Cet article explique comment surveiller et répondre aux menaces identifiées par les moteurs de Protection des Endpoints (EEP) de Cato.
Pour accroître votre vigilance sur les menaces potentielles pour vos endpoints et utilisateurs finaux, vous pouvez consulter et analyser les détails des menaces potentielles pour déterminer comment réagir. Si une activité potentiellement malveillante est identifiée par un moteur EEP, un Événement est créé contenant les informations pertinentes. Les événements EEP fournissent des informations clés sur la menace identifiée, par exemple, l'endpoint sur lequel la menace s'est produite, l'heure et la date de la menace, et le nom du fichier qui a déclenché l'événement. Pour plus d'informations sur l'analyse des événements, consultez Analyser les évènements de votre réseau
Vous pouvez également voir et obtenir un aperçu des menaces détectées par EPP dans votre réseau depuis le Tableau de bord de protection des terminaux.
Les fichiers identifiés comme malveillants peuvent être chiffrés et mis en quarantaine, selon vos paramètres de protection. Vous pouvez voir les fichiers mis en quarantaine et, s'ils sont considérés comme sûrs, les restaurer à leur emplacement d'origine.
Vous pouvez voir tous les événements déclenchés par la protection des endpoints dans un intervalle de temps défini. Le champ Type de moteur fournit des informations sur le moteur qui a déclenché l'événement.
Remarque
Remarque : Un événement peut prendre 6 minutes pour être créé après qu'un fichier soit bloqué.
Pour identifier les menaces sur vos points d'extrémité :
- Dans le menu de navigation, cliquez sur Accueil > Événements.
- Dans la barre de filtres d'événements, cliquez sur l'icône Préréglages.
-
De la liste des Préréglages prédéfinis, sélectionnez Protection des points d'extrémité.
Les menaces identifiées par EEP sont affichées.
Le tableau suivant répertorie les champs d'événement dans un événement de Malware EEP.
| Nom de champ | Description |
|---|---|
| Action | Action associée au type d'événement que l'EPP a tenté d'exécuter. |
| Actions d'atténuation prises |
Action prise par les points d'extrémité. Les actions d'atténuation sont :
Les actions d'atténuation sont définies par le profil EEP. Pour plus d'informations, voir Configuration de la Protection des terminaux. |
| Actions entreprises | Liste de toutes les actions entreprises. Par exemple, les points d'extrémité ont tenté de mettre un fichier en quarantaine, l'action a échoué, puis ils ont essayé de supprimer le fichier. Les actions entreprises sont :[Mettre en quarantaine, Supprimer]
|
| Version du client | Numéro de version de EEP. |
| Nom du dispositif | Nom de l'ordinateur du endpoint. |
| ID du endpoint | ID unique de l'agent EEP. |
| Type de moteur | Moteur qui a détecté la menace. |
| Profil de protection du endpoint | Profil EEP sur le endpoint. |
| Nombre d'événements | Compte pour les événements qui se répètent plusieurs fois en une minute. |
| Sous-Type | Catégorie de sous-type de l'événement. |
| Type d'événement | Catégorie de l'événement. |
| Hash du fichier | Hash du fichier suspect. |
| Nom du fichier | Chemin et nom du fichier suspect. |
| Opération du fichier | Action que l'utilisateur final a prise pour déclencher l'événement. |
| Statut final de l'objet |
Le statut final d'un fichier après que toutes les actions ont été entreprises (ou tentées). SCAN_FAILED signifie que les points d'extrémité n'ont pas pu analyser le fichier |
| Nom du FAI | FAI auquel le endpoint est connecté. |
| Utilisateur connecté | Utilisateur final connecté au moment de l'événement. |
| Nom de l'objet | Chemin et nom du fichier suspect. |
| Type de SO | Système d'exploitation du endpoint. |
| Version de SO | Version du système d'exploitation du endpoint. |
| SID de l'utilisateur | SID du endpoint. |
Si votre paramètre de Protection est réglé sur Bloquer et Remédier, EEP chiffre et met en quarantaine les fichiers malveillants. Cela empêche l'utilisateur final d'accéder au fichier et empêche les processus nuisibles de s'exécuter sur le endpoint. La mise en quarantaine des menaces potentielles garantit que vos endpoints restent sécurisés et réduit le risque d'infection dans votre environnement.
Vous pouvez surveiller les fichiers mis en quarantaine et les restaurer à leur emplacement d'origine s'ils sont sûrs.
Vous pouvez surveiller les fichiers qui ont été mis en quarantaine sur chaque endpoint.
Pour revoir les fichiers mis en quarantaine :
-
Dans le menu de navigation, cliquez sur Accès > Endpoints protégés.
Le tableau Endpoints protégés est affiché.
-
Dans la colonne Fichiers en quarantaine, cliquez sur le numéro de l'endpoint dont vous souhaitez afficher les fichiers mis en quarantaine.
Les fichiers mis en quarantaine sur le endpoint sont affichés.
Remarque
Si la colonne Fichiers en quarantaine est vide, aucun fichier mis en quarantaine n'a été trouvé sur l'endpoint
Si un fichier a été mis en quarantaine par erreur ou si vous considérez le fichier comme sûr, vous pouvez le restaurer à l'emplacement d'origine sur l'endpoint. L'utilisateur final peut alors accéder au fichier. Après qu'un fichier soit restauré de la quarantaine, il est ajouté à la Liste d'Autorisation.
Pour restaurer les fichiers en quarantaine :
-
Dans le menu de navigation, cliquez sur Accès > Endpoints protégés.
La table Endpoints protégés s'affiche.
-
Dans la colonne Fichiers en quarantaine, cliquez sur le numéro de la ligne de l'endpoint à partir duquel vous souhaitez restaurer un fichier mis en quarantaine.
La table Quarantaine s'affiche.
- Sur le fichier que vous souhaitez restaurer, cliquez sur les trois points à la fin du tableau.
-
Cliquez sur Restaurer.
Le fichier est restauré à son emplacement d'origine.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.