cs1Label=Rule [email protected] msg=Rule @Model["id"]: Edited © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 245 Transfert de journaux vers un serveur Syslog Rapports et journalisation SendingLicenseToClient CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Sending License To Agent|Config|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] dhost=@Model["host"] msg=New license sent ServerHeartbeat CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|ESM Heartbeat|System|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=ESM heartbeat. ServiceAlive CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Service Alive|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"] [email protected] msg=Service start ServiceStopped CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Service Stopped|Agent|@Model.ExternalSeverity| rt=@Model["Time"] dhost=@Model["host"] duser=@Model["user"] msg=Service stopped ServiceWarning CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Service Warning|Threat|[email protected]|rt=@Model["Time"] shost=@Model["host"] [email protected] cs2Label=Module cs2=@Model["EPM"]deviceProcessName=@Model["processName"] fileHash=@Model["hash"] msg=Warning- Java sandboxed file access to @Model["TargetValue"] SystemShutdown CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|System Shutdown|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"] [email protected] msg=Service shutdown TrapsServiceStatusChange CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Traps Service Status Change|Agent|[email protected]|rt=@Model["Time"] dhost=@Model["host"] [email protected] msg=Agent Service Status Changed: @Model["OldStatus"]-> @Model["NewStatus"] 246 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Transfert de journaux vers un serveur Syslog UserDeleted CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|User Deleted|config|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=User @Model["Name"] was deleted. UserEdited CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|User Edited|config|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=User @Model["Name"] was added\changed. UserLogin CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|User Login|System|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=User @Model["Name"] status was changed UserStatusChanged CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|User Status Changed|config|[email protected]|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=User @Model["Name"] status was changed VerdictChange CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Verdict Changed|Policy|[email protected]|rt=@Model["Time"] shost=@Model["host"eHash=@Model["hash"] msg= Hash verdict changed. @Model["OldVerdict"] -> @Model["NewVerdict"] VerdictChangeAnyToMalware CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Verdict Changed|Policy|[email protected]|rt=@Model["Time"] shost=@Model["host"] fileHash=@Model["hash"] msg= Hash verdict changed. @Model["OldVerdict"] -> @Model["NewVerdict"] VerdictChangeMalwareToAny CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Verdict Changed Any To Malware|Policy|[email protected]|rt=@Model["Time"] shost=@Model["host"] fileHash=@Model["hash"] msg= Hash verdict changed to Malware. @Model["OldVerdict"] -> @Model["NewVerdict"] © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 247 Transfert de journaux vers un serveur Syslog Rapports et journalisation VerdictChangeNoconnectionToAny CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Verdict Change No Connection To Any|Policy|[email protected]|rt=@Model["Time"] shost=@Model["host"] fileHash=@Model["hash"] msg= Hash verdict changed from No Connection. @Model["OldVerdict"] -> @Model["NewVerdict"] VerdictChangeUnknownToAny CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Verdict Change Unknown To Any|Policy|[email protected]|rt=@Model["Time"] shost=@Model["host"] fileHash=@Model["hash"] msg= Hash verdict changed from Unknown. @Model["OldVerdict"] -> @Model["NewVerdict"] 248 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Transfert de journaux vers un serveur Syslog Format LEEF AccessViolation LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Threat|subtype=Access Violation| devTime=@Model["Time"]|shost=@Model["esmHost"]|duser=@Model["user"]|Module=@Model["EPM"]|msg=Acce ss Violation- @Model["TargetName"]: @Model["TargetValue"]|[email protected] AgentPolicyChange LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Agent Policy Changed| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=Policy changed|[email protected] ArchivedPreventions LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=Preventions Archived| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=@Model["totalPreventions" ] preventions been archived|[email protected] ArchivedPreventionsFailure LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=Preventions Archived Failed| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=Archived preventions failed|[email protected] ClientInstall LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Agent|subtype=Agent Install| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Agent installed|[email protected] ClientLicenseInvalid LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Client License Invalid| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Invalid license |[email protected] © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 249 Transfert de journaux vers un serveur Syslog Rapports et journalisation ClientLicenseRequest LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Client License Request| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=New license request|[email protected] ClientUninstall LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Agent|subtype=Agent Uninstall| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Agent uninstalled|[email protected] ClientUpgrade LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Agent|subtype=Agent Upgrade| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Agent upgraded|[email protected] ConditionDeleted LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Condition Deleted| devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected]|msg=Condition ID: @Model["id"] was deleted|[email protected] ConditionEdited LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Condition Edited| devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected] |msg=Condition ID: @Model["id"] was added/changed.|[email protected] DisabledProtection LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Protection Disabled| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=Protection disabled on all agents|[email protected] EnabledProtection LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Protection Enabled| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=Protection restored on all agents|[email protected] 250 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Transfert de journaux vers un serveur Syslog EsmConfigurationChange LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=ESM Configuration Change| devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected]|msg=ESM configuration changed|[email protected] EsmStatusChange LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=ESM Status Change| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=ESM status changed.|[email protected] FileUploadFailure LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=File Upload Failure| devTime=@Model["Time"]|shost=@Model["esmHost"]|duser=@Model["user"]|fname=@Model["fileName"]|msg= File failed to upload.|[email protected] HashesImport LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Hashes Import| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|fileHash=@Model["Hash"]|msg=@ Model["Amount"] hashes were imported|[email protected] Heartbeat LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Heartbeat| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Service is alive|[email protected] LicenseExpiration LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=License Expiration| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=@Model["poolName"] licenses will expire in @Model["days"] days|[email protected] © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 251 Transfert de journaux vers un serveur Syslog Rapports et journalisation LicensePoolAdded LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=License Pool Added| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=A pool of @Model["licenseCount"] licenses of type @Model["licenseType"] have been added|[email protected] LicenseQuantity LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=License Quantity| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=Agent Licenses are running low|[email protected] LicenseRevoked LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=License Revoked| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|dhost=@Model["host"]|msg=Lice nses revoked|[email protected] MachineLicenseValidationFailed LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Agent|subtype=Machine License Validation Failed| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=License Validation Failed|[email protected] NewHash LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=New Hash Added| devTime=@Model["Time"]|shost=@Model["esmHost"]|dhost=@Model["host"]|fileHash=@Model["Hash"]|msg=N ew hash added|[email protected] NotificationEvent LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Threat|subtype=Notification Event| devTime=@Model["Time"]|shost=@Model["esmHost"]|duser=@Model["user"]|Module=@Model["EPM"]|devicePr ocessName=@Model["processName"]|fileHash=@Model["Hash"]|msg=New prevention event. Prevention Key: @Model["preventionKey"]|[email protected] 252 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Transfert de journaux vers un serveur Syslog OneTimeActionComplete LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=agent|subtype=One Time Action Complete| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=One Time Action completed. Action Type=@Model["ActionType"] Action ID=@Model["ActionID"]|[email protected] OneTimeActionFailed LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=agent|subtype=One Time Action Failed| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=One Time Action failed to run. Action Type=@Model["ActionType"] Action ID=@Model["ActionID"]|[email protected] PreventionEvent LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Threat|subtype=Prevention Event| devTime=@Model["Time"]|shost=@Model["esmHost"]|duser=@Model["user"]|Module=@Model["EPM"]|devicePr ocessName=@Model["processName"]|fileHash=@Model["Hash"]|msg=New prevention event. Prevention Key: @Model["preventionKey"]|[email protected] ProcessCrashed LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Process Crashed| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|deviceProcessName=@Model["proces sName"]|msg= Process @Model["processName"] had crashed|[email protected] ProcessDeleted LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Process Deleted| devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected]|deviceProcessName=@Model["Na me"]|msg=Process was deleted|[email protected] ProcessEdited LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Process Edited| devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected]|[email protected] a.ProcessFilename|msg=Process was added/edited|[email protected] © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 253 Transfert de journaux vers un serveur Syslog Rapports et journalisation ProcessInjectionTimedOut LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Process Injection Time Out| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|deviceProcessName=@Model["proces sName"]|msg=Injection Timeout|[email protected] ProvisionalEvent LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Threat|subtype=Provisional Event| devTime=@Model["Time"]|shost=@Model["esmHost"]|duser=@Model["user"]|Module=@Model["EPM"]|devicePr ocessName=@Model["processName"]|fileHash=@Model["Hash"]|msg=New prevention event. Prevention Key: @Model["preventionKey"]|[email protected] ReportingServiceStartFailed LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Reporting Service Start Failed| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=ReportingService start failed.|[email protected] RestrictionSettingsEdited LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Restriction Settings Edited| devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected]|msg=Restriction Settings were added/changed|[email protected] RoleDeleted LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Role Deleted| devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected]|msg=Role @Model["Name"] was deleted|[email protected] RoleEdited LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Role Edited| devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected]|msg=Role @Model["Name"] was added\changed|[email protected] 254 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Transfert de journaux vers un serveur Syslog RoleStatusChanged LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Role Status Changed| devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected]|msg=Role @Model["Name"] status was changed to @Model["status"]|[email protected] RuleDeleted LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Rule Deleted| devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected]|Rule=@Model["id"]|msg=Rule @Model["id"]: Deleted|[email protected] RuleEdited LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Rule Edited| devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected]|[email protected]|msg=Rule @Model.Data.Id: Edited|[email protected] SendingLicenseToClient LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Sending License To Agent| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|dhost=@Model["host"]|msg=New license sent|[email protected] ServerHeartbeat LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=ESM Heartbeat| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=ESM heartbeat.|[email protected] ServiceAlive LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Service Alive| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Service start|[email protected] ServiceStopped LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Service Stopped| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Service stopped|[email protected] © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 255 Transfert de journaux vers un serveur Syslog Rapports et journalisation ServiceWarning LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Threat|subtype=Service Warning| devTime=@Model["Time"]|shost=@Model["esmHost"]|duser=@Model["user"]|Module=@Model["EPM"]|msg=Warn ing- Java sandboxed file access to @Model["TargetValue"]|[email protected] SystemShutdown LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=System Shutdown| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Service shutdown|[email protected] TrapsServiceStatusChange LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Agent|subtype=Traps Service Status Change| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Agent Service Status Changed: @Model["OldStatus"]-> @Model["NewStatus"]|[email protected] UserDeleted LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=User Deleted| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=User @Model["Name"] was deleted.|[email protected] UserEdited LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=User Edited| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=User @Model["Name"] was added\changed.|[email protected] UserLogin LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=User Login| devTime=@Model["Time"]|shost=@Model["esmHost"]|[email protected]|msg=User @Model.Data.Username logged in to ESM console|[email protected] UserStatusChanged LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=User Status Changed| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=User @Model["Name"] status was changed|[email protected] 256 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Transfert de journaux vers un serveur Syslog VerdictChange LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Verdict Changed| devTime=@Model["Time"]|shost=@Model["esmHost"]|fileHash=@Model["Hash"]|msg= Hash verdict changed. @Model["OldVerdict"] -> @Model["NewVerdict"]|[email protected] VerdictChangeAnyToMalware LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Verdict Changed Any To Malware| devTime=@Model["Time"]|shost=@Model["esmHost"]|fileHash=@Model["Hash"]|msg= Hash verdict changed to Malware. @Model["OldVerdict"] -> @Model["NewVerdict"]|[email protected] VerdictChangeMalwareToAny LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Verdict Change Malware To Any| devTime=@Model["Time"]|shost=@Model["esmHost"]|fileHash=@Model["Hash"]|msg= Hash verdict changed from Malware. @Model["OldVerdict"] -> @Model["NewVerdict"]|[email protected] VerdictChangeNoconnectionToAny LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Verdict Change No Connection To Any| devTime=@Model["Time"]|shost=@Model["esmHost"]|fileHash=@Model["Hash"]|msg= Hash verdict changed from No Connection. @Model["OldVerdict"] -> @Model["NewVerdict"]|[email protected] VerdictChangeUnknownToAny LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Verdict Change Unknown To Any| devTime=@Model["Time"]|shost=@Model["esmHost"]|fileHash=@Model["Hash"]|msg= Hash verdict changed from Unknown. @Model["OldVerdict"] -> @Model["NewVerdict"]|[email protected] © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 257 Transfert de journaux vers un serveur Syslog Rapports et journalisation Format Syslog AccessViolation 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent: - - - [email protected] msg=Agent Access Violation to @Model["TargetName"]: @Model["TargetValue"] dst=@Model["host"] [email protected] AgentPolicyChange 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent: - - - [email protected] msg=Agent Policy Change. Computer: @Model["host"]. [email protected] ArchivedPreventions 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=@Model["user"] archived @Model["totalPreventions"] preventions on @Model["host"] [email protected] ArchivedPreventionsFailure 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] [email protected] @Model["user"] archived @Model["progressCount"] out of @Model["totalPreventions"] preventions on @Model["host"] [email protected] ClientInstall 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Agent Installed to System. Computer: @Model["host"]. [email protected] ClientLicenseInvalid 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent: - - - [email protected] msg=Computer @Model["host"] has an invalid license. [email protected] ClientLicenseRequest 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent: - - - [email protected] msg=Computer @Model["host"] requested a license. [email protected] 258 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Transfert de journaux vers un serveur Syslog ClientUninstall 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent: - - - [email protected] msg=Agent Uninstalled from System. Computer: @Model["host"]. [email protected] ClientUpgrade 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Agent Upgraded. Computer: @Model["host"]. [email protected] ConditionDeleted 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Condition Deleted. Condition Name: @Model["Name"] Condition ID: @Model["id"] Condition Description: @Model["Description"] By User: @Model.UserName. [email protected] ConditionEdited 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Condition Added/Edited. Condition Name: @Model.Data.Name Condition Description: @Model.Data.Description By User: @Model.UserName. [email protected] DisabledProtection 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Protection is disabled across the entire organization! [email protected] EnabledProtection 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Protection is restored across the entire organization! [email protected] EsmConfigurationChange 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=ESM Configuration Changed. Server Name: @Model.Data.Name. By User: @Model.UserName. [email protected] © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 259 Transfert de journaux vers un serveur Syslog Rapports et journalisation EsmStatusChange 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=ESM Status Changed. Server Name: @Model["host"] Status: @Model["NewStatus"] Message: Server Status Change [email protected] FileUploadFailure 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=File @Model["fileName"] failed to upload from @Model["host"]. Reason: @Model["message"] [email protected] HashesImport 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Hashes Imported. Hashes were Imported into the ESM. Hash Count: @Model["Amount"]. [email protected] Heartbeat 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent: - - - [email protected] msg=Service is alive on @Model["host"] [email protected] LicenseExpiration 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Licenses of type @Model["poolName"] will expire in @Model["days"] days. [email protected] LicensePoolAdded 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=A pool of @Model["licenseCount"] licenses of type @Model["licenseType"] have been added. @Model.ExternalSeverity LicenseQuantity 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Agent Licenses are running low used:@Model["deployedLicenses"] out of:@Model["totalLicenses"]. [email protected] 260 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Transfert de journaux vers un serveur Syslog LicenseRevoked 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=License revoked from Computer @Model["host"] [email protected] MachineLicenseValidationFailed 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Agent License Validation Failed for Computer @Model["host"] [email protected] NewHash 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Hash @Model["Hash"] was added to the ESM hash list. [email protected] NotificationEvent 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent: - - - [email protected] msg=Notification event from Computer: @Model["host"] User: @Model["user"] Agent Version: @Model["ProductVersion"] Module Name: @Model["EPM"] Process Name: @Model["processName"] Hash: @Model["Hash"] Prevention Key: @Model["preventionKey"] [email protected] OneTimeActionComplete 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent: - - - [email protected] msg=Agent One Time Action Completed on Computer @Model["host"] @Model["ActionID"] of type @Model["ActionType"] [email protected] OneTimeActionFailed 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent: - - - [email protected] msg=Failed executing one time Action @Model["ActionID"] of type @Model["ActionType"] [email protected] PreventionEvent 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent: - - - [email protected] msg=Prevention event from Computer: @Model["host"] User: @Model["user"] Agent Version: @Model["ProductVersion"] Module Name: @Model["EPM"] Process Name: @Model["processName"] Hash: @Model["Hash"] Prevention Key: @Model["preventionKey"] [email protected] © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 261 Transfert de journaux vers un serveur Syslog Rapports et journalisation ProcessCrashed 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent: - - - [email protected] msg=Agent Process Crashed Process name @Model["ProcessName"] on Computer: @Model["host"] Error message: @Model["message"]. [email protected] ProcessDeleted 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Process Deleted. Process Name:@Model["Name"] By User: @Model.UserName. [email protected] ProcessEdited 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Process Added/Edited. Process Name: @Model.Data.ProcessFilename By User: @Model.UserName. [email protected] ProcessInjectionTimedOut 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent: - - - [email protected] msg=Agent Process Injection Timeout for process: @Model["processName"] on @Model["host"] (@Model["pId"]) [email protected] ProvisionalEvent 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent: - - - [email protected] msg=Provisional event from Computer: @Model["host"] User: @Model["user"] Agent Version: @Model["ProductVersion"] Module Name: @Model["EPM"] Process Name: @Model["processName"] Hash: @Model["Hash"] Prevention Key: @Model["preventionKey"] [email protected] ReportingServiceStartFailed 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent: - - - [email protected] msg=Agent Reporting Service Start Failed on Computer @Model["host"] New preventions will not appear in the ESM. Exception: @Model["msg"] [email protected] RestrictionSettingsEdited 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Restrictions Settings Add/Edit. Restriction Settings in the ESM were added/edited by User: @Model.UserName. [email protected] 262 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Transfert de journaux vers un serveur Syslog RoleDeleted 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Role Deleted. Role Name: @Model["Name"] By User: @Model.UserName. [email protected] RoleEdited 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Role Added/Edited. Role Name: @Model.Data.Name By User: @Model.UserName. [email protected] RoleStatusChanged 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Role @Model["status"]. Role Name: @Model["Name"] By User: @Model.UserName. [email protected] RuleDeleted 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Rule @Model["id"]: @Model["Description"] was deleted by @Model.UserName. [email protected] RuleEdited 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=ID: @Model.Data.Id Rule @Model.Data.Name: @Model.Data.Description was edited by @Model.UserName. [email protected] SendingLicenseToClient 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Sending license To Computer @Model["host"] [email protected] ServerHeartbeat 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=ESM Heartbeat. Server Name: @Model["host"]. [email protected] © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 263 Transfert de journaux vers un serveur Syslog Rapports et journalisation ServiceAlive 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent: - - - [email protected] msg=Agent Service Start on @Model["host"][email protected] ServiceStopped 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent: - - - [email protected] msg=Agent Service Stopped on @Model["host"] [email protected] ServiceWarning 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent: - - - [email protected] msg=Agent Service Warning Java sandbox file access to @Model["TargetValue"] on Computer: @Model["host"] [email protected] SystemShutdown 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent: - - - [email protected] msg=Agent Shutdown on Computer @Model["host"] [email protected] TrapsServiceStatusChange 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Agent Service Status Changed. Computer: @Model["host"] Previous Status: @Model["OldStatus"] New Status: @Model["NewStatus"] [email protected] UserDeleted 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=User Deleted. Deleted User Name: @Model["Name"] By User: @Model.UserName. [email protected] UserEdited 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=User Added/Edited. Added/Edited User Name: @Model.Data.Name By User: @Model.UserName. [email protected] 264 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Transfert de journaux vers un serveur Syslog UserLogin 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=User @Model.Data.Username has logged in. [email protected] UserStatusChanged 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=User @Model["status"]. User Name: @Model["Name"] By User: @Model.UserName. [email protected] VerdictChange 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Hash Verdict Changed - Any to Any. Hash: @Model["Hash"] Previous Verdict: @Model["OldVerdict"] New Verdict: @Model["NewVerdict"]. [email protected] VerdictChangeAnyToMalware 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Hash Verdict Changed - Any to Malware. Hash: @Model["Hash"] Previous Verdict: @Model["OldVerdict"] New Verdict: @Model["NewVerdict"]. [email protected] VerdictChangeMalwareToAny 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Hash Verdict Changed - Malware to Any. Hash: @Model["Hash"] Previous Verdict: @Model["OldVerdict"] New Verdict: @Model["NewVerdict"]. [email protected] VerdictChangeNoconnectionToAny 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Hash Verdict Changed - No connection to Any. Hash: @Model["Hash"] Previous Verdict: @Model["OldVerdict"] New Verdict: @Model["NewVerdict"]. [email protected] VerdictChangeUnknownToAny 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager: - - [email protected] msg=Hash Verdict Changed - Unknown to Any. Hash: @Model["Hash"] Previous Verdict: @Model["OldVerdict"] New Verdict: @Model["NewVerdict"]. [email protected] © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 265 Journaux de transfert vers courriel Rapports et journalisation Journaux de transfert vers courriel Activez le transfert de journaux vers courriel Format courriel Activez le transfert de journaux vers courriel La console ESM génère des journaux pour plus que 60 types d’événements incluant des événements de sécurité, des changements de configuration de politiques, et des événements de surveillance (agent et serveur). Selon le type et la sévérité des données dans les fichiers de journalisation, vous voudriez recevoir des alertes de courriel quand des événements critiques demandent votre attention. La console ESM transfert des journaux vers une adresse courriel en utilisant le service SMTP. Si vous voulez transférer tout ou quelques-uns des ces journaux à une adresse courriel externe, vous pouvez utiliser SSL pour le transport de journaux fiable et sécurisé. Après la configuration des paramètres de rapportage de courriel, vous pouvez envoyer un message d’essais afin de vérifier les paramètres de transfert de journaux. LA date et heure de chacun des événements journalisés est en Universal Time Coordinated (UTC). Utilisez le flux de travail suivant pour la configuration de la console ESM pour l’envoie des journaux et événements vers un compte de courriel. Activez le transfert de journaux vers courriel Step 1 Activez la création de rapports par courrier électronique. De la console ESM, sélectionnez Settings (Paramètres) > ESM > Email (Courriel), puis sélectionnez Enable Mail Reporting (Activez la création de rapports par courrier électronique). Step 2 Configurez les paramètres de courriels. Indiquez les paramètres de courriels suivants : • Display Name (Nom d’affichage)—Nom d’affichage pour le compte courriel qui est utilisé pour l’envoie des journaux. • User name (Nom d’utilisateur)—Nom de l’utilisateur qui peut accéder au service SMTP. • Password (Mot de passe)—Mot de passe pour le compte d’utilisateur qui peut accéder au service SMTP. • Host (Hôte)—Nom d’hôte ou adresse IP du service SMTP. • Smtp Port (port smtp)—Port de communication du service SMTP (le port par défaut est 0). • Enable SSL (Activez SSL)—Sélectionnez cette option pour le transport sécurisé des journaux dans des courriels. • Email Address (Adresse courriel)—Adresse courriel de l’expéditeur d’où les journaux sont envoyés. • Recipient (Destinataire)—Adresse courriel du destinataire vers laquelle les journaux sont envoyés. • Email Timeout (Seconds) (Délai de courriels (en seconds))— La période (en seconds) après laquelle la console ESM arrête d’essayer d’envoyer des journaux (par défaut est 60; l’intervalle est 1 à 120). 266 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Journaux de transfert vers courriel Activez le transfert de journaux vers courriel Step 3 Sélectionnez les événements que vous voulez envoyer à l’adresse courriel externe. Dans la région d’événements de journalisation, sélectionnez un ou plusieurs événements. Traversez la liste pour voir les types d’événements additionnels que vous pouvez envoyer. Step 4 Enregistrez vos paramètres. Cliquez Save (Sauvegarder). Step 5 Vérifiez la configuration de vos paramètres de courriels. Cliquez sur Send Test Message (Envoyez un message d’essais). La console ESM envoie une communication d’essais à l’adresse courriel en utilisant l’information sur la page Email (Courriel). Si vous ne recevez pas un message d’essais, confirmez que vos paramètres sont valides et ressayez. Format courriel AccessViolation <html><body><p><div>Log Event:<strong> Agent Access Violation</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Target Name:<strong> @Model["TargetName"]</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div></p></body></html> AgentPolicyChange <html><body><p><div>Log Event:<strong> Agent Policy Change</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div></p></body></html> ArchivedPreventions <html><body><p><div>Log Event:<strong> Archive Threats Events</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>User:<strong> @Model["user"]</strong></div><div>Number of Archived Events:<strong> @Model["totalPreventions"]</strong></div></p></body></html> ArchivedPreventionsFailure <html><body><p><div>Log Event:<strong> Archive Threats Events Failed</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>User:<strong> @Model["user"]</strong></div><div>Number of Archived Events (Actual):<strong> @Model["progressCount"]</strong></div><div>Number of Archived Events (Total):<strong> @Model["totalPreventions"]</strong></div></p></body></html> © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 267 Journaux de transfert vers courriel Rapports et journalisation ClientInstall <html><body><p><div>Log Event:<strong> Agent Installed to System</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div></p></body></html> ClientLicenseInvalid <html><body><p><div>Log Event:<strong> Agent License Invalid</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div></p></body></html> ClientLicenseRequest <html><body><p><div>Log Event:<strong> Agent License Request</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div></p></body></html> ClientUninstall <html><body><p><div>Log Event:<strong> Agent Uninstalled from System</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div></p></body></html> ClientUpgrade <html><body><p><div>Log Event:<strong> Agent Upgraded</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div></p></body></html> ConditionDeleted <html><body><p><div>Log Event:<strong> Condition Deleted</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Condition Name:<strong> @Model["Name"]</strong></div><div>Condition ID:<strong> @Model["id"]</strong></div><div>Condition Description:<strong> @Model["Description"]</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> 268 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Journaux de transfert vers courriel ConditionEdited <html><body><p><div>Log Event:<strong> Condition Added/Edited</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Condition Name:<strong> @Model.Data.Name</strong></div><div>Condition Description:<strong> @Model.Data.Description</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> DisabledProtection <html><body><p><div>Log Event:<strong> Protection Disabled</strong></div><p></p><div>Description:<strong> Protection is disabled across the entire organization! </strong></div><div>Time:<strong> @Model.Time (UTC)</strong></div></p></body></html> EnabledProtection <html><body><p><div>Log Event:<strong> Protection Enabled</strong></div><p></p><div>Description:<strong> Protection is restored across the entire organization!</strong></div><div>Time:<strong> @Model.Time (UTC)</strong></div></p></body></html> EsmConfigurationChange <html><body><p><div>Log Event:<strong> ESM Configuration Changed</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Server Name:<strong> @Model.Data.Name</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> EsmStatusChange <html><body><p><div>Log Event:<strong> ESM Status Changed</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Server Name:<strong> @Model["host"]</strong></div><div>Status:<strong> @Model["NewStatus"]</strong></div><div>Message:<strong> Server Status Change</strong></div></p></body></html> FileUploadFailure <html><body><p><div>Log Event:<strong> Agent File Upload Failed</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div><div>File Name:<strong> @Model["fileName"]</strong></div><div>Failure Reason:<strong> @Model["message"]</strong></div></p></body></html> © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 269 Journaux de transfert vers courriel Rapports et journalisation HashesImport <html><body><p><div>Log Event:<strong> Hashes Imported</strong></div><p></p><div>Description:<strong> Hashes were Imported into the ESM</strong></div><div>Hash Count:<strong> @Model["Amount"]</strong></div></p></body></html> Heartbeat <html><body><p><div>Log Event:<strong> Agent Heartbeat Any</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div></p></body></html> LicenseExpiration <html><body><p><div>Log Event:<strong> License Expiration</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>License Type:<strong> @Model["poolName"] </strong></div><div>Expiration in (days):<strong> @Model["days"] </strong></div></p></body></html> LicensePoolAdded <html><body><p><div>Log Event:<strong> License Pool Added</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>License Type:<strong> @Model["licenseType"]</strong></div><div>License Count:<strong> @Model["licenseCount"]</strong></div></p></body></html> LicenseQuantity <html><body><p><div>Log Event:<strong> License Quantity</strong></div><p></p><div>Description:<strong> Agent Licenses are running low</strong></div><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Used Licenses:<strong> @Model["deployedLicenses"]</strong></div><div>Total Licenses :<strong> @Model["totalLicenses"]</strong></div></p></body></html> LicenseRevoked <html><body><p><div>Log Event:<strong> Agent License Revoked</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div></p></body></html> 270 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Journaux de transfert vers courriel MachineLicenseValidationFailed <html><body><p><div>Log Event:<strong> Agent License Validation Failed</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div></p></body></html> NewHash <html><body><p><div>Log Event:<strong> Hash Added</strong></div><p></p><div>Description:<strong> Hash was added to the ESM Hash list</strong></div><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div></p></body></html> NotificationEvent <html><body><p><div>Log Event:<strong> Notification Event</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>User:<strong> @Model["user"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div><p></p><div>Module Name:<strong> @Model["EPM"]</strong></div><div>Process Name:<strong> @Model["processName"]</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div><div>Prevention Key:<strong> @Model["preventionKey"]</strong></div></p></body></html> OneTimeActionComplete <html><body><p><div>Log Event:<strong> Agent One Time Action Completed</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div><div>Action Type:<strong> @Model["ActionType"]</strong></div><div>Action ID:<strong> @Model["ActionID"]</strong></div></p></body></html> OneTimeActionFailed <html><body><p><div>Log Event:<strong> Agent One Time Action Failed</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div><div>Action Type:<strong> @Model["ActionType"]</strong></div><div>Action ID:<strong> @Model["ActionID"]</strong></div></p></body></html> © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 271 Journaux de transfert vers courriel Rapports et journalisation PreventionEvent <html><body><p><div>Log Event:<strong> Prevention Event</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>User:<strong> @Model["user"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div><p></p><div>Module Name:<strong> @Model["EPM"]</strong></div><div>Process Name:<strong> @Model["processName"]</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div><div>Prevention Key:<strong> @Model["preventionKey"]</strong></div></p></body></html> ProcessCrashed <html><body><p><div>Log Event:<strong> Agent Process Crashed</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div><div>Process name:<strong> @Model["ProcessName"]</strong></div><div>Error message:<strong> @Model["message"]</strong></div></p></body></html> ProcessDeleted <html><body><p><div>Log Event:<strong> Process Deleted</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Process Name:<strong> @Model["Name"]</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> ProcessEdited <html><body><p><div>Log Event:<strong> Process Added/Edited</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Process Name:<strong> @Model.Data.ProcessFilename</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> ProcessInjectionTimedOut <html><body><p><div>Log Event:<strong> Agent Process Injection Timeout</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div><div>Process Name:<strong> @Model["processName"]</strong></div><div>PID:<strong> @Model["pId"]</strong></div><div>Severity:<strong> @Model.ExternalSeverity</strong></div></p></body></html> 272 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Journaux de transfert vers courriel ProvisionalEvent <html><body><p><div>Log Event:<strong> Provisional Event</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>User:<strong> @Model["user"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div><p></p><div>Module Name:<strong> @Model["EPM"]</strong></div><div>Process Name:<strong> @Model["processName"]</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div><div>Prevention Key:<strong> @Model["preventionKey"]</strong></div></p></body></html> ReportingServiceStartFailed <html><body><p><div>Log Event:<strong> Agent Reporting Service Start Failed</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div><div>Exception:<strong> @Model["msg"]</strong></div></p></body></html> RestrictionSettingsEdited <html><body><p><div>Log Event:<strong> Restrictions Settings Add/Edit</strong></div><p></p><div>Description:<strong> Restrictions Settings in the ESM were Added/Edited</strong></div><div>Time:<strong> @Model.Time (UTC)</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> RoleDeleted <html><body><p><div>Log Event:<strong> Role Deleted</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Role Name:<strong> @Model["Name"]</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> RoleEdited <html><body><p><div>Log Event:<strong> Role Added/Edited</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Role Name:<strong> @Model.Data.Name</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> RoleStatusChanged <html><body><p><div>Log Event:<strong> Role @Model["status"]</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Role Name:<strong> @Model["Name"]</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 273 Journaux de transfert vers courriel Rapports et journalisation RuleDeleted <html><body><p><div>Log Event:<strong> Rule Deleted</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Rule Name:<strong> @Model["Name"]</strong></div><div>Rule ID:<strong> @Model["id"]</strong></div><div>Rule Description:<strong> @Model["Description"]</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> RuleEdited <html><body><p><div>Log Event:<strong> Rule Added/Edited</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Rule Name:<strong> @Model.Data.Name</strong></div><div>Rule ID:<strong> @Model.Data.Id</strong></div><div>Rule Description:<strong> @Model.Data.Description</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> SendingLicenseToClient <html><body><p><div>Log Event:<strong> License Sent to Agent</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div></p></body></html> ServerHeartbeat <html><body><p><div>Log Event:<strong> ESM Heartbeat</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Server Name:<strong> @Model["host"]</strong></div></p></body></html> ServiceAlive <html><body><p><div>Log Event:<strong> Agent Service Start</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div></p></body></html> ServiceStopped <html><body><p><div>Log Event:<strong> Agent Service Stopped</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div></p></body></html> 274 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Journaux de transfert vers courriel ServiceWarning <html><body><p><div>Log Event:<strong> Agent Service Warning</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div><div>Java sandbox file access to:<strong> @Model["TargetValue"]</strong></div></p></body></html> SystemShutdown <html><body><p><div>Log Event:<strong> Agent Shutdown</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div></p></body></html> TrapsServiceStatusChange <html><body><p><div>Log Event:<strong> Agent Service Status Changed</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div><div>Previous Status:<strong> @Model["OldStatus"]</strong></div><div>New Status:<strong> @Model["NewStatus"]</strong></div></p></body></html> UserDeleted <html><body><p><div>Log Event:<strong> User Deleted</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Deleted User Name:<strong> @Model["Name"]</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> UserEdited <html><body><p><div>Log Event:<strong> User Added/Edited</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Added/Edited User Name:<strong> @Model.Data.Name</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> UserLogin <html><body><p><div>Log Event:<strong> User Login</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>User:<strong> @Model.Data.Username</strong></div></p></body></html> © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 275 Journaux de transfert vers courriel Rapports et journalisation UserStatusChanged <html><body><p><div>Log Event:<strong> User @Model[ »status »</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>@Model["status"] User Name:<strong> @Model["Name"]</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> VerdictChange <html><body><p><div>Log Event:<strong> Verdict Changed - Any to Any</strong></div><p></p><div>Description:<strong> Hash Verdict has Changed</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div><div>Previous Verdict:<strong> @Model["OldVerdict"]</strong></div><div>New Verdict:<strong> @Model["NewVerdict"]</strong></div></p></body></html> VerdictChangeAnyToMalware <html><body><p><div>Log Event:<strong> Verdict Changed - Any to Malware</strong></div><p></p><div>Description:<strong> Hash Verdict has Changed to Malware</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div><div>Previous Verdict:<strong> @Model["OldVerdict"]</strong></div><div>New Verdict:<strong> @Model["NewVerdict"]</strong></div></p></body></html> VerdictChangeMalwareToAny <html><body><p><div>Log Event:<strong> Verdict Changed - Malware to Any</strong></div><p></p><div>Description:<strong> Hash Verdict has Changed from Malware</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div><div>Previous Verdict:<strong> @Model["OldVerdict"]</strong></div><div>New Verdict:<strong> @Model["NewVerdict"]</strong></div></p></body></html> VerdictChangeNoconnectionToAny <html><body><p><div>Log Event:<strong> Verdict Changed - No connection to Any</strong></div><p></p><div>Description:<strong> Hash Verdict has Changed from No connection</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div><div>Previous Verdict:<strong> @Model["OldVerdict"]</strong></div><div>New Verdict:<strong> @Model["NewVerdict"]</strong></div></p></body></html> 276 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Rapports et journalisation Journaux de transfert vers courriel VerdictChangeUnknownToAny <html><body><p><div>Log Event:<strong> Verdict Changed - Unknown to Any</strong></div><p></p><div>Description:<strong> Hash Verdict has Changed from Unknown</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div><div>Previous Verdict:<strong> @Model["OldVerdict"]</strong></div><div>New Verdict:<strong> @Model["NewVerdict"]</strong></div></p></body></html> © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 277 Journaux de transfert vers courriel 278 • Traps 3.3 Guide de l’administrateur Rapports et journalisation © Palo Alto Networks, Inc. Dépannage Ressources de dépannage pour Traps Outil de configuration de base de données Cytool Résoudre les problèmes de Traps Résoudre les problèmes de la console ESM © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 279 Ressources de dépannage pour Traps Dépannage Ressources de dépannage pour Traps Pour résoudre les problèmes liés à Traps et à Endpoint Security Manager (comprenant un serveur ESM, la console ESM et une base de données), servez-vous des ressources suivantes : Ressource Description Endpoint Security Manager Interface web, qui fournit les rapports et journaux. Les informations sont utiles pour la surveillance et le filtrage des journaux afin d’interpréter un comportement inhabituel sur votre réseau. Après l’analyse d’un évènement de sécurité, vous pouvez choisir de créer une règle personnalisée pour le point de terminaison ou le processus. Journal DebugWeb Indique les informations, avertissements, et erreurs liés à Endpoint Security Manager. Le journal DebugWeb est situé dans le dossier %ProgramData%\Cyvera\Logs du serveur ESM. Journal Server Indique les informations, avertissements et erreurs liés à la base de données Endpoint et au serveur ESM. Le journal Server est situé dans le dossier %ProgramData%\Cyvera\Logs du serveur ESM. Journal Service Indique les informations, avertissements, et erreurs liés au service Traps. Le journal Service est situé dans le dossier suivant sur le point de terminaison : • Windows Vista et versions supérieures : %ProgramData%\Cyvera\Logs • Windows XP: C:\Document and Settings\All Users\Application Data\Cyvera\Logs Journal Console Indique les informations, avertissements, et erreurs liés à la console Traps. Le journal Console est situé dans le dossier suivant sur le point de terminaison : • Windows Vista et versions supérieures : C:\Utilisateurs\<nomutilisateur>\AppData\Roaming\Cyvera • Windows XP: C:\Document and Settings\<nomutilisateur>\Application Data\Cyvera\Logs Outil de configuration de base de données (dbconfig.exe) Interface en ligne de commande qui fournit une alternative pour la gestion des paramètres de base du serveur en utilisant la console ESM. Vous pouvez accéder à l’outil de configuration de base de données en utilisant une invite de commandes MS-DOS Microsoft exécutée en tant qu’administrateur. Pour plus d’informations, consultez la section Outil de configuration de base de données. Outil de ligne de commande superviseur (cytool.exe) Vous permet d’énumérer les processus protégés, d’activer ou désactiver les fonctionnalités de protection et d’activer ou désactiver les actions de gestion de Traps à partir d’une interface en ligne de commande. Pour plus d’informations, consultez la section Cytool. 280 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Dépannage Outil de configuration de base de données Outil de configuration de base de données L’outil de configuration de base de données est une interface en ligne de commande qui fournit une alternative pour la gestion des paramètres de base du serveur en utilisant la console ESM. Vous pouvez accéder à l’outil de configuration de base de données en utilisant une invite de commandes MS-DOS Microsoft exécutée en tant qu’administrateur. L’outil de configuration de base de données est situé dans le dossier Server du serveur Endpoint Security Manager (ESM). Utilisez l’outil de configuration de base de données pour effectuer les fonctions suivantes : Accéder à l’outil de configuration de base de données Configuration de l’accès administrateur à en utilisant l’outil de configuration de la base de données Changer le mot de passe du Mode Ninja Définir les paramètres de communication en utilisant la console ESM Activer le transfert de journaux vers un serveur Syslog à l’aide de l’outil de configuration de base de données Accéder à l’outil de configuration de base de données Exécutez l’outil de configuration de base de données à partir du dossier Server sur un serveur ESM pour consulter la syntaxe et les exemples d’utilisation. Toutes les commandes exécutées à l’aide de l’outil de configuration de base de données sont sensibles à la casse. Accéder à l’outil de configuration de base de données Step 1 Step 2 Ouvrez une invite de commande en tant qu’administrateur : • Sélectionnez Démarrer > Tous les programmes > Accessoires. Effectuez un clic droit sur Invite de commandes, puis sélectionnez Exécuter en tant qu’administrateur. • Sélectionnez Démarrer. Dans la case Rechercher les programmes et fichiers, saisissez cmd. Ensuite, pour ouvrir l’invite de commande en tant qu’administrateur, appuyez sur CTRL+MAJ+ENTRÉE. Accédez au dossier qui contient l’outil de configuration de base de données : C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 281 Outil de configuration de base de données Dépannage Accéder à l’outil de configuration de base de données Step 3 Consulter l’utilisation et les options pour l’outil de configuration de base de données : C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig Usage : > DBConfig.exe importLicense [1] Ajouter une nouvelle licence à la base de données. 1) CyveraLicense.xml full path > DBConfig.exe [1] [2] [3] Écrire une configuration dans la base de données. 1) Configuration Type (Server, Reflector, UserManagement, Reporting) 2) Key Name 3) Value > DBConfig.exe [1] show Afficher les valeurs d’une configuration spécifique. 1) Configuration Type (Server, Reflector, UserManagement, Reporting) Exemples : > DBConfig.exe importLicense C:\Foldername\CyveraLicense.xml > DBConfig.exe server inventoryinterval 200 > DBConfig.exe server show 282 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Dépannage Cytool Cytool Cytool est une interface en ligne de commande qui est intégré dans Traps et vous permet d’interroger et de gérer les fonctions de base de Traps. Les modifications effectuées avec Cytool sont actives jusqu’à ce que Traps reçoive la communication de pulsation suivante de la part du serveur ESM. Vous pouvez accéder à Cytool en utilisant une invite de commandes MS-DOS Microsoft exécutée en tant qu’administrateur. Cytool est situé dans le dossier Traps sur le point de terminaison. Utilisez Cytool pour effectuer les fonctions suivantes : Accéder à Cytool Afficher les processus actuellement protégés par Traps Gérer les paramètres de protection sur le point de terminaison Gérer les pilotes et services Traps sur le point de terminaison Afficher et comparer les stratégies de sécurité sur un point de terminaison Accéder à Cytool Pour consulter la syntaxe et les exemples d’utilisation pour les commandes Cytool, utilisez l’option /? après toute commande. Accéder à Cytool Step 1 Ouvrez une invite de commande en tant qu’administrateur : • Sélectionnez Démarrer > Tous les programmes > Accessoires. Effectuez un clic droit sur Invite de commandes, puis sélectionnez Exécuter en tant qu’administrateur. • Sélectionnez Démarrer. Dans la case Rechercher les programmes et fichiers, saisissez cmd. Ensuite, pour ouvrir l’invite de commande en tant qu’administrateur, appuyez sur CTRL+MAJ+ENTRÉE. Step 2 Accédez au dossier qui contient Cytool : C:\Utilisateurs\Administrator>cd C:\Program Files\Palo Alto Networks\Traps Step 3 Consulter l’utilisation et les options pour Cytool : C:\Program Files\Palo Alto Networks\Traps>cytool /? Traps (R) supervisor tool 3.1 (c) Palo Alto Networks, Inc. All rights reserved Usage : CYTOOL [/?] [/a] [commande [options]] Options : /? Afficher ce message d’aide. /a Authentification en tant que superviseur. commande enum | protect | startup | runtime | policy Pour plus d’informations sur une commande spécifique exécuter CYTOOL commande /? © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 283 Cytool Dépannage Afficher les processus actuellement protégés par Traps Pour afficher les processus dans lesquels Traps est actuellement injecté, exécutez la commande enum au moyen de Cytool ou consultez l’onglet Protection de la console Traps (voir Afficher les processus actuellement protégés par Traps). Par défaut, la console Traps et Cytool affichent uniquement les processus protégés exécutés par l’utilisateur actuel. Pour afficher les processus protégés exécutés par tous les utilisateurs, spécifiez l’option /a. La consultation des processus protégés exécutés par tous les utilisateurs exige la saisie du mot de passe superviseur (désinstallation). Afficher les processus actuellement protégés par Traps Step 1 Ouvrez une invite de commandes en tant qu’administrateur et accédez au dossier Traps (voir Accéder à Cytool). Step 2 Consultez les processus protégés lancés par l’utilisateur actuel en saisissant la commande cytool enum. Pour consulter les processus protégés pour tous les utilisateurs sur le point de terminaison, spécifiez l’option /a, et saisissez le mot de passe superviseur lorsqu’il est demandé. C:\Program Files\Palo Alto Networks\Traps>cytool /a enum Saisissez le mot de passe du superviseur : Process ID Agent Version 1000 3.1.1546 1468 3.1.1546 452 3.1.1546 [...] Gérer les paramètres de protection sur le point de terminaison Par défaut, Traps protège les processus essentiels, les clés de registre, les fichiers Traps et les services Traps en fonction des règles de protection de service définies dans la stratégie de sécurité (pour plus d’informations sur la configuration des règles de protection de service dans Endpoint Security Manager, voir Gérer la protection de service). Vous pouvez utiliser Cytool pour substituer les règles et gérer les couches suivantes de protection que Traps applique sur le point de terminaison : Activer ou désactiver la protection de processus essentiel sur le point de terminaison Activer ou désactiver les paramètres de protection du registre sur le point de terminaison Activer ou désactiver les paramètres de protection des fichiers Traps sur le point de terminaison Activer ou désactiver les paramètres de protection de service sur le point de terminaison Utilisez la stratégie de sécurité pour gérer la protection de service 284 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Dépannage Cytool Activer ou désactiver la protection de processus essentiel sur le point de terminaison Par défaut, Traps protège les processus essentiels incluant Cyserver.exe et CyveraService.exe en fonction des règles de protection de service définies dans la stratégie de sécurité locale. Si nécessaire, vous pouvez substituer le comportement de la protection de processus essentiel en utilisant la commande cytool protect [enable|disable] process. La modification des paramètres de protection nécessite la saisie du mot de passe superviseur (désinstallation). Activer ou désactiver les paramètres de protection de processus essentiel sur le point de terminaison Step 1 Ouvrez une invite de commandes en tant qu’administrateur et accédez au dossier Traps (voir Accéder à Cytool). Step 2 Pour gérer les paramètres de protection des processus essentiels sur le point de terminaison, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] process L’exemple suivant affiche la sortie pour l’activation de la protection des processus essentiels. La colonne Mode affiche l’état de protection revu (activé (Enabled) ou désactivé (Disabled) ou stratégie (Policy)) lors de l’utilisation des paramètres dans la stratégie de sécurité locale pour protéger les processus essentiels. C:\Program Files\Palo Alto Networks\Traps>cytool protect enable process Saisissez le mot de passe du superviseur : Protection Mode State Process Enabled Enabled Registry Policy Disabled File Policy Disabled Service Policy Disabled Pour utiliser les paramètres de règle de stratégie par défaut afin de protéger les processus essentiels sur le point de terminaison, voir Utilisez la stratégie de sécurité pour gérer la protection de service. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 285 Cytool Dépannage Activer ou désactiver les paramètres de protection du registre sur le point de terminaison Pour empêcher les pirates d’altérer les clés de registre de Traps, utilisez la commande cytool protect enable registry pour limiter l’accès aux clés de registre stockés dans HKLM\SYSTEM\Cyvera. Pour désactiver la protection des clés de registre, utilisez la commande cytool protect disable registry. Les modifications des paramètres de protection du registre exigent la saisie du mot de passe superviseur (désinstallation) lorsqu’il est demandé. Activer ou désactiver les paramètres de protection du registre sur le point de terminaison Step 1 Ouvrez une invite de commandes en tant qu’administrateur et accédez au dossier Traps (voir Accéder à Cytool). Step 2 Pour gérer les paramètres de protection des clés de registre sur le point de terminaison, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] registry L’exemple suivant affiche la sortie pour l’activation de la protection des clés de registre. La colonne Mode affiche l’état de protection revu (activé (Enabled) ou désactivé (Disabled) ou stratégie (Policy)) lors de l’utilisation des paramètres dans la stratégie de sécurité locale pour protéger les clés de registre. C:\Program Files\Palo Alto Networks\Traps>cytool protect enable registry Saisissez le mot de passe du superviseur : Protection Mode State Process Policy Disabled Registry Enabled Enabled File Policy Disabled Service Policy Disabled Pour utiliser les paramètres dans la stratégie de sécurité locale afin de protéger les clés de registre sur le point de terminaison, voir Utilisez la stratégie de sécurité pour gérer la protection de service. 286 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Dépannage Cytool Activer ou désactiver les paramètres de protection des fichiers Traps sur le point de terminaison Pour empêcher les pirates d’altérer les fichiers Traps, utilisez la commande cytool protect enable file pour limiter l’accès aux fichiers système stockés dans %Program Files%\Palo Alto Networks\Traps et %ProgramData%\Cyvera (ou C:\ Documents and Settings\All Users\Application Data\Cyvera sur Windows XP). Pour désactiver la protection des fichiers Traps, utilisez la commande cytool protect disable file. Les modifications des paramètres de protection des fichiers Traps exigent la saisie du mot de passe superviseur (désinstallation) lorsqu’il est demandé. Activer ou désactiver les paramètres de protection des fichiers Traps sur le point de terminaison Step 1 Ouvrez une invite de commandes en tant qu’administrateur et accédez au dossier Traps (voir Accéder à Cytool). Step 2 Pour gérer les paramètres de protection des fichiers Traps sur le point de terminaison, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] file L’exemple suivant affiche la sortie pour l’activation de la protection des fichiers. La colonne Mode affiche l’état de protection revu (activé (Enabled) ou désactivé (Disabled) ou stratégie (Policy)) lors de l’utilisation des paramètres dans la stratégie de sécurité locale pour protéger les fichiers Traps. C:\Program Files\Palo Alto Networks\Traps>cytool protect enable file Saisissez le mot de passe du superviseur : Protection Mode State Process Policy Disabled Registry Policy Disabled File Enabled Enabled Service Policy Disabled Pour utiliser les paramètres de règle de stratégie par défaut afin de protéger les fichiers Traps sur le point de terminaison, voir Utilisez la stratégie de sécurité pour gérer la protection de service. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 287 Cytool Dépannage Activer ou désactiver les paramètres de protection de service sur le point de terminaison Pour substituer la stratégie de sécurité de Traps, les pirates peuvent tenter de désactiver ou de modifier l’état des services Traps. Utilisez la commande cytool protect enable service pour protéger les services Traps. Pour désactiver la protection des services Traps, utilisez la commande cytool protect disable service. Les modifications des paramètres de protection des services exigent la saisie du mot de passe superviseur (désinstallation) lorsqu’il est demandé. Activer ou désactiver les paramètres de protection de service sur le point de terminaison Step 1 Ouvrez une invite de commandes en tant qu’administrateur et accédez au dossier Traps (voir Accéder à Cytool). Step 2 Pour gérer les paramètres de protection des services Traps sur le point de terminaison, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] service L’exemple suivant affiche la sortie pour l’activation de la protection des services. La colonne Mode affiche l’état de protection revu (activé (Enabled) ou désactivé (Disabled) ou stratégie (Policy)) lorsque Traps utilise les paramètres dans la stratégie de sécurité locale pour protéger les services Traps. C:\Program Files\Palo Alto Networks\Traps>cytool protect enable service Saisissez le mot de passe du superviseur : Protection Mode State Process Policy Disabled Registry Policy Disabled File Policy Disabled Service Enabled Enabled Pour utiliser les paramètres de règle de stratégie par défaut afin de protéger les services Traps sur le point de terminaison, voir Utilisez la stratégie de sécurité pour gérer la protection de service. 288 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Dépannage Cytool Utilisez la stratégie de sécurité pour gérer la protection de service Après la modification des paramètres de protection en utilisant Cytool, vous pouvez rétablir la stratégie de sécurité par défaut à tout moment en utilisant la commande cytool protect policy feature. Utilisez la stratégie de sécurité pour gérer la protection de service Step 1 Ouvrez une invite de commandes en tant qu’administrateur et accédez au dossier Traps (voir Accéder à Cytool). Step 2 Pour utiliser les règles dans la stratégie de sécurité pour gérer la protection de service, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool protect policy feature où feature peut être process, registry, file ou service. L’exemple suivant affiche la sortie pour la gestion de la protection des fichiers Traps en utilisant la stratégie de sécurité locale. La colonne Mode affiche l’état de protection revu Stratégie (Policy). C:\Program Files\Palo Alto Networks\Traps>cytool protect policy file Saisissez le mot de passe du superviseur : Protection Mode State Process Enabled Enabled Registry Enabled Enabled File Policy Disabled Service Enabled Enabled © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 289 Cytool Dépannage Gérer les pilotes et services Traps sur le point de terminaison Lorsqu’un point de terminaison démarre, Traps démarre les pilotes (Cyverak, Cyvrmtgn et Cyvrfsfd) et les services (Cyvera et CyveraService) par défaut. Vous pouvez utiliser Cytool pour substituer le comportement par défaut et gérer le démarrage ou l’état actuel des pilotes et services de manière globale ou individuelle. Les modifications du comportement de démarrage par défaut prennent effet lorsque le point de terminaison redémarre. Les modifications du comportement d’exécution prennent effet immédiatement. Afficher les composants de démarrage de Traps sur le point de terminaison Activer ou désactiver le démarrage des composants Traps sur le point de terminaison Afficher les composants d’exécution de Traps sur le point de terminaison Démarrer ou arrêter les composants d’exécution de Traps sur le point de terminaison Afficher les composants de démarrage de Traps sur le point de terminaison Utilisez la commande cytool startup query pour afficher l’état des composants de démarrage sur le point de terminaison. Lorsqu’un service ou un pilote est désactivé, Cytool indique que le composant est Désactivé (Disabled). Lorsqu’un pilote est activé, Cytool indique que le composant est System. Lorsqu’un service est activé, Cytool affiche le composant Startup comme Automatic. Afficher les composants de démarrage de Traps sur le point de terminaison Step 1 Ouvrez une invite de commandes en tant qu’administrateur et accédez au dossier Traps (voir Accéder à Cytool). Step 2 Pour afficher le comportement de démarrage actuel des pilotes et services de Traps, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool startup query Service Startup cyverak System cyvrmtgn System cyvrfsfd System cyserver Automatic CyveraService Automatic 290 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Dépannage Cytool Activer ou désactiver le démarrage des composants Traps sur le point de terminaison Utilisez la commande cytool startup [enable|disable] suivie en option du nom du composant pour substituer le comportement par défaut pour le démarrage des pilotes et services de Traps sur un point de terminaison. Les modifications du comportement de démarrage exigent la saisie du mot de passe superviseur lorsqu’il est demandé. Les modifications des pilotes et services de Traps ne prennent effet que lorsque le système redémarre. Pour appliquer immédiatement les modifications aux pilotes et services de Traps, voir Démarrer ou arrêter les composants d’exécution de Traps sur le point de terminaison. Activer ou désactiver le démarrage des composants Traps sur le point de terminaison Step 1 Ouvrez une invite de commandes en tant qu’administrateur et accédez au dossier Traps (voir Accéder à Cytool). Step 2 Pour modifier le comportement de démarrage d’un pilote ou service spécifique, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool startup [enable|disable] component où component est soit un pilote : cyverak, cyvrmtgn, cyvrfsfd, soit un service : cyserver, CyveraService. Autrement, vous pouvez omettre component de la commande afin de modifier le comportement de démarrage pour tous les pilotes et services. L’exemple suivant affiche la sortie pour la désactivation du comportement de démarrage du pilote cyvrmtgn. La colonne Startup affiche l’état de protection revu Désactivé (Disabled). C:\Program Files\Palo Alto Networks\Traps>cytool startup disable cyvrmtgn Saisissez le mot de passe du superviseur : Service Startup cyverak System cyvrmtgn Disabled cyvrfsfd System cyserver Automatic CyveraService Automatic © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 291 Cytool Dépannage Afficher les composants d’exécution de Traps sur le point de terminaison Utilisez la commande cytool runtime query pour afficher l’état des composants de Traps sur le point de terminaison. Lorsqu’un service ou un pilote est actif, Cytool indique que l’état est En cours d’exécution (Running). Lorsqu’un service ou un pilote n’est pas exécuté, Cytool indique que l’état est Arrêté (Stopped). Afficher les composants de démarrage de Traps sur le point de terminaison Step 1 Ouvrez une invite de commandes en tant qu’administrateur et accédez au dossier Traps (voir Accéder à Cytool). Step 2 Pour afficher l’état d’exécution actuel des pilotes et services de Traps, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool runtime query Service State cyverak Running cyvrmtgn Running cyvrfsfd Running cyserver Running CyveraService Stopped 292 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Dépannage Cytool Démarrer ou arrêter les composants d’exécution de Traps sur le point de terminaison Dans des situations où l’agent Traps n’arrive pas à accéder au serveur ESM ou que vous n’avez pas la permission de modifier le comportement de Traps à partir de la console ESM mais où vous devez résoudre un problème urgent lié aux pilotes et services de Traps, vous pouvez utiliser la commande cytool startup [enable|disable] pour substituer le comportement d’exécution par défaut. La commande est utile lorsque vous devez prendre des mesures immédiates pour démarrer ou arrêter tous les composants de Traps ou bien démarrer ou arrêter un pilote ou service spécifique de Traps. Les modifications du comportement d’exécution des pilotes et services de Traps sont réinitialisées lorsque le système redémarre. Pour effectuer des changements au comportement de démarrage des pilotes et services de Traps, voir Activer ou désactiver le démarrage des composants Traps sur le point de terminaison. Les modifications du comportement d’exécution exigent la saisie du mot de passe superviseur (désinstallation) lorsqu’il est demandé. Démarrer ou arrêter les composants d’exécution de Traps sur le point de terminaison Step 1 Ouvrez une invite de commandes en tant qu’administrateur et accédez au dossier Traps (voir Accéder à Cytool). Step 2 Pour démarrer ou arrêter un pilote ou service, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool runtime start component où component est soit un pilote : cyverak, cyvrmtgn, cyvrfsfd, soit un service : cyserver, CyveraService. Autrement, vous pouvez omettre component de la commande afin de modifier le comportement d’exécution pour tous les pilotes et services. L’exemple suivant affiche la sortie pour l’arrêt du service cyserver. La colonne Startup affiche l’état du composant revu (en cours d’exécution (Running) ou arrêté (Stopped)). C:\Program Files\Palo Alto Networks\Traps>cytool runtime stop cyserver Saisissez le mot de passe du superviseur : Service Startup cyverak Running cyvrmtgn Running cyvrfsfd Running cyserver Stopped CyveraService Running © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 293 Cytool Dépannage Afficher et comparer les stratégies de sécurité sur un point de terminaison En utilisant Cytool, vous pouvez afficher les détails des stratégies de sécurité sur le point de terminaison. Afficher les détails sur une stratégie active Comparer les stratégies Afficher les détails sur une stratégie active Utilisez la commande cytool policy query process pour afficher les détails sur les stratégies associées à un processus spécifique. La spécification du nom de processus affiche des détails sur la stratégie prévue, tandis que la spécification de l’identifiant du processus (PID) affiche des détails sur la stratégie active qui est actuellement appliquée au processus. La sortie est utile lorsque vous voulez vérifier qu’une stratégie est implémentée de la manière dont vous souhaitiez la configurer. Pour afficher les détails de la stratégie, vous devez saisir le mot de passe superviseur (désinstallation) lorsqu’il est demandé. Afficher les détails sur une stratégie active Step 1 Ouvrez une invite de commandes en tant qu’administrateur et accédez au dossier Traps (voir Accéder à Cytool). Step 2 Pour afficher la stratégie active pour un processus, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool policy query process où process est soit le nom du processus, soit le PID. Par exemple, pour afficher les détails d’une stratégie pour le bloc-notes, saisissez cytool policy query notepad. L’exemple suivant affiche les détails de stratégie pour un processus dont le PID est 1234. C:\Program Files\Palo Alto Networks\Traps>cytool policy query 1234 Saisissez le mot de passe du superviseur : Générique Enable 0x00000001 SuspendOnce 0x00000001 AdvancedHooks 0x00000001 [...] Comparer les stratégies À intervalles réguliers, Traps demande au serveur ESM une stratégie de sécurité à jour et la mémorise dans le registre du système. Lorsqu’un utilisateur démarre un processus, Traps détermine s’il faut ou non protéger le processus en fonction des paramètres de la stratégie de sécurité. Dans les scénarios de dépannage où Traps ne se comporte pas comme prévu, utilisez la commande cytool pour consulter les différences entre les stratégies qui sont appliquées aux processus exécutés sur le point de terminaison. En utilisant la commande, vous pouvez comparer la stratégie d’un processus avec la stratégie de sécurité par défaut ou comparer la stratégie d’un processus avec la stratégie policy compare 294 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Dépannage Cytool d’un autre processus. Dans les ceux cas, vous pouvez spécifier soit le nom du processus, soit l’identifiant du processus (PID). La spécification du nom du processus simule l’application de la stratégie au processus. La spécification du PID demande la stratégie effective pour le processus exécuté. Cytool affiche les paramètres de stratégie côte à côte et indique en rouge toutes les différences entre les stratégies. Pour comparer les stratégies, vous devez saisir le mot de passe superviseur lorsqu’il est demandé. Comparer les stratégies Step 1 Ouvrez une invite de commandes en tant qu’administrateur et accédez au dossier Traps (voir Accéder à Cytool). Step 2 Comparez les détails des deux stratégies : • Pour comparer la stratégie avec la stratégie par défaut, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool policy compare process default où process est soit le nom du processus, soit l’identifiant du processus (PID). L’exemple suivant affiche la sortie pour la comparaison d’une stratégie qui s’applique au bloc-notes avec la stratégie par défaut. Les différences entre les deux stratégies sont affichées en rouge. C:\Program Files\Palo Alto Networks\Traps>cytool policy compare notepad default Saisissez le mot de passe du superviseur : Générique Enable SuspendOnce AdvancedHooks 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000000 0x000000011 [...] DllSec Enable Optimize [...] • Pour comparer les stratégies pour deux processus, utilisez la commande suivante : C:\Program Files\Palo Alto Networks\Traps>cytool policy compare process1 process2 où process1 and process2 sont soit le nom du processus, soit l’identifiant du processus (PID). Par exemple, pour comparer la stratégie appliquée à iexplorer avec la stratégie appliquée à chrome, saisissez cytool policy compare iexplorer chrome. Vous pouvez aussi comparer les stratégies pour deux PID ou comparer la stratégie d’un processus à la stratégie d’un PID. L’exemple suivant affiche la sortie pour la comparaison des stratégies appliquées à deux PID, 1592 et 1000. Les différences entre les deux stratégies sont affichées en rouge. C:\Program Files\Palo Alto Networks\Traps>cytool policy compare 1592 1000 Saisissez le mot de passe du superviseur : Générique Enable SuspendOnce AdvancedHooks 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000000 0x000000011 [...] DllSec Enable Optimize [...] © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 295 Résoudre les problèmes de Traps Dépannage Résoudre les problèmes de Traps Ce sujet traite des problèmes suivants liés à Traps : Pourquoi ne puis-je pas installer Traps ? Pourquoi ne puis-je pas mettre à niveau ou désinstaller Traps ? Pourquoi Traps ne parvient pas à se connecter au serveur ESM ? Comment puis-je résoudre une erreur de certification du serveur Traps ? Pourquoi ne puis-je pas installer Traps ? Symptôme L’installation de Traps indique l’erreur suivante : Échec du démarrage du service « Traps » (CyveraService). Vérifiez que vous disposez des privilèges suffisants. Causes possibles Vous ne disposez pas des privilèges d’administration pour démarrer des services sur le point de terminaison. Solution Après chaque étape de la procédure suivante, vérifiez si vous pouvez installer Traps. Si Traps indique encore une erreur, effectuez l’étape qui suit jusqu’à la résolution du problème. SOLUTION : Pourquoi ne puis-je pas installer Traps ? Step 1 Vérifiez que vous disposez des privilèges d’administration sur le point de terminaison : • Windows 7 : Cliquez sur Démarrer > Panneau de configuration > Comptes d’utilisateurs > Gérer les comptes. Sur l’onglet utilisateurs, vérifiez que votre nom d’utilisateur se trouve dans le groupe Administrateurs. • Windows 8 : Cliquez sur Démarrer > Panneau de configuration > Comptes d’utilisateurs > Modifier les comptes. Vérifiez que votre compte apparaît en tant qu’administrateur. Ouvrez une session sur le point de terminaison en tant qu’administrateur valide. 296 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Dépannage Résoudre les problèmes de Traps SOLUTION : Pourquoi ne puis-je pas installer Traps ? (Continued) Step 2 Le fichier journal du service contient des informations, avertissements, et erreurs liés au service Traps. Pour un dépannage plus approfondi du problème lié au service Traps, ouvrez le fichier C:\ProgramData\Cyvera\Logs\Service.log file dans un éditeur de texte et examinez toutes les erreurs dans le fichier journal qui se sont produites au moment de l’évènement. Par défaut, le dossier ProgramData peut être masqué. Pour afficher le dossier dans l’explorateur Windows, sélectionnez Organiser > Options des dossiers et de recherche > Affichage > Afficher les fichiers, dossiers et lecteurs cachés. Step 3 Si le problème persiste, contactez le support de Palo Alto Networks. Pourquoi ne puis-je pas mettre à niveau ou désinstaller Traps ? Symptôme L’installation de Traps indique l’erreur suivante : Échec du démarrage du service « Traps » (CyveraService). Vérifiez que vous disposez des privilèges suffisants. Causes possibles Dans les versions antérieures de Traps, la fonctionnalité de protection de service vous empêche de modifier ou d’altérer les fichiers système Traps. Solution SOLUTION : Pourquoi ne puis-je pas mettre à niveau Traps ? Step 1 Créez une règle d’action pour désactiver la protection de service (voir Gérer la protection de service). Step 2 Vérifiez que vous pouvez installer ou désinstaller Traps. Step 3 Supprimez la règle d’action (voir Enregistrer les règles). © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 297 Résoudre les problèmes de Traps Dépannage SOLUTION : Pourquoi ne puis-je pas mettre à niveau Traps ? (Continued) Step 4 Essayez de mettre à niveau Traps. Pour un dépannage approfondi d’un problème lié au service Traps, consultez les journaux pour voir si Traps indique une erreur spécifique : • Depuis la console Traps, sélectionnez Open Log File (Ouvrir le fichier journal). • Depuis la console Traps, sélectionnez Send Support File (envoyer le fichier de support) pour envoyer le journal au serveur ESM. • Créez une règle d’action pour récupérer les journaux sur le point de terminaison (voir Gérer les données collectées par Traps). Step 5 Si le problème persiste, contactez le support de Palo Alto Networks. Pourquoi Traps ne parvient pas à se connecter au serveur ESM ? Symptôme Traps ne parvient pas à communiquer avec le serveur ESM pour récupérer la dernière stratégie de sécurité et indique un état No connection to server! (Aucune connexion au serveur!). Causes possibles Les spécifications du serveur ou du point de terminaison ne possèdent pas la configuration et les critères requis pour l’installation. Le service Traps est en panne sur le point de terminaison. Le service du noyau Endpoint Security Manager est en panne sur le serveur ESM. Le point de terminaison n’est pas connecté au réseau. Le trafic entrant n’est pas autorisé sur le port pour le serveur ESM (la valeur par défaut est 2125). Le pare-feu Windows est activé sur le serveur ESM et empêche le serveur de communiquer avec le client. Le certificat sur le point de terminaison ne correspond pas au certificat sur le serveur ESM (voir Comment puis-je résoudre une erreur de certification du serveur Traps ?). Solution Après chaque étape de la procédure suivante, vérifiez si Traps peut se connecter au serveur ESM en sélectionnant Check-in now (Vérifier maintenant). Si Traps ne parvient toujours pas à se connecter au serveur, assez à l’étape qui suit jusqu’à la résolution du problème. SOLUTION : Pourquoi Traps ne parvient pas à se connecter au serveur ESM ? Step 1 Vérifiez que le serveur et le point de terminaison possèdent la configuration requise. 298 • Traps 3.3 Guide de l’administrateur Reportez-vous à la section Configuration requise. © Palo Alto Networks, Inc. Dépannage Résoudre les problèmes de Traps SOLUTION : Pourquoi Traps ne parvient pas à se connecter au serveur ESM ? (Continued) Step 2 Step 3 Vérifiez que le service Traps est exécuté 1. sur le point de terminaison. Ouvrez le gestionnaire de services : • Windows XP : Dans le menu Démarrer, sélectionnez Panneau de configuration > Outils d’administration > Services. • Windows Vista et versions supérieures : Dans le menu Démarrer, sélectionnez Panneau de configuration > Système et sécurité > Outils d’administration > Services. 2. Repérez le service Traps (appelé CyveraService dans les anciennes versions de Traps) et vérifiez que l’état du service est Démarré. 3. Si l’état du service est Arrêté, effectuez un double clic sur le service, puis sélectionnez Démarrer. Cliquez sur Fermer. Vérifiez que le service du noyau 1. Endpoint Security Manager est en cours d’exécution sur le serveur ESM. Ouvrez le gestionnaire de services : • Windows Server 2008 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Outils d’administration > Services. • Windows Server 2012 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Système et sécurité > Outils d’administration > Services. 2. Repérez le service du noyau Endpoint Security Manager (appelé CyveraServer dans les anciennes versions de Endpoint Security Manager) et vérifiez que l’état du service est Démarré (Windows Server 2008) ou En cours d’exécution (Windows Server 2012). 3. Si l’état du service est Arrêté ou En pause, effectuez un double clic sur le service, puis sélectionnez Démarrer. Cliquez sur Fermer. Step 4 Vérifiez que vous pouvez accéder au serveur ESM à partir du point de terminaison. Depuis le point de terminaison, ouvrez une invite de commandes et effectuez un ping sur l’adresse IP ou le nom d’hôte du serveur ESM. Si le serveur ESM est inaccessible, examinez les paramètres de connectivité réseau entre les dispositifs. Step 5 Vérifiez que vous pouvez accéder au point de terminaison à partir du serveur ESM. Depuis le serveur ESM, ouvrez une invite de commandes et effectuez un ping sur l’adresse IP ou le nom d’hôte du point de terminaison. Si le point de terminaison est inaccessible, examinez les paramètres de connectivité réseau entre les dispositifs. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 299 Résoudre les problèmes de Traps Dépannage SOLUTION : Pourquoi Traps ne parvient pas à se connecter au serveur ESM ? (Continued) Step 6 Vérifiez que le port pour le serveur ESM 1. est ouvert sur le pare-feu Windows (la valeur par défaut est 2125). Pour contrôler l’accès au port à partir du point de terminaison : a. Ouvrez une invite de commandes en tant qu’administrateur. b. Saisissez la commande suivante sur le port telnet 2125 du serveur ESM : C:\>telnet esmservername 2125 où esmservername est le nom d’hôte ou l’adresse IP du serveur ESM. Step 7 Désactivez temporairement le pare-feu Windows. 2. Si vous ne parvenez pas à utiliser telnet sur le port 2125, créez une règle entrante pour ouvrir ce port : a. Ouvrez les paramètres avancés du pare-feu Windows : – Windows Server 2008 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Pare-feu Windows > Paramètres avancés. – Windows Server 2012 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Système et sécurité > Pare-feu Windows > Paramètres avancés. b. Sélectionnez Règles de trafic entrant. c. Créez une nouvelle règle pour autoriser Traps à communiquer avec Endpoint Security Manager sur le port 2125 en sélectionnant l’assistant Nouvelle règle et en suivant les instructions pas à pas. 3. Vérifiez que vous pouvez à présent utiliser telnet sur le port 2125 du serveur ESM à partir du point de terminaison. 1. Ouvrez Modifier les paramètres du Centre de maintenance : • Windows Server 2008 : Dans le menu Démarrer, sélectionnez Panneau de configuration. Effectuez un double clic sur Centre de maintenance et sélectionnez Modifier les paramètres du Centre de maintenance. • Windows Server 2012 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Système et sécurité. Effectuez un double clic sur Centre de maintenance et sélectionnez Modifier les paramètres du Centre de maintenance. 2. Décochez l’option Pare-feu réseau. 3. Cliquez sur OK. Step 8 Vérifiez que la connectivité est rétablie entre Traps et le serveur ESM. Depuis la console Traps, cliquez sur Check-in now (Vérifiez maintenant). Si la connectivité est établie, l’état de connexion indiqué est Successful (Réussi). Step 9 Consultez les journaux pour voir si Traps indique une erreur spécifique : • Depuis la console Traps, sélectionnez Open Log File (Ouvrir le fichier journal). • Depuis la console Traps, sélectionnez Send Support File (Envoyer le fichier de support) pour envoyer le journal au serveur ESM. • Créez une règle d’action pour récupérer les journaux sur le point de terminaison (voir Gérer les données collectées par Traps). Step 10 Si le problème persiste, contactez l’assistance Palo Alto Networks. 300 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Dépannage Résoudre les problèmes de Traps Comment puis-je résoudre une erreur de certification du serveur Traps ? Symptôme L’erreur suivant apparaît dans le services.log sur le point de terminaison. « Une erreur s’est produire durant la requête HTTP à https://<hostname>:2125/CyveraServer/. Cela pourrait être dû au fait que le certificat du serveur n’est pas configuré correctement avec HTTP.SYS dans le cas HTTPS. Elle pourrait être aussi causée par une disparité dans la liaison de sécurité entre le client et le serveur ». Causes possibles Lors de l’installation du logiciel du serveur ESM, les paramètres de configuration de certificat suivants sont disponibles : Aucun certificat (No SSL) et Certificat externe (SSL). Pour installer Traps, vous devez sélectionner SSL si vous avez sélectionné Certificat externe durant l’installation du logiciel serveur ESM ou No SSL si vous avez sélectionné Aucun certificat. La disparité dans les paramètres provoque l’erreur signalée au service.log. Solution SOLUTION : Comment puis-je résoudre une erreur de certification du serveur Traps ? Step 1 Réinstallez le logiciel Traps. Vérifiez les paramètres SSL pour le serveur ESM puis réinstallez Traps sur le point de terminaison en prenant soin de sélectionner le paramètre SSL approprié durant l’installation (voir Installer Traps sur le point de terminaison). Step 2 Vérifiez que l’erreur n’apparaît pas dans le journal. Depuis la console Traps, sélectionnez Open Log File, ou ouvrez services.log sur le point de terminaison et examinez toutes les erreurs récentes. Si l’erreur de certificat du serveur persiste, contactez l’assistance Palo Alto Networks. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 301 Résoudre les problèmes de la console ESM Dépannage Résoudre les problèmes de la console ESM Ce sujet traite des problèmes suivants liés à la console Endpoint Security Manager (ESM) : Pourquoi m’est-il impossible d’ouvrir une session sur la console ESM ? Pourquoi est-que j’obtiens une erreur du serveur au lancement de la console ESM ? Pourquoi tous les points de terminaison apparaissent déconnectés dans la console ESM ? Pourquoi m’est-il impossible d’ouvrir une session sur la console ESM ? Symptôme La console Endpoint Security Manager (ESM) affiche un message d’erreur indiquant que le nom d’utilisateur ou le mot de passe sont invalides. Causes possibles Le nom d’utilisateur ou le mot de passe n’ont pas été saisis correctement. L’utilisateur spécifié durant l’installation initiale ne dispose pas de privilèges de propriétaire de base de données. L’utilisateur n’a pas été ajoutés en tant qu’administrateur. L’utilisateur ayant installé le serveur n’était pas un administrateur local sur le serveur. Solution SOLUTION : Pourquoi m’est-il impossible d’ouvrir une session sur la console ESM ? Step 1 Vérifiez que vous avez saisi le nom d’utilisateur et le mot de passe corrects. Step 2 Vérifiez que l’utilisateur possède des privilèges de propriétaire de base de données (voir Configurer la base de données du serveur MS-SQL). 302 • Traps 3.3 Guide de l’administrateur © Palo Alto Networks, Inc. Dépannage Résoudre les problèmes de la console ESM SOLUTION : Pourquoi m’est-il impossible d’ouvrir une session sur la console ESM ? Step 3 Ouvrez une session en tant qu’administrateur et vérifiez que le mode d’authentification est correct et que le compte utilisateur apparaît sur la page Gestion utilisateur. Pour ajouter un nouvel utilisateur administrateur, voir Configuration d’un mode d’authentification :. En alternative, vous pouvez ajouter l’administrateur en utilisant l’outil de configuration de base de données (voir Configuration de l’accès administrateur à en utilisant l’outil de configuration de la base de données). Step 4 Si vous ne pouvez pas ouvrir une session en tant qu’administrateur, réinstallez Endpoint Security Manager en tant qu’administrateur local. Step 5 Redémarrez IIS : Cliquez sur Démarrer > Exécuter, saisissez IISReset, puis cliquez sur OK. Step 6 Vérifiez que vous pouvez ouvrir une session sur la console ESM en utilisant le compte. Si le problème persiste, contactez le support de Palo Alto Networks. Pourquoi est-que j’obtiens une erreur du serveur au lancement de la console ESM ? Symptôme Lors de l’ouverture de la console ESM, vous recevez une erreur dans le navigateur indiquant une Erreur du serveur dans l’application /CyveraManagement ou /EndpointSecurityManager. Causes possibles Le serveur ne possède pas la configuration requis pour .NET Framework 4.0 avec le correctif KB2468871. Solution Installez .NET Framework 4.0 et le correctif KB2468871. © Palo Alto Networks, Inc. Traps 3.3 Guide de l’administrateur • 303 Résoudre les problèmes de la console ESM Dépannage Pourquoi tous les points de terminaison apparaissent déconnectés dans la console ESM ? Symptôme La page Health (Santé) de la console ESM signale que tous les points de terminaison sont déconnectés même si le point de terminaison peut accéder au serveur ESM. Causes possibles Le serveur ESM ne possède pas la configuration requise. Le service du noyau Endpoint Security Manager est arrêté et doit être redémarré. Cela se produit si vous attendez plus d’une heure avant d’installer la clé de licence après l’installation initiale du logiciel de la console ESM. Le trafic entrant n’est pas autorisé sur le port associé au serveur ESM (la valeur par défaut est 2125). Solution Après chaque étape de la procédure suivante, vérifiez si Traps peut se connecter au serveur ESM en sélectionnant Check-in now (Vérifier maintenant). Si Traps ne parvient toujours pas à se connecter au serveur, assez à l’étape qui suit jusqu’à la résolution du problème. SOLUTION : Pourquoi tous les points de terminaison apparaissent déconnectés dans la console ESM ? Step 1 Vérifiez que le serveur possède la configuration requise. Step 2 Vérifiez que le service Traps est exécuté 1. sur le point de terminaison. 304 • Traps 3.3 Guide de l’administrateur Reportez-vous à la section Configuration requise pour installer le serveur ESM. Ouvrez le gestionnaire de services : • Windows XP : Dans le menu Démarrer, sélectionnez Panneau de configuration > Outils d’administration > Services. • Windows Vista et versions supérieures : Dans le menu Démarrer, sélectionnez Panneau de configuration > Système et sécurité > Outils d’administration > Services. 2. Repérez le service Traps (appelé CyveraService dans les anciennes versions de Traps) et vérifiez que l’état du service est Démarré. 3. Si l’état du service est Arrêté, effectuez un double clic sur le service, puis sélectionnez Démarrer. Cliquez sur Fermer. © Palo Alto Networks, Inc. Dépannage Résoudre les problèmes de la console ESM SOLUTION : Pourquoi tous les points de terminaison apparaissent déconnectés dans la console ESM ? (Continued) Step 3 Step 4 Vérifiez que le service du noyau 1. Endpoint Security Manager est en cours d’exécution sur le serveur ESM. Ouvrez le gestionnaire de services : • Windows Server 2008 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Outils d’administration > Services. • Windows Server 2012 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Système et sécurité > Outils d’administration > Services. 2. Repérez le service du noyau Endpoint Security Manager (appelé CyveraServer dans les anciennes versions de Endpoint Security Manager) et vérifiez que l’état du service est Démarré (Windows Server 2008) ou En cours d’exécution (Windows Server 2012). 3. Si l’état du service est Arrêté ou En pause, effectuez un double clic sur le service, puis sélectionnez Démarrer. Cliquez sur Fermer. Vérifiez que le port pour le serveur ESM 1. est ouvert sur le pare-feu Windows (la valeur par défaut est 2125). Pour contrôler l’accès au port à partir du point de terminaison : a. Ouvrez une invite de commandes en tant qu’administrateur. b. Saisissez la commande suivante sur le port telnet 2125 du serveur ESM : C:\>telnet esmservername 2125 où esmservername est le nom d’hôte ou l’adresse IP du serveur ESM. © Palo Alto Networks, Inc. 2. Si vous ne parvenez pas à utiliser telnet sur le port 2125, créez une règle entrante pour ouvrir ce port : a. Ouvrez les paramètres avancés du pare-feu Windows : – Windows Server 2008 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Pare-feu Windows > Paramètres avancés. – Windows Server 2012 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Système et sécurité > Pare-feu Windows > Paramètres avancés. b. Sélectionnez Règles de trafic entrant. c. Créez une nouvelle règle pour autoriser Traps à communiquer avec Endpoint Security Manager sur le port 2125 en sélectionnant l’assistant Nouvelle règle et en suivant les instructions pas à pas. 3. Vérifiez que vous pouvez à présent utiliser telnet sur le port 2125 du serveur ESM à partir du point de terminaison. Traps 3.3 Guide de l’administrateur • 305 Résoudre les problèmes de la console ESM Dépannage SOLUTION : Pourquoi tous les points de terminaison apparaissent déconnectés dans la console ESM ? (Continued) Step 5 Step 6 Désactivez temporairement le pare-feu Windows. Vérifiez que la connectivité est rétablie entre Traps et le serveur ESM. 306 • Traps 3.3 Guide de l’administrateur 1. Ouvrez Modifier les paramètres du Centre de maintenance : • Windows Server 2008 : Dans le menu Démarrer, sélectionnez Panneau de configuration. Effectuez un double clic sur Centre de maintenance et sélectionnez Modifier les paramètres du Centre de maintenance. • Windows Server 2012 : Dans le menu Démarrer, sélectionnez Panneau de configuration > Système et sécurité. Effectuez un double clic sur Centre de maintenance et sélectionnez Modifier les paramètres du Centre de maintenance. 2. Décochez l’option Pare-feu réseau. 3. Cliquez sur OK. Depuis la console Traps, cliquez sur Check-in now (Vérifiez maintenant). Si la connectivité est établie, l’état de connexion indiqué est Successful (Réussi). Si le problème persiste, contactez le support de Palo Alto Networks. © Palo Alto Networks, Inc.