Gestion de la solution de protection des points de terminaison

Cet article explique comment gérer les agents EPP que vous avez installés sur vos points de terminaison.

Vue d'ensemble

Après avoir installé des agents dans votre environnement, vous pouvez avoir besoin d'intervenir sur les points de terminaison pour la gestion quotidienne de votre solution EPP.

Vous pouvez examiner les points de terminaison protégés dans votre environnement et, si nécessaire, prendre diverses actions pour gérer l'EPP. Les agents effectuent une action à la fois; vous pouvez choisir de terminer une action à tout moment et après 7 jours, si aucune action n'est entreprise, elle expire.

Certaines des actions que vous pouvez déclencher dans la CMA pour intervenir sur un point de terminaison sont :

Si nécessaire, vous pouvez également mettre à niveau manuellement l'agent sur un point de terminaison.

Révision des points de terminaison protégés

Après l'enregistrement des points de terminaison avec votre jeton d'agent, la solution commence à rapporter des données en temps réel, par exemple :

  • La version utilisée sur chaque point de terminaison

  • Le profil appliqué à chaque point de terminaison

2023-03-16_16-27-48.png

Remarque

Remarque: Les appareils situés en Chine ne peuvent pas enregistrer leur EPP sur Cato en raison de restrictions régionales.

Pour réviser les points de terminaison protégés :

  • Dans le menu de navigation, cliquez sur Accès > Points de terminaison protégés.

    L'écran Points de terminaison protégés s'ouvre.

Comprendre les colonnes du tableau des points de terminaison protégés

Le tableau suivant est une explication des colonnes dans le tableau Points de terminaison protégés.

Colonne

Explication

ID de point de terminaison

ID unique de l'agent EPP.

Nom de point de terminaison

Nom de l'ordinateur du point de terminaison.

Utilisateur

Dernier utilisateur ayant ouvert une session sur le point de terminaison. Sur les dispositifs partagés, l'utilisateur peut changer au fil du temps.

IP

Adresse IP du point de terminaison.

Version du SO

Système d'exploitation du point de terminaison.

Version EPP

Version de la solution EPP installée sur le point de terminaison.

Profil

Profil EPP assigné au point de terminaison.

Le symbole de l'horloge affiché dans cette colonne signifie que le point de terminaison n'a pas encore reçu le profil EPP. Le profil EPP est assigné la prochaine fois que le point de terminaison est en ligne.

Fichiers en quarantaine

Nombre de fichiers mis en quarantaine sur le point de terminaison.

Statut

Statut de la solution EPP. Les statuts possibles sont :

  • En cours de démarrage : La solution EPP est en cours d'installation sur le point de terminaison

  • Protégé : La solution EPP est en ligne et protège le point de terminaison

  • Non protégé : La solution EPP a un profil avec l'Anti-Malware réglé sur Monitoring

  • Erreur : La solution EPP a une erreur. Passez la souris sur le symbole du point d'interrogation pour obtenir plus d'informations sur l'erreur.

    Voir le dépannage EPP pour plus d'informations sur la façon de résoudre l'erreur.

Exporter le tableau des points de terminaison protégés

Vous pouvez exporter le contenu du tableau des Points de terminaison protégés vers un fichier CSV pour l'aligner avec un MDM et vous assurer que tous les points de terminaison pertinents apparaissent dans le tableau.

Pour exporter la liste des points de terminaison protégés :

  1. Dans le menu de navigation, cliquez sur Accès > Points de terminaison protégés.

    L'écran Points de terminaison protégés s'ouvre.

  2. Cliquez sur Exporter dans le coin supérieur droit de la page.

Protection de la solution EPP de Cato

L'EPP de Cato a la protection Anti-Manipulation activée par défaut. Cela protège les processus, fichiers, services et registres utilisés par la solution EPP contre les modifications malveillantes ou les tentatives de suppression. Cela protège également contre les actions involontaires des utilisateurs finaux susceptibles de compromettre la sécurité.

Désactiver la protection de l'EPP

Vous pouvez temporairement déverrouiller la protection Anti-Manipulation pendant 15 minutes, par exemple si vous devez désinstaller la solution. Après cette période, ou si le point de terminaison est redémarré, la protection Anti-Manipulation est réactivée.

Pour déverrouiller la protection :

  1. Dans le menu de navigation, cliquez sur Accès > Points de terminaison protégés.

    L'écran Points de terminaison protégés s'affiche.

  2. Cliquez sur les trois points (Three_Dots.png) sur le point de terminaison dont vous désactivez la protection.

  3. Cliquez sur Débloquer Anti-Manipulation.

    La protection Anti-Manipulation est temporairement désactivée.

Retirer l'EPP d'un point de terminaison

Si l'EPP n'est plus requis sur un point de terminaison, il peut être désinstallé et, si nécessaire, supprimé de votre compte. Après la désinstallation de la solution, les moteurs EPP ne peuvent pas scanner les activités malveillantes et aucun Événement n'est signalé. Le point de terminaison reste dans la table Point de terminaison protégé jusqu'à sa suppression.

  • La désinstallation supprime complètement le client EPP, cependant, si vous réinstallez le client, il sera automatiquement enregistré comme l'utilisateur précédent avant la désinstallation.
  • La suppression supprime l'association de ce point de terminaison avec le compte ; il cessera de protéger, n'enverra plus d'événements, etc. La suppression permettra également au client de se réinscrire en utilisant un jeton

Désinstallation et suppression d'un point de terminaison

Vous pouvez désinstaller l'EPP d'un point de terminaison et supprimer le point de terminaison de votre compte en une seule action.

Remarque

Remarque : Pris en charge depuis l'agent EPP v1.1. Si vous essayez de supprimer et de désinstaller l'agent EPP v1.0, aucune action n'est entreprise jusqu'à ce que l'agent soit mis à niveau vers la version 1.1.

Pour désinstaller et supprimer un point de terminaison :

  1. Dans le menu de navigation, cliquez sur Accès > Protected Endpoints.

    L'écran Points de terminaison protégés s'affiche.

  2. Cliquez sur les trois points (Three_Dots.png) sur le point de terminaison que vous supprimez.

  3. Cliquez sur Supprimer le point de terminaison.

    La boîte de dialogue de suppression de point de terminaison s'affiche.

  4. Cliquez sur Supprimer le point de terminaison & Désinstaller l'agent.

    EPP est désinstallé du point de terminaison et le point de terminaison est supprimé de votre compte.

Désinstallation d'un point de terminaison

Vous pouvez désinstaller l'EPP sur un point de terminaison afin que les moteurs EPP ne puissent pas scanner les activités malveillantes et qu'aucun Événement ne soit signalé. Jusqu'à ce que le point de terminaison soit supprimé, il est visible sur la table Point de terminaison protégé.

Pour désinstaller un point de terminaison :

  1. Dans le menu de navigation, cliquez sur Accès > Protected Endpoints.

    L'écran Protected Endpoints s'affiche.

  2. Cliquez sur les trois points (Three_Dots.png) sur le point de terminaison que vous désinstallez.

  3. Cliquez sur Uninstall Agent.

    La boîte de dialogue Uninstall Agent s'affiche.

  4. Cliquez sur Désinstaller l'agent.

    L'EPP est désinstallé du point de terminaison.

Suppression d'un Endpoint

Si l'EPP n'est plus installé sur un point de terminaison, le point de terminaison peut être supprimé de la table Protected Endpoint.

Remarque

Remarque : Ne supprimez pas un point de terminaison de la table Protected Endpoint avant que l'EPP n'ait été désinstallé.

Pour supprimer un endpoint :

  1. Dans le menu de navigation, cliquez sur Accès > Protected Endpoints.

    L'écran Protected Endpoints s'affiche.

  2. Cliquez sur les trois points (Three_Dots.png) sur le point de terminaison que vous supprimez.

  3. Cliquez sur Remove Endpoint.

    La boîte de dialogue Remove Endpoint s'affiche.

  4. Cliquez sur Supprimer le point de terminaison.

    Le point de terminaison est supprimé de l'écran Protected Endpoints.

Mettre fin à une action

Après la création d'une action, vous pouvez y mettre fin à tout moment.

Pour mettre fin à une action :

  1. Dans le menu de navigation, cliquez sur Accès > Protected Endpoints.

  2. Cliquez sur l'onglet Actions History.

  3. Cliquez sur les trois points (Three_Dots.png) sur l'action que vous terminez.

  4. Cliquez sur Cancel Action.

Révision des actions du point de terminaison

Vous pouvez visualiser l'état quasi-temps réel et l'historique des actions envoyées à l'agent EPP. L'agent EPP envoie une mise à jour sur l'état d'une action reçue toutes les 30 secondes.

Note

Remarque : Les actions peuvent être révisées depuis la version 1.2 de l'agent et ultérieure.

Actions_EPP.png

Pour réviser les actions du point de terminaison :

  1. Dans le menu de navigation, cliquez sur Accès > Points de terminaison protégés.

  2. Cliquez sur l'onglet Actions History.

Comprendre les colonnes du tableau Actions History

Ce qui suit décrit le tableau Actions History.

Colonne

Explication

ID de l'action

Référence unique de l'action.

ID du point de terminaison

ID unique de l'agent EPP.

Créé le

Timestamp de la création de l'action.

Nom du point de terminaison

Nom de l'ordinateur du point de terminaison.

Action

Action effectuée sur le point de terminaison.

Statut

L'état quasi-temps réel de l'action. Les statuts possibles sont :

  • En attente : L'action a été envoyée à l'agent EPP mais n'a pas été livrée.

  • Livré : L'action a été reçue par l'agent EPP, mais n'a pas été exécutée.

  • Exécution : L'action est en cours d'exécution.

  • Fait : L'action a été terminée avec succès.

  • Expiré : L'action n'a pas été réalisée après 7 jours.

  • Terminaison en attente : Une demande de terminaison de l'action a été envoyée à l'agent EPP, mais n'a pas été reçue.

  • Terminaison livrée : Une demande de terminaison de l'action a été reçue par l'agent EPP.

  • Terminé : L'action est arrêtée.

  • Erreur : Un problème est survenu.

Détails

Informations supplémentaires sur l'action.

Heure de la dernière mise à jour

Horodatage de la dernière fois qu'une mise à jour sur l'action a été reçue.

Créé par

L'administrateur qui a créé l'action.

Statut du point de terminaison

Le statut du point de terminaison.

Mise à niveau manuelle d'un agent

Lorsqu'une nouvelle version d'agent est publiée, les agents de votre compte sont automatiquement mis à niveau progressivement vers la dernière version. Pour diverses raisons, vous devrez peut-être mettre à niveau manuellement un agent.

Pour mettre à niveau un agent manuellement :

  1. Désactiver Anti-Tamper sur le point de terminaison:

    • Pour les agents en ligne : Cela peut être effectué dans le CMA. Voir pour plus d'informations

    • Pour les agents hors ligne : Dans le chemin d'accès C:\Program Files\Cato Networks\CatoEndPointProtection créez un fichier vide appelé disable_anti_tamper (sans extension)

      Remarque : Ceci n'est disponible que pour les agents en dessous de la v1.3

  2. Dans le CMA, depuis le menu de navigation, cliquez sur Accès > Client Rollout et téléchargez l'agent EPP.

  3. Distribuez l'agent avec un MDM ou installez-le manuellement sur un point de terminaison.

    Remarque :

    • Si vous avez désactivé Anti-Tamper depuis le CMA, vous devez distribuer l'agent dans les 15 minutes suivant la désactivation d'Anti-Tamper

    • Si vous avez désactivé Anti-Tamper avec un fichier, supprimez le fichier une fois la mise à niveau terminée

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 1

0 commentaire