Dépanner l'Infection d'un Endpoint

S'applique À : WatchGuard Advanced EPDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard Advanced EPDR., WatchGuard EPDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard EPDR., WatchGuard EDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard EDR., WatchGuard EPP Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard EPP., WatchGuard EDR Core Cette rubrique s'applique à WatchGuard EDR Core, disponible dans la licence Total Security Suite.

Lorsqu'un produit WatchGuard Endpoint Security signale un malware, vous pouvez essayer d'utiliser le mode de Fonctionnement pour supprimer l'infestation de logiciels malveillants. Vous pouvez également collecter des informations et signaler le malware à l'Assistance.

Mode de Fonctionnement

Dans les paramètres de la Protection Avancée d'un profil de paramètres de stations de travail et de serveurs, vous pouvez configurer WatchGuard Endpoint Security de manière à détecter et bloquer les programmes malveillants. Le paramètre Mode de Fonctionnement spécifie la façon dont WatchGuard Endpoint Security répond lorsqu'il détecte un fichier inconnu.

Il existe trois modes de réponse disponibles : Audit, Hardening et Lock.

Audit

Signale les menaces détectées sur des tableaux de bord et des listes sans bloquer ni désinfecter les fichiers.

Hardening (Renforcement)

• Autorise l'exécution des programmes inconnus déjà installés sur les ordinateurs des utilisateurs.
• Bloque les programmes inconnus provenant d'une source non approuvée (Internet, disques de stockage externes, autres ordinateurs du réseau, etc.) jusqu'à ce qu'une classification ait été obtenue.
• Désinfecte ou supprime les programmes classifiés comme malware.

Verrouiller

Bloque l'exécution de tous les programmes classifiés comme malware ainsi que de tous les programmes inconnus en attente de classification.

Pour tenter de résoudre un problème de malware, assurez-vous que le paramètre Mode de Fonctionnement utilisé par l'ordinateur n'est pas défini sur le mode Audit. En mode Audit, le produit de sécurité des endpoints suit les programmes sur votre ordinateur, mais ne bloque ni ne désinfecte les fichiers.

Pour plus d'informations sur les paramètres de la Protection Avancée, accédez à Protection Avancée – Modes de Fonctionnement (Ordinateurs Windows).

Collecter des Informations

Il peut arriver que vous installiez le produit de sécurité des endpoints sur un ordinateur déjà infecté par un malware. Pour le confirmer, vous pouvez utiliser les journaux d'installation collectés par l'outil PSInfo pour déterminer la date de l'infection.

Dans le cas d'une infection par un logiciel de rançon, lorsque vous contactez l'Assistance avec les journaux d'installation collectés par l'outil PSInfo, fournissez une estimation de la date et de l'heure de l'infection. Si possible, récupérez une copie du fichier chiffré par le logiciel de rançon. Si vous ne parvenez pas à obtenir une copie du fichier chiffré, informez l'Assistance de l'extension du fichier chiffré et si les fichiers chiffrés sont des fichiers réseau partagés ou des fichiers locaux.