Configurer les Paramètres des Attaques RDP
S'applique À : WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR
Le mode "Confinement des Attaques RDP" permet à WatchGuard Endpoint Security de bloquer automatiquement les attaques RDP (bureau à distance). WatchGuard Endpoint Security surveille les attaques par force brute ciblant le protocole RDP et les informations d'identification compromises suite aux attaques par force brute.
Dans un profil de paramètres d'Indicateurs d'Attaque, vous pouvez configurer le comportement adopté lorsque WatchGuard Endpoint Security identifie une attaque RDP. Lorsque vous activez l'option Attaque RDP dans le profil de paramètres, WatchGuard Endpoint Security exécute les actions suivantes sur les ordinateurs cibles :
- Journalise les tentatives d'accès distant via RDP à chaque ordinateur protégé au cours des 24 dernières heures provenant de l'extérieur du réseau client.
- Détermine si l'ordinateur a été ciblé par une attaque RDP par force brute.
- Détecte si l'un des comptes de l'ordinateur a déjà été compromis pour accéder aux ressources du système.
- Bloque les connexions RDP afin d'atténuer l'attaque.
Pour configurer les paramètres de réponse à une Attaque RDP :
- Dans WatchGuard Cloud, sélectionnez Configurer > Endpoints.
- Sélectionnez Configuration.
- Dans le volet gauche, sélectionnez Indicateurs d'Attaque.
- Sélectionnez le profil de paramètres de sécurité existant à modifier, copiez un profil existant ou, en haut à droite de la fenêtre, cliquez sur Ajouter pour créer un nouveau profil.
La page Ajouter des Paramètres ou Modifier la Configuration s'ouvre. - Saisissez si nécessaire le Nom et la Description du profil.
- Activez l'option Attaque RDP.
- Sélectionnez Paramètres Avancés.
- Dans la section Réponse Automatique, spécifiez le traitement Automatique des stations de travail et des serveurs (Signaler ou Signaler et Bloquer).
- Dans la section Adresses IP de Confiance, ajoutez les adresses IP et les plages d'adresses IP à exclure.
Il s'agit d'une liste d'ordinateurs que vous considérez comme sécurisés. Ces IP sont signalées, mais pas bloquées. - Activez les options correspondant aux autres Indicateurs d'Attaque que vous souhaitez ajouter au profil.
Pour obtenir les informations concernant le type d'IOA, cliquez sur l'icône d'information. WatchGuard met régulièrement à jour la liste des Indicateurs d'Attaque afin de refléter les nouvelles stratégies utilisées par les cybercriminels. Dans Advanced EPDR, vous pouvez également activer IOA Avancés. L'IOA Avancée permet une surveillance approfondie des applications sur vos ordinateurs, détecte les comportements suspects et détermine si l'événement est un IOA. - Cliquez sur Enregistrer.
- Sélectionnez le profil puis attribuez si nécessaire des destinataires.
Pour de plus amples informations, accédez à Assigner un Profil de Paramètres.