Endpoint Security Suite Enterprise for Linux
Guide de l'administrateur v2.1
Remarques, précautions et avertissements
REMARQUE : Une REMARQUE indique des informations importantes qui peuvent vous aider à mieux utiliser votre produit.
PRÉCAUTION : Une PRÉCAUTION indique un risque d'endommagement du matériel ou de perte de données et vous indique
comment éviter le problème.
AVERTISSEMENT : Un AVERTISSEMENT indique un risque d'endommagement du matériel, de blessures corporelles ou même
de mort.
© 2012-2018 Dell Inc. Tous droits réservés. Dell, EMC et d'autres marques sont des marques de Dell Inc. ou de ses filiales. Les autres
marques peuvent être des marques de leurs propriétaires respectifs.Marques déposées et marques commerciales utilisées dans Dell
Encryption, Endpoint Security Suite Enterprise et dans la suite de documents Data Guardian : Dell™ et le logo Dell, Dell Precision™,
OptiPlex™, ControlVault™, Latitude™, XPS®, et KACE™ sont des marques de Dell Inc. Cylance®, CylancePROTECT et le logo Cylance
sont des marques déposées de Cylance, Inc. aux États-Unis. et dans d'autres pays. McAfee® et le logo McAfee sont des marques ou des
marques déposées de McAfee, Inc. aux États-Unis et dans d'autres pays. Intel®, Pentium®, Intel Core Inside Duo®, Itanium® et Xeon®
sont des marques déposées d'Intel Corporation aux États-Unis et dans d'autres pays. Adobe®, Acrobat®, et Flash® sont des marques
déposées d'Adobe Systems Incorporated. Authen tec® et Eikon® sont des marques déposées d'Authen tec. AMD® est une marque
déposée d'Advanced Micro Devices, Inc. Microsoft®, Windows® et Windows Server®, Internet Explorer®, Windows Vista®, Windows
7®, Windows 10®, Active Directory®, Access®, BitLocker®, BitLocker To Go®, Excel®, Hyper-V®, Outlook®, PowerPoint®, Word®,
OneDrive®, SQL Server® et Visual C++® sont des marques commerciales ou des marques déposées de Microsoft Corporation aux ÉtatsUnis et/ou dans d'autres pays. VMware® est une marque déposée ou une marque commerciale de VMware, Inc. aux États-Unis ou dans
d'autres pays. Box® est une marque déposée de Box. Dropbox℠ est une marque de service de Dropbox, Inc. Google™, Android™,
Google™ Chrome™, Gmail™ et Google™ Play sont des marques commerciales ou des marques déposées de Google Inc. aux États-Unis et
dans d'autres pays. Apple®, App Store℠, Apple Remote Desktop™, Boot Camp™, FileVault™, iPad®, iPhone®, iPod®, iPod touch®, iPod
shuffle® et iPod nano®, Macintosh® et Safari® sont des marques de service, des marques commerciales ou des marques déposées
d'Apple, Inc. aux États-Unis et/ou dans d'autres pays. EnCase™ et Guidance Software® sont des marques commerciales ou des marques
déposées de Guidance Software. Entrust® est une marque déposée d'Entrust®, Inc. aux États-Unis et dans d'autres pays. Mozilla®
Firefox® est une marque déposée de Mozilla Foundation aux États-Unis et/ou dans d'autres pays. IOS® est une marque commerciale ou
une marque déposée de Cisco Systems, Inc. aux États-Unis et dans certains autres pays et elle est utilisée sous licence. Oracle® et Java®
sont des marques déposées d'Oracle et/ou de ses sociétés affiliées. Travelstar® est une marque déposée de HGST, Inc. aux États-Unis et
dans d'autres pays. UNIX® est une marque déposée de The Open Group. VALIDITY™ est une marque de Validity Sensors, Inc. aux ÉtatsUnis et dans d'autres pays. VeriSign® et d'autres marques connexes sont des marques commerciales ou des marques déposées de
VeriSign, Inc. ou de ses filiales ou sociétés affiliées aux États-Unis et dans d'autres pays et dont la licence est octroyée à Symantec
Corporation. KVM on IP® est une marque déposée de Video Products. Yahoo!® est une marque déposée de Yahoo! Inc. Bing ® est une
marque déposée de Microsoft Inc. Ask® est une marque déposée d'IAC Publishing, LLC. Les autres noms peuvent être des marques de
leurs propriétaires respectifs.
2018 - 11
Rév. A01
Table des matières
1 Introduction....................................................................................................................................................4
Présentation........................................................................................................................................................................4
Contacter Dell ProSupport................................................................................................................................................4
2 Configuration requise.....................................................................................................................................5
Matériel................................................................................................................................................................................5
Logiciel.................................................................................................................................................................................5
Ports.................................................................................................................................................................................... 5
Endpoint Security Suite Enterprise for Linux et dépendances.....................................................................................6
Compatibilité....................................................................................................................................................................... 6
3 Tâches........................................................................................................................................................... 9
L'installation.........................................................................................................................................................................9
Pré-requis......................................................................................................................................................................9
Installation par ligne de commande............................................................................................................................9
Afficher les détails........................................................................................................................................................11
Vérifier l'installation........................................................................................................................................................... 12
Dépannage.........................................................................................................................................................................14
Désactiver le certificat SSL de confiance................................................................................................................14
Ajout de modifications de règles et d'inventaire XML au dossier Journaux........................................................ 14
Collecte de fichiers journaux........................................................................................................................................... 15
Provision a Tenant............................................................................................................................................................ 15
Provisionner un service partagé............................................................................................................................... 15
Dépannage de provisionnement..................................................................................................................................... 15
Provisionnement et communication de l'agent....................................................................................................... 15
Table des matières
3
1
Introduction
Endpoint Security Suite Enterprise for Linux Administrator Guide (Guide de l'administrateur d'Enterprise Edition Endpoint Security Suite
Enterprise for Linux) fournit les informations nécessaires pour installer et déployer le logiciel client.
Présentation
Endpoint Security Suite Enterprise for Linux offre Advanced Threat Prevention au niveau du système d'exploitation et de la mémoire, le tout
géré de manière centralisée depuis Serveur Dell. Grâce à la gestion centralisée, à la génération de rapports de conformité consolidés et aux
alertes relatives aux menaces émises par la console, les organisations peuvent atteindre leurs objectifs de conformité et fournir les
justifications associées pour tous les points de terminaison. Des fonctionnalités comme les modèles de rapports et de règles prédéfinis
bénéficient d'une expertise intégrée, aidant ainsi les entreprises à réduire leurs coûts de gestion et à simplifier leurs opérations
informatiques.
Security Management Server ou Security Management Server Virtual : fournit une administration centralisée des règles de sécurité,
s'intègre avec les répertoires d'entreprise existants et crée des rapports. Dans ce document, les deux serveurs sont appelés Serveur Dell,
sauf lorsqu'il est nécessaire de désigner une version spécifique (par exemple, une procédure varie en cas d'utilisation de Security
Management Server Virtual).
Advanced Threat Prevention for Linux a un fichier tar.gz, qui contient les trois RPM.
Contacter Dell ProSupport
Appelez le 877-459-7304, poste 4310039, afin de recevoir 24h/24, 7j/7 une assistance téléphonique concernant votre produit Dell.
Un support en ligne pour les produits Dell est en outre disponible à l'adresse dell.com/support. Le support en ligne englobe les pilotes, les
manuels, des conseils techniques et des réponses aux questions fréquentes et émergentes.
Aidez-nous à vous mettre rapidement en contact avec l'expert technique approprié en ayant votre numéro de service ou votre code de
service express à portée de main lors de votre appel.
Pour les numéros de téléphone en dehors des États-Unis, consultez l'article Numéros de téléphone internationaux Dell ProSupport.
4
Introduction
2
Configuration requise
Ce chapitre présente la configuration matérielle et logicielle requise pour le client. Avant d'effectuer toute opération de déploiement,
assurez-vous que l'environnement de déploiement respecte les exigences suivantes.
Matériel
Le tableau suivant indique la configuration matérielle minimale prise en charge.
Matériel
•
•
•
Au moins 500 Mo espace disque libre
2 Go de RAM
Carte d'interface réseau 10/100/1000 ou Wi-Fi
REMARQUE : IPv6 n'est pas pris en charge actuellement.
Logiciel
Le tableau suivant décrit les logiciels pris en charge.
Systèmes d'exploitation (noyaux de 64 bits)
•
CentOS Linux v7.1 - v7.5
•
Red Hat Enterprise Linux v7.1 - v7.5
Ports
•
•
Le port 443 (https) est utilisé pour la communication et doit être ouvert sur le pare-feu pour que les agents puissent communiquer avec
la Console de gestion. Si le port 443 est bloqué pour une raison quelconque, les mises à jour ne pourront pas être téléchargées et les
ordinateurs ne pourront pas bénéficier de la protection la plus récente. Assurez-vous que les ordinateurs clients peuvent accéder aux
éléments suivants :
Utilisation
Protocole
d'application
Protocole de Numéro de
transport :
port
Destination
Direction
Toutes les
communications
HTTPS
TCP
443
Autoriser tout le trafic https vers
*.cylance.com
Sortant
Communication
avec Core Server
HTTPS
TCP
8888
Permet la communication Core Server
Entrant/sortant
Pour plus d'informations, voir SLN303898.
Configuration requise
5
Endpoint Security Suite Enterprise for Linux et
dépendances
Endpoint Security Suite Enterprise for Linux utilise Mono et les dépendances pour s'installer et s'activer sur le SE Linux. Le programme
d'installation télécharge et installe les dépendances requises. Après l'extraction du package, vous pouvez voir quelles dépendances sont en
cours d'exploitation à l'aide de la commande suivante :
./showdeps.sh
Compatibilité
Le tableau suivant indique la compatibilité avec Windows, Mac et Linux.
n/a - Cette technologie ne s'applique pas à cette plate-forme.
Champ vide - Cette stratégie n'est pas prise en charge avec Endpoint Security Suite Enterprise.
Fonctionnali Stratégies
tés
Windows
macOS
Linux
Quarantaine automatique
(Dangereux)
x
x
x
Quarantaine automatique
(Anormal)
x
x
x
Téléchargement auto
x
x
x
Liste de confiance de la
stratégie
x
x
x
Protection de la mémoire
x
x
x
Zone dynamique
d'empilement
x
x
x
Protection de l'empilement x
x
x
Écraser le code
x
Sans objet
Collecte de données
stockées en RAM
x
Sans objet
Charge malveillante
x
Actions de fichier
Actions de mémoire
Exploitation
Injection de processus
6
Attribution à distance de
mémoire
x
x
Sans objet
Adressage à distance de
mémoire
x
x
Sans objet
Écriture à distance dans la
mémoire
x
x
Sans objet
Configuration requise
Fonctionnali Stratégies
tés
Windows
macOS
Linux
Écriture à distance de PE
dans la mémoire
x
Sans objet
Sans objet
Écraser le code à distance
x
Sans objet
Suppression de l'adressage x
de la mémoire à distance
Sans objet
Création de thread à
distance
x
x
Planification APC à
distance
x
Sans objet
Sans objet
x
x
Sans objet
Injection de DYLD
Escalade
Lecture LSASS
x
Sans objet
Attribution nulle
x
x
Contrôle de l'exécution
x
x
Interdire l'arrêt du service
depuis le périphérique
x
x
Arrêter les processus et
x
sous-processus dangereux
en cours d'exécution
x
x
Détection de menace
d'arrière plan
x
x
x
recherche de nouveaux
fichiers
x
x
x
Taille de fichier d'archive
maximale à analyser
x
x
x
Exclure des dossiers
spécifiques
x
x
x
Copier les fichiers
exemples
x
Paramètres de protection
x
Contrôle des applications
Fenêtre de modification
x
Exclusion de dossiers
x
x
Paramètres de l'agent
Activer le téléchargement
automatique des fichiers
journaux
x
x
x
Activer les notifications sur x
le bureau
Contrôle des scripts
Configuration requise
7
Fonctionnali Stratégies
tés
Windows
Script actif
x
Powershell
x
Macros Office
x
Bloquer l'utilisation de la
console Powershell
x
macOS
Linux
Sans objet
Approuver les scripts dans x
ces dossiers (et leurs sousdossiers)
Niveau de journalisation
x
Niveau d'auto-protection
x
Mise à jour automatique
x
Exécuter une détection (à
partir de l'interface
utilisateur de l'agent)
x
Supprimer les éléments mis x
en quarantaine (interface
utilisateur de l'agent et
interface utilisateur de la
console)
8
Mode Déconnecté
x
Données de menace
détaillées
x
Liste de confiance des
certificats
x
x
Sans objet
Copier les échantillons de
programme malveillant
x
x
x
Paramètres de proxy
x
x
x
Vérification manuelle des
stratégies (interface
utilisateur de l'agent)
x
x
Configuration requise
x
3
Tâches
L'installation
Cette section présente Endpoint Security Suite Enterprise pour l'installation de Linux.
Pré-requis
Dell recommande de suivre les meilleures pratiques informatiques pendant le déploiement du logiciel client. Ceci inclut, sans s'y limiter, les
environnements de test contrôlés pour les premiers tests et les déploiements échelonnés pour les utilisateurs.
Avant de démarrer ce processus, assurez-vous que les conditions préalables suivantes sont réunies :
•
Assurez-vous que Serveur Dell et ses composants sont déjà installés.
Si vous n'avez pas encore installé Serveur Dell, suivez les instructions figurant dans le guide approprié ci-dessous.
Security Management Server Installation and Migration Guide (Guide d'installation et de migration de Security Management Server)
Security Management Server Virtual Quick Start Guide and Installation Guide (Guide de démarrage rapide et Guide d'installation de
Security Management Server Virtual)
•
Assurez-vous d'avoir le nom d'hôte du serveur et le port du Serveur Dell. Vous en aurez besoin pour l'installation du logiciel client.
•
Vérifiez que l'ordinateur cible dispose d'une connectivité réseau à Serveur Dell.
•
Si un certificat de serveur du client est manquant ou auto-signé, vous devez désactiver la confiance vis-à-vis du certificat SSL du côté
du client uniquement.
Installation par ligne de commande
Pour installer le client Endpoint Security Suite Enterprise à l'aide de la ligne de commande, suivez les étapes ci-dessous.
La commande sudo doit être utilisée pour appeler les privilèges d'administration au cours de l'installation. Si vous y êtes invité, entrez vos
informations d'identification.
L'approbation des empreintes digitales s'affiche uniquement au cours de la première installation.
1
Localisez et téléchargez le lot d'installation (DellESSE-1.x.x -xxx.tar.gz) à l'aide de votre compte FTP de Dell.
2
Extrayez le fichier tar.gz à l'aide de la commande suivante :
tar -xvf DellESSE*.tar.gz
Tâches
9
3
La commande suivante exécute le script d'installation pour les RPM requis et les dépendances :
sudo ./install.sh
4
Dans Dell Security Management Server Host?, entrez le nom d'hôte entièrement qualifié du Serveur Dell pour gérer l'utilisateur de la
cible. Par exemple, server.organization.com.
5
Dans Dell Security Management Server Port?, vérifiez que le port est défini sur 8888.
6
Entrez y lorsque vous êtes invité à installer le package DellESSE et ses dépendances.
7
Entrez y si vous y êtes invité à effectuer une approbation des empreintes.
10
Tâches
8
Entrez y lorsque vous êtes invité à installer le package DellAdvancedThreatProtection.
9
Entrez y lorsque vous êtes invité à installer le package CylanceDellATPPlugin.
10
L'installation est terminée.
11
Voir Vérifier Endpoint Security Suite Enterprise pour l'installation de Linux.
Désinstallation avec ligne de commande
Pour désinstaller Endpoint Security Suite Enterprise for Linux à l'aide de la ligne de commande, suivez les étapes ci-dessous.
1
Accédez à une fenêtre de terminal.
2
Désinstallez le package à l'aide de la commande suivante :
sudo ./uninstall.sh
3
Appuyez sur Entrée.
Endpoint Security Suite Enterprise for Linux est désormais désinstallé. Vous pouvez utiliser l'ordinateur normalement.
Afficher les détails
Une fois Endpoint Security Suite Enterprise for Linux installé, il est reconnu par le Serveur Dell en tant que point de terminaison.
Tâches
11
atp -t
La commande atp - t affiche toutes les menaces détectées sur le périphérique, ainsi que l'action appliquée. Les menaces sont une
catégorie d'événements récemment détectés comme fichiers ou programmes potentiellement dangereux qui nécessitent une action
corrective guidée.
Ces entrées détaillent les mesures prises, l'ID de hachage et l'emplacement de la menace.
•
Dangereux : fichier suspect qui risque d'être un programme malveillant
•
Anormal : fichier suspect qui pourrait être un programme malveillant
•
En quarantaine : fichier déplacé de son emplacement d'origine, stocké dans le dossier de quarantaine et dont l'exécution sur le
périphérique est bloquée.
•
Exonéré : fichier dont l'exécution est autorisée sur le périphérique.
•
Effacé : fichier effacé de l'organisation. Les fichiers autorisés comprennent des fichiers exonérés, ajoutés à la liste sécurisée et
supprimés du dossier Quarantaine sur le périphérique.
Pour plus d'informations sur la classification des menaces d'Advanced Threat Prevention, voir la rubrique AdminHelp, disponible sur la
console de gestion à distance du Serveur Dell.
Vérifier l'installation
Si vous le souhaitez, vous pouvez vérifier que l'installation a réussi.
•
Sur le client, accédez à une fenêtre de terminal.
•
Avant la réception d'une séquence de stratégie, le client s'enregistre sur le Dell Server.
•
Le fichier /var/log/Dell/ESSE/DellAgent.00.log détaille la communication avec le Dell Server et l'interaction plug-in/service.
Le texte ci-joint confirme que le client a reçu les stratégies depuis le Serveur Dell :
Le texte ci-joint confirme que le service Dell a été arrêté pour charger le plug-in Advanced Threat Prevention :
12
Tâches
Le texte ci-joint confirme les trois Endpoint Security Suite Enterprise pour les plug-ins Linux chargés :
atp -s - Affiche les éléments suivants :
•
État de l'enregistrement
•
Numéro de série : à utiliser pour contacter le support. Il s'agit de l'identificateur unique de l'installation.
•
Stratégie
La commande suivante détaille les variables de ligne de commande pour Endpoint Security Suite Enterprise pour Linux :
/opt/cylance/desktop/atp --help
Tâches
13
La commande atp Advanced Threat Prevention est ajoutée au répertoire /usr/sbin, qui est normalement inclus dans une variable PATH du
Shell, de sorte qu'il puisse être utilisé dans la plupart des cas sans un chemin précis.
Dépannage
Désactiver le certificat SSL de confiance
Si un certificat de serveur de l'ordinateur est manquant ou auto-signé, vous devez désactiver la confiance vis-à-vis du certificat SSL du
côté du client uniquement.
Si vous utilisez un certificat inhabituel, importez le certificat racine vers le magasin de certificats Linux, puis redémarrez Endpoint
Security Suite pour les services Linux avec la commande suivante : /usr/lib/dell/esse/agentservicecmd.sh restart
1
Accédez à une fenêtre de terminal.
2
Entrez le chemin d'accès à CsfConfig app :
/usr/lib/dell/esse/CsfConfig
3
Exécutez CsfConfig.app :
sudo ./CsfConfig
Les paramètres par défaut sont indiqués ci-après :
Paramètres actuels :
ServerHost = deviceserver.company.com
ServerPort = 8888
DisableSSLCertTrust = Faux
DumpXmlInventory = Faux
DumpPolicies = Faux
4
Saisissez -help pour répertorier les options.
5
Pour désactiver le certificat SSL de confiance sur l'ordinateur cible, entrez la commande suivante :
sudo /usr/lib/dell/esse/CsfConfig -disablecerttrust true
Ajout de modifications de règles et d'inventaire XML au dossier
Journaux
Pour ajouter le fichier inventory.xml ou policies.xml au dossier Journaux :
1
Exécutez CsfConfig app, comme indiqué ci-dessus.
2
Pour modifier DumpXmlInventory sur Vrai, entrez la commande suivante :
sudo /usr/lib/dell/esse/CsfConfig -dumpinventory true
3
Pour modifier DumpPolicies sur Vrai, entrez la commande suivante :
sudo /usr/lib/dell/esse/CsfConfig -dumppolicies true
Les fichiers de règles sont vidés uniquement en cas de modification de règle.
4
Pour afficher les journaux inventory.xml et policies.xml, accédez à /var/log/Dell/Dell Data Protection.
14
Tâches
REMARQUE : Les modifications apportées à CsfConfig peuvent ne pas s'appliquer
immédiatement.
Collecte de fichiers journaux
Les journaux de Endpoint Security Suite Enterprise for Linux se trouvent à l'emplacement suivant : /var/log/Dell/ESSE. Pour générer des
journaux, utilisez la commande suivante : . /getlogs.sh
Pour plus d'informations sur la collecte des journaux, voir SLN303924.
Provision a Tenant
Un locataire doit être provisionné dans Serveur Dell pour que l'application des stratégies Advanced Threat Prevention devienne active.
Pré-requis
•
Doit être effectué par un administrateur doté du rôle Administrateur système.
•
Doit disposer d'une connexion à Internet pour provisionner sur Serveur Dell.
•
Doit disposer d'une connexion à Internet sur le client pour afficher l'intégration de service en ligne Advanced Threat Prevention dans la
console de gestion.
•
Le provisionnement est basé sur un jeton qui est généré à partir d'un certificat pendant le provisionnement.
•
Les licences Advanced Threat Prevention doivent être présentes sur Serveur Dell.
Provisionner un service partagé
1
Connectez-vous à la console de gestion à distance en tant qu'administrateur Dell.
2
Dans le volet de gauche de la console de gestion, cliquez sur Gestion > Services de gestion.
3
Cliquez sur Configurer le service Advanced Threat Protection. Importez vos licences Advanced Threat Prevention en cas d'échec à
ce stade.
4
La configuration guidée commence une fois que les licences sont importées. Cliquez sur Suivant pour commencer.
5
Lisez et acceptez les termes du CLUF et cliquez sur Suivant.
6
Fournissez les identifiants à Serveur Dell pour le provisionnement du service partagé. Cliquez sur Suivant. Le provisionnement d'un
service partagé existant de marque Cylance n'est pas pris en charge.
7
Téléchargez le certificat. Celui-ci est nécessaire à la récupération en cas de sinistre affectant Serveur Dell. Ce certificat n'est pas
automatiquement sauvegardé. Sauvegardez le certificat à un emplacement sûr sur un autre ordinateur. Cochez la case pour confirmer
que vous avez sauvegardé le certificat et cliquez sur Suivant.
8
La configuration est terminée. Cliquez sur OK.
Dépannage de provisionnement
Provisionnement et communication de l'agent
Les diagrammes suivants illustrent le processus de provisionnement du service Advanced Threat Prevention
Tâches
15
16
Tâches
Le diagramme suivant illustre le processus de communication agent d'Advanced Threat Prevention.
Tâches
17
">
