Gérer les Groupes de TDR

Dans Threat Detection and Response, vous pouvez créer des groupes d'hôtes de votre réseau. Ces groupes vous permettent de :

  • Spécifier un nom de groupe dans une stratégie pour configurer différentes stratégies sur différents hôtes.
    Pour plus d'informations, consultez Configurer les Stratégies TDR.
  • Afficher et gérer les Host Sensors, les membres et les paramètres du Host Sensor d'un groupe.
    Pour plus d'informations, consultez Gérer les Hôtes d'un Groupe.

TDR prend en charge trois types de groupes :

Groupe Active Directory

Les groupes Active Directory sont créés dans TDR lorsque AD Helper envoie les informations du groupe de périphériques de votre serveur Active Directory à TDR. Vous gérez les membres de ces groupes sur votre contrôleur de domaine Active Directory. Vous pouvez synchroniser le groupe Active Directory de votre serveur Active Directory avec TDR sur la page Groupes de TDR.

Groupe d'Hôtes

Vous pouvez ajouter un groupe d'Hôtes, à savoir une liste d'hôtes. Un hôte peut être membre d'un seul groupe d'Hôtes. Un Analyst peut gérer les Host Sensors des membres du groupe et configurer des paramètres Host Sensor spécifiques au groupe. Vous pouvez créer et ajouter des membres à un Groupe d'Hôtes à partir de la page Groupes ou Hôtes.

La manière la plus simple d'ajouter plusieurs hôtes à un groupe est d'effectuer cette opération à partir de la page Hôtes. Pour plus d'informations, consultez Gérer les Hôtes et les Host Sensors TDR.

Groupe de Sous-réseau IP

Vous pouvez ajouter un groupe de Sous-réseau IP destiné à un sous-réseau IPv4 spécifique. Le groupe comprend les hôtes dont l'adresse IP appartient au sous-réseau IP spécifié du groupe.

Un opérateur observer peut voir les informations des groupes mais ne peut pas les modifier.

Depuis la page Groupes, un Analyst peut :

  • Synchroniser les groupes Active Directory
  • Ajouter, modifier et supprimer le Sous-réseau IP et les groupes d'Hôtes
  • Modifier les membres d'un Groupe d'Hôtes
  • Installer et supprimer les Host Sensors des membres d'un groupe d'Hôtes
  • Configurer les Paramètres Host Sensor d'un Groupe d'Hôtes

Afficher les Groupes Threat Detection and Response

Pour afficher la liste des groupes :

  1. Se Connecter à TDR.
  2. Sélectionnez Configurer > Threat Detection.
  3. Dans la section ThreatSync, sélectionnez Groupes.
  4. Pour afficher les informations concernant un groupe d'Hôtes, cliquez sur à côté du nom du groupe.
    Les hôtes du groupe et les Paramètres Host Sensor de ce groupe s'affichent.

Un Analyst peut ajouter et modifier des groupes d'Hôtes et de Sous-réseaux IP sur cette page. Un Analyst peut également gérer les paramètres host sensor ainsi qu'installer et supprimer les Host Sensors des membres d'un groupe.

Gérer les Filtres

Vous pouvez filtrer les informations figurant sur la page en haut de chaque colonne. Vous pouvez enregistrer un paramètre de filtrage afin que la page affiche par défaut les informations spécifiées à chaque ouverture.

  1. Sélectionnez les paramètres de colonne que vous souhaitez enregistrer.
  2. Dans l'en-tête de colonne la plus à gauche, cliquez sur .
  3. Sélectionnez Enregistrer.
  1. Dans l'en-tête de colonne la plus à gauche, cliquez sur .
  2. Sélectionnez Appliquer.
  1. Dans l'en-tête de colonne la plus à gauche, cliquez sur .
  2. Sélectionnez Effacer.
  1. Dans l'en-tête de colonne la plus à gauche, cliquez sur .
  2. Sélectionnez Supprimer.

Synchroniser un Groupe Active Directory

La page Groupes permet à un Analyst de synchroniser les groupes Active Directory. Lorsque vous synchronisez un groupe, AD Helper obtient les informations mises à jour concernant le groupe auprès du contrôleur de domaine Active Directory et met à jour les informations du groupe dans votre compte TDR.

Pour synchroniser un Groupe Active Directory :

  1. Sur la page Groupes, en face d'un groupe Active Directory, cliquez sur .
  2. Sélectionnez Synchroniser le Groupe.
    Un message vous invite à confirmer si vous souhaitez synchroniser le groupe.
  3. Cliquez sur Oui, Synchroniser.

Vous devez synchroniser un groupe Active Directory avant de pouvoir l'étendre sur la page des groupes ou modifier l'appartenance à un Groupe d'Hôte des membres du groupe Active Directory.

Ajouter un Groupe

Sur la page Groupes, vous pouvez ajouter un Groupe d'hôtes ou un Groupe de sous-réseaux IP.

Vous pouvez également utiliser l'action Modifier le Groupe d'Hôtes pour ajouter un Groupe d'Hôtes aux hôtes sélectionnés. Pour plus d'informations, consultez Gérer les Hôtes et les Host Sensors TDR.

Lorsque vous ajoutez un groupe d'Hôtes, vous spécifiez les hôtes du groupe par leur nom. Avant d'ajouter des hôtes à un groupe, vous devez connaître leur nom. Etant donné que vous pouvez configurer différents Paramètres Host Sensor pour chaque groupe, un hôte ne peut pas être membre de plusieurs groupes d'Hôtes.

  1. A la page Groupes, cliquez sur Ajouter un Groupe.
    La boîte de dialogue Ajouter un Groupe s'ouvre.

Capture d'écran de la boîte de dialogue Ajouter un Groupe.

  1. Dans la zone de texte Nom de Groupe saisissez un nom pour ce groupe.
  2. Dans la liste déroulante Type, sélectionnez Hôte. Il s'agit de l'option par défaut.
  3. Cliquez sur Ajouter des Hôtes au Groupe.
    La boîte de dialogue Ajouter des Hôtes à un Groupe s'ouvre.

Capture d'écran de la boîte de dialogue Ajouter des Hôtes à un Groupe.

  1. Cochez la case située en face des noms d'hôte à ajouter.
  2. Cliquez sur Ajouter les Hôtes Sélectionnés.
    Les hôtes sont ajoutés à la boîte de dialogue Ajouter un Groupe.
  3. Pour supprimer un hôte, cochez la case située en face de son nom puis cliquez sur Supprimer les Hôtes Sélectionnés.
  4. Cliquez sur Enregistrer et Fermer.

Vous ne pouvez gérer que les Host Sensors des Groupes d'Hôtes.

  1. A la page Groupes, cliquez sur Ajouter un Groupe.
    La boîte de dialogue Ajouter un Groupe s'ouvre.

Capture d'écran de la boîte de dialogue Ajouter un Groupe d'un groupe de Sous-réseau IP

  1. Dans la zone de texte Nom de Groupe saisissez un nom pour ce groupe.
  2. Dans la liste déroulante Type, sélectionnez Sous-réseau IP.
  3. Dans la zone de texte Adresse Réseau, saisissez l'adresse IP d'un hôte ou d'un réseau.
  4. Dans la zone de texte Masque de Sous-réseau, saisissez le masque de sous-réseau de l'adresse IP.
  5. Cliquez sur Enregistrer et Fermer.

Modifier ou Supprimer un Groupe

Pour modifier ou supprimer un groupe d'Hôtes ou de Sous-réseaux IP, vous devez vous connecter à TDR en tant qu'Analyste.

Pour modifier un groupe :

  1. Dans la liste des Groupes, cliquez sur en face du groupe à modifier.
  2. Sélectionnez Modifier le Groupe.
    La boîte de dialogue Modifier un Groupe s'ouvre.
  3. Modifiez les informations du groupe comme indiqué dans la procédure précédente.
  4. Cliquez sur Enregistrer et Fermer.

Pour supprimer un groupe :

  1. Dans la liste des Groupes, cliquez sur en face du groupe à supprimer.
  2. Sélectionnez Supprimer le Groupe.
    Un message de configuration apparaît.
  3. Cliquez sur Oui, Supprimer.

Lorsque vous supprimez un groupe, il est automatiquement supprimé de toutes les stratégies où il figure.

Gérer les Hôtes d'un Groupe

La page Groupes vous permet d'afficher des informations concernant les hôtes d'un groupe et de gérer les Host Sensors et les Paramètres Host Sensor du groupe. Vous pouvez développer les groupes qui comprennent au moins un hôte.

Pour gérer les Hôtes d'un groupe, à côté de ce groupe, cliquez sur .

Les informations du groupe s'affichent dans deux onglets:

  • Hôtes — Affiche les hôtes de ce groupe et indiquant le réseau, le système d'exploitation et l'état du Host Sensor de chaque hôte
  • Configuration du Host Sensor — Les paramètres des hôtes d'un groupe. Vous pouvez configurer les Paramètres Host Sensor du groupe, qui ont priorité sur les paramètres globaux des Host Sensors spécifiés par l'Administrateur.

L'onglet Hôtes vous permet d'afficher les informations concernant les hôtes de ce groupe, d'ajouter des hôtes à ce groupe ainsi que de gérer les Host Sensors et les membres des groupes.

Vous pouvez effectuer les actions suivantes pour les hôtes :

  • Modifier le Groupe d'Hôtes — Modifie le Groupe d'Hôtes auquel l'hôte appartient
  • Installer un Capteur — Utilise AD Helper pour installer un Host Sensor sur un hôte Windows
  • Redémarrer le Capteur — Redémarrer le Host Sensor d'un hôte
  • Supprimer le Capteur — Désinstalle le Host Sensor d'un hôte
  • Confirmer la Suppression Manuelle — Confirme que le Host Sensor d'un hôte a été manuellement désinstallé
  • Mettre à Jour l'Hôte — Met à jour un Host Sensor vers la dernière version de TDR
  • Isoler l'Hôte — Isole l'hôte afin d'éviter qu'il ne communique sur le réseau
  • Libérer l'Hôte — Met fin à l'isolation de l'hôte
  • Mettre en Pause la Protection de l'Hôte — Mettre temporairement en pause TDR sur un hôte
  • Demande de Référentiel — Effectuer une nouvelle analyse de référentiel après avoir effectué des changements sur un hôte

Pour ajouter des hôtes à un groupe :

  1. Cliquez sur Actions > Ajouter des Hôtes.

    La boîte de dialogue Ajouter des Hôtes à un Groupe s'ouvre.

Capture d'écran de la boîte de dialogue Ajouter des Hôtes à un Groupe.

  1. Cochez la case située en face des noms d'hôte à ajouter.
  2. Cliquez sur Ajouter les Hôtes Sélectionnés.
    Les hôtes sont ajoutés au groupe.

Pour installer ou supprimer le Host Sensor d'un ou plusieurs hôtes d'un groupe :

  1. Sur la page Groupes, en face du groupe à gérer, cliquez sur .
    La boîte de dialogue des informations de l'hôte de ce groupe s'ouvre.

Capture d'écran de la page Groupes avec les informations des Hôtes d'un groupe développées

  1. Dans l'onglet Hôtes, cochez la case d'un ou plusieurs hôtes.
  2. Dans la liste déroulante Actions, sélectionnez une option.
    La liste déroulante indique le nombre d'hôtes sélectionnés auxquels s'applique chaque action disponible.
    La boîte de dialogue Confirmer l'Action s'ouvre avec la liste des hôtes auxquels s'applique chaque action.

Capture d'écran de la boîte de dialogue Confirmer l'Action

  1. Pour confirmer l'action, cliquez sur Exécuter l'Action.

Pour supprimer le host sensor d'un seul hôte, cliquez sur dans la colonne Etat d'Installation.

Pour obtenir des informations concernant la désinstallation manuelle du Host Sensor d'un hôte, consultez Désinstaller des Host Sensors TDR.

Lorsque la Mise à Jour Automatique du Host Sensor est activée sur la page Paramètres généraux, les Host Sensors sont automatiquement mis à jour lorsqu'une nouvelle version de TDR est disponible. Pour plus d'informations, consultez Paramètres Généraux de TDR.

Vous pouvez opter pour mettre à jour certains Host Sensors manuellement lorsqu'une nouvelle version est disponible. Une icône s'affiche dans la colonne État d'Installation si un Host Sensor peut être mis à jour manuellement.

Pour mettre à jour un hôte donné :

Dans la colonne État d'Installation, cliquez sur en face de l'état d'installation du Host Sensor.

Le Host Sensor est mis à jour vers la nouvelle version.

Pour mettre à jour plusieurs hôtes :

  1. Cochez la case à côté d'un ou plusieurs hôtes dans la liste.
  2. Cliquez sur Actions > Mettre à jour.
    Le Host Sensor est mis à jour vers la nouvelle version.

Les hôtes isolés ne peuvent pas communiquer sur le réseau.

Pour isoler les hôtes, le paramètre Autoriser l'Action d'Isolation d'Hôte du Noyau doit être activé dans les paramètres du Host Sensor. Pour plus d'informations, consultez Configurer les Paramètres d’Host Sensor TDR.

Pour isoler un hôte :

  1. Cochez la case correspondant à l'hôte que vous souhaitez isoler.
  2. Sélectionnez Actions > Isoler l'Hôte.

    La boîte de dialogue Confirmer l'Action - Isoler l'Hôte s'ouvre.
  3. Cliquez sur Exécuter l'Action

    L'hôte est contenu et une icône d'isolation est affichée dans la colonne État du Capteur.

Capture d'écran de l'icône d'isolation

Pour libérer un hôte d'isolation :

  1. Cochez la case correspondant à l'hôte que vous souhaitez libérer.
  2. Sélectionnez Actions > Libérer l'Hôte.
    La boîte de dialogue Confirmer l'Action - Libérer l'Hôte s'ouvre.
  3. Cliquez sur Exécuter l'Action
    L'hôte est libéré de l'isolation.

Dans la liste des hôtes d'un groupe, vous pouvez modifier le Groupe d'Hôtes auquel un Hôte appartient. Cette opération supprime l'hôte du groupe actuel et l'ajoute à un autre groupe. Vous pouvez également supprimer un Hôte de tous les groupes.

Pour modifier le Groupe d'Hôtes correspondant à un ou plusieurs hôtes :

  1. Sélectionnez Périphériques/Utilisateurs > Hôtes.
  2. Cochez la case à côté d'un ou plusieurs hôtes dans la liste.
  3. Sélectionnez Actions > Modifier le Groupe d'Hôtes.
    La boîte de dialogue Modifier le Groupe d'Hôtes s'ouvre.

  1. Commencez à saisir le nom du groupe. Il peut s'agir d'un groupe existant ou d'un nouveau groupe.
    À mesure de votre saisie. les noms des groupes existants et l'option vous permettant d'ajouter un nouveau groupe s'affichent sous la zone de texte.
  2. Sélectionnez le groupe ou l'option d'ajout d'un nouveau groupe avec le nom que vous avez saisi.
    Les hôtes sélectionnés sont ajoutés au groupe que vous avez sélectionné. Si vous avez sélectionné l'option d'ajout d'un nouveau groupe, le Groupe d'Hôtes est ajouté.

Pour supprimer un ou plusieurs Host Sensors d'un Groupe d'Hôtes.

  1. Cochez la case à côté d'un ou plusieurs hôtes dans la liste.
  2. Sélectionnez Actions > Modifier le Groupe d'Hôtes.
    La boîte de dialogue Modifier le Groupe d'Hôtes s'ouvre.
  3. Sélectionner Aucun Groupe.
    Chaque hôte sélectionné est supprimé du Groupe d'Hôtes dont il était précédemment membre.

La configuration du groupe vous permet de spécifier les Paramètres Host Sensor devant s'appliquer uniquement au groupe. Les paramètres que vous spécifiez pour un groupe ont priorité sur les paramètres Host Sensor globaux configurés par l'Administrateur.

La configuration du Host Sensor comprend les paramètres suivants :

  • Paramètres du Host Sensor — Spécifient les actions autorisées du Host Sensor.
  • Paramètres de Prévention d'Altération du Host Sensor — Spécifient si les utilisateurs peuvent modifier ou désinstaller le service Threat Detection and Response.
  • Paramètres de Configuration du Pilote du Host Sensor — Activent et désactivent les paramètres du pilote du Host Sensor. Nous vous recommandons de conserver les paramètres par défaut, à moins que vous n'ayez d'abord testé les changements avec des paramètres de contournement de Configuration Host Sensor spécifiques à un groupe.
  • Paramètres de l'Icône du Host Sensor — Activent et désactivent les paramètres de l'icône de la barre d'état système du Host Sensor.

Pour de plus amples informations concernant les paramètres Host Sensor recommandés, consultez Bonnes Pratiques de Déploiement TDR.

Pour afficher les informations supplémentaires de chaque paramètre, cliquez sur .

La plupart des paramètres du Host Sensor possèdent un sélecteur indiquant leur état d'activation.

— La fonctionnalité est activée

— La fonctionnalité est désactivée

Pour modifier chaque paramètre, cliquez sur son curseur. Les modifications sont immédiatement appliquées.

Il est inutile de cliquer sur Enregistrer pour enregistrer les modifications apportées aux paramètres activés et désactivés via un curseur. Cliquez sur Enregistrer si vous avez apporté des modifications à d'autres types de paramètres tels que la zone de texte Délai Maximal des Référentiels en Minutes.

Pour spécifier les paramètres Host Sensor d'un groupe :

  1. Sur la page Groupes, en face du groupe à gérer, cliquez sur .
    La boîte de dialogue des informations de l'hôte de ce groupe s'ouvre.
  2. Sélectionnez l'onglet Configuration du Host Sensor.

Capture d'écran de la page Configuration du Host Sensor

  1. Pour activer les paramètres Host Sensor de ce groupe, cliquez sur le sélecteur Remplacer les Paramètres du Host Sensor pour ce groupe.
  2. Configurer les Paramètres Host Sensor de ce groupe.
    Pour plus d'informations sur ces paramètres, consultez Configurer les Paramètres d’Host Sensor TDR.
  3. Cliquez sur Enregistrer.

Voir Également

Gérer les Hôtes et les Host Sensors TDR

À propos de Host Ransomware Prevention TDR