Configurer les Paramètres des Attaques RDP
S'applique à : WatchGuard EPDR, WatchGuard EDR
Le mode de Confinement des Attaques RDP permet à WatchGuard Endpoint Security de bloquer automatiquement les attaques RDP (bureau à distance). WatchGuard Endpoint Security surveille les attaques par force brute ciblant le protocole RDP et les informations d'identification compromises suite aux attaques par force brute.
Dans un profil de paramètres d'Indicateurs d'Attaque, vous pouvez configurer le comportement adopté lorsque WatchGuard Endpoint Security identifie une attaque RDP. Lorsque vous activez l'option Attaque RDP dans le profil de paramètres, WatchGuard Endpoint Security exécute les actions suivantes sur les ordinateurs cibles :
- Journalise les tentatives d'accès distant via RDP à chaque ordinateur protégé au cours des 24 dernières heures provenant de l'extérieur du réseau client.
- Détermine si l'ordinateur a été ciblé par une attaque RDP par force brute.
- Détecte si l'un des comptes de l'ordinateur a déjà été compromis pour accéder aux ressources du système.
- Bloque les connexions RDP afin d'atténuer l'attaque.
Pour configurer les paramètres de réponse à une Attaque RDP :
- Dans la barre de navigation supérieure, sélectionnez Paramètres.
- Dans le volet gauche, sélectionnez Indicateurs d'Attaque.
- Sélectionnez le profil de paramètres de sécurité existant à modifier, copiez un profil existant ou, en haut à droite de la fenêtre, cliquez sur Ajouter pour créer un nouveau profil.
La page Ajouter des Paramètres ou Modifier les Paramètres s'ouvre. - Saisissez si nécessaire le Nom et la Description du profil.
- Activez l'option Attaque RDP.
- Sélectionnez Paramètres Avancés.
- Dans la section Réponse Automatique, spécifiez le traitement Automatique des stations de travail et des serveurs (Signaler ou Signaler et Bloquer).
- Dans la section IP Approuvées, ajoutez les adresses IP et les plages d'adresses IP à exclure.
Ces IP sont signalées, mais pas bloquées. - Activez les options correspondant aux autres Indicateurs d'Attaque que vous souhaitez ajouter au profil.
Pour obtenir les informations concernant le type d'IOA, cliquez sur l'icône d'information. WatchGuard met régulièrement à jour la liste des Indicateurs d'Attaque afin de refléter les nouvelles stratégies utilisées par les cybercriminels. - Cliquez sur Enregistrer.
- Sélectionnez le profil puis attribuez si nécessaire des destinataires.
Pour plus d'informations, consultez Assigner un Profil de Paramètres.