TDR s'appuie sur le service APT Blocker pour analyser les nouveaux fichiers suspects identifiés par un Host Sensor. Le service d'abonnement WatchGuard APT Blocker emploie une analyse d'émulation du système complet effectuée pour identifier les caractéristiques et le comportement des malware (programmes malveillants) APT présents dans des fichiers qui entrent dans votre réseau. Les Host Sensors TDR peuvent transférer un fichier suspect à des fins d'analyse, même si l'hôte n'est pas connecté à un réseau protégé par un Firebox. Le résultat de l'Analyse de Bac à Sable est l'Indice de Menace APT assigné au fichier. Le moteur d'analyse TDR ThreatSync utilise l'Indice de Menace APT pour déterminer s'il doit augmenter l'Indice de Menace assigné à un indicateur.
Le bac à sable est hébergé dans un centre de données en nuage. Le bac à sable de votre compte TDR se trouve dans la région où les données de ce dernier sont stockées. Par exemple, si la région de votre compte TDR est en Europe, celle de votre bac à sable l'est aussi.
Activer APT Blocker
La fonctionnalité APT Blocker permet aux Host Sensors de transmettre des fichiers à des fins d'analyse. Vous pouvez choisir d'activer ou de désactiver cette fonctionnalité. Pour configurer cette fonctionnalité, elle doit être activée dans votre compte TDR.
Pour activer APT Blocker dans TDR :
- Se Connecter à TDR.
- Sélectionnez Configurer > Threat Detection.
- Dans la section ThreatSync, sélectionnez Général.
- En face de la fonctionnalité APT Blocker, cochez la case Fonctionnalité Activée.
- Cliquez sur Enregistrer.
Pour plus d'informations, consultez Paramètres Généraux de TDR.
Action Envoi en Bac à Sable du Fichier
Dans TDR, l'action Envoi en Bac à Sable du Fichier permet aux Host Sensors de transmettre leurs fichiers suspects à des fins d'analyse. Vous pouvez configurer une stratégie de APT Blocker de manière à autoriser cette action ou sélectionner manuellement cette action lorsqu'un Host Sensor vous invite à choisir l'action à effectuer sur un fichier.
Si vous installez des Host Sensors derrière un Firebox possédant une stratégie de proxy-HTTPS dont l'inspection de contenu été la validation de certification sont activées, il est parfois nécessaire de configurer une stratégie de filtrage des paquets-HTTPS pour autoriser les Host Sensors à transmettre des fichiers à des fins d'analyse. Pour plus d'informations, consultez Configurer une Stratégie de Pare-feu pour le Trafic TDR.
Un Host Sensor transmet un fichier à TDR à des fins d'analyse dans les conditions suivantes :
- L'heuristique du processus ou du registre indique au Host Sensor que le fichier est suspect
- La taille du fichier est inférieure à 10 MO
- La valeur MD5 du fichier ne correspond pas à un fichier précédemment analysé
- Le fichier n'est pas signé par un fournisseur de confiance
- Une stratégie de APT Blocker TDR active ou une action TDR manuelle spécifie l'action Envoi en Bac à Sable du Fichier
L'action Envoi en Bac à Sable du Fichier peut durer jusqu'à 20 minutes. Lorsqu'une action Envoi en Bac à Sable du Fichier est exécutée, les évènements suivants ont lieu :
- Le Host Sensor transmet le fichier au nuage TDR
- TDR envoie le fichier à un bac à sable régional sécurisé à des fins d'analyse
- Host Sensor surveille toute copie ou modification de l'emplacement du fichier au cas où des traitements seraient nécessaires
- APT Blocker exécute le fichier et l'analyse pour détecter les menaces
- APT Blocker envoie le Niveau de Menace APT obtenu à TDR
- TDR met à jour l'Indice de Menace associé à l'indicateur
TDR corrige les Indices de Menace des indicateurs uniquement si un Host Sensor demande une Analyse de Bac à Sable. TDR ne corrige pas l'Indice de Menace des indicateurs si un Host Sensor n'a pas demandé d'Analyse de Bac à Sable, même si un autre Host Sensor l'a demandée pour le même fichier.
Le Host Sensor ne demande pas d'action Envoi en Bac à Sable du Fichier pour les évènements Host Ransomware Prevention (HRP). Si HRP est activé en mode Prévenir et que le Host Sensor détecte un rançongiciel, il procède automatiquement à la mise en quarantaine du fichier et à l'interruption du processus. Pour plus d'informations, consultez À propos de Host Ransomware Prevention TDR.
Niveaux de menace APT Blocker et Indices de Menace d'Indicateur
Lorsque le fichier suspect est détecté pour la première fois, TDR assigne un indice d'indicateur basé sur l'heuristique et demande l'action Envoi en Bac à Sable du Fichier. APT Blocker classe l'activité APT en fonction de la gravité de la menace. Les Niveaux de Menace APT Blocker de TDR sont identiques aux Niveaux de Menace d'APT Blocker d'un Firebox.
Les Niveaux de Menace Élevé, Moyen et Faible indiquent la dangerosité du programme malveillant. Cette évaluation est déterminée sur la base d'un score attribué au fichier lorsqu'il est analysé par APT Blocker. Les Niveaux de Menace Élevé, Moyen et Faible augmentent l'Indice de Menace de l'indicateur.
Le Niveau de Menace Propre indique qu'aucun malware (programme malveillant) n'a été détecté. Le Niveau de Menace Propre ne modifie pas l'Indice de Menace TDR de l'indicateur.
| Niveau de Menace APT Blocker | Indice de Menace TDR |
|---|---|
| Élevée | 9 (Critique) |
| Moyenne | 8 (Grave) |
| Basse | 7 (Elevé) |
| Propre | Aucune modification |
Vous pouvez associer des stratégies de APT Blocker et des stratégies de Traitement de manière à ce que les Host Sensors TDR analysent et répondent automatiquement aux menaces émergentes. Pour obtenir des informations concernant les stratégies recommandées, consultez Stratégies TDR Recommandées.
Afficher l'État de l'Analyse de Bac à Sable d'APT Blocker
Pour afficher l'état d'une action Envoi en Bac à Sable de Fichier d'APT Blocker pour les indicateurs dans WatchGuard Cloud :
- Sélectionnez Surveiller> Threat Detection.
- Dans la section ThreatSync, sélectionnez Indicateurs.
- Cliquez sur
puis sélectionnez Effacer pour effacer les filtres. - Dans l'en-tête de colonne Action Demandée, sélectionnez l'action Envoi en Bac à Sable du Fichier. Cliquez sur Appliquer.
La liste des Indicateurs est filtrée de manière à afficher uniquement les indicateurs pour lesquels le Host Sensor a demandé l'action Envoi en Bac à Sable du Fichier.
- La colonne Résultat indique l'état de l'action Envoi en Bac à Sable du Fichier pour chaque Host Sensor.
- Pour afficher des informations supplémentaires concernant un indicateur, cliquez sur Informations Supplémentaires dans la colonne Indicateur.
L'état de l'Analyse de Bac à Sable s'affiche dans la section APT Blocker des détails supplémentaires d'un indicateur.
- Si la taille du fichier est supérieure à 10 MO, l'état d'APT Blocker est Inéligible. Ce état s'affiche si le fichier est trop volumineux pour être téléchargé vers APT Blocker en vue de son analyse.
- Si le fichier se trouve dans la Corbeille, l’état APT Blocker est Inéligible. Les fichiers exécutables dans la Corbeille sont automatiquement mis en quarantaine par HRP lorsqu'ils sont exécutés et ne sont pas envoyés à APT Blocker pour analyse.
- Lorsque l'Analyse de Bac à Sable n'est pas terminée, l'état de APT Blocker est Inconnu. L'état s'affiche si l'action Envoi en Bac à Sable du Fichier est en cours ou s'il n'existe aucune stratégie susceptible d'autoriser cette action.
- Une fois l'Analyse de Bac à Sable terminée, l'état de APT Blocker indique le Niveau de menace. Le cas échéant, le score de l'indicateur est également corrigé en fonction de l'analyse du fichier.
Pour de plus amples informations concernant la gestion des indicateurs dans TDR, consultez Gérer les Indicateurs de TDR.