Configurer les Exclusions de TDR

Vous pouvez activer des exclusions TDR pour les logiciels et fichiers que vous souhaitez que le TDR Host Sensor ignore.

Dans certains cas, le Host Sensor TDR peut présenter des conflits avec le logiciel antivirus (AV) installé sur vos endpoints. Pour résoudre ce problème, vous devez ajouter des exclusions dans le logiciel AV et dans TDR. TDR facilite les choses grâce à des listes d'exclusion prédéfinies pour l'interopérabilité avec les logiciels AV tiers les plus répandus.

Si vous souhaitez que Host Sensor ignore certains fichiers ou processus supplémentaires, vous pouvez configurer des exclusions personnalisées pour identifier les chemins des fichiers et des processus que vous ne souhaitez pas que les Host Sensors surveillent.

Les Host Sensors n'envoient pas d'événement à Threat Detection and Response (TDR) pour les fichiers et le processus figurant dans la liste des Exclusions.

Liste d'Autorisation vs Liste des Exclusions

Il est important de comprendre la différence entre la Liste d'Autorisation et la liste des Exclusions.

Liste d'Autorisation

La Liste d'Autorisation identifie les fichiers et processus spécifiques que vous considérez sûrs. Pour modifier un fichier ou un processus de la Liste d'Autorisation, le Host Sensor envoie un évènement à TDR. L'heuristique ThreatSync n'inclut pas les modifications apportées aux fichiers de la Liste d'Autorisation comme incidents ou indicateurs. ThreatSync assigne aux évènements de la Liste d'Autorisation un indice de 0.

Vous ajoutez un fichier ou processus à la Liste d'Autorisation comme signature de remplacement. Pour plus d'informations, consultez Configurer les Signatures de Remplacement de TDR.

Exclusion

Une exclusion identifie un chemin que vous souhaitez voir ignorer par tous les Host Sensors en termes d'évènements de fichier et de processus. Lorsque vous ajoutez une exclusion, les Host Sensors ignorent tous les évènements créés par les fichiers et processus issus du répertoire spécifié. Les exclusions s'appliquent également aux analyses de référentiel.

Gérer les Exclusions AV Prédéfinies

TDR dispose d'ensembles d'exclusion AV prédéfinis pour les outils AV tiers les plus courants. Ces ensembles d'exclusion contiennent toutes les exclusions recommandées pour l’AV.

Après avoir activé les exclusions AV dans TDR, vous devez ajouter les exclusions TDR à votre logiciel AV pour éviter les conflits potentiels.

Pour ajouter une exclusion AV prédéfinie :

  1. Se Connecter à TDR.
  2. Sélectionnez Configurer > Threat Detection.
  3. Dans la section Host Sensor, sélectionnez Exclusions.
    La page Exclusion s'ouvre avec l'onglet Personnalisé sélectionné.
  4. Sélectionnez l'onglet AV.
    La page Exclusion avec la liste des ensembles d’exclusions AV prédéfinis s'ouvre.
  5. Pour activer un ensemble d'exclusions AV, cochez la case Activé du logiciel AV.
    Ceci applique les exclusions à tous les Hôtes et Groupes d'Hôtes.
  6. Pour appliquer l'exclusion AV définie à des Hôtes ou Groupes d'Hôtes spécifiques, cliquez sur la flèche correspondant au logiciel AV. Dans la zone de texte Hôtes/Groupes, saisissez le nom de l'Hôte ou du Groupe d'Hôtes puis sélectionnez le nom approprié dans la liste déroulante.
  7. Cliquez sur Enregistrer et Fermer.

Pour voir les chemins et processus exclus :

  1. Se Connecter à TDR.
  2. Sélectionnez Configurer > Threat Detection
  3. Dans la section Host Sensor, sélectionnez Exclusions.
    La page Exclusion s'ouvre avec l'onglet Personnalisé sélectionné.
  4. Sélectionnez l'onglet AV.
    La page Exclusion avec la liste des AV s'ouvre.
  5. Sélectionnez la flèche correspondant au logiciel AV.
    La boite de dialogue AV s'ouvre avec les exclusions en bas.

Vous pouvez filtrer les exclusions par chemin, par sous-dossiers exclus ou non, par entités exclues ou par description. Vous ne pouvez pas modifier l'ensemble d'exclusions. Si vous avez besoin de personnaliser les exclusions, vous devez le faire manuellement.

Pour afficher la liste de toutes les exclusions appliquées aux hôtes et aux groupes :

  1. Se Connecter à TDR.
  2. Sélectionnez Configurer > Threat Detection.
  3. Dans la section Host Sensor, sélectionnez Exclusions.
    La page Exclusion s'ouvre avec l'onglet Personnalisé sélectionné.
  4. Sélectionnez l'onglet Appliqué.
    La page Appliqué s'ouvre avec l'onglet Hôte sélectionné.
  5. Sélectionnez la flèche située en face de l'hôte que vous souhaitez afficher.
    La boîte de dialogue Hôte s'ouvre.
  6. Pour consulter la liste de toutes les exclusions par groupe, sélectionnez l'onglet Groupe.
  7. Sélectionnez la flèche située en face du groupe que vous souhaitez afficher.
    La boîte de dialogue Groupe s'ouvre.

Configurer le Logiciel Antivirus de Manière à Exclure le Host Sensor TDR

Pour éviter les conflits entre TDR et votre antivirus, vous devez également configurer des exclusions pour les répertoires TDR dans votre logiciel AV de bureau.

Dans la configuration du logiciel antivirus de bureau, ajoutez le répertoire d'installation de TDR Host Sensor à la liste des exclusions ou à la liste d'autorisation.

Les répertoires à exclure sont les suivants :

c:\Program Files (x86)\WatchGuard\Threat Detection and Response\

c:\Program Files\WatchGuard\Threat Detection and Response\

Consultez la documentation de l'éditeur de votre logiciel antivirus pour obtenir les instructions de modification de la liste des exclusions ou de la liste d'autorisation.

Gérer des Exclusions Personnalisées

S'il existe d'autres chemins ou processus que vous devez exclure, vous pouvez ajouter une exclusion personnalisée. WatchGuard a testé TDR avec de nombreux produits populaires. Les guides d'intégration WatchGuard décrivent comment configurer TDR et d'autres produits pour qu'ils soient compatibles. Souvent, cela implique d'ajouter une exclusion personnalisée à TDR. Pour plus d'informations sur ces intégrations, consultez Guides d'Intégration de Threat Detection and Response.

Lorsque vous ajoutez une exclusion personnalisée :

  • Vous pouvez inclure un caractère générique dans le chemin à exclure
  • Vous pouvez opter pour inclure tous les sous-répertoires du chemin spécifié

TDR ne prend pas en charge les variables système Windows(%%) dans les exclusions et ne développe pas les variables système dans ses exclusions pour Windows, Mac et Linux. À titre d'exemple, au lieu d'ajouter %userprofile%\appdata\roaming\ pour exclure votre profil itinérant, utilisez le caractère générique astérisque (*) C:\Users*\appdata\roaming.

Exemples d'Exclusions Personnalisées

Le caractère générique astérisque (*) trouve un nombre quelconque de caractères. À titre d'exemple, C:\Program Files (x86)\Dossier\Sous-Dossier\exemple.exe trouvera les deux fichiers exécutables suivants :

  • C:\Program Files (x86)\Folder\Subfolder\x86\example.exe
  • C:\Program Files (x86)\Folder\Subfolder\x64\example.exe

Le caractère * ne trouvera pas \ ni les limites de répertoire et s'appliquera uniquement à ce nom de dossier ou de fichier.

À titre d'exemple, C:*.exe trouvera les fichiers exécutables situés à la racine de C:. Il trouvera tous les fichiers .exe situés à la racine de C: tels que C:\notepad.exe, mais pas C:\windows\notepad.exe.

Vous pouvez utiliser plusieurs caractères génériques pour trouver des noms de fichier partiels. À titre d'exemple, C:\Program Files\Microsoft SQL Server*\mssql\data*.ldf trouvera les fichiers .ldf de l'annuaire de bases de données Microsoft Azure SQL (MSSQL) dans toutes les bases de données.

Les caractères ? trouveront n'importe quel caractère. Par exemple, C:\Windows\Temp\tmp???????? trouvera les fichiers tmp du répertoire temporaire de Windows commençant par tmp et présentant une longueur d'exactement 11 caractères tels que C:\Windows\Temp\tmp00006f2e.

Pour ajouter manuellement une exclusion :

  1. Se Connecter à TDR.
  2. Sélectionnez Configurer > Threat Detection.
  3. Dans la section Host Sensor, sélectionnez Exclusions.
    La page Exclusion s'ouvre avec l'onglet Personnalisé sélectionné.
  4. Cliquez sur + Ajouter une Exclusion.
    La boîte de dialogue Ajouter une Exclusion s'ouvre.

Capture d'écran de la boîte de dialogue Ajouter une Exclusion

  1. Dans la zone de texte Chemin, saisissez le chemin à exclure.
  2. Pour exclure les répertoires d'un répertoire particulier, cochez la case Exclure également les sous-répertoires.
  3. Dans la liste déroulante Entités à exclure, sélectionnez les éléments à exclure : Fichiers et Processus, Fichiers uniquement ou Processus uniquement.
  4. (Facultatif) Dans la zone de texte Description, saisissez une description pour cette exclusion.
  5. Sélectionnez les hôtes et les groupes auxquels l'exclusion s'applique.
    1. Dans la zone de texte Nom d'Hôte ou Groupe d'Hôtes, saisissez au moins trois caractères du nom de l'hôte ou du groupe d'hôtes à ajouter. Astuce !
      Les noms d'hôte et de groupe contenant les caractères saisis s'affichent.
    2. Sélectionnez le nom de l'hôte ou du groupe à ajouter.
    3. Pour ajouter d'autres hôtes ou groupes, répétez les deux dernières étapes.
  6. Cliquez sur Enregistrer et Fermer.
    L'exclusion est ajoutée à la liste des exclusions.

Pour modifier une exclusion personnalisée :

  1. Se Connecter à TDR.
  2. Sélectionnez Configurer > Threat Detection.
  3. Dans la section Host Sensor, sélectionnez Exclusions.
    La page Exclusion s'ouvre avec l'onglet Personnalisé sélectionné.
  4. Dans la liste Exclusion, cliquez sur à gauche de l'exclusion à modifier.
    La boîte de dialogue Modifier une Exclusion s'ouvre.
  5. Modifiez les paramètres comme indiqué dans la procédure précédente.
  6. Cliquez sur Enregistrer et Fermer.

Pour supprimer une exclusion personnalisée :

  1. Se Connecter à TDR.
  2. Sélectionnez Configurer > Threat Detection.
  3. Dans la section Host Sensor, sélectionnez Exclusions.
    La page Exclusion s'ouvre avec l'onglet Personnalisé sélectionné.
  4. Dans la liste Exclusion, cliquez sur à droite de l'exclusion à supprimer.
  5. Sélectionnez Supprimer l'Exclusion.
    Un message de configuration apparaît.
  6. Cliquez sur Oui, Supprimer.

Sauvegarder ou Importer des Exclusions Personnalisées

Vous pouvez sauvegarder vos exclusions personnalisées dans un fichier .XML. Pour ajouter les exclusions à un compte TDR, vous pouvez importer le fichier .XML enregistré. Cela permet à un Service Provider TDR de copier les exclusions personnalisées configurées dans un compte client géré vers un autre compte géré. Pour éviter les doublons d'exclusions, les exclusions importées sont fusionnées avec la liste d'exclusions actuelle.

Pour enregistrer les exclusions personnalisées dans une sauvegarde :

  1. Sélectionnez Configurer > Threat Detection.
  2. Dans la section Host Sensor, sélectionnez Exclusions.
    La page Exclusion s'ouvre avec l'onglet Personnalisé sélectionné.
  3. Cliquez sur le bouton Sauvegarder.
    Le fichier de sauvegarde .XML est enregistré dans le dossier de téléchargement.

Le nom du fichier de sauvegarde des exclusions indique la date et l'heure actuelles. Par exemple :

WatchGuardTDR_SensorExclusions_2017-01-25_22-39-43.xml

Pour importer des exclusions personnalisées à partir d'un fichier .XML d'exclusions enregistré :

  1. Cliquez sur Importer.
  2. Sélectionnez ou ouvrez le fichier de sauvegarde enregistré.
    Une boîte de dialogue de confirmation s'ouvre.
  3. Cliquez sur Importer.
    Les exclusions du fichier sont ajoutées à la liste Exclusion.

Voir Également

Bonnes Pratiques de Déploiement TDR

Configurer les Stratégies TDR