Cet article explique comment configurer la solution de Protection des Points d'Extrémité (EPP) de Cato pour sécuriser vos points d'extrémité.
La solution EPP de Cato comprend trois types de moteurs EPP : Protection des Fichiers, qui analyse les fichiers sur le point de terminaison ; Analyse Comportementale, qui analyse les processus s'exécutant sur le point de terminaison ; et Anti-Exploitation, qui protège les vulnérabilités logicielles. Les paramètres EPP sont configurés dans l'Application de Gestion Cato, offrant un moyen centralisé de gérer la sécurité sur toute votre surface d'attaque. Dans le Profil de Protection des Points d'Extrémité, vous pouvez configurer le niveau de protection de chaque moteur pour définir comment il réagit aux menaces potentielles. Utilisez la Politique de Protection des Points d'Extrémité pour appliquer les Profils de Protection des Points d'Extrémité à un utilisateur final ou un point d'extrémité.
Vous pouvez ajouter un fichier ou un processus à la Liste d'Autorisation pour empêcher que des fichiers ou processus légitimes soient identifiés comme malveillants, et pour une protection supplémentaire, vous pouvez exécuter une analyse à la demande sur un point de terminaison spécifique.
Remarque
Remarque : Les appareils situés en Chine ne peuvent pas enregistrer leur EPP auprès de Cato en raison de restrictions régionales.
Pour protéger votre point d'extrémité contre les malwares connus et inconnus, la solution EPP de Cato offre trois couches de protection pour une solution de sécurité complète. Chaque couche utilise différentes techniques de détection pour identifier et prévenir différents types d'attaques.
Le moteur de Protection des Fichiers prend en charge l'analyse de plus de 300 types de fichiers, y compris les fichiers archivés, les fichiers ZIP et RAR. Un fichier est analysé une fois qu'il est téléchargé ou copié sur un point d'extrémité ainsi que lorsqu'un utilisateur final tente d'y accéder. Vous pouvez également analyser tous les fichiers sur un point d'extrémité à tout moment avec une analyse à la demande.
Le moteur d'analyse comportementale utilise des méthodes heuristiques pour se protéger contre les menaces inconnues et de zéro jour. Les applications et les processus sont continuellement surveillés pour détecter des indications d'activité malveillante basées sur leur comportement. Exemples de comportements malveillants incluent :
-
Exécuter ou injecter du code dans l'espace d'un autre processus pour s'exécuter avec des privilèges plus élevés
-
Accéder ou exécuter des opérations illégales dans des emplacements de registre qui nécessitent des privilèges élevés
-
Copier ou déplacer des fichiers dans des dossiers Système ou Windows
Remarque
Remarque : Pris en charge à partir de la version 1.1 de l'EPP et au-dessus
Le moteur Anti Exploit utilise l'apprentissage automatique pour se protéger contre les menaces connues et inconnues qui exploitent les vulnérabilités logicielles. Les processus système, navigateurs, Microsoft Office et Adobe Reader sont continuellement surveillés pour détecter les techniques utilisées pour exploiter les vulnérabilités logicielles. Exemples de techniques détectées incluent :
-
Escalade de privilèges : Processus tentant d'obtenir des privilèges non autorisés et l'accès à des ressources
-
Introspection de processus : Tentatives de collecter des informations détaillées sur les processus en cours, les ressources système, l'utilisation de la mémoire et d'autres données critiques
-
Extraction de crédences LSASS : Tentatives d'accès à la mémoire du processus LSASS et d'extraction de crédences d'authentification sensibles
Après qu'un moteur EPP a identifié une activité potentiellement malveillante, les paramètres de Protection définissent l'action que l'EPP doit prendre. De plus, pour le moteur d'Analyse Comportementale, vous pouvez définir sa sensibilité pour l'identification des menaces inconnues.
Le tableau suivant décrit chaque niveau de Protection et un cas d'utilisation exemple pour celui-ci.
|
Protection |
Description |
Cas d'Utilisation Exemple |
|---|---|---|
|
Désactivé |
Les analyses EPP ne s'exécutent pas, aucun événement n'est créé. |
Vous ne souhaitez pas utiliser ce moteur EPP. |
|
Surveillance |
Un événement est créé si une activité malveillante est identifiée, mais aucune autre mesure n'est prise. |
Vous souhaitez collecter des données sur des fichiers ou processus malveillants, sans empêcher leur exécution. |
|
Bloquer |
Un fichier ou processus malveillant ne peut pas être exécuté. Le fichier n'est ni modifié ni déplacé de son emplacement. C'est le paramètre par défaut pour les moteurs d'Analyse Comportementale et d'Anti Exploit. |
Vous souhaitez identifier et bloquer des fichiers ou processus malveillants. |
|
Bloquer et Remédier |
Le fichier ou processus malveillant ne peut pas être exécuté. Le fichier est chiffré et mis en quarantaine ou, si cela n'est pas possible, le fichier est supprimé. C'est le paramètre par défaut pour l'Anti-Malware. |
Vous souhaitez identifier, bloquer et mettre en quarantaine des fichiers ou processus malveillants. |
|
Arrêter |
Terminer le processus de l'application infectée. |
Vous souhaitez arrêter le processus malveillant pour éviter qu'il continue à fonctionner. |
|
Arrêter et remédier
|
Terminer le processus infecté et, si cela réussit, nettoyer les traces de logiciels malveillants. |
Vous souhaitez arrêter le processus et vous assurer que vous supprimez toute persistance. |
| Arrêter le processus |
Terminer le processus de l'application exploitée et tous les processus potentiellement liés |
Arrêter les processus qui ont injecté du code dans le processus exploité. |
Le moteur d'Analyse Comportementale détecte les menaces potentielles basées sur un modèle prédictif et des heuristiques d'apprentissage. Le Niveau de Sensibilité du moteur détermine le niveau de confiance qui identifie les menaces potentielles. Par exemple, le paramètre Agressif identifiera les processus avec un faible niveau de certitude que le processus est malveillant. Ce paramètre peut entraîner plus de correspondances faussement positives.
Le tableau d'options suivant décrit le Niveau de Sensibilité et un cas d'utilisation exemple pour celui-ci.
|
Niveau de Sensibilité |
Description |
Cas d'Utilisation Exemple |
|---|---|---|
|
Permissif |
Détecter uniquement les processus qui sont déterminés comme malveillants avec un très haut niveau de certitude. C'est le paramètre avec la sensibilité la plus basse. |
Vous souhaitez détecter uniquement les processus qui sont certainement malveillants. |
|
Équilibré |
Détecter les processus qui sont déterminés comme malveillants avec un haut niveau de certitude. |
Vous souhaitez détecter des processus qui sont probablement malveillants. |
|
Agressif |
Détecter les processus qui sont déterminés comme malveillants avec un faible niveau de certitude. C'est le paramètre avec la sensibilité la plus élevée. |
Vous souhaitez détecter des processus qui sont probablement mais pas certainement malveillants. |
Pour définir comment l'EPP protège les points d'extrémité dans votre compte, utilisez le Profil EPP pour définir le niveau de Protection pour chaque moteur. Ensuite, utilisez les règles de la Politique EPP pour définir la portée des points d'extrémité auxquels le Profil s'applique. Un Profil peut être appliqué à des utilisateurs finaux spécifiques, à des points d'extrémité spécifiques, ou les deux.
Les politiques EPP sont une base de règles ordonnée. Les règles de votre politique sont appliquées aux fichiers et processus séquentiellement pour vérifier si une règle est applicable. Les règles en haut de la base de règles ont une priorité plus élevée car elles sont appliquées avant les règles inférieures. Par exemple, si la règle n°1 a une réponse de Protection de Fichier Blocage et s'applique à un point d'extrémité où un fichier malveillant est identifié, le fichier est bloqué. Aucune autre règle n'est appliquée au fichier. La règle par défaut finale applique le Profil par Défaut à tous les points d'extrémité et ne peut pas être modifiée.
Le Profil EPP définit les paramètres de Protection pour les moteurs d'Analyse Comportementale et de Protection des Fichiers. Vous pouvez définir différents profilés basés sur les exigences de votre Politique EPP.
Pour définir un profil de Protection de Point d'Extrémité:
-
Dans le menu de navigation, cliquez sur Sécurité > Protection de Point d'Extrémité.
-
Cliquez sur l'onglet Profils.
-
Cliquez sur Nouveau.
Le panneau Créer un nouveau Profil de Protection de Point d'Extrémité s'ouvre.
-
Définissez les paramètres du profil.
-
Cliquez sur Appliquer puis sur Sauvegarder.
Définissez les règles dans la Politique de EPP avec la Source et le Profil. La Source peut être une identité d'utilisateur final ou un dispositif de point d'extrémité basé sur le ID du Point d'Extrémité. Vous pouvez également définir le niveau de protection (Profil) qui est appliqué à chaque utilisateur final ou point d'extrémité (Source). Cela vous permet de personnaliser l'utilisation de chaque moteur EPP sur chaque point d'extrémité dans votre environnement.
Pour créer une Politique de Protection des Points d'Extrémité:
-
Dans le menu de navigation, cliquez sur Sécurité > Protection de Point d'Extrémité.
-
Cliquez sur Nouveau.
Le panneau Créer une nouvelle Règle de Politique de Protection de Point d'Extrémité s'ouvre.
-
Définissez le Nom, Description, Source, et Profil pour cette règle.
-
(Optionnel) Configurez les options de suivi pour générer des Événements et Envoyer une Notification
Pour plus d'informations sur les notifications, consultez l'article pertinent pour les Groupes d'Abonnement, Listes de Diffusion et Intégrations d'Alerte dans la section Alertes.
-
Cliquez sur Appliquer.
-
Répétez les étapes 2-5 pour chaque règle dans la Politique de EPP.
-
Activez la Politique de EPP et cliquez sur Sauvegarder.
Le curseur (
) est vert lorsque l'EPP est activé et gris lorsqu'il est désactivé.
Parfois un moteur EPP peut considérer qu'un processus métier légitime est malveillant. Pour empêcher la protection de point d'extrémité d'interrompre les processus métiers légitimes, vous pouvez autoriser un Objet pour un utilisateur final ou sur un point d'extrémité (Source). Cela signifie qu'il n'est ni scanné, ni bloqué, ni déplacé. Pour les scans à la demande, un événement peut être déclenché avec l'action d'atténuation Ignorer. Aucun événement n'est créé pour les scans de fichiers.
Les objets suivants peuvent être autorisés à s'exécuter pour un utilisateur final, sur un point d'extrémité, ou les deux:
Remarque
Remarque: Les chemins de fichier sont autorisés à la fois par les moteurs d'Anti-Malware et d'Analyse Comportementale. D'autres objets sont uniquement autorisés par le moteur d'Anti-Malware.
-
Chemin de Fichier
-
Chemin de Dossier
-
Type de Fichier
-
Hash de Fichier SHA256
Pour définir un Objet pour la Liste Blanche:
-
Dans le menu de navigation, cliquez sur Sécurité > Protection de Point d'Extrémité.
-
Cliquez sur l'onglet Liste Blanche.
-
Cliquez sur Nouveau.
Le panneau Nouvelle Liste Blanche s'ouvre.
-
Définissez le Nom, Description, Objet, et Source à autoriser.
-
Cliquez sur Appliquer.
-
Répétez les étapes 3-5 pour chaque Objet que vous autorisez.
-
Cliquez sur Sauvegarder.
Les scans de Protection de Fichiers s'exécutent lorsqu'un fichier est téléchargé ou copié sur un point d'extrémité ainsi que quand un utilisateur final tente d'y accéder. De plus, vous pouvez exécuter un scan de Protection de Fichier à la demande sur un point d'extrémité à tout moment. En exécutant un scan de Protection de Fichiers à la demande, vous pouvez identifier un logiciel malveillant existant sur un point d'extrémité avant que l'utilisateur final ne tente d'y accéder.
Les scans à la demande comparent le hash de fichier SHA256 de tous les fichiers enregistrés sur le point d'extrémité avec une liste de signatures de malware connues. Si un fichier malveillant est détecté, le EPP suit l'action définie par la Politique.
Vous pouvez identifier des fichiers malveillants sur un point d'extrémité à tout moment en exécutant un scan à la demande. Ces scans ne s'exécutent pas après l'installation de l'agent, ils ne s'exécutent qu'après avoir été déclenchés depuis l'Application de Gestion Cato.
Pour exécuter un Scan de Protection de Fichiers à la Demande
-
Dans le menu de navigation, cliquez sur Accès > Points d'Extrémité Protégés.
L'écran Points d'Extrémité Protégés s'affiche.
-
Cliquez sur les trois points (
) sur le point d'extrémité que vous souhaitez analyser.
-
Cliquez sur Scanner le Point d'Extrémité.
Un scan de Protection de Fichier est exécuté sur le point d'extrémité.
Après avoir installé l'agent EPP sur vos points d'extrémité, vous pouvez tester la solution pour vous assurer qu'elle empêche les activités malveillantes en fonction de votre configuration de politique.
Pour tester la solution EPP:
-
Sur un point d'extrémité avec l'agent installé, téléchargez et essayez de lancer un fichier de test EICAR.
-
Essayez d'ouvrir et de lancer le fichier.
Remarque: Si le téléchargement du fichier est bloqué par votre solution de sécurité réseau ou votre navigateur, copiez le texte dans le fichier EICAR, collez-le dans un nouveau fichier .txt et enregistrez.
-
Si la solution EPP est correctement installée et activée, le comportement du fichier est conforme à vos politiques configurées et un événement est créé.
Lorsqu'un moteur EPP scanne un fichier ou un processus, il est comparé à une base de données d'activités malveillantes connues. Ces bases de données sont régulièrement mises à jour automatiquement pour garantir que les moteurs EPP protègent contre les dernières menaces.
L'état de la mise à jour de la base de données est visible dans l'onglet Statut de l'agent EPP.
La fréquence des mises à jour de la base de données est:
-
DB de Malware: Chaque 1 heure
-
DB CTC: Toutes les 24 heures (cette base de données est utilisée pour les corrections inter-moteurs)
-
DB Comportemental: Toutes les 2 heures
-
DB d'Exploitation: Toutes les 2 heures
Une base de données contenant une liste de fichiers légitimes connus qui ne nécessitent pas de scan est mise à jour toutes les 4 heures.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.