Advanced Protection
S'applique à : WatchGuard EPDR, WatchGuard EDR
Dans les paramètres d'Advanced Protection d'un profil de paramètres de stations de travail et de serveurs, vous configurez les paramètres permettant de suivre l'activité des programmes exécutés sur les ordinateurs, et détecter et bloquer les programmes malveillants.
Les fonctionnalités disponibles varient en fonction des plates-formes. Pour plus d'informations, consultez Advanced Protection des Périphériques sur les Plates-Formes Windows, Linux et macOS
Pour configurer les paramètres d'une Advanced Protection :
- Dans la barre de navigation supérieure, sélectionnez Paramètres.
- Dans le volet gauche, sélectionnez Stations de Travail et Serveurs.
- Sélectionnez le profil de paramètres de sécurité existant à modifier, copiez un profil existant ou, en haut à droite de la fenêtre, cliquez sur Ajouter pour créer un nouveau profil.
La page Ajouter des Paramètres ou Modifier les Paramètres s'ouvre. - Saisissez si nécessaire le Nom et la Description du profil.
- Sélectionnez Advanced Protection.
- Activez l'option Advanced Protection.
- Configurez ces paramètres si nécessaire :
- Cliquez sur Enregistrer.
- Sélectionnez le profil puis attribuez si nécessaire des destinataires.
Pour plus d'informations, consultez Assigner un Profil de Paramètres.
Configurer le Comportement de Fonctionnement
Pour configurer le comportement de fonctionnement, dans la section Comportement :
- Pour les ordinateurs Windows, sélectionnez un Mode de Fonctionnement dans la liste.
Pour de plus amples informations concernant les modes de fonctionnement, consultez la section Advanced Protection – Modes de Fonctionnement (ordinateurs Windows).
- Pour afficher un message dans une alerte contextuelle sur l'ordinateur de l'utilisateur lorsque les fonctionnalités de protection avancée ou anti-exploit bloquent un fichier, activez l'option Signaler le Blocage aux Utilisateurs de l'Ordinateur.
- (Facultatif) Saisissez un message personnalisé à inclure dans l'alerte.
- Sur les ordinateurs Linux, dans la liste déroulante Détecter l'Activité Malveillante, sélectionnez l'action à exécuter lorsque WatchGuard Endpoint Security détecte une activité malveillante.
- Audit — Signale les menaces détectées, mais ne bloque pas les malware.
- Bloquer — Signale et bloque les menaces détectées. Il s'agit de l'option par défaut.
- Ne Pas Détecter — Les malware ne sont pas détectés ni signalés.
Configurer la Protection Anti-Exploit
La protection anti-exploit empêche les programmes malveillants d'exploiter les vulnérabilités connues et inconnues (« zero-day ») des applications cherchant à accéder aux ordinateurs du réseau d'entreprise. Pour plus d'informations, consultez À propos de la Protection Anti-Exploit.
Pour détecter et bloquer les attaques d'exploitation des vulnérabilités et les malware metasploit, vous pouvez activer et configurer la protection anti-exploit.
Nous vous recommandons d'activer progressivement la protection anti-exploit sur les ordinateurs sur lesquels une solution de sécurité tierce est déjà installée afin de confirmer qu'elle fonctionne correctement.
Pour configurer la protection anti-exploit, dans la section Anti-Exploit
- Activez l'option Anti-Exploit.
- Pour les ordinateurs Windows, sélectionnez un Mode de Fonctionnement dans la liste
- Audit — Signale les exploits détectés dans la web UI, mais n'exécute aucune action pour y répondre et n'affiche aucune information visible par l'utilisateur.
- Bloquer — Bloque les attaques d'exploits. Dans certains cas, il s'avère parfois nécessaire d'arrêter le processus compromis ou de redémarrer l'ordinateur. L'utilisateur voit s'afficher une notification concernant l'attaque bloquée. WatchGuard Endpoint Security arrête automatiquement le processus compromis.
- Pour avertir les utilisateurs lorsque la protection anti-exploit bloque un processus compromis, activez l'option Signaler le Blocage à l'Utilisateur de l'Ordinateur.
L'utilisateur voit s'afficher une notification et le processus compromis est automatiquement arrêté si nécessaire. - Pour inviter les utilisateurs à arrêter un processus compromis, activez l'option Demander à l'Utilisateur la Permission d'Arrêter un Processus Compromis.
Chaque fois qu'un ordinateur compromis doit être redémarré, l'utilisateur doit fournir une confirmation, que cette option soit activée ou non.
De nombreux exploits continuent d'exécuter le code malveillant jusqu'à ce que le processus concerné soit arrêté. Un exploit ne figure pas comme résolu dans la mosaïque Activité des Exploits du tableau de bord de Sécurité de la web UI tant que le programme compromis n'est pas été interrompu.
Configurer la Confidentialité
WatchGuard Endpoint Security collecte le nom et le chemin d'accès complet des fichiers qu'il transmet à WatchGuard Cloud à des fins d'analyse ainsi que le nom de l'utilisateur connecté. Ces informations sont utilisées dans les rapports et les outils d'analyse détaillée présentés dans la web UI.
Pour autoriser la collecte de données, dans la section Confidentialité, activez les options correspondantes.
Configurer l'Utilisation du Réseau
WatchGuard Endpoint Security transmet chaque fichier exécutable inconnu détecté sur les ordinateurs des utilisateurs à WatchGuard Cloud à des fins d'analyse. Ce comportement est configuré de manière à éviter tout impact sur la bande passante du réseau client :
- WatchGuard Endpoint Security ne transmet que 50 MO maximum par heure et par client à WatchGuard Cloud.
- L'agent client transmet chaque fichier inconnu une seule fois pour tous les clients utilisant WatchGuard Endpoint Security.
- WatchGuard Endpoint Security a mis en place des mécanismes de gestion de la bande passante visant à éviter l'utilisation intensive des ressources réseau.
Pour configurer l'utilisation du réseau, dans la section Utilisation du Réseau :
- Dans la zone de texte Nombre maximal de MO pouvant être transférés en une heure, saisissez le nombre maximal de MO pouvant être transférés entre les ordinateurs et périphériques de votre réseau et WatchGuard Cloud.
Voir Également
À propos de la Protection Anti-Exploit
Gérer les Profils de Paramètres