Retirer un Fichier de Quarantaine
Le Host Sensor TDR peut mettre en quarantaine un fichier lorsqu'il effectue l'action Mettre le Fichier en Quarantaine ou dans le cadre d'une action de Host Ransomware Prevention (HRP). Lorsque le Host Sensor met un fichier en quarantaine, il le chiffre puis l'enregistre localement sur l'hôte.
Répertoire de quarantaine du Host Sensor Windows :
c:\Program Files (x86)\WatchGuard\Threat Detection and Response\quarantine
Répertoire de quarantaine du Host Sensor Mac :
/usr/local/watchguard/tdr/quarantine
Répertoire de quarantaine du Host Sensor Linux :
/opt/watchguard/tdr/quarantine
Le fichier chiffré demeure dans le répertoire de quarantaine de l'hôte pendant le nombre de jours spécifié dans le paramètre Vieillissement des Fichiers Mis en Quarantaine. Pour plus d'informations, consultez Configurer le Vieillissement des Fichiers Mis en Quarantaine
Si vous estimez qu'un fichier mis en quarantaine ne représente pas de menace, vous pouvez l'en extraire pendant une durée maximale de 30 jours, du moment que le fichier demeure sur l'hôte.
Après 30 jours, vous ne pouvez pas annuler l'action de quarantaine, même si le fichier mis en quarantaine reste sur l'hôte. En effet, les incidents sont automatiquement supprimés du système après 30 jours.
L'action de retirer un fichier de quarantaine dépend si le Host Sensor a mis en quarantaine le fichier dans le cadre d'une action Mettre le Fichier en Quarantaine ou d'une action de Host Ransomware Prevention (HRP). Vous pouvez décocher l'action pour retirer un fichier de quarantaine sur la page Traitements, Indicateurs ou Hôtes.
Lorsque vous retirez un fichier de quarantaine, celui-ci est automatiquement ajouté à la Liste d'Autorisation.
Retirer un Fichier de Quarantaine à partir de la Page Traitements
Pour rechercher l'indicateur et retirer un fichier de quarantaine :
- Se Connecter à TDR.
- Sélectionnez Surveiller> Threat Detection.
- Dans la section ThreatSync, sélectionnez Indicateurs.
- Dans la colonne Action Demandée, configurez le filtre pour afficher uniquement l'action Mettre le Fichier en Quarantaine.
- Dans la colonne Date de Traitement, sélectionnez la plage de dates correspondant à la période durant laquelle le fichier a été mis en quarantaine.
- Dans la zone de texte Critères de recherche, saisissez le nom de l’hôte.
- Recherchez l'indicateur du fichier que vous souhaitez retirer de quarantaine.
- Cochez la case située en face de l'indicateur. Vous pouvez sélectionner plusieurs indicateurs.
- Pour retirer le fichier de quarantaine pour les indicateurs sélectionnés, sélectionnez l'action disponible dans la liste déroulante Actions. L'action à votre disposition dépend si le fichier a été mis en quarantaine suite à une action de Host Ransomware Prevention (HRP) ou une action Mettre le Fichier en Quarantaine.
- Si le fichier a été mis en quarantaine suite à une action HRP, sélectionnez Sortir le HRP de quarantaine.
Cette action retire de quarantaine tous les fichiers liés à cette action HRP sur l'hôte et ajoute les fichiers à la Liste d'Autorisation. - Si le fichier a été mis en quarantaine suite à une action Mettre le Fichier en Quarantaine, sélectionnez Sortir le fichier de quarantaine.
Cette action retire de quarantaine le fichier dans cet indicateur sur l'hôte et ajoute le fichier à la Liste d'Autorisation.
- Si le fichier a été mis en quarantaine suite à une action HRP, sélectionnez Sortir le HRP de quarantaine.
- Cliquez sur Exécuter l'Action.
TDR envoie un message au Host Sensor pour retirer le fichier de quarantaine.
Retirer un Fichier de Quarantaine depuis la Page Indicateurs
Pour rechercher l'indicateur et retirer un fichier de quarantaine :
- Se Connecter à TDR.
- Sélectionnez Surveiller> Threat Detection.
- Dans la section ThreatSync, sélectionnez Indicateurs.
- Pour réinitialiser les filtres par défaut, cliquez sur . Sélectionnez Effacer.
- Dans la colonne Vu pour la Dernière Fois, sélectionnez la plage de dates correspondant à la période durant laquelle le fichier a été mis en quarantaine.
- Dans la colonne Action Demandée, configurez le filtre pour afficher uniquement l'action Mettre le Fichier en Quarantaine.
- Dans la colonne Résultat, configurez le filtre de manière à afficher uniquement les actions Réussies.
- Dans la zone de texte Critères de recherche, saisissez le nom de l’hôte.
- Recherchez l'indicateur du fichier que vous souhaitez retirer de quarantaine.
- Cochez la case située en face de l'indicateur. Vous pouvez sélectionner plusieurs indicateurs.
- Pour retirer le fichier de quarantaine pour les indicateurs sélectionnés, sélectionnez l'action disponible dans la liste déroulante Actions. L'action à votre disposition dépend si le fichier a été mis en quarantaine suite à une action de Host Ransomware Prevention (HRP) ou une action Mettre le Fichier en Quarantaine.
- Si le fichier a été mis en quarantaine suite à une action HRP, sélectionnez Sortir le HRP de quarantaine.
Cette action retire de quarantaine tous les fichiers liés à cette action HRP sur l'hôte et ajoute les fichiers à la Liste d'Autorisation. - Si le fichier a été mis en quarantaine suite à une action Mettre le Fichier en Quarantaine, sélectionnez Sortir le fichier de quarantaine.
Cette action retire de quarantaine le fichier dans cet indicateur sur l'hôte et ajoute le fichier à la Liste d'Autorisation.
- Si le fichier a été mis en quarantaine suite à une action HRP, sélectionnez Sortir le HRP de quarantaine.
- Cliquez sur Exécuter l'Action.
TDR envoie un message au Host Sensor pour retirer le fichier de quarantaine.
Supprimer un Fichier de Quarantaine depuis la Page Hôtes
Pour rechercher l'indicateur et retirer un fichier de quarantaine :
- Se Connecter à TDR.
- Sélectionnez Surveiller> Threat Detection.
- Dans la section ThreatSync, sélectionnez Hôtes.
- Sélectionnez la plage temporelle correspondant à la période durant laquelle le fichier a été mis en quarantaine.
- Saisissez le nom d'hôte dans la zone de texte Critères de Recherche.
- Pour afficher les incidents indépendamment de leur indice, cliquez sur . Sélectionnez Effacer.
Le filtre d'indice par défaut est supprimé. - Pour développer les détails de l'incident, cliquez sur .
La liste des indicateurs de l'hôte s'ouvre.
- Dans la liste des indicateurs de l'incident en haut de la colonne Indice, configurez le filtre de manière à afficher uniquement les incidents présentant un indice de 1. Cliquez sur Appliquer.
Les indicateurs correspondant aux actions réussies s'affichent. - Recherchez l'indicateur du fichier correctement mis en quarantaine.
- Dans la colonne Actions Manuelles, cliquez sur Sélectionner une Action.
La boîte de dialogue Actions Manuelles s'ouvre.
- La boîte de dialogue Actions Manuelles vous permet de sélectionner les actions suivantes :
- Pour retirer un fichier de quarantaine, cochez la case Annuler correspondant au fichier.
Cette option retire de quarantaine le fichier spécifié dans cet indicateur sur l'hôte et ajoute le fichier à la Liste d'Autorisation. - Pour un indicateur Host Ransomware Prevention, pour retirer de quarantaine tous les fichiers mis en quarantaine compris dans cet indicateur, cochez la case Sortir le HRP de Quarantaine.
Cette option retire de quarantaine tous les fichiers liés à l'action HRP et ajoute les fichiers à la Liste d'Autorisation.
- Pour retirer un fichier de quarantaine, cochez la case Annuler correspondant au fichier.
- Pour exécuter les actions sélectionnées cliquez sur Exécuter les Actions Sélectionnées.
TDR envoie un message au Host Sensor pour retirer le fichier de quarantaine. - Cliquez sur Fermer.
Après avoir exécuté l'action visant à retirer un fichier de quarantaine, la colonne Action Demandée/Résultat indique l'action Retirer un Fichier de Quarantaine et le résultat En Cours. Une fois le fichier retiré de quarantaine, le résultat passe à Réussi.
Lorsque vous exécutez une action visant à retirer un fichier de quarantaine, la valeur MD5 de ce fichier est automatiquement ajoutée à la Liste d'Autorisation en tant que signature de remplacement. Si l'action de mise en quarantaine échoue car le fichier n'existe plus sur l'hôte, la valeur MD5 du fichier est tout de même ajoutée à la Liste d'Autorisation. Pour de plus amples informations concernant la Liste d'Autorisation, consultez Configurer les Signatures de Remplacement de TDR.