Evaluation des Risques d'Endpoint WatchGuard

S'applique À : WatchGuard EPDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard EPDR. et WatchGuard Advanced EPDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard Advanced EPDR.

L'Evaluation des Risques d'Endpoint WatchGuard vous permet d'évaluer la situation de cybersécurité de vos comptes gérés qui utilisent une solution de sécurité des endpoints tierce. L'Evaluation des Risques d'Endpoint est non intrusive et vous permet d'identifier les menaces, les vulnérabilités et autres risques de sécurité. Après la période d'évaluation, vous pouvez planifier un rapport détaillé qui fournit des informations sur le profil de risque du compte, des recommandations sur la façon de réduire la surface d'attaque, ainsi que des améliorations globales de la posture de sécurité.

Le rapport d'Evaluation des Risques d'Endpoint comprend des résumés graphiques de :

• Risques
• État de risque du endpoint
• Évaluation de Zero-Trust Application Service
• Évaluation du Service Threat Hunting

La section Détails de l'Evaluation et Recommandations comprend des informations détaillées sur ces risques de sécurité :

• Malwares, PUP, exploits, attaques réseau, indicateurs ou attaques détectés
• Vulnérabilités activement exploitées détectées
• Vulnérabilités critiques et importantes détectées
• Logiciel en Fin de Vie détecté
• Applications avec un volume de chargement et de téléchargement élevé
• Applications LOTL (Living-off-the-Land) exécutées

Pourquoi Activer une Evaluation des Risques d'Endpoint ?

L'Evaluation des Risques d'Endpoint est un outil permettant aux Service Provider d'apporter une valeur supplémentaire à leurs clients grâce à une évaluation de la cybersécurité du réseau client. Vous pouvez utiliser l'évaluation des risques pour montrer les avantages de la technologie et des produits WatchGuard Endpoint Security à un client qui souhaite s'assurer qu'il est entièrement protégé contre les menaces de sécurité.

L'Evaluation des Risques d'Endpoint se concentre sur une approche zero-trust (de confiance zéro) pour aider le client à créer un environnement informatique fiable. Elle offre une visibilité sur les applications installées dans l'environnement client et sur les applications qui consomment le plus de bande passante. Elle offre également une visibilité sur les applications LOTL et qui sont couramment utilisées par des acteurs malveillants pour introduire des malware dans les réseaux.

L'évaluation des risques est transparente pour le client. Sur ses endpoints, le client ne voit pas les alertes locales ni l'icône WatchGuard Endpoint Security dans la barre d'état système de Windows. Les mises à jour automatiques de la protection sont désactivées pour garantir que le client n'a pas besoin de redémarrer l'endpoint pour une mise à niveau de la protection.

Si le client n'active pas de licence pour WatchGuard Endpoint Security, il peut toujours appliquer la plupart des recommandations du rapport. Aucun matériel ou outil de test supplémentaire n'est requis.

Exigences et restrictions

L'Evaluation des Risques d'Endpoint est disponible sur WatchGuard Cloud pour les partenaires et les clients disposant d'un essai de WatchGuard EPDR ou WatchGuard Advanced EPDR. Elle n’est pas disponible pour les partenaires ou les clients disposant d’un produit Endpoint Security existant ou d’une licence EDR Core. Nous vous recommandons également de démarrer un essai simultané de WatchGuard Advanced Reporting Tool pour une visibilité supplémentaire. Advanced Reporting Tool fournit des informations avancées utilisées par l'évaluation, telles qu'un aperçu de toutes les applications utilisées, des fonctionnalités de recherche et la traçabilité des licences Microsoft Office actuellement actives.

L'Evaluation des Risques d'Endpoint s'applique uniquement aux endpoints sur les plates-formes Windows, Linux et macOS. Les endpoints Android et iOS ne rentrent pas dans le champ d’application du rapport.

Avant de Commencer

Lorsque vous démarrez l'évaluation des risques, les nouveaux paramètres s'appliquent automatiquement au groupe Tous. Toutefois, tout groupe de comptes incluant des paramètres de l’interface de gestion Endpoint Security multilocataire ne reçoit pas les paramètres d’évaluation des risques. Pour plus d'informations sur les paramètres de l'interface de gestion multilocataire, accédez à Gestion des Profils de Paramètres de la Sécurité des Endpoints Multilocataire.

Si vous utilisez l'interface de gestion multilocataire pour attribuer des paramètres, assurez-vous qu'aucun paramètre de configuration n'est appliqué aux comptes que vous souhaitez inclure dans l'évaluation. Nous vous recommandons de créer un groupe de comptes appelé Evaluation des Risques à utiliser pour l'évaluation et de n'attribuer aucun paramètre à ce groupe à partir de l'interface de gestion multilocataire. Pour obtenir plus informations concernant les groupes de compte, accédez à Gérer les Groupes de Comptes. Si vous ajoutez de nouveaux comptes à inclure dans l'évaluation, assurez-vous de les inclure dans le groupe Evaluation des Risques.

Démarrer avec l'Evaluation des Risques d'Endpoint WatchGuard

Complétez les étapes suivantes :

1. Activer l'Evaluation des Risques sur Votre Compte

2. Installer Endpoint Security sur Vos Endpoints

3. Consulter le Rapport d'Evaluation des Risques d'Endpoint Security

1. Activer l'Evaluation des Risques sur Votre Compte

1. Connectez-vous à WatchGuard Cloud.
2. Dans le Gestionnaire de Comptes, sélectionnez Généralités.
3. Démarrez un essai de Advanced EPDR ou EPDR.
   
   1. Sélectionnez Administration > Essais.
   2. Sélectionnez l'onglet Endpoints.
   3. Dans la colonne Nom de Compte, à côté du compte pour lequel vous souhaitez démarrer l'évaluation, activez l'option d'essai.
      La boîte de dialogue Ajouter un Essai s'ouvre.
   4. Dans la liste Produit, sélectionnez Advanced EPDR ou EPDR.
   5. (Facultatif) Dans la liste des modules, cochez la case Advanced Reporting Tool.
      Advanced Reporting Tool fournit des informations avancées utilisées par l'évaluation, telles qu'un aperçu de toutes les applications utilisées, des fonctionnalités de recherche et la traçabilité des licences Microsoft Office actuellement actives.
   6. Cliquez sur Ajouter.
      L'essai peut demander jusqu'à deux minutes avant de devenir disponible dans WatchGuard Cloud.
   .
4. Sepuis le Gestionnaire de Comptes WatchGuard Cloud, sélectionnez Surveiller > Endpoints.
   Le tableau de bord Sécurité sur la page Configuration s'ouvre.

5. Cliquez sur Activer.
   La boîte de dialogue de confirmation s'ouvre.

6. Cliquez sur Activer.

2. Installer Endpoint Security sur Vos Endpoints

Après avoir commencé un essai et activé l'évaluation des risques, déployez le produit WatchGuard Endpoint Security sur vos endpoints. Plus vous installez Endpoint Security sur des endpoints, plus l’évaluation des risques est approfondie. Nous vous recommandons d'installer Endpoint Security sur les endpoints les plus vulnérables aux menaces, tels que les ordinateurs portables. Pour plus d'informations sur la planification du déploiement, accédez à Plan d'Installation d'Endpoint Security.

Le premier ordinateur Windows que vous ajoutez à WatchGuard Endpoint Security est automatiquement désigné en tant qu'ordinateur de découverte. L'ordinateur de découverte trouve d'autres ordinateurs sur le réseau sur lesquels WatchGuard Endpoint Agent n'est pas installé. Utilisez la liste Ordinateurs Non Gérés Découverts pour rechercher des ordinateurs sur le réseau sur lesquels déployer WatchGuard Endpoint Agent. Pour de plus amples informations, accédez à Liste Ordinateurs Non Gérés Découverts.

Vous pouvez ensuite installer le logiciel d'endpoint à distance sur les ordinateurs Windows. Pour de plus amples informations, accédez à Installer le Logiciel d'Endpoint à Distance (Ordinateurs Windows).

L'installation ne devrait prendre que quelques minutes. Lorsque vous installez le logiciel sur le endpoint, l'icône Endpoint Security ne s'affiche pas dans la barre de notification et les alertes locales sont désactivées. En effet, les paramètres d'Evaluation des Risques des Endpoints ont été appliqués au groupe Tout et déployés sur les endpoints.

Antivirus Tiers et Produits EDR

WatchGuard Endpoint Security est compatible avec les antivirus tiers et les produits EDR. Ces produits ne sont pas désinstallés lorsque vous installez WatchGuard Endpoint Agent. Si vous envisagez d'utiliser WatchGuard Endpoint Security avec un logiciel tiers, vous devez ajouter des exclusions à la fois dans le produit tiers et dans votre produit WatchGuard Endpoint Security pour vous assurer qu'elles ne se chevauchent pas ou ne créent pas de fausses détections.

Excluez ces répertoires dans votre solution antivirus ou EDR :

%programfiles%\Panda Security

%programfiles(x86)%\Panda Security

%allusersprofile%\Panda Security

Pour de plus amples informations, accédez à Créer des Exclusions dans WatchGuard Endpoint Security.

Les produits WatchGuard Endpoint Security complètent les solutions existantes avec des fonctionnalités EDR et XDR. Cependant, la technologie anti-exploit est généralement implémentée avec des hooks. Si plusieurs solutions utilisent une technologie anti-exploitation, elles pourraient être incompatibles. Nous vous recommandons de n’activer qu’une seule technologie anti-exploitation. Pour plus d'informations, consultez cet article de la base de connaissances : Les produits Endpoint Security sont-ils compatibles avec les solutions antivirus et EDR tierces ?

3. Consulter le Rapport d'Evaluation des Risques d'Endpoint Security

Vous pouvez prévisualiser le Rapport d'Evaluation des Risques d'Endpoint Security à tout moment. Vous pouvez également planifier l’envoi du rapport à la fin de la période d’évaluation. Le rapport met en évidence les différents types de risques de sécurité découverts au cours de la période d'évaluation. Le rapport classe les risques par gravité :

• Critique — Indique qu'un malware confirmé a été exécuté ou indique un niveau d'exposition dangereux à une cyberattaque.
• Elevé — Indique qu'un malware latent a été détecté et pourrait s'exécuter à tout moment ou indique un besoin urgent de réduire la surface d'attaque.
• Moyen — Indique que des facteurs de risque supplémentaires ont été détectés et doivent être traités de manière préventive.

Le rapport inclut uniquement les endpoints Windows, Linux et Mac avec une licence d'essai WatchGuard Advanced EPDR ou EPDR activée.

Pour recevoir uniquement le rapport d'évaluation final et non les alertes par e-mail chaque fois qu'Endpoint Security détecte une menace, vous pouvez désactiver les alertes par e-mail pour le groupe Evaluation des Risques. Pour de plus amples informations, accédez à À Propos des Alertes.

Prévisualiser le Rapport

Pour prévisualiser le rapport depuis WatchGuard Cloud :

1. Dans le Gestionnaire de Comptes, sélectionnez le compte pour lequel vous avez activé l'évaluation des risques.
2. Sepuis le Gestionnaire de Comptes WatchGuard Cloud, sélectionnez Surveiller > Endpoints.
3. Sur la page Etat, sélectionnez Rapports Planifiés.
4. Cliquez sur Ajouter un Rapport Planifié.
5. Pour spécifier le Type de Rapport, cliquez sur le type de rapport existant et sélectionnez Rapport d'Evaluation des Risques.

6. Cliquez sur Prévisualiser le Rapport.
   Le rapport s'ouvre dans un nouvel onglet du navigateur.

Planifier le Rapport

Planifiez le rapport d'Evaluation des Risques si vous souhaitez le recevoir par e-mail quotidiennement, hebdomadairement ou mensuellement à des jours et à des heures spécifiques. Pour les réseaux plus petits (1 à 50 endpoints), nous vous recommandons de planifier l'exécution du rapport 2 semaines après le début de l'évaluation. Pour les réseaux plus importants, nous vous recommandons de planifier l'exécution du rapport jusqu'à 4 semaines après le début de l'évaluation. La période d'essai d'Endpoint Security est de 30 jours, mais peut être prolongée une fois jusqu'à 60 jours. Les réseaux plus grands pourraient nécessiter une période d’évaluation plus longue. Contactez votre représentant WatchGuard.

Pour planifier le rapport d'Evaluation des Risques depuis WatchGuard Cloud :

1. Dans le Gestionnaire de Comptes, sélectionnez le compte pour lequel vous avez activé l'évaluation des risques.
2. Sepuis le Gestionnaire de Comptes WatchGuard Cloud, sélectionnez Surveiller > Endpoints.
3. Sur la page Etat, sélectionnez Rapports Planifiés.
4. Cliquez sur Ajouter un Rapport Planifié.
5. Dans la zone de texte Nom, saisissez le nom du rapport planifié.
6. Dans la section Envoyer Automatiquement, sélectionnez la fréquence et l'heure du rapport planifié.
   L'option Envoyer Automatiquement est activée par défaut.
7. Pour spécifier le Type de Rapport, cliquez sur le type de rapport existant et sélectionnez Rapport d'Evaluation des Risques.

8. Dans la zone de texte À, saisissez les adresses e-mail destinataires des rapports en les séparant par des virgules.
9. Dans les zones de texte CC et CCI, saisissez les adresses e-mail à copier en les séparant par des virgules.
10. Dans la zone de texte Objet, saisissez l'objet de votre e-mail (par exemple, Rapport d'Evaluation des Risques d'Endpoint).
11. Pour spécifier le Format du rapport, dans la liste déroulante, sélectionnez PDF ou Word.
12. Cliquez sur Ajouter.

Désactiver l'Evaluation des Risques

Vous pouvez désactiver l'évaluation des risques à tout moment. Lorsque vous activez l'évaluation, le mode Audit est activé pour détecter les malware et autres failles de sécurité. En mode Audit, Endpoint Security ne bloque ni ne supprime les menaces. Vous pouvez désactiver l'évaluation des risques, puis désactiver le mode Audit pour permettre à Endpoint Security de bloquer et de supprimer les menaces trouvées. Vous devriez également activer les paramètres par ordinateur par défaut pour activer les mises à jour automatiques et afficher l'icône Endpoint Security dans la barre d'état système de Windows.

Pour désactiver l'évaluation des risques et désactiver le mode audit :

1. Connectez-vous à WatchGuard Cloud.
2. Dans le Gestionnaire de Comptes, sélectionnez le compte pour lequel vous avez démarré l'essai et l'évaluation des risques.
3. Sepuis le Gestionnaire de Comptes WatchGuard Cloud, sélectionnez Surveiller > Endpoints.

4. Cliquez sur Désactiver.
   Une boîte de dialogue de confirmation s'ouvre.

5. Cliquez sur Désactiver.
6. Sélectionnez Configuration > Stations de Travail et Serveurs.

7. Attribuez les paramètres par défaut des stations de travail et serveur au groupe Tous.
8. Sélectionnez Paramètres par Ordinateur.
9. Attribuez le profil par défaut des paramètres par ordinateur au groupe Tous.

Traiter les Menaces Trouvées sur les Endpoints

À tout moment, vous pouvez appliquer des stratégies de traitement pour améliorer la sécurité du compte.

Lorsque l'évaluation des risques est activée, n'analysez pas les ordinateurs et périphériques de votre réseau à la recherche de programmes malveillants et de virus.

Pour traiter les vulnérabilités avec Endpoint Security, nous vous recommandons :

1. Désactivez l'Evaluation des Risques d'Endpoint.
2. Attribuez les paramètres par défaut des Stations de Travail et Serveurs aux comptes pour lesquels vous souhaitez corriger les menaces. Cela désactive le mode Audit pour garantir qu'Endpoint Security bloque et supprime les malware, les PUP ou les autres exploits trouvés. Pour de plus amples informations, accédez à Configurer les Paramètres de Sécurité pour les Stations de Travail et les Serveurs et Assigner un Profil de Paramètres.
3. Analysez les zones critiques sur tous les périphériques d'endpoint. Pour de plus amples informations, accédez à Analyser les Ordinateurs et les Périphériques.
4. Commencez un essai de Patch Management pour appliquer automatiquement les correctifs disponibles sur vos endpoints. Pour de plus amples informations, accédez à Patch Management Best Practices.
5. Examinez et suivez les recommandations du rapport d’Evaluation des Risques d'Endpoint pour réduire la surface d’attaque et améliorer la posture de sécurité. Cela peut inclure l'isolation des périphériques, des tâches supplémentaires d'analyse des malware et le contrôle des applications (Blocage des Programmes).

Rubriques Connexes

Commencer un Essai

Exigences d'Installation d'Endpoint Security

Démarrer avec Watchguard Endpoint Security