Passer la navigation
  1. BlackBerry Docs
  2. Cylance Endpoint Security
  3. Configuration
  4. Guide de configuration de Cylance Endpoint Security
  5. Configurer CylancePROTECT Desktop
  6. Utiliser les stratégies de terminal pour gérer les terminaux CylancePROTECT Desktop
  7. Paramètres de protection

Paramètres de protection

CylancePROTECT Desktop
 surveille toujours l‘exécution de processus malveillants et alerte la console en cas de tentative d‘exécution anormale ou dangereuse. Vous pouvez configurer l‘agent
CylancePROTECT Desktop
 à l‘aide des paramètres suivants, disponibles dans l‘onglet
Paramètres de protection
 d‘une stratégie de terminal.
Option
Description
Empêcher l‘arrêt du service à partir du terminal
Si cette option est sélectionnée, les utilisateurs du terminal ne peuvent pas arrêter le service pour l‘agent
CylancePROTECT Desktop
 ou pour les versions suivantes de l‘agent
CylanceOPTICS
 :
  • Agent
    CylanceOPTICS
     pour
    Windows
     3.1 ou version ultérieure avec
    CylancePROTECT Desktop
     3.0 ou version ultérieure
L‘agent
CylancePROTECT Desktop
 3.1 et version ultérieure s‘exécute en tant que service fiable à l‘aide de la technologie AM-PPL (Antimalware Protected Process Light) de
Microsoft
, qui permet également d‘empêcher l‘arrêt de l‘agent. Cette fonctionnalité nécessite que le terminal exécute
Windows 10
 1709 ou versions ultérieures ou
Windows
 Server 2019 ou versions ultérieures.
Arrêter les processus en cours d‘exécution dangereux et leurs sous-processus
Si ce paramètre est sélectionné, l‘agent met fin aux processus et aux processus enfants (.exe ou .dll), quel que soit leur état lorsqu‘une menace est détectée. Vous disposez ainsi d‘un niveau de contrôle élevé sur les processus malveillants qui peuvent être en cours d‘exécution sur un terminal.
Le fichier doit être mis en quarantaine automatiquement, manuellement ou à l‘aide de la liste de quarantaine globale. Cette fonction doit être activée avant la mise en quarantaine du fichier. Si cette fonction est activée, mais que le fichier n‘est pas mis en quarantaine ou qu‘il est mis en quarantaine automatiquement, les processus continuent à s‘exécuter.
Exemple :
 un fichier est autorisé à s‘exécuter, puis vous décidez de le mettre en quarantaine. Lorsque ce paramètre est activé, le fichier est mis en quarantaine et le processus ainsi que tous les processus enfants sont interrompus. Si ce paramètre est désactivé, le fichier est mis en quarantaine, mais étant donné qu‘il a été autorisé à s‘exécuter, tous les processus démarrés par le fichier peuvent continuer à s‘exécuter.
Détection des menaces en arrière-plan
Une analyse complète du disque est exécutée pour détecter et analyser les menaces inactives sur le disque. L‘analyse complète du disque est conçue pour minimiser l‘impact sur l‘utilisateur final en utilisant peu de ressources système. L‘analyse de détection des menaces en arrière-plan peut prendre jusqu‘à une semaine, en fonction de l‘activité du système et du nombre de fichiers du système qui doivent être analysés. Les date et heure de la dernière analyse d‘arrière-plan terminée sont consignées dans la console.
Vous pouvez choisir d‘exécuter l‘analyse une seule fois lors de l‘installation, ou de la planifier de manière récurrente à un intervalle spécifié. L‘intervalle entre les analyses par défaut est de 10 jours. Une mise à niveau importante du modèle de détection, comme le fait d‘ajouter de nouveaux systèmes d‘exploitation, déclenche également une analyse complète du disque. Notez que l‘augmentation de la fréquence des analyses peut avoir un impact sur les performances du terminal.
Il est recommandé d‘activer le paramètre
Détection des menaces en arrière-plan
 sur
Exécuter une fois
 et d‘activer
Contrôler les nouveaux fichiers
 qui analyse les nouveaux fichiers et les fichiers mis à jour sur le disque. Si vous souhaitez contrôler des fichiers nouveaux et mis à jour, vous devez activer l‘analyse de tous les fichiers existants une seule fois. En raison de la nature prédictive de la technologie, des analyses régulières de l‘ensemble du disque ne sont pas requises, mais peuvent être implémentées à des fins de conformité (par exemple, la conformité PCI).
Si des analyses de détection des menaces en arrière-plan sont exécutées simultanément sur plusieurs terminaux de machine virtuelle provenant du même hôte de machine virtuelle, les performances des terminaux en seront affectées. Envisagez d‘activer cette fonction de manière incrémentielle pour les terminaux de machine virtuelle afin de limiter le nombre d‘analyses effectuées simultanément.
Pour exécuter manuellement l‘analyse, utilisez l‘une des commandes suivantes :
  • Sur les terminaux
    Windows
     :
    C:\Program Files\Cylance\Desktop\CylanceSvc.exe /backgroundscan
  • Sur les terminaux
    macOS
     :
    /Applications/Cylance/CylanceUI.app/Contents/MacOS/CylanceUI -background-scan
  • Sur les terminaux
    Linux
     :
    /opt/cylance/desktop/Cylance -b
/opt/cylance/desktop/Cylance --start-bg-scan
Contrôler les nouveaux fichiers
Ce paramètre permet à l‘agent d‘analyser les fichiers nouveaux ou modifiés pour détecter les menaces dormantes. Si une menace est détectée, le fichier est mis en quarantaine même s‘il n‘y a pas eu de tentative d‘exécution. Il est recommandé d‘activer ce paramètre en même temps que la détection des menaces en arrière-plan (exécution unique).
Le mode de mise en quarantaine automatique (contrôle d‘exécution) bloque les fichiers dangereux ou anormaux lors de l‘exécution. Par conséquent, il n‘est pas nécessaire d‘activer l‘option Contrôler les nouveaux fichiers lorsque le mode quarantaine automatique est également activé, sauf si vous préférez mettre en quarantaine un fichier malveillant dès que l‘agent détecte la menace pendant une analyse.
Ce paramètre peut avoir un impact sur les performances. Envisagez de surveiller les performances de traitement des disques ou des messages pour voir si elles ont changé. L‘exclusion de dossiers spécifiques peut améliorer les performances et garantir que certains dossiers et fichiers ne seront pas analysés par l‘agent.
Définir la taille maximale du fichier d‘archive à analyser
Spécifiez la taille maximale du fichier d‘archive que l‘agent doit analyser. Ce paramètre s‘applique à
Détection des menaces en arrière-plan
 et à
Contrôler les nouveaux fichiers
. Si vous ne souhaitez pas analyser les fichiers d‘archive, définissez la taille du fichier sur 0 Mo.
Exclure des dossiers spécifiques
Ce paramètre vous permet de spécifier les dossiers et sous-dossiers que vous souhaitez exclure de l‘analyse via les fonctions
Détection des menaces en arrière-plan
 et
Contrôler les nouveaux fichiers
.
Pour
Windows
, utilisez un chemin absolu avec la lettre du lecteur. Par exemple,
C:\Test
.
Pour
macOS
 , utilisez un chemin absolu à partir de la racine sans la lettre de lecteur. Par exemple,
/Applications/SampleApplication.app
.
Pour
Linux
 , utilisez un chemin absolu à partir de la racine sans la lettre de lecteur. Par exemple,
/opt/application
.
Exemple pour Windows
 :
C:\Test
Exemple pour macOS (sans espaces)
 :
/Applications/SampleApplication.app
Exemple pour macOS (avec espaces)
 :
/Applications/Sample\ Application.app
Exemple pour Linux
 :
/opt/application/
Le caractère générique * est également pris en charge pour les exclusions de dossiers. Pour plus d‘informations, reportez-vous à Caractères génériques dans les exclusions du dossier des paramètres de protection.
Les exclusions ne sont pas appliquées de manière rétroactive. Après l‘installation initiale de l‘agent, les fonctionnalités Détection des menaces en arrière-plan et Contrôler les nouveaux fichiers ignorent les fichiers en fonction de la liste d‘exclusion reçue. L‘ajout d‘une exclusion après la détection ou l‘imputation initiale n‘exclura pas rétroactivement les fichiers déjà détectés ou réputés dangereux. Tous les fichiers précédemment détectés ou réputés dangereux resteront dans cet état jusqu‘à ce qu‘ils soient localement dispensés ou ajoutés à la liste sécurisée globale.
Par exemple, si l‘option Contrôler les nouveaux fichiers impute un fichier appelé C:\Windows\ccmcache\test.exe et qu‘une exclusion est ajoutée ultérieurement à l‘onglet Paramètres de protection pour C:\Windows\ccmcache\, le fichier réputé dangereux restera réputé dangereux même si le dossier a été ajouté comme exclusion Dans ce cas, il restera réputé dangereux jusqu‘à ce que vous renonciez au fichier localement ou que vous l‘ajoutiez à la liste sécurisée globale.
Autoriser l‘exécution
Les fichiers exécutés à partir de n‘importe quel dossier sont soumis au contrôle d‘exécution/à la mise en quarantaine automatique, même s‘ils sont spécifiés dans Exclure des dossiers spécifiques. Vous pouvez activer le paramètre Autoriser l‘exécution pour permettre l‘exécution de fichiers à partir de dossiers spécifiés dans la liste Exclure des dossiers spécifiques. Ce paramètre s‘applique à tous les dossiers de la liste, et pas seulement au premier ou au dernier élément saisi.
Les fichiers et mes menaces déplacés vers ces dossiers seront autorisés à s‘exécuter et pourraient compromettre votre terminal et votre organisation. Prenez les précautions nécessaires pour vous assurer que les fichiers non autorisés ne peuvent pas être ajoutés aux dossiers exclus.
Copier les exemples de fichier (logiciels malveillants)
Spécifiez un lecteur réseau partagé pour stocker des copies des échantillons de fichiers trouvés via les fonctionnalités Détection des menaces en arrière-plan, Contrôler les nouveaux fichiers et Contrôler l‘exécution. Cela vous permet d‘effectuer votre propre analyse des fichiers que
CylancePROTECT Desktop
 considère comme dangereux ou anormaux.
  • Les partages réseau CIFS/SMB sont pris en charge.
  • Spécifiez un emplacement de partage réseau. Vous devez utiliser un chemin complet. Exemple :
    \\server_name\shared_folder
    .
  • Tous les fichiers répondant aux critères sont copiés sur le partage réseau, même s‘il s‘agit de doublons. Aucun test d‘unicité n‘est réalisé.
  • Les fichiers sont compressés.
  • Les fichiers sont protégés par mot de passe. Le mot de passe est « infecté ».