À propos de Host Ransomware Prevention TDR
Les Host Sensors Threat Detection and Response pour Windows comprennent Host Ransomware Prevention (HRP), une fonction permettant d'identifier, mettre en quarantaine les fichiers et terminer les processus dont le comportement est caractéristique des rançongiciels. L'ajout de l'apprentissage machine à HRP permet d'obtenir des taux de détection plus rapides.
Modes HRP
Vous pouvez activer Host Ransomware Prevention selon l'un des deux modes suivants :
- Détecter — Les Host Sensors recherchent les fichiers présentant les caractéristiques d'un rançongiciel et envoient des rapports à ce sujet à votre compte Threat Detection and Response en vue d'une intervention manuelle.
- Prévenir — Les Host Sensors détectent et terminent automatiquement les processus, et placent les fichiers présentant les caractéristiques d'un rançongiciel en quarantaine avant qu'ils ne commencent à chiffrer les fichiers. Les Host Sensors envoient des rapports à propos de ces activités à votre compte Threat Detection and Response en classant cet indicateur comme déjà traité. Si le Host Sensor ne parvient pas à exécuter entièrement l'action Prévenir de HRP, ces interventions sont également envoyées à votre compte TDR en vue d'une intervention manuelle.
Les analystes peuvent configurer le mode Host Ransomware Prevention dans Configurer > Threat Detection > Paramètres dans WatchGuard Cloud. Lorsqu'il est activé en mode Prévention ou Détection, le Host Sensor crée des dossiers et des fichiers fictifs masqués sur l'endpoint. Si l'utilisateur supprime les fichiers masqués, le Host Sensor les recrée automatiquement lors du démarrage suivant.
Actions et Indices de menace HRP
Lorsque HRP est configuré en mode Prévenir, le Host Sensor tente immédiatement d'entreprendre une action pour terminer et mettre en quarantaine le rançongiciel avant qu'il ne s'exécute et chiffre les fichiers. Cette action a lieu immédiatement, même si le Host Sensor ne peut pas se connecter à votre compte TDR ou à Internet.
Lors de la connexion suivante du Host Sensor à votre compte TDR, il envoie un rapport concernant l'évènement HRP ainsi que des informations concernant les éventuelles actions entreprises. ThreatSync crée un indicateur pour l'évènement HRP et lui assigne un Indice de Menace.
En mode Prévenir :
- Si l'action de traitement du Host Sensor réussit, l'incident HRP se voit assigner un Indice de Menace de 1 (Traité)
- Si l'action de traitement du Host Sensor échoue, l'incident HRP se voit assigner un Indice de Menace de 10 (Critique)
En mode Détecter, tous les incidents HRP se voient assigner un Indice de Menace de 7 (Elevé).
Graphique HRP
Les informations contenues dans le graphique HRP sont une représentation visuelle de la synthèse du comportement de l'indicateur HRP. Le graphique de Host Ransomware Prevention montre sous forme d'organigramme interactif les processus générés et les comportements déclenchés lors de l'attaque de votre réseau avant d'être terminés. Vous pouvez exporter le graphique sous forme d'image.
Le graphique s'ouvre dans un format compact. Vous disposez de plusieurs options pour afficher progressivement des informations supplémentaires :
- Cliquez sur le + dans un nœud de processus pour voir les comportements liés au processus.
- Survolez un processus ou un comportement pour en voir les détails.
- Cliquez sur un nœud de processus ou comportement pour mettre en évidence les comportements et processus connexes.
Indicateurs HRP
Etant donné que les rançongiciels peuvent créer plusieurs processus, un indicateur HRP peut comprendre différentes actions visant à terminer ou mettre en quarantaine plusieurs processus ou fichiers liés à la menace détectée. Vous pouvez consulter des informations sur les indicateurs de HRP depuis la page Surveiller >Threatsync > Indicateurs ou, si l'indicateur a été traité, depuis la page Threatsync > Traitements.
Pour filtrer la liste pour afficher uniquement les indicateurs HRP :
- Sélectionnez ThreatSync > Indicateurs.
- Cliquez sur pour supprimer tous les filtres.
- En haut de la colonne Indicateur, sélectionnez Host Ransomware Prevention.
Si un indicateur HRP est corrigé, le score de menace est de 1 sur la page Indicateurs. Ce score de menace n'est pas sélectionné dans le filtre Score par défaut. Pour ne voir que les indicateurs de HRP corrigés, consultez la page Threatsync > Traitements.
Pour afficher la liste détaillée des actions et des fichiers liés à un indicateur HRP :
- Cliquez sur Informations Supplémentaires dans la colonne Indicateur d'un indicateur HRP.
La boîte de dialogue Informations Supplémentaires Host Ransomware Prevention s'ouvre.
- Dans la section Détails de la Menace, cliquez sur Détails.
La boîte de dialogue Résumé du Comportement s'ouvre et présente la liste des actions entreprises sur les fichiers liés à l'indicateur.
- Pour afficher la liste complète des actions de l'indicateur, cliquez sur le lien ici en bas de la liste.
Le Journal des Actions pour cet indicateur s'ouvre. - Pour un organigramme visuel de la synthèse du comportement, dans la section Détails de la Menace, cliquez sur Graphique.
L’Affichage du Graphique de Host Ransomware Prevention apparait dans un format compact avec uniquement les processus indiqués.
Pour de plus amples informations concernant la page des Indicateurs, consultez Gérer les Indicateurs de TDR.
Pour de plus amples informations concernant la page des Traitements, consultez Surveiller les Traitements de TDR.
Actions HRP et Fichiers Mis en Quarantaine
Le Host Sensor peut mettre en quarantaine un ou plusieurs fichiers dans le cadre d'une action HRP. Vous pouvez afficher les actions Mise en quarantaine de Fichier dans les détails de l'indicateur HRP, comme indiqué à la section précédente.
Pour retirer de quarantaine les fichiers liés à un indicateur HRP, exécutez l'action Sortir le HRP de Quarantaine de l'indicateur. Pour plus d'informations, consultez Retirer un Fichier de Quarantaine.
Actions HRP et Liste d'autorisation
Pour prévenir les rançongiciels, le Host Sensor agit immédiatement pour terminer le processus avant même d'envoyer son MD5 à TDR à des fins d'analyse. Par conséquent, si vous ajoutez le MD5 d'un fichier à la Liste d'autorisation, le Host Sensor peut encore terminer le processus s'il détecte qu'il s'agit d'un rançongiciel.
Si vous souhaitez que le Host Sensor ignore un fichier même s'il présente les caractéristiques d'un rançongiciel, vous pouvez ajouter une Exclusion pour l'emplacement de son répertoire. Le Host Sensor obtient la liste des exclusions lorsqu'il démarre et lorsque la liste des exclusions est mise à jour. Pour plus d'informations, consultez Configurer les Exclusions de TDR.
Voir Également
À propos des Indices de Menace TDR