Protection Avancée

S'applique À : WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR et WatchGuard EDR Core Cette rubrique s'applique à WatchGuard Advanced EPDR, WatchGaurd EPDR, WatchGuard EDR et WatchGuard EDR Core.

Dans les paramètres de la Protection Avancée d'un profil de paramètres de stations de travail et de serveurs, vous configurez les paramètres permettant de suivre l'activité des programmes exécutés sur les ordinateurs, et détecter et bloquer les programmes malveillants.

Les fonctionnalités disponibles varient en fonction des plates-formes. Pour de plus amples informations, accédez à Protection Avancée des Périphériques sur les Plates-Formes Windows, Linux et macOS.

Pour configurer les paramètres de la Protection Avancée :

1. Dans WatchGuard Cloud, sélectionnez Configurer > Endpoints.
2. Sélectionnez Configuration.
3. Dans le volet gauche, sélectionnez Stations de Travail et Serveurs.
4. Sélectionnez le profil de paramètres de sécurité existant à modifier, copiez un profil existant ou, en haut à droite de la fenêtre, cliquez sur Ajouter pour créer un nouveau profil.
   La page Ajouter des Paramètres ou Modifier la Configuration s'ouvre.
5. Saisissez si nécessaire le Nom et la Description du profil.
6. Sélectionnez Protection Avancée.
7. Activez l'option Protection Avancée.
8. Configurez ces paramètres si nécessaire :
   • Configurer le Comportement de Fonctionnement
   • Configurer les Stratégies de Sécurité Avancées (Ordinateurs Windows)
   • Configurer la Protection Anti-Exploitation
   • Configurer la Protection contre les Attaques Réseau (Ordinateurs Windows)
   • Configurer la Confidentialité
   • Configurer l'Utilisation du Réseau
9. Cliquez sur Enregistrer.
10. Sélectionnez le profil puis attribuez si nécessaire des destinataires.
    Pour de plus amples informations, accédez à Assigner un Profil de Paramètres.

Configurer le Comportement de Fonctionnement

Le mode de fonctionnement n'est pas disponible avec EDR Core ou WatchGuard EPP.

Pour configurer le comportement de fonctionnement, dans la section Comportement :

1. Pour les ordinateurs Windows, sélectionnez un Mode de Fonctionnement dans la liste (Audit, Hardening, Verrouiller).
   Pour de plus amples informations concernant les modes de fonctionnement, accédez à Protection Avancée – Modes de Fonctionnement (Ordinateurs Windows).

2. Pour afficher un message dans une alerte contextuelle sur l'ordinateur de l'utilisateur lorsque les fonctionnalités de protection avancée ou anti-exploitation bloquent un fichier, activez l'option Signaler le Blocage aux Utilisateurs de l'Ordinateur.
3. (Facultatif) Saisissez un message personnalisé à inclure dans l'alerte.
4. Sur les ordinateurs Linux, dans la liste déroulante Détecter l'Activité Malveillante, sélectionnez l'action à exécuter lorsque WatchGuard Endpoint Security détecte une activité malveillante.
   • Audit — Signale les menaces détectées, mais ne bloque pas les malware.
   • Bloquer — Signale et bloque les menaces détectées. Il s'agit de l'option par défaut.
   • Ne Pas Détecter — Les malware ne sont pas détectés ni signalés.

Configurer la Protection Anti-Exploitation

La technologie anti-exploitation n'est pas disponible sur les systèmes Windows ARM.

La protection anti-exploitation empêche les programmes malveillants d'exploiter les vulnérabilités connues et inconnues (inédites) des applications cherchant à accéder aux ordinateurs du réseau d'entreprise. Pour de plus amples informations, accédez à À Propos de la Protection Anti-Exploitation.

Pour détecter et bloquer les attaques d'exploitation des vulnérabilités et les malware metasploit, vous pouvez activer et configurer la protection anti-exploitation.

Nous vous recommandons d'activer progressivement la protection anti-exploitation sur les ordinateurs sur lesquels une solution de sécurité tierce est déjà installée afin de confirmer qu'elle fonctionne correctement.

WatchGuard Advanced EPDR inclut l'Injection de Code Avancée pour détecter les mécanismes avancés permettant d'injecter du code dans les processus en cours d'exécution.

Pour configurer la protection anti-exploitation, dans la section Anti-Exploitation :

1. Activez l'option Anti-Exploitation.

2. Pour les ordinateurs Windows, sélectionnez un Mode de Fonctionnement dans la liste :
   • Audit — Signale les exploits détectés dans l'interface de gestion, mais n'exécute aucune action pour y répondre et n'affiche aucune information visible par l'utilisateur.
   • Bloquer — Bloque les attaques d'exploits. Dans certains cas, il s'avère parfois nécessaire d'arrêter le processus compromis ou de redémarrer l'ordinateur. L'utilisateur voit s'afficher une notification concernant l'attaque bloquée. WatchGuard Endpoint Security arrête automatiquement le processus compromis.
3. Pour avertir les utilisateurs lorsque la protection anti-exploitation bloque un processus compromis, activez l'option Signaler le Blocage à l'Utilisateur de l'Ordinateur.
   L'utilisateur voit s'afficher une notification et le processus compromis est automatiquement arrêté si nécessaire.
4. Pour inviter les utilisateurs à arrêter un processus compromis, activez l'option Demander à l'Utilisateur la Permission d'Arrêter un Processus Compromis.
   Chaque fois qu'un ordinateur compromis doit être redémarré, l'utilisateur doit fournir une confirmation, que cette option soit activée ou non.

De nombreux exploits continuent d'exécuter le code malveillant jusqu'à ce que le processus concerné soit arrêté. Un exploit ne figure pas comme résolu dans la mosaïque Activité des Exploitations du tableau de bord Sécurité de l'interface de gestion tant que le programme compromis n'est pas été interrompu.

Configurer la Protection contre les Attaques Réseau (Ordinateurs Windows)

La Protection contre les Attaques Réseau n'est pas disponible avec EDR Core ou WatchGuard EPP.

De nombreux incidents de sécurité commencent par des attaques exploitant les vulnérabilités des services exposés sur Internet. Si des acteurs malveillants atteignent leur objectif et infectent les ordinateurs de votre organisation, vous devez arrêter l'attaque. Cette fonctionnalité est activée par défaut pour bloquer les attaques dans les nouveaux comptes avec WatchGuard Endpoint Security.

La Protection contre les Attaques Réseau analyse le trafic réseau en temps réel pour détecter et arrêter les menaces. Elle empêche les attaques réseau qui tentent d'exploiter les vulnérabilités des services ouverts sur Internet et du réseau interne.

Si vous désactivez la Protection contre les Attaques Réseau, cela apparaît comme un risque sur le tableau de bord des Risques. Pour de plus amples informations, accédez à Évaluation des Risques dans WatchGuard Endpoint Security.

Pour activer la protection contre les attaques réseau, activez l'option. Vous pouvez sélectionner le mode de fonctionnement :

• Audit – Autorise les attaques réseau
• Bloquer — Bloque les attaques réseau avant qu'elles ne puissent effectuer des actions.

Pour obtenir la liste des attaques détectées par WatchGuard Endpoint Security, accédez à Protection contre les Attaques Réseau — Types d'Attaques Détectées.

Vous pouvez envoyer des alertes par e-mail lorsque la Protection contre les Attaques Réseau détecte une attaque réseau. Pour de plus amples informations, accédez à Configurer Envoyer les Alertes par E-Mail.

Configurer la Confidentialité

WatchGuard Endpoint Security collecte le nom et le chemin d'accès complet des fichiers qu'il transmet à WatchGuard Cloud à des fins d'analyse ainsi que le nom de l'utilisateur connecté. Ces informations sont utilisées dans les rapports et les outils d'analyse détaillée présentés dans l'interface de gestion.

Pour autoriser la collecte de données, dans la section Confidentialité, activez les options correspondantes.

Configurer l'Utilisation du Réseau

WatchGuard Endpoint Security transmet chaque fichier exécutable inconnu détecté sur les ordinateurs des utilisateurs à WatchGuard Cloud à des fins d'analyse. Ce comportement est configuré de manière à éviter tout impact sur la bande passante du réseau client :

• WatchGuard Endpoint Security envoie uniquement un maximum de 50 Mo de fichiers à WatchGuard Cloud chaque heure pour chaque client.
• L'endpoint agent transmet chaque fichier inconnu une seule fois pour tous les clients utilisant WatchGuard Endpoint Security.
• WatchGuard Endpoint Security met en place des mécanismes de gestion de la bande passante visant à éviter l'utilisation intensive des ressources réseau.

Pour configurer l'utilisation du réseau, dans la section Utilisation du Réseau :

• Dans la zone de texte Nombre maximal de MO pouvant être transférés en une heure, saisissez le nombre maximal de MO pouvant être transférés entre les ordinateurs et périphériques de votre réseau et WatchGuard Cloud.

Rubriques Connexes

À Propos de la Protection Anti-Exploitation

Gérer les Profils de Paramètres

Copier un Profil de Paramètres

Modifier un Profil de Paramètres