Cette section fournit des détails sur le fonctionnement de chaque Host Sensor. Chaque Host Sensor recueille des données d'analyse puis les transmet au nuage Threat Detection and Response à des fins d'analyse. Les données d'analyse comprennent les informations liées aux fichiers, processus, connexions réseau et clés de registre de l'hôte.
Vous pouvez configurer les Host Sensors pour signaler simplement les menaces de sécurité ou pour prendre des mesures afin de corriger certains types de menaces de sécurité en fonction des paramètres Host Sensor.
Sur la page des paramètres Host Sensor, les utilisateurs ayant un rôle d'Administrateur ou d'Analyste peuvent configurer les paramètres Host Sensor par défaut de tous les Host Sensors d'un compte TDR.
L'un des paramètres des Host Sensors qui ne figure pas sur la page Paramètres Host Sensor est le paramètre Vieillissement Désactivé des Fichiers Mis en Quarantaine. Les Analystes peuvent configurer ce paramètre dans la page de configuration des Host Sensors. Pour plus d'informations, consultez Configurer le Vieillissement des Fichiers Mis en Quarantaine.
Pour les bonnes pratiques de déploiement, consultez Bonnes Pratiques de Déploiement TDR.
Paramètres d’Host Sensor
Activez ce paramètre pour envoyer des évènements quand :
- Des fichiers sont créés et supprimés
- Des processus sont créés et supprimés
- Des créations, modifications et suppressions de registres ont lieu
Si vous désactivez ce paramètre, Threat Detection and Response pourrait ne pas être en mesure d'identifier certains programmes malveillants en temps réel.
Si Autoriser les Évènements sur les Host Sensors est désactivé, le Mode Host Ransomware Prevention sur les Host Sensors sera mis sur OFF, car il ne peut pas fonctionner sans évènements.
Cette liste déroulante contrôle la fonction Host Ransomware Prevention. Les options sont les suivantes :
- Off - Désactiver la fonction.
- Détecter - Identifier les processus et les fichiers qui présentent un comportement malveillant et les signaler à l'interface utilisateur pour une intervention manuelle. Ce paramètre laisse la machine vulnérable à ces menaces, car il peut être trop tard pour intervenir manuellement
- Prévenir — Les Host Sensors détectent puis terminent les processus et mettent en quarantaine automatiquement les fichiers qui présentent un comportement malveillant de manière à ce que le rançongiciel ne prenne pas le contrôle du système. Les Host Sensors signalent cet indicateur à votre compte Threat Detection and Response en tant qu'indicateur déjà traité (indice égal à 1). Si vous sélectionnez Prévenir, le Host Sensor entreprend automatiquement l'action visant à prévenir le rançongiciel, même si l'hôte n'est pas connecté à Internet ou ne parvient pas à communiquer avec votre compte TDR.
Si Autoriser les Évènements sur les Host Sensors est désactivé, le Mode Host Ransomware Prevention sur les Host Sensors sera mis sur OFF, car il ne peut pas fonctionner sans évènements.
Détermine si le Host Sensor termine les processus et met en quarantaine les fichiers présentant un comportement malveillant via l'apprentissage machine.
Si vous désactivez ce paramètre, le Host Sensor n'exécute aucune action basée sur l'apprentissage machine HRP, mais la détection et la prévention HRP demeurent actives (si elles ont été activées).
Permettre aux Host Sensors d'analyser les fichiers et les processus afin de déterminer l'heuristique de ces fichiers et processus.
Si vous désactivez ce paramètre, Threat Detection and Response pourra ne pas être en mesure d'identifier certains fichiers et processus qui présentent les caractéristiques d'un programme malveillant.
Désactivez ce paramètre pour améliorer les performances d’Host Sensor si les performances de votre système sont faibles. Désactivez d'abord ce paramètre lors d'un dépannage.
Activez ce paramètre pour permettre aux Host Sensors d'effectuer des référentiels (processus, répertoire, registre et netstat) lors de leur première apparition.
Si vous le désactivez, cela pourrait empêcher Threat Detection and Response de signaler certains fichiers et processus qui présentent les caractéristiques d'un programme malveillant.
Ce paramètre active la fonction Atténuation des Nouvelles Failles APT par Proxy HTTP(S) et l'Indicateur Réseau + Processus. Lorsque cette fonction est activée, les Host Sensors mettent en cache les Métadonnées des Évènements de Fichiers pendant 20 minutes au maximum. Cela permet à APT Blocker d'analyser les fichiers suspects et de réagir ou à Host Sensor de trouver un processus signalé par le réseau. Si des mesures doivent être prises pour corriger un fichier, les données Host Sensor indiquent l'emplacement du fichier, même s'il a été déplacé ou copié pendant cette période.
Cette fonctionnalité est uniquement compatible avec Fireware v12.1.3 Update 2 pour XTMv et Fireware v12.4 et versions ultérieures pour les modèles Firebox M Series et T Series.
Paramètres de Prévention d'Altération du Host Sensor
Désactivez ce paramètre pour permettre aux utilisateurs disposant des autorisations appropriées d'arrêter le service Host Sensor.
Désactivez ce paramètre pour permettre aux utilisateurs disposant des autorisations appropriées de désinstaller Host Sensor.
Paramètres de Configuration du Pilote du Host Sensor :
L'espace de Noyau est la zone de mémoire virtuelle qui exécute le système d'exploitation. Ce n'est pas la zone de mémoire virtuelle qui exécute les processus utilisés par les programmes des utilisateurs.
Activez ce paramètre pour utiliser la fonctionnalité d'espace du noyau afin de surveiller les évènements de processus sur le Host Sensor.
Si vous désactivez ce paramètre, le code d'espace utilisateur sera utilisé.
Activez ce paramètre pour utiliser la fonctionnalité d'espace du noyau pour surveiller les évènements de fichiers sur le Host Sensor.
Si vous désactivez ce paramètre, le code d'espace utilisateur sera utilisé.
Activez ce paramètre pour utiliser la fonctionnalité d'espace du noyau pour surveiller les évènements de registres sur le Host Sensor.
Si vous désactivez ce paramètre, le code d'espace utilisateur sera utilisé.
Activez ce paramètre pour utiliser la fonctionnalité d'espace du noyau pour exécuter des actions de fin de processus (autant manuelles qu'automatisées) depuis le système Threat Detection and Response.
Si vous désactivez ce paramètre, le code d'espace utilisateur sera utilisé.
Activez ce paramètre pour utiliser la fonctionnalité d'espace du noyau pour exécuter des actions de suppression de fichiers (autant manuelles qu'automatisées) depuis le système Threat Detection and Response.
Si vous désactivez ce paramètre, le code d'espace utilisateur sera utilisé.
Activez ce paramètre pour utiliser la fonctionnalité d'isolement d'hôte (autant manuel qu'automatisé) du système Threat Detection and Response.
Si vous désactivez ce paramètre, aucun isolement d'hôte ne sera autorisé, puisque cette fonctionnalité n'est disponible que dans le code du pilote du noyau.
Activez ce paramètre pour utiliser la fonctionnalité d'espace du noyau afin d'énumérer les descripteurs de fichiers qui sont associés aux fichiers que Threat Detection and Response tente de mettre en quarantaine ou de retirer de la quarantaine (autant manuellement qu'automatiquement).
Si vous désactivez ce paramètre, le code d'espace utilisateur sera utilisé.
Activez ce paramètre pour utiliser la fonctionnalité d'espace du noyau pour analyser les modules qui sont associés aux processus.
Si vous désactivez ce paramètre, le code d'espace utilisateur sera utilisé.
Paramètres de l'Icône du Host Sensor
Activez ce paramètre pour permettre aux utilisateurs finaux de mettre en pause temporairement la protection Host Sensor à partir de l'Icône Host Sensor. Lorsque la protection est interrompue, le Host Sensor cesse d'analyser les fichiers, les processus et les entrées de registre, et n'envoie pas les évènements au nuage. Cette action désactive également Host Ransomware Prevention.
Activez ce paramètre pour avertir les utilisateurs lorsque Host Sensor exécute un référentiel sur leur périphérique.
Activez ce paramètre pour avertir les utilisateurs lorsque Host Sensor prend des actions de traitement (Mettre le Fichier en Quarantaine, Terminer le Processus, Supprimer la Clé de Registre...) sur leur périphérique.
Indiquez en minutes le délai minimum que les Host Sensors doivent attendre avant de commencer à exécuter les référentiels (processus, répertoire, registre et netstat). Le délai réel est déterminé au hasard comme une valeur comprise entre le délai minimum et le délai maximum.
Une valeur de 0 signifie qu'il n'y a pas de délai.
Par défaut : 0
Min : 0
Max : 240
Indiquez en minutes le délai maximum que les Host Sensors doivent attendre avant de commencer à exécuter les référentiels (processus, répertoire, registre et netstat). Le délai réel est déterminé au hasard comme une valeur comprise entre le délai minimum et le délai maximum.
Une valeur de 0 signifie qu'il n'y a pas de délai.
Par défaut : 60
Min : 0
Max : 240
Précisez la fréquence à laquelle les référentiels doivent être exécutés. Vous pouvez choisir une fréquence de référentiel comprise entre un et 30 jours. La valeur par défaut est 7 jours.
Créez une clé d'authentification utilisée entre le Host Sensor et le Firebox pour confirmer que le VPN est suffisamment sécurisé pour rester connecté. Pour générer la clé d'authentification, saisissez une phrase ou un mot de passe alphanumérique comprenant de 10 à 79 caractères. Cliquez sur l'icône de génération pour convertir le mot de passe en UUID de 36 caractères.
Voir Également
Gérer les Hôtes et les Host Sensors TDR