Configurer l'Isolation de TDR
Afin d'empêcher la propagation des menaces sur votre réseau, vous pouvez isoler un hôte. L'isolement met fin aux connexions actuelles et empêche l'établissement de nouvelles connexions réseau sur un hôte spécifique, de sorte que les menaces ne peuvent pas se propager sur le réseau. Les hôtes isolés sont isolés et ne peuvent pas se connecter sur le réseau. Les autres périphériques ne peuvent pas se connecter à un hôte isolé. Pour rétablir la connectivité réseau après avoir résolu la menace, l'hôte doit être libéré d'isolation.
Il existe deux manières d'isoler et de mettre fin à l'isolation des hôtes — manuellement ou automatiquement en fonction d'une stratégie d'isolation. Pour autoriser les hôtes à être isolés manuellement ou automatiquement, l'option Autoriser l'Action d'Isolation d'Hôte du Noyau doit être activée dans les paramètres du Host Sensor. Pour plus d'informations, consultez Configurer les Paramètres d’Host Sensor TDR.
TDR peut isoler des hôtes Windows. L'isolement n'est pas pris en charge sur les systèmes sans Windows.
Isoler et Libérer les Hôtes Manuellement
Vous pouvez isoler un hôte Windows et mettre fin à son isolation manuellement sur la page Hôtes ou Groupes.
Pour isoler un hôte manuellement :
- Cochez la case correspondant à l'hôte Windows que vous souhaitez isoler.
- Sélectionnez Actions > Isoler l'Hôte.
La boîte de dialogue Confirmer l'Action - Isoler l'Hôte s'ouvre. - Cliquez sur Exécuter l'Action.
L'hôte est isolé et l'icône d'isolation s'affiche dans la colonne État du Capteur.
Pour libérer manuellement un hôte d'isolation :
- Cochez la case correspondant à l'hôte Windows que vous souhaitez libérer.
- Sélectionnez Actions > Libérer l'Hôte.
La boîte de dialogue Confirmer l'Action - Libérer l'Hôte s'ouvre. - Cliquez sur Exécuter l'Action
L'hôte est libéré de l'isolation.
Si l'action Libérer l'Hôte est désactivée, l'hôte n'est pas isolé ou ne communique pas avec ThreatSync. Vérifiez si l'hôte est en isolation sur la page Isolation puis contrôlez l'état de l'hôte sur la page ThreatSync > Hôtes.
Pour plus d'informations, consultez Gérer les Hôtes et les Host Sensors TDR, Gérer les Groupes de TDR et Gérer les Incidents de TDR.
Stratégies d'Isolation
Les stratégies d'isolation isolent et libèrent automatiquement les hôtes Windows en fonction d'un seuil d'indice de menace d'incident. Lorsqu'un incident présentant un indice de menace égal à la valeur spécifiée dans la stratégie, l'hôte est isolé. Lorsque l'indice de menace devient inférieur au seuil spécifié, l'hôte est automatiquement le système met automatiquement fin à son isolation.
Votre compte TDR comprend une stratégie d'isolation par défaut configurée avec les paramètres recommandés. Vous pouvez modifier la stratégie d'isolation par défaut et configurer d'autres stratégies s'appliquant à différents hôtes et groupes d'hôtes à différents niveaux Cybercon.
Pour de plus amples informations concernant l'ajout d'une stratégie d'isolation, consultez Configurer les Stratégies TDR.
Exceptions d'Isolation
Lorsqu'un hôte est isolé, il peut uniquement se connecter à lui-même ainsi qu'aux serveurs TDR, DNS et DHCP. Si vous souhaitez autoriser d'autres trafics réseau à destination et en provenance d'hôtes isolés, vous pouvez ajouter des exceptions d'isolation d'hôte pour des hôtes ou un réseau. Par exemple, vous pouvez autoriser l'assistance à se connecter à des hôtes isolés sur un réseau pour dépanner des incidents.
Pour définir une exception d'isolation, vous devez spécifier au moins deux de ces détails de connexion :
IP de l'Hôte/du Réseau Local
Adresse IP d'une machine ou d'un réseau distant en notation de barre oblique.
Port Local
Port sur un hôte.
IP de l'Hôte/du Réseau Distant
Adresse IP d'une machine ou d'un réseau distant en notation de barre oblique.
Port Distant
Port sur une machine distante.
Vous pouvez spécifier les connexions pour « port à port », « adresse IP à port » ou « adresse IP à adresse IP ». Par exemple, pour configurer une exception d'isolation afin d’autoriser une personne de l'assistance à se connecter à des hôtes isolés, précisez :
- Adresse IP de l'Hôte ou du Réseau Distant — Adresse IP en notation de barre oblique de l'ordinateur de l'agent d'assistance.
- Port Local — Port auquel l'agent d'assistance doit se connecter sur les hôtes.
Pour plus d'informations à propos de la notation de barre oblique, consultez À propos de la Notation de Barre Oblique.
Ajouter des Exceptions d'Isolation
Pour ajouter une exception d'isolation :
- Sélectionnez Configurer > Threat Detection.
- Dans la section Host Sensor, sélectionnez Exceptions d'Isolation.
La page Exceptions d'Isolation s'ouvre. - Cliquez sur + Ajouter une Exception d'Isolation.
La boîte de dialogue Ajouter une Exception d'Isolation s'ouvre.
- Dans la section Types de Connexion, dans les listes déroulantes, sélectionnez le type de connexion que vous souhaitez autoriser.
Vous pouvez spécifier le type d'adresse IP (IPv4 ou IPv6). Vous pouvez également spécifier le protocole (TCP ou UDP). - Pour spécifier la connexion réseau que vous souhaitez autoriser, saisissez les détails de connexion dans au moins deux des zones de texte suivantes : Adresse IP de l'Hôte ou du Réseau Local, Port Local, Adresse IP de l'Hôte ou du Réseau Distant et Port Distant.
- Sélectionnez les hôtes et les groupes auxquels l'exception s'applique :
- Dans la zone de texte Nom d'Hôte ou Groupe d'Hôtes, saisissez au moins trois caractères du nom de l'hôte ou du groupe d'hôtes à ajouter. Astuce !
Les noms d'hôte et de groupe contenant les caractères saisis s'affichent. - Sélectionnez le nom de l'hôte ou du groupe à ajouter.
- Pour ajouter d'autres hôtes ou groupes, répétez les deux dernières étapes.
- Dans la zone de texte Nom d'Hôte ou Groupe d'Hôtes, saisissez au moins trois caractères du nom de l'hôte ou du groupe d'hôtes à ajouter. Astuce !
- (Facultatif) Dans la zone de texte Commentaires, saisissez d'autres informations concernant l'exception.
- Cliquez sur Enregistrer et Fermer.
Sauvegarder ou Importer les Exceptions d'Isolation
Vous pouvez enregistrer la sauvegarde de toutes les exceptions d'isolation dans un fichier.json. Pour ajouter des exceptions d'isolation à un compte TDR, vous pouvez importer le fichier enregistré. Un Service Provider TDR peut ainsi facilement copier les exceptions d'isolation configurées sur un compte client géré vers un autre compte géré. Afin d'éviter les doublons d'exceptions, les exceptions d'isolation importées sont fusionnées avec la liste existante des exceptions d'isolation.
Pour enregistrer les exceptions d'isolation dans un fichier de sauvegarde :
- Sélectionnez Configurer > Threat Detection.
- Dans la section Host Sensor, sélectionnez Exceptions d'Isolation.
La page Exceptions d'Isolation s'ouvre. - Cliquez sur le bouton Sauvegarder.
Le fichier de sauvegarde .json est enregistré dans le dossier de téléchargements.
Le nom du fichier de sauvegarde des exceptions d'isolation indique la date et l'heure actuelles. Par exemple :
WatchGuardTDR_ContainmentExceptions_2018-09-17_15-11-11.json
Pour importer des exceptions d'isolation à partir d'un fichier .json enregistré :
- Cliquez sur Importer.
- Sélectionnez ou ouvrez le fichier de sauvegarde enregistré.
Une boîte de dialogue de confirmation s'ouvre. - Cliquez sur Importer.
Les exceptions d'isolation du fichier sont ajoutées à la liste des exceptions d'isolation.
Modifier ou Supprimer une Exception d'Isolation
Pour modifier une exception d'isolation :
- Dans la liste Isolation, cliquez sur à gauche de l'exception à modifier.
- Modifiez les paramètres comme indiqué dans la procédure précédente.
- Cliquez sur Enregistrer et Fermer.
Pour supprimer une exception d'isolation :
- Dans la liste Isolation, cliquez sur à droite de l'exception à supprimer.
- Sélectionnez Supprimer l'Exception d'Isolation.
Un message de configuration apparaît. - Cliquez sur Oui, Supprimer.