Créer une stratégie de test CylancePROTECT Desktop
CylancePROTECT Desktop
Vous devez mettre en œuvre des fonctions de stratégie
CylancePROTECT Desktop
par étapes afin de vous assurer que les performances et les opérations ne sont pas affectées. Par défaut, lorsque vous créez une stratégie de terminal, les fonctions de stratégie ne sont pas activées et vous devez les activer manuellement. À mesure que vous comprenez les types de menaces qui sont consignées dans votre environnement et le comportement de l'agent CylancePROTECT Desktop
, vous pouvez activer progressivement davantage de fonctions de stratégie.Il est recommandé de tester les stratégies sur les terminaux qui incluent les applications utilisées dans votre organisation. Il est important que les terminaux que vous utilisez pour tester les stratégies représentent précisément les terminaux qui se trouvent dans votre environnement de production, et pas seulement une machine propre, afin de garantir que les applications sont autorisées à s'exécuter correctement lorsque les stratégies sont appliquées via l'agent
CylancePROTECT Desktop
. Par exemple, vous pouvez sélectionner un sous-ensemble de terminaux dans votre environnement de production, qui incluent toutes les applications (propriétaires et personnalisées) dont les utilisateurs ont besoin pour leurs activités quotidiennes.L'agent utilise le contrôle d'exécution et le contrôle de processus pour analyser uniquement les processus en cours d'exécution. Cela inclut tous les fichiers qui s'exécutent au démarrage, qui sont définis sur exécution automatique et qui sont exécutés manuellement par l'utilisateur. L'agent envoie uniquement des alertes à la console de gestion. Par défaut, aucun fichier n'est bloqué ou mis en quarantaine.
- Dans la console de gestion, cliquez surStratégies > Stratégie de terminal > Ajouter une nouvelle stratégie.
- Dans le champNom de la stratégie, saisissez le nom de la stratégie de test.
- Activez leChargement automatiquepour analyser et envoyer les fichiers suspects aux services cloudCylancePROTECTpour une analyse plus approfondie.
- Dans l'ongletActions de fichier, dans la sectionChargement automatique, sélectionnez tous les types de fichiers disponibles.
- Cliquez surCréerpour créer la stratégie de test initiale.
- Attribuez la stratégie de test initiale aux points de terminaisonCylancePROTECT Desktopque vous utilisez pour le test.
- Autorisez les terminaux auxquels la stratégie de test est attribuée à s'exécuter au moins pendant une journée pour permettre l'exécution et l'analyse des applications et des processus généralement utilisés sur le terminal. Il est possible que vous souhaitiez prendre en compte toutes les applications requises qui s'exécutent périodiquement sur un terminal (par exemple, une fois par semaine) et qui doivent être surveillées en dehors de cette exécution de test.
- Lors du test de la stratégie, accédez à l'écranProtection > Menacesde la console de gestion pour afficher la liste des applications et processus considérés comme une menace (anormale ou dangereuse) parCylancePROTECTet identifiez ceux qui doivent être autorisés à s'exécuter sur le point de terminaison. Vous pouvez cliquer sur une menace pour afficher plus d'informations à son sujet et télécharger le fichier malveillant pour effectuer votre propre recherche de menace. Le fichier malveillant n'est pas modifié, mais renommé à l'aide du hachage SHA256 sans extension de fichier pour éviter sa détonation accidentelle. Si vous le renommez pour inclure l'extension de fichier d'origine, le fichier malveillant peut être exécuté. Aucune information personnelle n'est partagée avec la console ou avec d'autres locataires ou organisations.
- Accédez àStratégies > Stratégie de terminalet modifiez la stratégie de terminal pour permettre l'exécution d'applications et de processus spécifiques sur les points de terminaison auxquels cette stratégie est attribuée. Vous pouvez ajouter des fichiers à la sectionListe sécurisée des stratégiesde l'ongletActions de fichier.Vous pouvez également mettre en quarantaine ou supprimer des fichiers sur des terminaux spécifiques ou sur tous les terminaux de votre organisation. Pour plus d'informations, reportez-vous à la section Gestion des listes sécurisées et dangereuses pour CylancePROTECT Desktop.
- Modifiez la stratégie de terminal pour activer les analyses de détection des menaces en arrière-plan afin d'analyser les fichiers exécutables qui peuvent être des menaces inactives sur le disque.
- Dans l'ongletParamètres de protection, activez le paramètreDétection des menaces en arrière-planet sélectionnez l'optionExécuter une fois. Bien que l'analyse périodique ne soit pas nécessaire en raison des capacités prédictives de la solution, vous pouvez sélectionnerExécution récurrentepour l'activer, par exemple, à des fins de conformité.
- Activez le paramètreContrôler les nouveaux fichiers. Ce paramètre peut avoir un impact négatif sur les performances du terminal. L'ajout d'exclusions de dossiers peut contribuer à réduire l'impact.
- Pour exclure des dossiers spécifiques de la détection des menaces en arrière-plan, sélectionnezExclure des dossiers spécifiques (y compris les sous-dossiers)et spécifiez les dossiers à exclure. Pour autoriser l'exécution des fichiers dans les dossiers que vous avez spécifiés, sélectionnezAutoriser l'exécution. Pour en savoir plus sur ces champs, reportez-vous à Paramètres de protection.
- Cliquez surEnregistrerpour enregistrer la stratégie.
- Testez à nouveau la stratégie et assurez-vous que toutes les applications que les utilisateurs doivent utiliser sont autorisées à s'exécuter. L'analyse de détection des menaces en arrière-plan peut prendre jusqu'à une semaine, en fonction de l'activité du système et du nombre de fichiers qui doivent être analysés. Si nécessaire, assurez-vous d'ajouter des fichiers à la liste sécurisée des stratégies, à la liste sécurisée globale ou de les supprimer pour des terminaux individuels. Vous pouvez également exclure le dossier contenant le fichier dans les paramètres de protection.
- Modifiez la stratégie de terminal pour éliminer les processus dangereux en cours d'exécution sur le système. Par exemple, lorsqu'une menace est détectée dans un fichier exécutable (.exe ou .msi) et qu'elle est considérée comme dangereuse, ce paramètre interrompt les processus en cours d'exécution et leurs sous-processus.
- Dans l'ongletParamètres de protection, activez le paramètreArrêter les processus en cours d'exécution dangereux.
- Modifiez la stratégie afin d'activer les paramètres de mise en quarantaine automatique pour les fichiers dangereux et anormaux.
- Dans l'ongletActions de fichier, sous la colonne de tableauDangereux, activez le paramètreMise en quarantaine automatiqueen regard de l'Exécutablepour déplacer automatiquement les fichiers dangereux vers le dossier de quarantaine du terminal. Les fichiers dangereux ont des attributs de programmes malveillants et sont susceptibles d'être des programmes malveillants.
- SousAnormal, activezQuarantaine automatiquepour déplacer automatiquement les fichiers anormaux vers le dossier de quarantaine du terminal. Un fichier anormal possède moins d'attributs de programme malveillant qu'un fichier dangereux et est moins susceptible d'être un programme malveillant.
- Modifiez la stratégie pour activer les paramètres de protection de la mémoire afin de gérer les failles de mémoire, les injections de processus et les escalades.
- Dans l'ongletActions de mémoirede la stratégie de terminal, activezProtection de la mémoireet définissez les types de violation surAlerter. Lorsqu'un type de violation est défini sur Alerte et qu'une menace de ce type est détectée, l'agent envoie des informations à la console, mais ne bloque ni ne met fin aux processus en cours d'exécution dans la mémoire du terminal.
- Lors du test de la stratégie, accédez àProtection > Protection de la mémoirede la console afin d'afficher la liste des alertes de protection de la mémoire pour les processus pouvant constituer une menace.
- Si vous avez déterminé que l'un des processus est sûr pour les activités quotidiennes de l'entreprise, vous pouvez ajouter des exclusions pour les processus que vous souhaitez autoriser à exécuter. Dans l'ongletActions de mémoirede la stratégie de terminal, cliquez surAjouter une exclusionet spécifiez le chemin relatif vers le fichier.
- Une fois que vous avez spécifié les exclusions pour les processus que vous souhaitez autoriser à exécuter, définissez l'action surBloquerpour tous les types de violation. Lorsqu'un type de violation est bloqué, l'agent envoie des informations à la console et empêche le processus malveillant de s'exécuter dans la mémoire. L'application qui a appelé le processus malveillant est autorisée à poursuivre son exécution.
- Modifiez la stratégie pour activer les paramètres de contrôle du terminal. Cet exemple montre comment bloquer l'accès à tous les types de terminaux et autoriser les exceptions. Cependant, vous pouvez choisir d'autoriser l'accès complet à tous les types de terminaux et de bloquer les exceptions à la place.
- Dans l'ongletContrôle du terminalde la stratégie de terminal, activez la stratégieContrôle du terminal.
- Définissez le niveau d'accès de chaque type de périphérique USB surAccès complet.
- Enregistrez la stratégie.
- Sur le terminal test, insérez un périphérique USB.
- Dans la console de gestion, accédez àProtection > Terminaux externeset identifiez l'ID fournisseur, l'ID produit et le numéro de série des terminaux que vous souhaitez autoriser. Tous les fabricants n'utilisent pas un numéro de série unique avec leurs produits ; certains fabricants utilisent le même numéro de série pour plusieurs produits.
- Dans l'ongletContrôle de terminalde la stratégie de terminal, dans la sectionListe d'exclusion du stockage externe, cliquez surAjouter un terminalpour ajouter les terminaux que vous souhaitez autoriser.
- Une fois le test terminé, définissez le niveau d'accès de chaque type de terminal surBloquer. Vous pouvez ajouter des exclusions si nécessaire.
- Modifiez la stratégie pour activer les paramètres de contrôle du script. Le temps de test suggéré est de 1 à 3 semaines.
- Dans l'ongletContrôle de scriptde la stratégie de terminal, activez la stratégieContrôle de script.
- Définissez la stratégie pour chacun des types de script surAlerter. Plus la durée d'alerte du contrôle des scripts est longue, plus vous êtes susceptible de trouver des scripts rarement utilisés dans l'organisation.L'activation du paramètre de contrôle de script peut entrainer un volume élevé d'évènements si des scripts sont utilisés pour gérer les paramètresActive Directory.
- Accédez àProtection > Contrôle de scriptet identifiez les scripts qui ont été exécutés sur les terminaux que vous souhaitez autoriser.
- Dans l'ongletContrôle de scriptde la stratégie de terminal, dans la sectionExclure des fichiers, scripts ou processus, cliquez surAjouter une exclusionet spécifiez un chemin de processus relatif pour les scripts que vous souhaitez autoriser (par exemple,\Cases\AllowedScripts).
- Une fois que vous avez ajouté les exclusions pour les scripts que vous souhaitez autoriser à exécuter, vous pouvez définir la stratégie pour chacun des types de script surBloquer.