Configurer les Signatures de Remplacement de TDR

Vous pouvez spécifier les signatures de remplacement dans votre configuration TDR pour des fichiers et des processus spécifiques. Pour spécifier un remplacement, vous pouvez ajouter les valeurs MD5 des fichiers ou des processus de manière à ce que TDR considère le fichier sûr ou malveillant. Pour chaque signature de remplacement que vous spécifiez, vous pouvez opter pour l'ajouter à la Liste d'autorisation. Il existe deux types de signatures de remplacement :

Liste d'Autorisation

Un remplacement de liste d'autorisation identifie un fichier ou processus que vous considérez comme sûr et que vous ne souhaitez pas faire analyser ni traiter par TDR (par exemple pour exécuter les actions terminer ou mettre en quarantaine). Les indicateurs existants des fichiers ajoutés à la liste d'autorisation se voient assigner un indice de 0. TDR ne crée pas de nouveaux indicateurs pour les fichiers correspondant à la valeur MD5 dans un remplacement de liste d'autorisation.

Pour ajouter une signature de remplacement de liste d'autorisation, cochez la case Liste d'autorisation dans les paramètres de signature de remplacement.

Liste de Menaces

Un remplacement de liste de menaces identifie un fichier ou processus que vous souhaitez que TDR considère toujours comme une menace. Une signature de remplacement s'applique uniquement après l'avoir ajouté et n'influe pas sur l'indice de ce MD5 s'il a déjà été détecté auparavant. Les indicateurs des fichiers de la liste de menaces se voient assigner un indice de menace de 8 si le Host Sensor n'entreprend pas d'action pour minimiser la menace.

Pour ajouter une signature de remplacement de liste de menaces, cochez la case Liste d'Autorisation si elle ne l'est pas déjà.

Pour ajouter un fichier identifié dans un indicateur précédent à la liste de remplacement, copiez la valeur MD5 du fichier sur la page Indicateurs.

Pour afficher la valeur MD5 d'un indicateur :

  1. Recherchez l'indicateur dans la colonne Indicateur.
  2. Cliquez sur Informations Supplémentaires.

Pour rechercher la valeur MD5 d'un fichier, vous pouvez également utiliser un utilitaire de calcul de hachage de fichier MD5.

Si vous exécutez une action visant à retirer un fichier de quarantaine, le système ajoute automatiquement sa valeur MD5 à la Liste d'autorisation.

Rechercher le MD5 dans la Liste de Menaces et la Liste d'Autorisation

Sur la page des Signatures de Remplacement, vous pouvez rechercher un MD5 pour voir s'il figure sur la Liste des Menaces ou sur la Liste d'autorisation.

Pour rechercher un MD5 :

  1. Se Connecter à TDR.
  2. Sélectionnez Configurer > Threat Detection.
  3. Dans la section ThreatSync, sélectionnez Signatures de Remplacement.
    La liste des signatures de remplacement actuellement configurées s'affiche.
  4. Cliquez sur Rechercher.
    La boîte de dialogue Rechercher le MD5 dans la Liste de Menaces et la Liste d'Autorisation s'ouvre.

Screen shot of the MD5 in Threatlist and Allowlist dialog box

  1. Collez le MD5 dans la zone de texte et cliquez sur Rechercher.
    Les informations MD5 apparaissent.

Ajouter une Signature de Remplacement

Pour ajouter une signature de remplacement, vous devez vous connecter en tant qu'Analyste.

Pour ajouter une signature de remplacement :

  1. Sélectionnez Configurer > Threat Detection.
  2. Dans la section ThreatSync, sélectionnez Signatures de Remplacement.
    La liste des signatures de remplacement actuellement configurées s'affiche.

Capture d'écran de la page Signatures de Remplacement

  1. Cliquez sur + Ajouter une Signature de Remplacement.
    La boîte de dialogue Ajouter une Signature de Remplacement s'ouvre.

Capture d'écran de la boîte de dialogue Ajouter une Signature de Remplacement

  1. Dans la zone de texte MD5, collez le MD5 du fichier.
  2. (Facultatif) Dans la zone de texte Commentaires, saisissez une description pour ce remplacement.
  3. Sélectionnez les hôtes et les groupes auxquels le remplacement s'applique.
    1. Dans la zone de texte Nom d'Hôte ou Groupe d'Hôtes, saisissez au moins trois caractères du nom de l'hôte ou du groupe d'hôtes à ajouter. Astuce !
      Les noms d'hôte et de groupe contenant les caractères saisis s'affichent.
    2. Sélectionnez le nom de l'hôte ou du groupe à ajouter.
    3. Pour ajouter d'autres hôtes ou groupes, répétez les deux dernières étapes.
  4. Si cette signature de remplacement concerne un fichier que vous considérez sûr et que vous ne souhaitez pas faire analyser par TDR, cochez la case Liste d'autorisation.
  5. Cliquez sur Enregistrer.
    La signature de remplacement est ajoutée à la liste.

Sauvegarder ou Importer les Signatures de Remplacement

Vous pouvez enregistrer une sauvegarde de toutes les signatures de remplacement sous forme de fichier .XML. Pour ajouter les signatures de remplacement à un compte TDR, vous pouvez importer le fichier .XML enregistré. Un Service Provider TDR peut ainsi facilement copier les signatures de remplacement configurées sur un compte client géré vers un autre compte géré. Pour éviter les doublons de signatures de remplacement, les signatures de remplacement importées sont fusionnées avec la liste des signatures de remplacement actuelle.

Pour enregistrer les signatures de remplacement dans un fichier de sauvegarde dans WatchGuard Cloud :

  1. Sélectionnez Configurer > Threat Detection.
  2. Dans la section ThreatSync, sélectionnez Signatures de Remplacement.
    La liste des signatures de remplacement actuellement configurées s'affiche.
  3. Cliquez sur le bouton Sauvegarder.
    Le fichier de sauvegarde .XML est enregistré dans le dossier de téléchargement.

Le nom du fichier de sauvegarde des signatures de remplacement indique la date et l'heure actuelles. Par exemple :

WatchGuardTDR_SignatureOverrides_2016-12-13_22-39-43.xml

Pour importer les signatures de remplacement d'un fichier .XML de signatures de remplacement enregistré :

  1. Cliquez sur Importer.
  2. Sélectionnez ou ouvrez le fichier de sauvegarde enregistré.
    Une boîte de dialogue de confirmation s'ouvre.
  3. Cliquez sur Importer.
    Les signatures de remplacement du fichier sont ajoutées à la liste des Signatures de Remplacement.

Modifier ou Supprimer une Signature de Remplacement

Pour modifier une signature de remplacement :

  1. Cliquez sur la flèche du côté gauche de la colonne.
    La boîte de dialogue Modifier une Signature de Remplacement s'ouvre.

Capture d'écran de la boîte de dialogue Modifier une Signature de Remplacement

  1. Modifiez les paramètres.
  2. Cliquez sur Enregistrer et Fermer.
    La modification est enregistrée et les paramètres de Modification sont réduits.

Pour supprimer une signature de remplacement :

  1. Cliquez sur sur la ligne de la signature de remplacement à supprimer.
  2. Cliquez sur Supprimer la Signature de Remplacement.
  3. Cliquez sur Oui, Supprimer.