Créer une Tâche de Recherche d'IOC

S'applique À : WatchGuard Advanced EPDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard Advanced EPDR.

Créez une tâche pour rechercher les IOC approuvéssur les ordinateurs et les périphériques de votre réseau.

Lorsque vous importez des IOC dans WatchGuard Advanced EPDR, vous devez les approuver manuellement à partir de la Galerie des IOC avant de pouvoir créer une tâche de recherche. Pour de plus amples informations, accédez à Gérer les IOC.

Priorité des Tâches

Lorsque WatchGuard Advanced EPDR exécute une tâche de recherche d'IOC sur l'ordinateur d'un utilisateur, il se peut que des tâches soient déjà en cours. La tâche de recherche d'IOC s'exécute selon le comportement décrit dans ce tableau.

Tâche en Cours	Comportement de la Tâche de Recherche
Détection d'IOC	Attend la fin de la tâche de détection d'IOC, puis exécute la nouvelle tâche de recherche.
Installation de correctif	S'exécute en même temps que la tâche d'installation de correctif. La tâche d'installation de correctif n'est pas interrompue car cela pourrait représenter un risque pour l'intégrité du système.
Analyse ou désinfection	La tâche d'analyse ou de désinfection est annulée et la tâche de recherche d'IOC s'exécute.
Recherche de Data Control	Exécute et n'annule ni n'arrête la tâche de Data Control.
Indexation de Data Control	Exécute et arrête temporairement la tâche de Data Control.

Les tâches de recherche d'IOC sont automatiquement annulées et redémarrées (si possible) sur les ordinateurs des utilisateurs lorsque :

• L'administrateur demande un redémarrage de l'ordinateur à partir de l'interface de gestion.

• L'utilisateur client demande un redémarrage de l'ordinateur localement à partir de l'ordinateur.

• L'ordinateur redémarre automatiquement pour mettre à jour les composants du logiciel de sécurité installé.

Lorsque WatchGuard Advanced EPDR démarre une tâche et qu'une tâche de recherche d'IOC est déjà en cours, il termine la nouvelle tâche selon le comportement décrit dans ce tableau.

Nouvelle Tâche	Comportement de la Tâche
Détection des IOC	Attend la fin de la tâche de recherche en cours, puis la nouvelle tâche s'exécute.
Installation de correctif	La tâche commence à s'exécuter pendant l'exécution de la tâche de recherche d'IOC.
Analyse ou désinfection	La tâche ne commence pas à s'exécuter tant que la tâche de recherche d'IOC n'est pas terminée.
Recherche de Data Control	La tâche commence à s'exécuter pendant l'exécution de la tâche de recherche d'IOC.
Indexation de Data Control	La tâche ne commence pas à s'exécuter tant que la tâche de recherche d'IOC n'est pas terminée.

Si vous arrêtez manuellement la tâche de recherche d'IOC à partir de l'interface de gestion :

• La recherche d'IOC s'arrête dès que possible sur l'ordinateur cible.

• Les résultats de la détection jusqu'au moment de l'annulation sont enregistrés.

Créer une Tâche de Recherche d'IOC

Vous pouvez créer une tâche de recherche d'IOC à partir de la Galerie des IOC ou de la page Tâches. Pour plus d'informations sur la Galerie des IOC, accédez à À propos de la Galerie des IOC.

Pour créer une tâche de recherche d'IOC, depuis la page Tâches :

1. Dans WatchGuard Cloud, sélectionnez Surveiller > Endpoints.
2. Sélectionnez Tâches.
3. Cliquez sur Ajouter une Tâche > Rechercher des IOC.
   La boîte de dialogue Nouvelle Tâche s'ouvre.

4. Dans la zone de texte Nom, saisissez le nom de la tâche.
5. Dans la zone de texte Description, saisissez la description de la tâche.
6. Sélectionnez quand la tâche démarrera.
   • Pour démarrer la tâche dès que possible dans l'intervalle de temps sélectionné, cochez la case. L'ordinateur doit être allumé et accessible depuis le cloud.
   • Pour lancer la tâche à une heure spécifique, sélectionnez la date et l'heure.
   • Pour spécifier l'heure en fonction de celle de l'ordinateur, sélectionnez la case à cocher Heure Locale de l'Ordinateur.
     Si vous ne cochez pas cette case, l'heure se base sur celle du serveur WatchGuard Cloud.
   • Si l'ordinateur est éteint ou inaccessible, la tâche ne s'exécutera pas. Vous pouvez spécifier le délai d'expiration de la tâche, de 0 (la tâche expire immédiatement si l'ordinateur n'est pas disponible) à infini (la tâche est toujours active et attend indéfiniment que l'ordinateur soit disponible).
7. Dans la liste déroulante Heure d'Exécution Maximale, sélectionnez la durée de conservation de la tâche lorsque l'ordinateur est éteint ou n'est pas connecté à WatchGuard Cloud à l'heure sélectionnée.
8. Dans la zone de texte Vérifier les IOC Suivants, cliquez sur +.
   La boîte de dialogue Ajouter des IOC s'ouvre.

9. Sélectionnez les IOC que vous souhaitez rechercher.
   La liste affiche tous les IOC enregistrés dans la Galerie des IOC. Si la liste est longue, vous pouvez rechercher un IOC dans le champ de recherche.
10. Cliquez sur Ajouter.
11. En haut à droite, cliquez sur Enregistrer.
12. Sur la page Tâches, sélectionnez la tâche.
13. Dans la zone de texte Destinataires, pour ajouter des ordinateurs et des périphériques à rechercher, cliquez sur Aucun Destinataire Sélectionné.
    La page Destinataires s'ouvre.
14. Pour ajouter des groupes d'ordinateurs, au-dessus de la zone, cliquez sur .
    La boîte de dialogue Ajouter un Groupe s'ouvre.
    1. Sélectionnez les groupes d'ordinateurs dans lesquels vous souhaitez effectuer une recherche.
    2. Cliquez sur Ajouter.
       Les groupes sélectionnés s'affichent dans la boîte. Cliquez sur pour les supprimer.
15. Pour exécuter la tâche uniquement sur un type particulier d'ordinateur et de périphérique, cochez les cases correspondant au type de périphérique que vous souhaitez inclure (par exemple, Station de Travail, Ordinateur Portable, Serveur, Appareil Mobile).
    Le type d'ordinateur ou de périphérique pouvant recevoir une tâche dépend de la tâche à exécuter.
16. Pour ajouter des ordinateurs et des périphériques supplémentaires, au-dessus de la zone, cliquez sur .
    La boîte de dialogue Ajouter des Ordinateurs s'ouvre.
    1. Sélectionnez les ordinateurs individuels que vous souhaitez rechercher.
    2. Cliquez sur Ajouter.
       Les ordinateurs et périphériques sélectionnés s'affichent dans la liste. Cliquez sur Voir les Ordinateurs pour consulter la liste des ordinateurs qui recevront la tâche.
17. Cliquez sur Retour.
18. Cliquez sur Enregistrer.
    La tâche est disponible pour publication. Pour de plus amples informations, accédez à Publier une Tâche.

Résultats de la Recherche d'IOC

Une fois la tâche de recherche publiée et exécutée, vous pouvez consulter les résultats de la recherche dans la liste IOC Détecté et sur le tableau de bord des IOC. Pour de plus amples informations, accédez à Tableau de Bord Indicateurs de Compromission. Plus il y a de fichiers à rechercher, plus Endpoint Security met de temps pour terminer la tâche de recherche. Les tâches de recherche avec les règles MD5 ou Yara peuvent nécessiter plus de temps.

Pour éviter une surcharge du réseau en cas d'infection de nombreux fichiers sur chaque ordinateur du réseau, WatchGuard Advanced EPDR limite la profondeur et le reporting des recherches.

• IOC simples ou IOC avec une règle YARA — Recherche un seul attribut avec une valeur spécifique. Les IOC renvoient jusqu'à 10 résultats par ordinateur, après quoi la recherche s'arrête.

• IOC complexes — Recherche plusieurs attributs ou un attribut avec plusieurs valeurs. Les IOC renvoient le premier résultat trouvé sur chaque ordinateur, après quoi la recherche s'arrête.

Rubriques Connexes

À propos de la Galerie des IOC

À propos des Tâches

Gestion de la Sécurité des Endpoints Multilocataire — Gérer les Tâches