Passer la navigation

Créer une stratégie de test
CylancePROTECT Desktop

Vous devez mettre en œuvre des fonctions de stratégie
CylancePROTECT Desktop
par étapes afin de vous assurer que les performances et les opérations ne sont pas affectées. Par défaut, lorsque vous créez une stratégie de terminal, les fonctions de stratégie ne sont pas activées et vous devez les activer manuellement. À mesure que vous comprenez les types de menaces qui sont consignées dans votre environnement et le comportement de l'agent
CylancePROTECT Desktop
, vous pouvez activer progressivement davantage de fonctions de stratégie.
Il est recommandé de tester les stratégies sur les terminaux qui incluent les applications utilisées dans votre organisation. Il est important que les terminaux que vous utilisez pour tester les stratégies représentent précisément les terminaux qui se trouvent dans votre environnement de production, et pas seulement une machine propre, afin de garantir que les applications sont autorisées à s'exécuter correctement lorsque les stratégies sont appliquées via l'agent
CylancePROTECT Desktop
. Par exemple, vous pouvez sélectionner un sous-ensemble de terminaux dans votre environnement de production, qui incluent toutes les applications (propriétaires et personnalisées) dont les utilisateurs ont besoin pour leurs activités quotidiennes.
L'agent utilise le contrôle d'exécution et le contrôle de processus pour analyser uniquement les processus en cours d'exécution. Cela inclut tous les fichiers qui s'exécutent au démarrage, qui sont définis sur exécution automatique et qui sont exécutés manuellement par l'utilisateur. L'agent envoie uniquement des alertes à la console de gestion. Par défaut, aucun fichier n'est bloqué ou mis en quarantaine.
  1. Dans la console de gestion, cliquez sur
    Stratégies > Stratégie de terminal > Ajouter une nouvelle stratégie
    .
  2. Dans le champ
    Nom de la stratégie
    , saisissez le nom de la stratégie de test.
  3. Activez le
    Chargement automatique
    pour analyser et envoyer les fichiers suspects aux services cloud
    CylancePROTECT
    pour une analyse plus approfondie.
    1. Dans l'onglet
      Actions de fichier
      , dans la section
      Chargement automatique
      , sélectionnez tous les types de fichiers disponibles.
    2. Cliquez sur
      Créer
      pour créer la stratégie de test initiale.
    3. Attribuez la stratégie de test initiale aux points de terminaison
      CylancePROTECT Desktop
      que vous utilisez pour le test.
    4. Autorisez les terminaux auxquels la stratégie de test est attribuée à s'exécuter au moins pendant une journée pour permettre l'exécution et l'analyse des applications et des processus généralement utilisés sur le terminal. Il est possible que vous souhaitiez prendre en compte toutes les applications requises qui s'exécutent périodiquement sur un terminal (par exemple, une fois par semaine) et qui doivent être surveillées en dehors de cette exécution de test.
    5. Lors du test de la stratégie, accédez à l'écran
      Protection > Menaces
      de la console de gestion pour afficher la liste des applications et processus considérés comme une menace (anormale ou dangereuse) par
      CylancePROTECT
      et identifiez ceux qui doivent être autorisés à s'exécuter sur le point de terminaison. Vous pouvez cliquer sur une menace pour afficher plus d'informations à son sujet et télécharger le fichier malveillant pour effectuer votre propre recherche de menace. Le fichier malveillant n'est pas modifié, mais renommé à l'aide du hachage SHA256 sans extension de fichier pour éviter sa détonation accidentelle. Si vous le renommez pour inclure l'extension de fichier d'origine, le fichier malveillant peut être exécuté. Aucune information personnelle n'est partagée avec la console ou avec d'autres locataires ou organisations.
    6. Accédez à
      Stratégies > Stratégie de terminal
      et modifiez la stratégie de terminal pour permettre l'exécution d'applications et de processus spécifiques sur les points de terminaison auxquels cette stratégie est attribuée. Vous pouvez ajouter des fichiers à la section
      Liste sécurisée des stratégies
      de l'onglet
      Actions de fichier
      .
      Vous pouvez également mettre en quarantaine ou supprimer des fichiers sur des terminaux spécifiques ou sur tous les terminaux de votre organisation. Pour plus d'informations, reportez-vous à la section Gestion des listes sécurisées et dangereuses pour CylancePROTECT Desktop.
  4. Modifiez la stratégie de terminal pour activer les analyses de détection des menaces en arrière-plan afin d'analyser les fichiers exécutables qui peuvent être des menaces inactives sur le disque.
    1. Dans l'onglet
      Paramètres de protection
      , activez le paramètre
      Détection des menaces en arrière-plan
      et sélectionnez l'option
      Exécuter une fois
      . Bien que l'analyse périodique ne soit pas nécessaire en raison des capacités prédictives de la solution, vous pouvez sélectionner
      Exécution récurrente
      pour l'activer, par exemple, à des fins de conformité.
    2. Activez le paramètre
      Contrôler les nouveaux fichiers
      . Ce paramètre peut avoir un impact négatif sur les performances du terminal. L'ajout d'exclusions de dossiers peut contribuer à réduire l'impact.
    3. Pour exclure des dossiers spécifiques de la détection des menaces en arrière-plan, sélectionnez
      Exclure des dossiers spécifiques (y compris les sous-dossiers)
      et spécifiez les dossiers à exclure. Pour autoriser l'exécution des fichiers dans les dossiers que vous avez spécifiés, sélectionnez
      Autoriser l'exécution
      . Pour en savoir plus sur ces champs, reportez-vous à Paramètres de protection.
    4. Cliquez sur
      Enregistrer
      pour enregistrer la stratégie.
    5. Testez à nouveau la stratégie et assurez-vous que toutes les applications que les utilisateurs doivent utiliser sont autorisées à s'exécuter. L'analyse de détection des menaces en arrière-plan peut prendre jusqu'à une semaine, en fonction de l'activité du système et du nombre de fichiers qui doivent être analysés. Si nécessaire, assurez-vous d'ajouter des fichiers à la liste sécurisée des stratégies, à la liste sécurisée globale ou de les supprimer pour des terminaux individuels. Vous pouvez également exclure le dossier contenant le fichier dans les paramètres de protection.
  5. Modifiez la stratégie de terminal pour éliminer les processus dangereux en cours d'exécution sur le système. Par exemple, lorsqu'une menace est détectée dans un fichier exécutable (.exe ou .msi) et qu'elle est considérée comme dangereuse, ce paramètre interrompt les processus en cours d'exécution et leurs sous-processus.
    1. Dans l'onglet
      Paramètres de protection
      , activez le paramètre
      Arrêter les processus en cours d'exécution dangereux
      .
  6. Modifiez la stratégie afin d'activer les paramètres de mise en quarantaine automatique pour les fichiers dangereux et anormaux.
    1. Dans l'onglet
      Actions de fichier
      , sous la colonne de tableau
      Dangereux
      , activez le paramètre
      Mise en quarantaine automatique
      en regard de l'
      Exécutable
      pour déplacer automatiquement les fichiers dangereux vers le dossier de quarantaine du terminal. Les fichiers dangereux ont des attributs de programmes malveillants et sont susceptibles d'être des programmes malveillants.
    2. Sous
      Anormal
      , activez
      Quarantaine automatique
      pour déplacer automatiquement les fichiers anormaux vers le dossier de quarantaine du terminal. Un fichier anormal possède moins d'attributs de programme malveillant qu'un fichier dangereux et est moins susceptible d'être un programme malveillant.
  7. Modifiez la stratégie pour activer les paramètres de protection de la mémoire afin de gérer les failles de mémoire, les injections de processus et les escalades.
    1. Dans l'onglet
      Actions de mémoire
      de la stratégie de terminal, activez
      Protection de la mémoire
      et définissez les types de violation sur
      Alerter
      . Lorsqu'un type de violation est défini sur Alerte et qu'une menace de ce type est détectée, l'agent envoie des informations à la console, mais ne bloque ni ne met fin aux processus en cours d'exécution dans la mémoire du terminal.
    2. Lors du test de la stratégie, accédez à
      Protection > Protection de la mémoire
      de la console afin d'afficher la liste des alertes de protection de la mémoire pour les processus pouvant constituer une menace.
    3. Si vous avez déterminé que l'un des processus est sûr pour les activités quotidiennes de l'entreprise, vous pouvez ajouter des exclusions pour les processus que vous souhaitez autoriser à exécuter. Dans l'onglet
      Actions de mémoire
      de la stratégie de terminal, cliquez sur
      Ajouter une exclusion
      et spécifiez le chemin relatif vers le fichier.
    4. Une fois que vous avez spécifié les exclusions pour les processus que vous souhaitez autoriser à exécuter, définissez l'action sur
      Bloquer
      pour tous les types de violation. Lorsqu'un type de violation est bloqué, l'agent envoie des informations à la console et empêche le processus malveillant de s'exécuter dans la mémoire. L'application qui a appelé le processus malveillant est autorisée à poursuivre son exécution.
  8. Modifiez la stratégie pour activer les paramètres de contrôle du terminal. Cet exemple montre comment bloquer l'accès à tous les types de terminaux et autoriser les exceptions. Cependant, vous pouvez choisir d'autoriser l'accès complet à tous les types de terminaux et de bloquer les exceptions à la place.
    1. Dans l'onglet
      Contrôle du terminal
      de la stratégie de terminal, activez la stratégie
      Contrôle du terminal
      .
    2. Définissez le niveau d'accès de chaque type de périphérique USB sur
      Accès complet
      .
    3. Enregistrez la stratégie.
    4. Sur le terminal test, insérez un périphérique USB.
    5. Dans la console de gestion, accédez à
      Protection > Terminaux externes
      et identifiez l'ID fournisseur, l'ID produit et le numéro de série des terminaux que vous souhaitez autoriser. Tous les fabricants n'utilisent pas un numéro de série unique avec leurs produits ; certains fabricants utilisent le même numéro de série pour plusieurs produits.
    6. Dans l'onglet
      Contrôle de terminal
      de la stratégie de terminal, dans la section
      Liste d'exclusion du stockage externe
      , cliquez sur
      Ajouter un terminal
      pour ajouter les terminaux que vous souhaitez autoriser.
    7. Une fois le test terminé, définissez le niveau d'accès de chaque type de terminal sur
      Bloquer
      . Vous pouvez ajouter des exclusions si nécessaire.
  9. Modifiez la stratégie pour activer les paramètres de contrôle du script. Le temps de test suggéré est de 1 à 3 semaines.
    1. Dans l'onglet
      Contrôle de script
      de la stratégie de terminal, activez la stratégie
      Contrôle de script
      .
    2. Définissez la stratégie pour chacun des types de script sur
      Alerter
      . Plus la durée d'alerte du contrôle des scripts est longue, plus vous êtes susceptible de trouver des scripts rarement utilisés dans l'organisation.
      L'activation du paramètre de contrôle de script peut entrainer un volume élevé d'évènements si des scripts sont utilisés pour gérer les paramètres
      Active Directory
      .
    3. Accédez à
      Protection > Contrôle de script
      et identifiez les scripts qui ont été exécutés sur les terminaux que vous souhaitez autoriser.
    4. Dans l'onglet
      Contrôle de script
      de la stratégie de terminal, dans la section
      Exclure des fichiers, scripts ou processus
      , cliquez sur
      Ajouter une exclusion
      et spécifiez un chemin de processus relatif pour les scripts que vous souhaitez autoriser (par exemple,
      \Cases\AllowedScripts
      ).
    5. Une fois que vous avez ajouté les exclusions pour les scripts que vous souhaitez autoriser à exécuter, vous pouvez définir la stratégie pour chacun des types de script sur
      Bloquer
      .