Gérer les Hôtes et les Host Sensors TDR

Dans Threat Detection and Response, la page Périphériques/Utilisateurs > Hôtes présente la liste de tous les hôtes de votre compte ainsi que l'état du Host Sensor de chaque hôte. Seuls les Administrateurs et les Analystes peuvent supprimer ou installer un Host Sensor sur un hôte.

Les hôtes sont ajoutés à votre compte Threat Detection and Response via AD Helper ou par le biais d'une installation manuel du Host Sensor.

AD Helper

Vous pouvez utiliser AD Helper de manière à obtenir automatiquement la liste des hôtes Windows d'un domaine Active Directory de votre réseau et installer ou supprimer automatiquement les Host Sensors Windows. Pour de plus amples informations concernant la configuration d'AD Helper, consultez Installer et Configurer AD Helper.

Installation Manuelle d'un Host Sensor

Vous pouvez télécharger un Host Sensor et l'installer manuellement sur un hôte. La première fois que le Host Sensor envoie une pulsation à votre compte Threat Detection and Response, l'hôte est ajouté à la liste des hôtes de votre compte TDR, que vous pouvez consulter dans la liste des Périphériques/Utilisateurs > Hôtes dans WatchGuard Cloud.

Pour plus d'informations, consultez Installation Manuelle de Host Sensor TDR.

Vous pouvez également désinstaller les Host Sensors depuis la page Hôtes de TDR. Pour plus d'informations, consultez Désinstaller des Host Sensors TDR.

Gérer les Host Sensors

La page Périphériques/Utilisateurs > Hôtes permet aux Administrateurs et aux Analystes d'effectuer les actions suivantes :

  • Télécharger les programmes d'installation des Host Sensors
  • Installer ou désinstaller les Host Sensors Windows et Mac
  • Modifier le Groupe d'Hôtes d'un Host Sensor
  • Modifier ou supprimer un hôte
  • Exporter la liste des hôtes dans un fichier

Pour afficher la page Hôtes dans WatchGuard Cloud :

  1. Se Connecter à TDR.
  2. Sélectionnez Surveiller> Threat Detection.
  3. Sélectionnez Périphériques/Utilisateurs > Hôtes.
    La page Hôtes s'ouvre.

Screen shot of the Hosts page

Gérer les Filtres

Vous pouvez filtrer les informations figurant sur la page en haut de chaque colonne. Vous pouvez enregistrer un paramètre de filtrage afin que la page affiche par défaut les informations spécifiées à chaque ouverture.

  1. Sélectionnez les paramètres de colonne que vous souhaitez enregistrer.
  2. Dans l'en-tête de colonne la plus à gauche, cliquez sur .
  3. Sélectionnez Enregistrer.
  1. Dans l'en-tête de colonne la plus à gauche, cliquez sur .
  2. Sélectionnez Appliquer.
  1. Dans l'en-tête de colonne la plus à gauche, cliquez sur .
  2. Sélectionnez Effacer.
  1. Dans l'en-tête de colonne la plus à gauche, cliquez sur .
  2. Sélectionnez Supprimer.

Actions de Gestion de l'Hôte

Vous pouvez effectuer les actions suivantes pour les hôtes :

  • Modifier le Groupe d'Hôtes — Modifie le Groupe d'Hôtes auquel l'hôte appartient
  • Installer un Capteur — Utilise AD Helper pour installer un Host Sensor sur un hôte Windows
  • Redémarrer le Capteur — Redémarrer le Host Sensor d'un hôte
  • Supprimer le Capteur — Désinstalle le Host Sensor d'un hôte
  • Confirmer la Suppression Manuelle — Confirme que le Host Sensor d'un hôte a été manuellement désinstallé
  • Mettre à Jour l'Hôte — Met à jour un Host Sensor vers la dernière version de TDR
  • Isoler l'Hôte — Isole l'hôte afin d'éviter qu'il ne communique sur le réseau
  • Libérer l'Hôte — Met fin à l'isolation de l'hôte
  • Mettre en Pause la Protection de l'Hôte — Mettre temporairement en pause TDR sur un hôte
  • Demande de Référentiel — Effectuer une nouvelle analyse de référentiel après avoir effectué des changements sur un hôte

Modifier le Groupe d'Hôtes

Un hôte peut être membre d'un seul Groupe d'Hôtes.

Pour modifier le Groupe d'Hôtes correspondant à un ou plusieurs hôtes :

  1. Sélectionnez Périphériques/Utilisateurs > Hôtes.
  2. Cochez la case à côté d'un ou plusieurs hôtes dans la liste.
  3. Sélectionnez Actions > Modifier le Groupe d'Hôtes.
    La boîte de dialogue Modifier le Groupe d'Hôtes s'ouvre.

  1. Commencez à saisir le nom du groupe. Il peut s'agir d'un groupe existant ou d'un nouveau groupe.
    À mesure de votre saisie. les noms des groupes existants et l'option vous permettant d'ajouter un nouveau groupe s'affichent sous la zone de texte.
  2. Sélectionnez le groupe ou l'option d'ajout d'un nouveau groupe avec le nom que vous avez saisi.
    Les hôtes sélectionnés sont ajoutés au groupe que vous avez sélectionné. Si vous avez sélectionné l'option d'ajout d'un nouveau groupe, le Groupe d'Hôtes est ajouté.

Pour supprimer un ou plusieurs Host Sensors d'un Groupe d'Hôtes.

  1. Cochez la case à côté d'un ou plusieurs hôtes dans la liste.
  2. Sélectionnez Actions > Modifier le Groupe d'Hôtes.
    La boîte de dialogue Modifier le Groupe d'Hôtes s'ouvre.
  3. Sélectionner Aucun Groupe.
    Chaque hôte sélectionné est supprimé du Groupe d'Hôtes dont il était précédemment membre.

Installer ou Supprimer un Host Sensor

Le programme d'installation du Host Sensor Windows génère un fichier journal d'installation lorsque vous installez ou désinstallez le Host Sensor. Le journal du programme d'installation est enregistré dans le dossier d'installation du Host Sensor. Le dossier par défaut est C:\Program Files (x86)\WatchGuard\Threat Detection and Response.

Pour installer ou supprimer un Host Sensor d'un ou plusieurs hôtes :

  1. Cochez la case à côté d'un ou plusieurs hôtes dans la liste.
  2. Sélectionnez Actions.
    La liste déroulante indique le nombre d'hôtes sélectionnés auxquels s'applique chaque action disponible.
  3. Pour installer un Host Sensor, sélectionnez Installer un Capteur. Pour supprimer un Host Sensor, sélectionnez Supprimer le Capteur.
    La boîte de dialogue Confirmer l'Action s'ouvre avec la liste des hôtes auxquels s'applique chaque action.

Capture d'écran de la boîte de dialogue Confirmer l'Action

  1. Cliquez sur Exécuter l'Action.

Pour installer ou supprimer un Host Sensor d'un seul hôte :

  • Pour supprimer le host sensor d'un hôte, cliquez sur dans la colonne Etat d'Installation.
  • Pour installer un host sensor sur un hôte, cliquez sur dans la colonne Etat d'Installation.
  • Pour installer manuellement un host sensor sur un hôte qui ne figure pas sur la liste Hôtes, cliquez sur Télécharger le Host Sensor.
    Pour plus d'informations, consultez Installation Manuelle de Host Sensor TDR.

Redémarrer un Host Sensor

Pour redémarrer un capteur hôte dans WatchGuard Cloud :

  1. Se Connecter à TDR.
  2. Sélectionnez Surveiller> Threat Detection.
  3. Dans la liste Périphériques/Utilisateurs > Hôtes, cochez la case située à côté d'un ou plusieurs hôtes de la liste.
  4. Sélectionnez Actions > Redémarrer le Capteur.
    La boite de dialogue Confirmer l'Action - Redémarrer le Capteur s'ouvre.
  5. Cliquez sur Exécuter l'Action.

Mettre à jour un Hôte

Lorsque la Mise à Jour Automatique du Host Sensor est activée sur la page Paramètres généraux, les Host Sensors sont automatiquement mis à jour lorsqu'une nouvelle version de TDR est disponible. Pour plus d'informations, consultez Paramètres Généraux de TDR.

Vous pouvez également opter pour mettre à jour certains Host Sensors manuellement lorsqu'une nouvelle version est disponible. Une icône s'affiche dans la colonne État d'Installation si un Host Sensor peut être mis à jour manuellement.

Pour mettre à jour un hôte donné :

Dans la colonne État d'Installation, cliquez sur en face de l'état d'installation du Host Sensor.
Le Host Sensor est mis à jour vers la nouvelle version.

Pour mettre à jour plusieurs hôtes :

  1. Cochez la case à côté d'un ou plusieurs hôtes dans la liste.
  2. Sélectionnez Actions > Mettre à jour.
    Le Host Sensor est mis à jour vers la nouvelle version.

Isoler un Hôte

Afin d'empêcher la propagation des menaces sur votre réseau, vous pouvez isoler un hôte. L'isolement coupe les connexions réseau d'un hôte spécifique et empêche l'établissement de nouvelles connexions afin que les menaces ne puissent pas se propager sur le réseau. Pour plus d'informations, consultez Configurer l'Isolation de TDR.

Pour isoler les hôtes, le paramètre Autoriser l'Action d'Isolation d'Hôte du Noyau doit être activé dans les paramètres du Host Sensor. Pour plus d'informations, consultez Configurer les Paramètres d’Host Sensor TDR.

Pour isoler un hôte :

  1. Cochez la case correspondant à l'hôte que vous souhaitez isoler.
  2. Sélectionnez Actions > Isoler l'Hôte.
    La boîte de dialogue Confirmer l'Action - Isoler l'Hôte s'ouvre.
  3. Cliquez sur Exécuter l'Action.
    L'hôte est isolé et l'icône d'isolation s'affiche dans la colonne État du Capteur.

Capture d'écran des colonnes État d'Installation et État du Capteur d'un hôte isolé

Libérer un Hôte Isolé

Les hôtes isolés sont isolés et ne peuvent pas se connecter sur le réseau. Lorsqu'une menace est traitée, vous pouvez mettre fin à l'isolation de l'hôte.

Pour libérer manuellement un hôte d'isolation :

  1. Cochez la case correspondant à l'hôte que vous souhaitez libérer.
  2. Sélectionnez Actions > Libérer l'Hôte.
    La boîte de dialogue Confirmer l'Action - Libérer l'Hôte s'ouvre.
  3. Cliquez sur Exécuter l'Action.
    L'hôte est libéré de l'isolation.

Etat de l'Hôte et du Host Sensor

Pour chaque hôte, la page Hôtes présente les informations suivantes :

  • Hôte — Le nom de l'hôte
  • FQDN — Le nom de domaine complet du domaine où l'hôte est installé
  • IP — L'adresse IPv4 signalée le plus récemment par l'hôte
  • Type — Le type d'hôte (Windows, Linux ou Mac)
  • Système d'Exploitation — Le système d'exploitation installé sur l'hôte
  • Etat d'Installation — L'état d'installation du Host Sensor sur l'hôte
  • Etat du Capteur — L'état du Host Sensor décrit à la section suivante
  • Version du Capteur — La version du Host Sensor installé
  • Vu pour la Dernière Fois — La dernière fois qu'une pulsation a été reçue d'un Host Sensor installé. Un Host Sensor installé envoie une pulsation à votre compte TDR toutes les 30 secondes.
  • Groupe d'Hôtes — Le Groupe d'Hôtes auquel un hôte appartient

Cliquez sur Choisir les Colonnes pour sélectionner les colonnes visibles.

Vous pouvez filtrer et trier la liste des Hôtes en fonction de n'importe quelle colonne. Pour supprimer les filtres de colonne, cliquez sur puis sélectionnez Effacer.

La date et l'heure de la dernière synchronisation de la liste Hôte s'affichent en haut de la page. Pour synchroniser la liste Hôte avec AD Helper, cliquez sur Synchroniser Maintenant.

État d'Installation

La colonne État d'installation indique l'état d'installation du Host Sensor. Il peut également indiquer l'expiration de la licence du Host Sensor.

  • Installé — Le Host Sensor est installé
  • Installation — L'installation du Host Sensor est en cours
  • En Attente d'Installation — L'action Installer le Capteur a été demandée, mais l'installation n'a pas commencé
  • Désinstallation — La désinstallation du Host Sensor est en cours
  • Erreur de désinstallation — L'action Supprimer le Capteur a été sélectionnée, mais la désinstallation du Host Sensor a échoué
  • En Attente de Désinstallation — L'action Supprimer le Capteur a été sélectionnée, mais la désinstallation n'a pas commencé
  • Non Installé — Le Host Sensor n'est pas installé
  • Expiré — La licence du Host Sensor a expiré

Pour de plus amples informations concernant la licence et l'expiration du Host Sensor, consultez Octroi de licences TDR.

Etat du Host Sensor

L'icône de la colonne Etat du Capteur indique l'état du Host Sensor de chaque hôte.

  • — Le Host Sensor est installé est fonctionnel
  • — Le Host Sensor est installé mais présente un problème
  • — Le Host Sensor ne communique pas
  • — Le Host Sensor n'a pas été arrêté correctement
  • Icône Interrompu — La protection du Host Sensor a été interrompue
  • Icône Hôte Isolé — Le Host Sensor a isolé cet hôte

Historique d'Etat de l'Hôte et du Capteur

Vous pouvez développer un hôte pour afficher l'historique des adresses IP et l'état du Host Sensor d'un hôte. L'historique du Capteur vous permet également de mettre à jour l'état d'un capteur pour indiquer que celui-ci a été manuellement supprimé.

Pour afficher l'historique de l'hôte dans WatchGuard Cloud :

  1. Se Connecter à TDR.
  2. Sélectionnez Surveiller> Threat Detection.
  3. Sélectionnez Périphériques/Utilisateurs > Hôtes.
  4. Dans la liste des Hôtes, recherchez l'hôte.
  5. En face du nom de l'hôte, cliquez sur .
    La liste des adresses IP récemment assignées à cet hôte s'affichent.

Capture d'écran de l'Historique des IP d'un hôte

  1. Pour afficher l'historique d'état du Host Sensor, sélectionnez l'onglet Capteur.
    L'historique des modifications récentes de l'état du Host Sensor s'affiche.

Capture d'écran de l'onglet Capteur

  1. Pour afficher les entrées plus anciennes dans la liste Historique du Capteur, cliquez sur Charger Plus.
  2. Pour afficher les utilisateurs connectés, sélectionnez l'onglet Utilisateurs.

Confirmer la Désinstallation Manuelle d'un Host Sensor

Si vous avez manuellement désinstallé un Host Sensor, vous pouvez réinitialiser son état afin qu'il cesse d'utiliser une licence Host Sensor.

Pour confirmer que vous avez désinstallé manuellement un Host Sensor :

  1. En face du nom de l'hôte, cliquez sur .
    L'historique du Host Sensor s'affiche.
  2. Sélectionnez l'onglet Capteur.
  3. Cliquez sur Acquitter.
  4. Cliquez sur Actualiser.
    La page Hôte est actualisée. Si l'hôte a été ajouté via AD Helper, son Etat d'Installation devient Désinstallé. Si l'hôte n'a pas été ajouté à la liste des hôtes par AD Helper, il est supprimé de la liste des Hôtes.

Pour obtenir des informations concernant la désinstallation manuelle d'un Host Sensor, consultez Désinstaller des Host Sensors TDR.

Modifier ou Supprimer un hôte

La page Hôtes vous permet de modifier un hôte. Pour n'importe quel hôte, vous pouvez spécifier que l'hôte est un serveur DNS ou un serveur proxy de votre réseau. Threat Detection and Response n'entreprend pas d'actions en fonction des évènements réseau détectés pour les hôtes que vous identifiez comme serveur proxy ou serveur DNS, car ceux-ci ne sont parfois pas à l'origine de l'activité potentiellement malveillante. Vous pouvez également supprimer un hôte qui a été manuellement installé.

  1. En face de l'hôte, cliquez sur .
  2. Sélectionnez Modifier le Périphérique.
    La boîte de dialogue Modifier le Périphérique s'ouvre.

Capture d'écran de la boîte de dialogue Modifier un Périphérique

  1. Si cet hôte est un serveur DNS de votre réseau, cochez la case DNS.
  2. Si cet hôte est un serveur proxy de votre réseau, cochez la case Proxy.
  3. Si l'hôte n'a pas été ajouté à AD Helper, vous pouvez modifier les Détails du Périphérique, qui indiquent le Nom et le Domaine de l'hôte ainsi que des informations concernant son système d'exploitation.
  4. Cliquez sur Enregistrer et Fermer.
  1. En face de l'hôte, cliquez sur .
  2. Sélectionnez Supprimer le Périphérique.
    Une boîte de dialogue de confirmation s'ouvre.
  3. Cliquez sur Oui, Supprimer.

Mettre en Pause la Protection d'un Hôte

Les utilisateurs ayant un rôle Administrator ou Analyst peuvent mettre en pause à distance la protection des Hôtes pendant un minimum de 5 minutes et un maximum de 120 minutes. Vous pouvez mettre la protection en pause si vous devez installer une mise à jour système qui entrerait en conflit avec TDR.

Lorsque la protection est interrompue, le Host Sensor cesse d'analyser les fichiers, les processus et les entrées de registre, et n'envoie pas les évènements au nuage. Host Ransomware Protection est également temporairement désactivé.

Les messages d'état apparaissent dans l'historique du Capteur. Vous pouvez déterminer si la protection a été mise en pause à distance ou localement grâce au message d'état.

  • Pause locale : Mis en pause par user@hostname
  • Pause à distance : Mis en pause à distance par Nom d'utilisateur

Sur la machine Windows, les utilisateurs seront avertis par l'icône de la barre d'état système et par une fenêtre de notification. Les utilisateurs ne peuvent pas réactiver la protection depuis leur ordinateur.

  1. Sélectionnez Périphériques/Utilisateurs > Hôtes.
  2. Dans la liste Hôtes, recherchez les hôtes.
  3. Cochez la case à côté d'un ou plusieurs hôtes dans la liste.
  4. Sélectionnez Actions > Mettre en Pause la Protection de l'Hôte.
    La boite de dialogue Pause des hôtes apparait.
  5. Saisissez la durée de la pause en minutes.
    La durée minimale est de 5 minutes et la durée maximale est de 120 minutes.
  6. Cliquez sur Accepter.
  1. Sélectionnez Périphériques/Utilisateurs > Hôtes.
  2. Dans la liste Hôtes, recherchez les hôtes.
  3. Cochez la case à côté d'un ou plusieurs hôtes dans la liste.
  4. Sélectionnez Actions > Reprendre la Protection de l'Hôte.
    La boite de dialogue Confirmer l'Action - Reprendre la Protection de l'Hôte s'ouvre.
  5. Cliquez sur Exécuter l'Action.

Exporter la Liste des Hôtes

Vous pouvez exporter la Liste des hôtes depuis votre compte TDR vers un fichier texte. Dans ce fichier texte, les en-têtes de colonne et les valeurs de chaque hôte sont indiqués entre guillemets. Vous pouvez ouvrir ce fichier dans un éditeur de texte ou l'importer dans un tableur tel que Microsoft Excel.

Pour exporter la liste des hôtes, cliquez sur Exporter en haut de la page Hôtes.

Voir Également

Icône de la Zone de Notification de Host Sensor TDR

Navigation, Filtres et Fonctionnalités Communes de l'Interface TDR WatchGuard Cloud