▼
Scroll to page 2
of
52
Dell Threat Defense Guide d'installation et d'administration Basé sur Cylance v17.11.06 © 2017 Dell Inc. Marques commerciales et déposées utilisées dans la documentation Dell Threat Defense : Dell™ et le logo Dell sont des marques commerciales de Dell Inc. Microsoft®, Windows®, Windows Server®, Active Directory®, Azure® et Excel® sont des marques déposées de Microsoft Corporation aux États-Unis et/ou dans d'autres pays. OneLogin™ est une marque commerciale de OneLogin, Inc. OCTA™ est une marque déposée de Octa, Inc. PINGONE™ est une marque déposée de Ping Identity Corporation. MAC OS® et OS X® sont des marques déposées d'Apple, Inc. aux États-Unis et/ou dans d'autres pays. 2017-11-06 Les informations contenues dans le présent document sont susceptibles d'être modifiées sans préavis. Table des matières PRÉSENTATION ............................................................................................................................................... 6 Fonctionnement ............................................................................................................................................... 6 À propos de ce guide........................................................................................................................................ 6 CONSOLE .......................................................................................................................................................... 7 Connexion ....................................................................................................................................................... 7 Stratégie de périphérique.................................................................................................................................. 7 Actions de fichier ......................................................................................................................................... 8 Paramètres de protection .............................................................................................................................. 9 Journaux d'agent ........................................................................................................................................ 10 Meilleures pratiques pour les stratégies ...................................................................................................... 10 Zones ............................................................................................................................................................. 11 Propriétés des zones ................................................................................................................................... 12 Règle de zone ............................................................................................................................................ 13 Liste Périphériques de la zone .................................................................................................................... 15 Meilleures pratiques de gestion des zones ................................................................................................... 15 Gestion des utilisateurs .................................................................................................................................. 17 Options liées au réseau................................................................................................................................... 17 Pare-feu ..................................................................................................................................................... 18 Proxy ......................................................................................................................................................... 18 Périphériques ................................................................................................................................................. 19 Gestion des périphériques .......................................................................................................................... 19 Menaces et activités ................................................................................................................................... 19 Périphériques en double ............................................................................................................................. 21 Mise à jour de l'agent ..................................................................................................................................... 21 Tableau de bord ............................................................................................................................................. 22 Protection – Menaces ..................................................................................................................................... 24 Type de fichier ........................................................................................................................................... 24 Score Cylance ............................................................................................................................................ 24 Affichage des informations de menace ....................................................................................................... 24 Traitement des menaces ............................................................................................................................. 26 Traitement des menaces sur un périphérique spécifique .............................................................................. 27 Traitement des menaces au niveau global ................................................................................................... 27 Protection – Contrôle des scripts .................................................................................................................... 28 Liste globale .................................................................................................................................................. 28 Guide d'installation et d'administration | 3 Liste de confiance par certificat .................................................................................................................. 29 Profil ............................................................................................................................................................. 30 Mon compte ............................................................................................................................................... 30 Journaux d'audit ......................................................................................................................................... 31 Paramètres ................................................................................................................................................. 31 APPLICATION ................................................................................................................................................. 31 Agent Threat Defense .................................................................................................................................... 31 Agent Windows ............................................................................................................................................. 32 Configuration système requise ................................................................................................................... 32 Installation de l'agent – Windows ............................................................................................................... 33 Paramètres d'installation Windows ............................................................................................................. 33 Installation de l'agent Windows avec Wyse Device Manager (WDM) ......................................................... 34 Mise en quarantaine à l'aide de la ligne de commande ................................................................................ 36 Désinstallation de l'agent ............................................................................................................................ 36 Agent macOS ................................................................................................................................................ 37 Configuration système requise ................................................................................................................... 37 Installation de l'agent - macOS ................................................................................................................... 38 Paramètres d'installation macOS ................................................................................................................ 38 Installation de l'agent ................................................................................................................................. 39 Désinstallation de l'agent ............................................................................................................................ 40 Service d'agent ............................................................................................................................................... 40 Menu Agent ............................................................................................................................................... 41 Activation des options avancées de l'interface utilisateur de l'agent ............................................................. 42 Machines virtuelles ........................................................................................................................................ 43 Désinstallation protégée par un mot de passe.................................................................................................. 43 Pour créer un mot de passe de désinstallation ............................................................................................. 43 Intégrations .................................................................................................................................................... 44 Syslog/SIEM.............................................................................................................................................. 44 Authentification personnalisée ................................................................................................................... 45 Rapport des données de menace ................................................................................................................. 46 DÉPANNAGE .................................................................................................................................................. 46 Support .......................................................................................................................................................... 47 Paramètres d'installation............................................................................................................................. 47 Problèmes de performances ........................................................................................................................ 47 Problèmes de mise à jour, d'état et de connexion ........................................................................................ 47 Activation des journaux de débogage ......................................................................................................... 47 4 | Guide d'installation et d'administration Incompatibilités de Contrôle des scripts ......................................................................................................... 47 ANNEXE A : GLOSSAIRE .............................................................................................................................. 49 ANNEXE B : GESTION DES EXCEPTIONS ................................................................................................... 49 Fichiers ...................................................................................................................................................... 49 Scripts........................................................................................................................................................ 50 Certificats .................................................................................................................................................. 50 ANNEXE C : AUTORISATIONS UTILISATEUR ........................................................................................... 50 ANNEXE D : FILTRE D'ÉCRITURE BASÉ SUR DES FICHIERS .................................................................. 51 Guide d'installation et d'administration | 5 PRÉSENTATION Dell Threat Defense, basé sur Cylance, détecte et bloque les programmes malveillants avant qu'ils n'affectent les périphériques. Cylance utilise une approche mathématique de l'identification des programmes malveillants, qui consiste à utiliser des techniques d'apprentissage machine au lieu de signatures réactives, ou de systèmes de fichiers de confiance ou de « sandbox ». Cette approche rend inoffensifs les nouveaux programmes malveillants, virus et bots, ainsi que leurs futures variantes. Threat Defense analyse l'exécution potentielle des fichiers afin de détecter les programmes malveillants dans le système d'exploitation. Ce guide décrit l'utilisation de la console Threat Defense, l'installation de l'agent Threat Defense et la procédure de configuration de ces deux modules. Fonctionnement Threat Defense comprend un petit agent, qui s'installe sur chacun des hôtes qui communique avec la console dans le cloud. L'agent détecte et prévient les programmes malveillants sur l'hôte à l'aide de modèles mathématiques qui ont été testés. Il n'a pas besoin d'être connecté au cloud en continu, ni de recevoir constamment des mises à jour des signatures, et il fonctionne à la fois sur les réseaux ouverts et les réseaux isolés. Threat Defense évolue avec les changements du paysage des menaces virales. Par un apprentissage constant sur d'énormes volumes de données du monde réel, Threat Defense anticipe les actions des pirates. • Menace : signale qu'une menace a été téléchargée sur le périphérique ou qu'il y a eu tentative d'attaque par exploitation (Exploit). • Détection des menaces : méthode appliquée par l'agent Threat Defense pour identifier les menaces. • • o Analyse des processus : analyse les divers processus exécutés sur le périphérique. o Contrôle de l'exécution : analyse les processus uniquement lors de leur exécution. Cela inclut tous les fichiers exécutés au démarrage, ceux qui sont configurés pour exécution automatique et ceux qui sont exécutés manuellement par l'utilisateur. Analyse : méthode permettant d'identifier les fichiers comme dangereux ou sûrs. o Recherche dans le cloud des scores de menaces : modèle mathématique exécuté dans le cloud pour attribuer un score aux fichiers. o Local : modèle mathématique inclus avec l'agent. Il permet d'effectuer une analyse lorsque le périphérique n'est pas connecté à Internet. Action : opération que l'agent réalise lorsqu'un fichier est identifié comme une menace. o Global : vérifie les paramètres de stratégie, dont Quarantaine globale et Listes de confiance. o Local : vérifie les fichiers manuellement mis en quarantaine ou ignorés. À propos de ce guide Dell recommande aux utilisateurs de se familiariser avec la console dans le cloud avant d'installer l'agent sur les points de terminaison. La compréhension du mode de gestion des points de terminaison facilite leur protection et leur maintenance. Ce flux de travail n'est qu'une recommandation. Les utilisateurs peuvent aborder le déploiement dans leur environnement selon une approche qui a du sens pour eux. 6 | Guide d'installation et d'administration Exemple : les zones vous aident à regrouper les périphériques au sein de l'entreprise. Par exemple, configurez une zone dotée d'une règle de zone qui ajoute automatiquement les nouveaux périphériques à une zone spécifique en fonction des critères sélectionnés (Système d'exploitation, Nom de périphérique ou Nom de domaine, par exemple). Remarque : les instructions d'installation de l'agent sont présentées après les détails concernant les stratégies et les zones. Les utilisateurs peuvent commencer par installer l'agent, si nécessaire. CONSOLE La console Threat Defense est un site Web auquel le système se connecte pour afficher les informations de menaces pertinentes pour l'entreprise. La console facilite l'organisation des périphériques en groupes (zones), la configuration des actions à exécuter lorsque des menaces sont détectées sur un périphérique (stratégie) et le téléchargement des fichiers d'installation (agent). La console Threat Defense prend en charge les langues suivantes. Français Allemand Italien Japonais Portugais (ibérique) Coréen Espagnol Portugais (brésilien) Tableau 1 : Langues prises en charge par la console Threat Defense Connexion Lors de l'activation de votre compte, vous recevez un e-mail contenant vos informations de connexion à la console Threat Defense. Cliquez sur le lien figurant dans l'e-mail pour accéder à la page de connexion, ou utilisez les adresses suivantes : • • Amérique du Nord : http://dellthreatdefense.com Europe : http://dellthreatdefense-eu.cylance.com Stratégie de périphérique Une stratégie définit la manière dont l'agent traite les programmes malveillants qu'il rencontre. Par exemple, le programme malveillant peut être automatiquement mis en quarantaine ou ignoré s'il se trouve dans un dossier spécifique. Chaque périphérique doit comporter une stratégie et vous ne pouvez appliquer qu'une seule stratégie à chaque périphérique. En limitant les stratégies à une seule par périphérique, le système évite les conflits de fonctions (par exemple, vous évitez de bloquer un fichier alors qu'il doit être autorisé pour ce périphérique spécifique). Le périphérique est placé sous Stratégie par défaut si aucune stratégie ne lui est attribuée. Seule la fonction Contrôle de l'exécution est activée pour Stratégie par défaut ; elle analyse les processus uniquement lors de leur exécution. Cela offre une protection de base pour le périphérique, ne devrait pas interrompre le fonctionnement de ce périphérique et vous laisse le temps de tester les fonctions de la stratégie avant de la déployer dans l'environnement de production. Pour ajouter une stratégie 1. Connectez-vous à la console (http://dellthreatdefense.com) en tant qu'administrateur. Seuls les administrateurs peuvent créer des stratégies. 2. Sélectionnez Paramètres > Stratégie de périphérique. 3. Cliquez sur Ajouter une nouvelle stratégie. 4. Entrez un nom de stratégie et sélectionnez des options de stratégie. 5. Cliquez sur Créer. Guide d'installation et d'administration | 7 Actions de fichier PARAMÈTRES > Stratégie de périphérique > [sélectionnez une stratégie] > Actions de fichier La zone Actions de fichier offre différentes options permettant de manipuler les fichiers que Threat Defense a identifiés comme dangereux ou anormaux. Conseil : pour en savoir plus sur la classification des fichiers comme dangereux ou anormaux, voir la section Protection – Menaces. Mise en quarantaine automatique avec contrôle de l'exécution Cette fonction met en quarantaine ou bloque le fichier dangereux ou anormal afin de l'empêcher de s'exécuter. La mise en quarantaine d'un fichier le déplace de son emplacement d'origine vers le répertoire de quarantaine, C:\ProgramData\Cylance\Desktop\q. Certains programmes malveillants sont conçus pour déposer d'autres fichiers dans certains répertoires. Le programme malveillant continue à procéder ainsi jusqu'à ce que le fichier soit déplacé avec succès. Threat Defense modifie le fichier déplacé afin qu'il ne puisse pas s'exécuter, ce qui empêche ce type de programme malveillant de continuer à déposer le fichier supprimé. Conseil : Dell vous recommande de tester la fonction Quarantaine auto sur un petit nombre de terminaux avant de l'appliquer à votre environnement de production. Observez bien les résultats du test pour vous assurer qu'aucune application essentielle à vos activités n'est bloquée lors de l'exécution. Téléchargement auto Dell recommande aux utilisateurs d'activer la fonction Téléchargement auto pour les fichiers dangereux ou anormaux. Threat Defense télécharge automatiquement tous les fichiers dangereux ou anormaux sur le cloud Cylance Infinity, qui les analyse de manière plus approfondie et fournit davantage d'informations à leur propos. Threat Defense télécharge et analyse uniquement les fichiers Portable Executable (PE) inconnus. Si le même fichier inconnu est découvert sur plusieurs périphériques de l'entreprise, Threat Defense ne télécharge qu'un seul fichier pour analyse, et non pas un fichier par périphérique. Liste de confiance de la stratégie Ajoutez à cette liste les fichiers considérés comme sûrs, au niveau de la stratégie. L'agent n'applique aucune action de suppression des menaces aux fichiers de cette liste. Pour en savoir plus sur la gestion des exceptions de fichiers (mis en quarantaine ou ajoutés à la liste de confiance) à différents niveaux (Local, Stratégie ou Global), voir Annexe B : Gestion des exceptions. 1. Connectez-vous à la console (http://dellthreatdefense.com) en tant qu'administrateur. Seuls les administrateurs peuvent créer des stratégies. 2. Sélectionnez Paramètres > Stratégie de périphérique. 3. Ajoutez une nouvelle stratégie ou modifiez une stratégie existante. 4. Cliquez sur Ajouter un fichier, sous Liste de confiance de la stratégie. 5. Saisissez les informations de hachage SHA256. (Facultatif) Indiquez la valeur MD5 et le nom du fichier si vous les connaissez. 6. Sélectionnez une catégorie pour faciliter l'identification du rôle de ce fichier. 7. Indiquez la raison pour laquelle vous ajoutez ce fichier à la liste de confiance de la stratégie. 8. Cliquez sur Envoyer. 8 | Guide d'installation et d'administration Paramètres de protection PARAMÈTRES > Stratégie de périphérique > [sélectionnez une stratégie] > Paramètres de protection Contrôle de l'exécution Threat Defense surveille toujours l'exécution de processus malveillants, et émet une alerte chaque fois qu'un élément marqué comme dangereux ou anormal tente de s'exécuter. Interdire l'arrêt du service depuis le périphérique Si cette option est sélectionnée, le service Threat Defense ne peut pas être arrêté manuellement ni par un autre processus. Copier les échantillons de programme malveillant Permet de spécifier un partage réseau où copier des échantillons de programme malveillant. Cela permet aux utilisateurs d'effectuer leur propre analyse des fichiers que Threat Defense identifie comme dangereux ou anormaux. • Prend en charge les partages réseau CIFS/SMB. • Spécifiez un seul partage réseau. Exemple : c:\test. • Tous les fichiers qui répondent aux critères sont copiés vers le partage réseau, y compris les doublons. Aucun test d'unicité n'est effectué. • Les fichiers ne sont pas compressés. • les fichiers ne sont pas protégés par mot de passe. AVERTISSEMENT : LES FICHIERS NE SONT PAS PROT EGES PAR MOT DE PASSE. SOYEZ PR UDENT AF IN DE NE PAS EXEC UT ER PAR IN AD VERT ANCE LE FICHIER MAL VEILL ANT . Contrôle des scripts Le contrôle des scripts protège les périphériques en empêchant l'exécution des scripts Active Script et PowerShell malveillants. 1. Connectez-vous à la console (http://dellthreatdefense.com). 2. Sélectionnez Paramètres > Stratégie de périphérique. 3. Sélectionnez une stratégie, puis cliquez sur Paramètres de protection. 4. Cochez la case correspondante pour activer l'option Contrôle des scripts. a. Alerte : surveille les scripts exécutés dans votre environnement. Recommandé lors du déploiement initial. b. Bloquer : autorise l'exécution des scripts uniquement à partir de dossiers spécifiques. Utilisez cette option après l'avoir testée en mode Alerte. c. Approuver les scripts dans ces dossiers (et leurs sous-dossiers) : vous devez indiquer des exclusions de dossier en entrant le chemin relatif de chaque dossier. d. Bloquer l'utilisation de la console PowerShell : empêche le lancement de la console PowerShell. Cette option fournit une sécurité supplémentaire en empêchant l'utilisation de messages d'une ligne PowerShell. Remarque : si le script lance la console PowerShell alors que l'option Contrôle des scripts est configurée pour bloquer son exécution, le script échoue. Il est recommandé aux utilisateurs de modifier leurs scripts pour invoquer les scripts PowerShell, et non la console PowerShell. 5. Cliquez sur Enregistrer. Guide d'installation et d'administration | 9 Journaux d'agent PARAMÈTRES > Stratégie de périphérique > [sélectionnez une stratégie] > Journaux d'agent Active les journaux d'agent dans la console pour qu'il soit possible de télécharger ces fichiers journaux et de les afficher dans la console. 1. Connectez-vous à la console (http://dellthreatdefense.com). 2. Sélectionnez Paramètres > Stratégie de périphérique. 3. Sélectionnez une stratégie, puis cliquez sur Journaux de l'agent. Vérifiez que le périphérique sélectionné pour les fichiers journaux est bien associé à cette stratégie. 4. Sélectionnez Activer le téléchargement auto des fichiers journaux, puis cliquez sur Exécuter. 5. Cliquez sur l'onglet Périphériques et sélectionnez un périphérique. 6. Cliquez sur Journaux de l'agent. Les fichiers journaux s'affichent. 7. Cliquez sur un journal. Le nom du fichier journal correspond à sa date de création. Meilleures pratiques pour les stratégies Lors de la création initiale des stratégies, Dell vous recommande d'implémenter les fonctions de stratégie phase par phase, afin de vous assurer qu'elles n'ont pas d'impact sur les performances et les opérations. Créez les nouvelles stratégies en activant de plus en plus de fonctions au fur et à mesure que vous vous familiarisez avec le fonctionnement de Threat Defense dans votre environnement. 1. Lors de la création des stratégies initiales, activez uniquement l'option Téléchargement auto. a. L'agent utilise Contrôle de l'exécution et Surveillance des processus pour analyser uniquement les processus en cours d'exécution. Cela inclut tous les fichiers exécutés au démarrage, ceux qui sont configurés pour exécution automatique et ceux qui sont exécutés manuellement par l'utilisateur. L'agent envoie uniquement des alertes à la console. Aucun fichier n'est bloqué ni mis en quarantaine. b. Consultez la console pour voir s'il existe des alertes de menace. L'objectif est de repérer les applications ou les processus dont l'exécution est nécessaire sur le point de terminaison, mais qui sont considérés comme des menaces (identifiés comme anormaux ou dangereux). Configurez une stratégie ou un paramètre de console pour autoriser ces éléments à s'exécuter, le cas échéant (par exemple, exclure les dossiers dans une stratégie, ignorer les fichiers pour un périphérique donné ou ajouter les fichiers à la liste de confiance). c. Utilisez cette stratégie initiale pendant une journée afin d'autoriser l'exécution des applications et processus généralement utilisés sur le périphérique ; ils seront également analysés. IMPORTANT : cer tains pr ocessus et app lica tions ex écut és p ér iodiqu ement sur un p ér ip hér iqu e (u ne f ois par mois, par ex emp le) p eu vent êtr e considér és comme u ne mena ce. C' est à vous de décider s i vous pr éf ér ez ex écuter cett e f onction p enda nt la str atégie d' or igine ou sur veiller le p ér ip hér iqu e lor s de s on ex écution, s elon la pla nif ication déf inie. 2. Sous Paramètres de protection, activez l'option Arrêter les processus en cours d'exécution dangereux une fois le contrôle d'exécution et la surveillance des processus terminés. L'option Arrêter les processus en cours d'exécution dangereux et tous leurs sous-processus permet d'arrêter tous les processus (et sous-processus), quel que soit leur état, si une menace est détectée (EXE ou MSI). 10 | Guide d'installation et d'administration 3. Sous Actions de fichier, activez l'option Quarantaine auto. Quarantaine auto déplace les fichiers malveillants dans le dossier de quarantaine. 4. Sous Paramètres de protection, activez l'option Contrôle des scripts. Le contrôle des scripts protège les utilisateurs des scripts malveillants en empêchant leur exécution sur les périphériques. Les utilisateurs peuvent approuver l'exécution des scripts pour des dossiers spécifiques. Vous devez indiquer les exclusions de dossier Contrôle des scripts en entrant le chemin relatif du dossier (par exemple, \Cases\Scripts). Zones Une zone permet d'organiser et de gérer les périphériques. Par exemple, vous pouvez regrouper les périphériques par site géographique ou par fonction. S'il existe un groupe de périphériques critiques, vous pouvez les regrouper en une zone et leur attribuer une priorité élevée. De plus, vous appliquez des stratégies au niveau de la zone, si bien qu'il est possible de regrouper des périphériques en une zone sur la base de la stratégie qui leur est appliquée. Chaque entreprise possède une zone par défaut (périphériques sans zone), accessible uniquement pour les administrateurs. Les nouveaux périphériques sont placés sous Sans zone, sauf si vous avez défini des règles de zone pour associer automatiquement les périphériques à des zones. Les gestionnaires de zone et les utilisateurs peuvent être associés à des zones, ce qui leur permet d'afficher la configuration de ces zones. Cela permet également aux gestionnaires de zone et aux utilisateurs d'accéder aux périphériques dont ils sont responsables. Vous devez créer au moins une zone, et autoriser toutes les personnes dotées d'un rôle Gestionnaire de zone ou Utilisateur à l'afficher. Un périphérique peut appartenir à plusieurs zones mais vous ne pouvez appliquer qu'une seule stratégie à chaque périphérique. La mise en place de plusieurs zones permet davantage de flexibilité dans le mode de regroupement des périphériques. En limitant les stratégies à une seule par périphérique, le système évite les conflits de fonctions (par exemple, vous évitez de bloquer un fichier alors qu'il doit être autorisé pour le périphérique). Un périphérique peut appartenir à plusieurs zones pour différentes raisons : • Vous ajoutez manuellement ce périphérique à plusieurs zones. • Le périphérique est conforme aux règles de plusieurs zones. • Le périphérique résidait déjà dans une zone mais il devient conforme aux règles d'une autre zone. Pour connaître les méthodes d'utilisation recommandées des zones, voir Meilleures pratiques de gestion des zones. Pour ajouter une zone 1. Connectez-vous à la console (http://dellthreatdefense.com) en tant qu'administrateur. Seuls les administrateurs peuvent créer des zones. 2. Cliquez sur Zones. 3. Cliquez sur Ajouter une nouvelle zone. 4. Entrez un nom de zone, sélectionnez une stratégie et choisissez une valeur. Chaque zone doit être associée à une stratégie. La valeur détermine la priorité de la zone. 5. Cliquez sur Enregistrer. Guide d'installation et d'administration | 11 Pour ajouter des périphériques à une zone 1. Connectez-vous à la console (http://dellthreatdefense.com) à l'aide d'un compte d'administrateur ou de gestionnaire de zone. 2. Cliquez sur Zones. 3. Cliquez sur une zone de la liste des zones. Les périphériques se trouvant actuellement dans la zone sélectionnée s'affichent dans la liste des périphériques de la zone, au bas de la page. 4. Cliquez sur Ajouter des périphériques à la zone. Une liste de périphériques s'affiche. 5. Sélectionnez tous les périphériques à ajouter à la zone, puis cliquez sur Enregistrer. Vous pouvez éventuellement sélectionner l'option Appliquer la stratégie de zone aux périphériques sélectionnés. L'ajout d'un périphérique à une zone n'applique pas automatiquement la stratégie de zone, car la zone concernée peut servir à organiser les périphériques et pas à gérer la stratégie pour ces périphériques. Pour supprimer une zone 1. Connectez-vous à la console (http://dellthreatdefense.com) en tant qu'administrateur. Seuls les administrateurs peuvent supprimer des zones. 2. Cliquez sur Zones. 3. Cochez les cases des zones à supprimer. 4. Cliquez sur Supprimer. 5. Cliquez sur Oui dans le message vous invitant à confirmer la suppression de la zone sélectionnée. Propriétés des zones Vous pouvez modifier les propriétés de zone selon vos besoins. À propos de la priorité des zones Vous pouvez attribuer aux zones différents niveaux de priorité (Faible, Normal ou Élevé), qui déterminent la pertinence ou l'importance des périphériques de chaque zone. Dans différentes sections du tableau de bord, les périphériques sont affichés dans l'ordre de priorité pour vous aider à identifier les périphériques à traiter immédiatement. Vous pouvez définir la priorité lors de la création de la zone ou modifier la zone ultérieurement pour changer son ordre de priorité. Pour modifier les propriétés des zones 1. Connectez-vous à la console (http://dellthreatdefense.com) en tant qu'administrateur ou gestionnaire de zone. 2. Cliquez sur Zones. 3. Cliquez sur une zone de la liste des zones. 4. Pour renommer la zone, saisissez un nouveau nom dans le champ Nom. 5. Pour changer de stratégie, sélectionnez-en une autre dans le menu déroulant Stratégie. 6. Faites votre choix entre les valeurs Faible, Normal et Élevé. 7. Cliquez sur Enregistrer. 12 | Guide d'installation et d'administration Règle de zone Vous pouvez associer automatiquement les périphériques à une zone sur la base de certains critères. Cette automatisation s'avère très utile si vous ajoutez un grand nombre de périphériques à des zones. Lorsque vous ajoutez un nouveau périphérique qui satisfait la règle d'une zone, il est automatiquement associé à cette zone. Si l'option Appliquer maintenant à tous les périphériques sélectionnés est sélectionnée, tous les périphériques prédéfinis sont ajoutés à cette zone. Remarque : les règles de zone ajoutent automatiquement des périphériques à une zone, mais elles ne peuvent pas les en retirer. La modification de l'adresse IP ou du nom d'hôte d'un périphérique ne retire pas ce périphérique d'une zone. Vous devez retirer manuellement les périphériques de leur zone. Il existe une option permettant d'appliquer la stratégie de zone aux périphériques qui ont été ajoutés à la zone en question parce qu'ils correspondaient à la règle de zone. Cela signifie que la stratégie existante du périphérique est remplacée par la stratégie de zone spécifiée. Soyez prudent lorsque vous appliquez automatiquement une stratégie sur la base de la règle de zone. En effet, si vous ne gérez pas correctement cette fonction, un périphérique peut se voir attribuer la mauvaise stratégie simplement parce qu'il correspond à une règle de zone. Consultez la page Détails du périphérique de la console pour connaître la stratégie appliquée au périphérique concerné. Pour ajouter une règle de zone 1. Connectez-vous à la console (http://dellthreatdefense.com) en tant qu'administrateur ou gestionnaire de zone. 2. Cliquez sur Zones, puis sélectionnez une zone dans la liste des zones. 3. Cliquez sur Créer une règle sous Règle de zone. 4. Spécifiez les critères de la zone sélectionnée. Cliquez sur le signe plus pour ajouter des conditions. Cliquez sur le signe moins pour supprimer une condition. 5. Cliquez sur Enregistrer. Critères de règle de zone • Lorsqu'un nouveau périphérique est ajouté à l'organisation : tous les nouveaux périphériques ajoutés à l'entreprise qui correspondent à la règle de zone sont ajoutés à la zone en question. • Lorsqu'un attribut d'un périphérique a changé : lorsque les attributs d'un périphérique existant changent et que ce périphérique devient conforme à la règle de zone, ce périphérique existant est ajouté à la zone. • Adresse IPv4 incluse à la plage : entrez une plage d'adresses IPv4. • Nom du périphérique : • o Commence par : indique les caractères par lesquels les noms de périphérique doivent commencer. o Contient : indique la chaîne que les noms de périphérique doivent contenir, quelle que soit sa position dans le nom. o Finit par : indique les caractères par lesquels les noms de périphérique doivent se terminer. Système d'exploitation : o Est : le système d'exploitation doit être identique à celui qui est sélectionné ici. o N'est pas : le système d'exploitation doit être différent de celui qui est sélectionné ici. Par exemple, si la seule règle de zone indique que le système d'exploitation doit être différent de Windows 8, les périphériques utilisant tous les autres systèmes d'exploitation, y compris nonWindows, sont ajoutés à cette zone. Guide d'installation et d'administration | 13 • • • • • Nom de domaine : o Commence par : indique les caractères par lesquels le nom de domaine doit commencer. o Contient : indique la chaîne que le nom de domaine doit contenir, quelle que soit sa position dans le nom. o Finit par : indique les caractères par lesquels le nom de domaine doit se terminer. Nom distinctif : o Commence par : indique les caractères par lesquels le nom distinctif doit commencer. o Contient : indique la chaîne que le nom distinctif doit contenir, quelle que soit sa position dans le nom. o Finit par : indique les caractères par lesquels le nom distinctif doit se terminer. Membre de (LDAP) : o Est : la zone Membre de (Groupe) doit correspondre à la valeur entrée ici. o Contient : la zone Membre de (Groupe) doit contenir la valeur entrée ici. Les conditions suivantes sont réunies : o Toutes : toutes les conditions de la règle de zone doivent être satisfaites pour que le périphérique soit ajouté. o N'importe laquelle : au moins une condition de la règle de zone doit être satisfaite pour que le périphérique soit ajouté. Application de la stratégie de zone : o Ne pas appliquer : ne pas appliquer la stratégie de zone lorsque des périphériques sont ajoutés à la zone. o Appliquer : appliquer la stratégie de zone lorsque des périphériques sont ajoutés à la zone. Avertissement : l'application automatique d'une stratégie de zone peut avoir un impact négatif sur certains des périphériques du réseau. Appliquez automatiquement la stratégie de zone uniquement lorsqu'il est certain que la stratégie de zone trouvera uniquement les périphériques auxquels cette stratégie de zone spécifique doit être appliquée. • Appliquer maintenant à tous les périphériques existants : applique la règle de zone à tous les périphériques de l'entreprise. Cette option n'applique pas la stratégie de zone. À propos des noms distinctifs (DN) Voici des informations que vous devez connaître à propos des noms distinctifs (DN) pour les utiliser dans les règles de zone. 14 • Les caractères génériques sont interdits, mais la condition « Contient » donne pratiquement le même résultat. • Les erreurs de DN et les exceptions liées à l'agent sont consignées dans les fichiers journaux. • Si l'agent trouve les informations de DN sur le périphérique, ces informations sont automatiquement envoyées à la console. • Lorsque vous ajoutez un nom distinctif (DN), veillez à utiliser le format correct, comme suit. | o Exemple : CN=JDoe,OU=Sales,DC=dell,DC=COM o Exemple : OU=Demo,OU=SEngineering,OU=Sales Guide d'installation et d'administration Liste Périphériques de la zone La liste Périphériques de la zone affiche tous les périphériques attribués à cette zone. Les périphériques peuvent appartenir à plusieurs zones. Utilisez l'option Exporter pour télécharger un fichier CSV contenant des informations pour tous les périphériques de la liste Périphériques de la zone. Remarque : si l'autorisation d'affichage d'une zone n'a pas été attribuée et si l'utilisateur clique quand même sur le lien vers la zone dans la colonne Zones, la page Ressource introuvable s'affiche. Meilleures pratiques de gestion des zones Considérez les zones comme des balises, car chaque périphérique peut appartenir à plusieurs zones (porter plusieurs balises). Bien qu'il n'existe aucune restriction concernant le nombre de zones que vous pouvez créer, les meilleures pratiques recommandent de créer 3 zones pour le test, les stratégies et la granularité des rôles d'utilisateur au sein de l'entreprise. Ces 3 zones sont les suivantes : • Gestion des mises à jour • Gestion des règles • Gestion de l'accès basé sur les rôles Organisation des zones pour la gestion des mises à jour Les zones sont souvent utilisées pour faciliter la gestion des mises à jour de l'agent. Threat Defense prend en charge la version la plus récente de l'agent, ainsi que la précédente. Cela permet à l'entreprise de gérer des périodes de gel des changements et de tester entièrement les nouvelles versions de l'agent. Voici 3 types de zone suggérés pour diriger et spécifier les phases de test et de production de l'agent : • Zone de mise à jour – Groupe de test : cette zone doit contenir des périphériques de test réellement représentatifs des périphériques de l'entreprise (et des logiciels qui sont utilisés sur ces périphériques). Cela permet de tester la version la plus récente de l'agent et garantit que le déploiement de cet agent sur les périphériques de l'environnement de production ne va pas perturber les processus d'entreprise. • Zone de mise à jour – Groupe pilote : cette zone peut être utilisée comme zone de test secondaire ou comme zone de production secondaire. S'il s'agit d'une zone de test secondaire, elle peut permettre de tester le nouvel agent sur un groupe de périphériques plus étendu avant le déploiement dans l'environnement de production. En tant que zone de production secondaire, elle vous permet d'utiliser deux versions différentes de l'agent, à condition de définir deux zones de production distinctes. • Zone de mise à jour – Production : la plupart des périphériques doivent se trouver dans la zone conçue pour l'environnement de production. Remarque : pour mettre à jour l'agent dans la zone Production, voir la section Mise à jour de l'agent. Ajout d'une zone de test ou pilote 1. Connectez-vous à la console (http://dellthreatdefense.com) à l'aide d'un compte d'administrateur ou de gestionnaire de zone. 2. Sélectionnez Paramètres > Mise à jour de l'agent. 3. Pour les zones de test ou pilotes : a. Cliquez sur Sélectionner les zones de test ou Sélectionner les zones pilotes. b. Sélectionnez une zone. Si la zone Production est définie sur Mise à jour auto, les zones de test et zones pilotes ne sont pas disponibles. Pour activer les zones de test et zones pilotes, remplacez l'option Mise à jour auto de la zone Production par une autre option. Guide d'installation et d'administration | 15 4. Cliquez sur Sélectionnez la version. 5. Sélectionnez la version de l'agent à appliquer à la zone de test ou pilote. 6. Cliquez sur Appliquer. Organisation des zones pour la gestion des stratégies Un autre ensemble de zones peut vous aider à appliquer différentes stratégies aux divers types de point de terminaison. Voici quelques exemples : • Zone de stratégie – Postes de travail • Zone de stratégie – Postes de travail – Exclusions • Zone de stratégie – Serveurs • Zone de stratégie – Serveurs – Exclusions • Zone de stratégie – Direction – Protection renforcée Dell vous suggère d'appliquer une stratégie par défaut à tous les périphériques de cette zone de stratégie dans l'une de ces zones. Attention à ne pas placer un périphérique dans plusieurs zones de stratégie, car cela créerait un conflit pour l'application de la stratégie. Souvenez-vous également qu'un moteur de règle de zone peut vous aider à organiser automatiquement les hôtes sur la base de l'adresse IP, du nom d'hôte, du système d'exploitation ou du domaine. Organisation des zones pour la gestion de l'accès basé sur les rôles L'accès basé sur les rôles (RBAC) permet de limiter l'accès d'un utilisateur de la console au seul sous-ensemble de périphériques qu'il est chargé de gérer. Vous pouvez répartir les périphériques par plage d'adresses IP, par nom d'hôte, par système d'exploitation ou par domaine. Vous pouvez également créer des groupes sur la base de l'emplacement géographique, du type ou des deux. Exemple : • Zone RBAC – Postes de travail – Europe • Zone RBAC – Serveurs – Asie • Zone RBAC – Tapis rouge (Direction) À l'aide des exemples de zones ci-dessus, un gestionnaire de zone peut être attribué à Zone RBAC – Bureaux – Europe et avoir uniquement accès aux périphériques se trouvant dans cette zone. Si l'utilisateur Gestionnaire de zone tente d'afficher les autres zones, il reçoit un message d'erreur qui lui précise qu'il n'a pas l'autorisation d'affichage requise. Bien qu'un périphérique puisse se trouver dans plusieurs zones et que le gestionnaire de zone soit autorisé à afficher ce périphérique, il n'est pas autorisé à l'afficher dans les autres zones dont ce périphérique est membre ; le message d'erreur apparaît. Dans d'autres sections de la console, comme le tableau de bord, le gestionnaire de Zone RBAC – Bureaux – Europe serait également limité aux menaces et autres informations associées à cette zone ou aux périphériques qui y sont affectés. Les mêmes restrictions s'appliquent aux comptes Utilisateur associés à une zone. 16 | Guide d'installation et d'administration Gestion des utilisateurs Les administrateurs disposent d'autorisations globales. Ils peuvent ajouter ou supprimer des utilisateurs, associer des utilisateurs à des zones (en tant qu'utilisateur ou gestionnaire de zone), ajouter ou supprimer des périphériques, créer des stratégies et créer des zones. Les administrateurs peuvent également supprimer définitivement de la console des utilisateurs, des périphériques, des stratégies et des zones. Les comptes Utilisateur et Gestionnaire de zone ont un accès limité et disposent uniquement des privilèges liés à la zone qui leur est attribuée. Cela s'applique aux périphériques affectés à la zone, aux menaces détectées sur ces périphériques et aux informations du tableau de bord. Pour consulter la liste complète des autorisations associées à chaque type d'utilisateur, voir Annexe C : Autorisations utilisateur. Pour ajouter des utilisateurs 1. Connectez-vous à la console (http://dellthreatdefense.com) en tant qu'administrateur. Seuls les administrateurs peuvent créer des utilisateurs. 2. Sélectionnez Paramètres > Gestion des utilisateurs. 3. Entrez l'adresse e-mail de l'utilisateur. 4. Sélectionnez un rôle dans la liste déroulante Rôle. 5. Lors de l'ajout d'un gestionnaire de zone ou d'un utilisateur, cliquez sur une zone pour les attribuer. 6. Cliquez sur Ajouter. Un e-mail est envoyé à l'utilisateur. Il contient un lien permettant de créer un mot de passe. Pour modifier les rôles des utilisateurs 1. Connectez-vous à la console (http://dellthreatdefense.com) en tant qu'administrateur. Seuls les administrateurs peuvent créer des utilisateurs. 2. Sélectionnez Paramètres > Gestion des utilisateurs. 3. Cliquez sur un utilisateur. La page Détail de l'utilisateur s'affiche. 4. Sélectionnez un rôle, puis cliquez sur Enregistrer. Pour supprimer des utilisateurs 1. Connectez-vous à la console (http://dellthreatdefense.com) en tant qu'administrateur. Seuls les administrateurs peuvent créer des utilisateurs. 2. Sélectionnez Paramètres > Gestion des utilisateurs. 3. Cochez la case du ou des utilisateurs à supprimer. 4. Cliquez sur Supprimer. 5. Cliquez sur Oui dans le message vous invitant à confirmer la suppression. Options liées au réseau Configurez le réseau de manière à autoriser l'agent Threat Defense à communiquer avec la console sur Internet. Cette section présente les paramètres de pare-feu et la configuration du proxy. Guide d'installation et d'administration | 17 Pare-feu Aucun logiciel sur site n'est nécessaire pour gérer les périphériques. Les agents Threat Defense sont gérés par la console (interface utilisateur basée dans le cloud) et lui font leurs rapports. Le port 443 (HTTPS) est utilisé pour la communication et doit être ouvert sur le pare-feu pour que les agents puissent communiquer avec la console. La console est hébergée par Amazon Web Services (AWS) et ne possède pas d'adresse IP fixe. Vérifiez que les agents peuvent communiquer avec les sites suivants : • login.cylance.com • data.cylance.com • my.cylance.com • update.cylance.com • api2.cylance.com • download.cylance.com Autre solution : autorisez le trafic HTTPS avec *.cylance.com. Proxy Vous configurez la prise en charge du proxy pour Threat Defense via une entrée de registre. Si un proxy est configuré, l'agent utilise l'adresse IP et le port figurant dans l'entrée de registre pour toutes les communications sortantes en direction des serveurs de console. 1. Accédez au registre. Remarque : vous devez disposer de privilèges de haut niveau ou être propriétaire du registre, selon la façon dont l'agent a été installé (Mode Protégé activé ou non). 2. Dans l'Éditeur de registre, accédez à la clé HKEY_LOCAL_MACHINE\SOFTWARE\Cylance\Desktop. 3. Créez une nouvelle valeur Chaîne (REG_SZ) : o Nom de la valeur = ProxyServer o Données de la valeur = paramètres de proxy (par exemple, http://123.45.67.89:8080) L'agent tente d'utiliser les informations d'identification de l'utilisateur actuellement connecté pour les communications sortantes vers Internet dans les environnements authentifiés. Si vous avez configuré un proxy authentifié et qu'aucun utilisateur n'est connecté au périphérique, l'agent ne peut pas s'authentifier auprès du proxy et ne peut pas communiquer avec la console. Solutions à appliquer dans ce cas : • Configurez le proxy et ajoutez une règle pour autoriser tout le trafic vers *.cylance.com. • Utilisez une autre stratégie de proxy, qui autorise l'accès proxy sans authentification aux hôtes Cylance (*.cylance.com). Lorsque vous procédez ainsi, si aucun utilisateur n'est connecté au périphérique, l'agent n'a pas besoin de s'authentifier, et il devrait pouvoir se connecter au cloud et communiquer avec la console. 18 | Guide d'installation et d'administration Périphériques Une fois l'agent installé sur un point de terminaison, il devient disponible en tant que périphérique dans la console. Commencez par gérer les périphériques en attribuant la stratégie (pour gérer les menaces identifiées), puis regroupez les périphériques (à l'aide des zones) et intervenez manuellement sur tous les périphériques (en les mettant en quarantaine et en les ignorant, le cas échéant). Gestion des périphériques Le terme « périphérique » désigne les ordinateurs où l'agent Threat Defense est installé. Vous gérez les périphériques depuis la console. 1. Connectez-vous à la console (http://dellthreatdefense.com) en tant qu'administrateur. Seuls les administrateurs peuvent gérer les périphériques. 2. Cliquez sur Périphériques. 3. Cochez la case d'un périphérique pour autoriser les actions suivantes : • Exporter : permet de créer et de télécharger un fichier .CSV. Le fichier contient des informations (Nom, État et Stratégie) sur tous les périphériques de l'entreprise. • Supprimer : permet de supprimer les périphériques sélectionnés de la liste des périphériques. Cela ne désinstalle pas l'agent du périphérique. • Attribuer une stratégie : permet d'attribuer une stratégie aux périphériques sélectionnés. • Ajouter à des zones : permet d'ajouter les périphériques sélectionnés à une ou plusieurs zones. 4. Cliquez sur un périphérique pour afficher la page Détails du périphérique. • Informations sur le périphérique : affiche des informations comme le nom d'hôte, la version de l'agent et la version du système d'exploitation. • Propriétés du périphérique : permet de modifier le nom du périphérique, la stratégie, les zones et le niveau de journalisation. • Menaces et activités : affiche les informations concernant les menaces et autres activités liées au périphérique. 5. Cliquez sur Ajouter un nouveau périphérique pour afficher une boîte de dialogue contenant le jeton d'installation ainsi que des liens permettant de télécharger le programme d'installation de l'agent. 6. Dans la colonne Zones, cliquez sur un nom de zone pour afficher la page Détails de la zone. Menaces et activités Affiche les informations concernant les menaces et autres activités liées au périphérique sélectionné. Menaces Affiche toutes les menaces détectées sur le périphérique. Par défaut, les menaces sont regroupées par état (Dangereux, Anormal, Mis en quarantaine et Ignoré). • Exporter : permet de créer et de télécharger un fichier CSV contenant des informations sur toutes les menaces détectées sur les périphériques sélectionnés. Les informations de menace incluent le nom, le chemin du fichier, le score Cylance et l'état. Guide d'installation et d'administration | 19 • Mettre en quarantaine : permet de mettre en quarantaine les menaces sélectionnées. Il s'agit d'une quarantaine locale, ce qui signifie que les menaces sélectionnées sont uniquement mises en quarantaine sur ce périphérique. Pour mettre en quarantaine une menace pour tous les périphériques de l'entreprise, assurez-vous que la case Mettre également en quarantaine cette menace chaque fois qu'elle est détectée sur un périphérique est cochée (Quarantaine globale) lorsqu'un fichier est mis en quarantaine. • Ignorer : définit l'état des menaces sélectionnées sur Ignoré. Un fichier ignoré peut s'exécuter. Il s'agit d'une quarantaine locale, ce qui signifie que le fichier peut uniquement s'exécuter sur ce périphérique. Pour permettre à ce fichier de s'exécuter sur tous les périphériques de l'entreprise, cochez la case Marquer également comme sûr sur tous les périphériques (liste de confiance) lorsque vous définissez un fichier comme Ignoré. Tentatives d'exploitation Affiche toutes les tentatives d'exploitation détectées sur le périphérique. Cela comprend des détails comme le nom du processus, son ID, son type et l'action réalisée. Journaux d'agent Affiche les fichiers journaux téléchargés par l'agent sur le périphérique. Le nom du fichier journal correspond à sa date de création. Pour afficher les fichiers journaux d'agent : 1. Téléchargez le fichier journal actuel d'un seul périphérique. a. Cliquez sur Périphériques > Journaux d'agent. b. Cliquez sur Télécharger le fichier de journal actuel. L'opération peut prendre plusieurs minutes, selon la taille du fichier journal. OU 1. Paramètres de stratégie : a. Cliquez sur Paramètres > Règle de périphérique > [sélectionnez une règle] > Journaux d'agent. b. Cliquez sur Activer le téléchargement auto des fichiers journaux. c. Cliquez sur Enregistrer. Pour afficher des journaux en mode détaillé (verbose), changez le niveau de journalisation de l'agent avant de télécharger les journaux. 1. Dans la console : Périphériques > [cliquez sur un périphérique], sélectionnez le mode Détaillé (verbose) dans le menu déroulant Niveau de journalisation de l'agent, puis cliquez sur Enregistrer. Une fois les journaux détaillés (verbose) téléchargés, Dell vous recommande de rétablir le niveau de journalisation d'agent Informations. 2. Sur le périphérique, fermez l'interface utilisateur Threat Defense (effectuez un clic droit sur l'icône Threat Defense dans la barre d'état système, puis cliquez sur Quitter). OU 1. Accédez à l'interface de ligne de commande en tant qu'administrateur. Saisissez la commande suivante et appuyez sur Entrée. cd C:\Program Files\Cylance\Desktop 2. Saisissez la commande suivante et appuyez sur Entrée. Dell.ThreatDefense.exe –a 3. L'icône Threat Defense s'affiche dans la barre d'état système. Effectuez un clic droit, sélectionnez Journalisation, puis cliquez sur Tout (identique au niveau détaillé (verbose) dans la console). 20 | Guide d'installation et d'administration OU (Pour macOS) 1. Quittez l'interface utilisateur en cours d'exécution. 2. Accédez à la fenêtre de terminal et exécutez la commande suivante. sudo /Applications/Cylance/CylanceUI.app/Contents/MacOS/CylanceUI -a 3. Effectuez un clic droit sur la nouvelle interface utilisateur lorsqu'elle s'ouvre. Sélectionnez Journalisation > Tout. Contrôle des scripts Affiche toutes les activités liées au contrôle des scripts, notamment les scripts interdits. Périphériques en double Lors de l'installation initiale de l'agent Threat Defense sur un périphérique, un ID unique est créé. La console l'utilise pour identifier ce périphérique et y faire référence. Cependant, certains événements, comme l'utilisation d'une image de machine virtuelle pour créer plusieurs systèmes, peuvent provoquer la génération d'un second ID pour le même périphérique. Sélectionnez le périphérique, puis cliquez sur Supprimer lorsqu'une entrée en double s'affiche sur la page Périphériques de la console. Pour faciliter l'identification de ce type de périphérique, utilisez la fonction de tri des colonnes de la page Périphériques afin de trier les périphériques et de les comparer, généralement sur la base de leur nom. Vous avez également la possibilité d'exporter la liste des périphériques en tant que fichier .CSV et de l'afficher dans Microsoft Excel ou une application similaire dotée de puissantes fonctions de tri et d'organisation. Exemple avec Microsoft Excel 1. Ouvrez le fichier CSV des périphériques dans Microsoft Excel. 2. Sélectionnez la colonne des noms de périphérique. 3. Dans l'onglet Accueil, sélectionnez Mise en forme conditionnelle > Règles de mise en surbrillance des cellules > Valeurs en double). 4. Vérifiez que Doublon est sélectionné, puis sélectionnez une option de mise en surbrillance. 5. Cliquez sur OK. Les éléments en double sont mis en surbrillance. Remarque : la commande Supprimer permet seulement de supprimer le périphérique de la page Périphériques. Elle n'envoie pas de commande de désinstallation à l'agent Threat Defense. L'agent doit être désinstallé sur le point de terminaison. Mise à jour de l'agent La maintenance et la gestion des agents Threat Defense sont très simples. Les agents téléchargent automatiquement les mises à jour depuis la console et la maintenance de cette dernière est assurée par Cylance. L'agent prend contact avec la console toutes les 1-2 minutes. La console indique l'état actuel de l'agent (En ligne ou Hors ligne, Dangereux ou Protégé), les informations de version, le système d'exploitation et l'état de la menace. Threat Defense publie des mises à jour de l'agent tous les mois. Ces mises à jour peuvent comprendre des révisions de la configuration, de nouveaux modules et des modifications du programme. Lorsqu'une mise à jour de l'agent est disponible (la console vous le signale sous Settings > Agent Updates [Paramètres > Mises à jour de l'agent]), l'agent télécharge et applique automatiquement cette mise à jour. Pour contrôler le trafic réseau pendant la mise à jour de l'agent, toutes les entreprises sont configurées pour autoriser un maximum de 1 000 mises à jour de périphérique simultanées. Les utilisateurs peuvent également désactiver la fonction Mise à jour auto s'ils le souhaitent. Remarque : le support Dell peut modifier le nombre maximal de périphériques pouvant être mis à jour simultanément. Guide d'installation et d'administration | 21 Mise à jour sur la base des zones La mise à jour sur la base des zones permet à une entreprise de tester un nouvel agent sur un petit nombre de périphériques avant de le déployer dans l'ensemble de son environnement (Production). Vous pouvez ajouter temporairement une ou plusieurs des zones actuelles à l'une des deux zones de test (Test et Pilote) qui vous permettent d'utiliser un agent différent de celui de l'environnement de production. Pour configurer la mise à jour sur la base des zones : 1. Connectez-vous à la console (http://dellthreatdefense.com) à l'aide d'un compte administrateur. 2. Sélectionnez Paramètres > Mise à jour de l'agent. Les trois dernières versions de l'agent s'affichent. Si la zone Production est définie sur Mise à jour auto, les zones de test et zones pilotes ne sont pas disponibles. Pour activer les zones de test et zones pilotes, remplacez l'option Mise à jour auto de la zone Production par une autre option. 3. Sélectionnez une version spécifique de l'agent dans la liste déroulante Production. 4. Pour Production, sélectionnez également Mise à jour auto ou Ne pas mettre à jour. a. L'option Mise à jour auto permet à tous les périphériques de production d'être automatiquement mis à jour vers la dernière version de la liste Versions de l'agent prises en charge. b. L'option Ne pas mettre à jour empêche tous les périphériques de production de mettre à jour l'agent. 5. Pour la zone Test, choisissez une ou plusieurs zones dans la liste déroulante Zone, puis choisissez une version spécifique de l'agent dans la liste déroulante des versions. 6. Si nécessaire, répétez l'étape 5 pour la zone Pilote. Remarque : si vous ajoutez un périphérique à une zone incluse dans la zone Test ou Pilote, ce périphérique commence à utiliser la version d'agent de la zone Test ou Pilote. Si un périphérique appartient à plusieurs zones dont une seule est incluse dans la zone Test ou Pilote, la version d'agent de la zone Test ou Pilote est prioritaire. Pour déclencher une mise à jour de l'agent Pour déclencher une mise à jour de l'agent avant que le délai d'une heure en cours soit écoulé : 1. Effectuez un clic droit sur l'icône de l'agent Threat Defense dans la barre d'état système, puis cliquez sur Rechercher des mises à jour. 2. Redémarrez le service Threat Defense. Cela le force à prendre immédiatement contact avec la console. OU • Vous pouvez lancer les mises à jour à partir de la ligne de commande. Exécutez la commande suivante depuis le répertoire Cylance : Dell.ThreatDefense.exe – update Tableau de bord La page Tableau de bord apparaît une fois que vous êtes connecté à la console Threat Defense. Le tableau de bord fournit une vue d'ensemble des menaces de votre environnement et vous permet d'accéder aux différentes informations de la console sur une seule page. Statistiques de menace Les statistiques de menace indiquent le nombre de menaces détectées au cours des dernières 24 heures ainsi que le nombre total de menaces de l'entreprise. Cliquez sur Statistiques de menace pour accéder à la page Protection et afficher la liste des menaces associées à cette statistique. 22 | Guide d'installation et d'administration • Menaces en cours d'exécution : fichiers identifiés comme des menaces, actuellement en cours d'exécution sur les périphériques de l'entreprise. • Menaces à exécution auto : menaces configurées pour s'exécuter automatiquement. • Menaces mises en quarantaine : menaces mises en quarantaine au cours des 24 heures et total des menaces. • Menaces spécifiques à Cylance : menaces identifiées par Cylance mais pas par d'autres sources d'antivirus. Pourcentages de protection Affiche les pourcentages correspondant à la protection contre les menaces et à la protection des périphériques. • Protection contre les menaces : pourcentage de menaces auxquelles une action a été appliquée (Quarantaine, Quarantaine globale, Ignorer et Listes de confiance). • Protection des périphériques : pourcentage de périphériques associés à une stratégie où l'option Quarantaine auto est activée. Menaces par priorité Affiche le nombre total des menaces qui nécessitent une action (Quarantaine, Quarantaine globale, Ignorer et Listes de confiance). Les menaces sont regroupées par priorité (Élevée, Moyenne ou Faible). Cette vue d'ensemble affiche le nombre total de menaces qui nécessitent une action, divisées par niveau de priorité. Elle affiche également le pourcentage total et indique le nombre de périphériques concernés. Les menaces sont triées par ordre de priorité dans l'angle inférieur gauche de la page Tableau de bord. L'écran spécifie le nombre total de menaces de l'entreprise, regroupées par niveau de priorité. Une menace est classée au niveau Faible, Moyen ou Élevé en fonction du nombre des attributs suivants qu'elle présente : • Le fichier possède un score Cylance supérieur à 80. • Le fichier est en cours d'exécution. • Le fichier a été exécuté précédemment. • Le fichier est configuré pour exécution automatique. • Priorité de la zone où la menace a été détectée. Cette classification permet aux administrateurs de déterminer les menaces et périphériques à traiter en premier. Cliquez sur la menace ou sur le nombre de périphériques pour afficher les détails de la menace et des périphériques. Événements de menace Affiche un diagramme à lignes montrant le nombre de menaces détectées sur les 30 derniers jours. Les lignes sont codées par couleur pour les fichiers dangereux, anormaux, mis en quarantaine, ignorés et effacés. • Placez la souris sur un point du diagramme pour afficher les détails correspondants. • Cliquez sur l'une des couleurs de la légende pour afficher ou masquer la ligne correspondante. Classification des menaces Affiche une carte à zones sensibles des divers types de menace détectés dans l'entreprise (comme les virus ou les programmes malveillants). Cliquez sur un élément dans la carte à zones sensibles pour accéder à la page Protection et afficher la liste des menaces du type concerné. Guide d'installation et d'administration | 23 Listes « 5 principales » Affiche les listes 5 principales menaces détectées sur le plus grand nombre de périphériques, 5 principaux périphériques avec le plus de menaces et 5 principales zones avec le plus de menaces dans l'entreprise. Cliquez sur une entrée de liste pour obtenir des détails. Les listes « 5 principales » du tableau de bord mettent en surbrillance les menaces dangereuses de l'entreprise qui n'ont encore fait l'objet d'aucune intervention, comme les menaces mises en quarantaine ou ignorées. La plupart du temps, ces listes devraient être vides. Bien que les menaces anormales exigent également d'être traitées, les listes « 5 principales » attirent votre attention sur les menaces critiques. Protection – Menaces Threat Defense peut faire bien plus que simplement classer les fichiers comme dangereux ou anormaux. Cette solution peut fournir des détails sur les caractéristiques statiques et dynamiques des fichiers. Cela permet aux administrateurs non seulement de bloquer les menaces, mais aussi de comprendre le comportement de ces menaces afin de les atténuer ou d'y répondre. Type de fichier Dangereux : fichier avec un score entre 60 et 100. Un fichier dangereux est un fichier dans lequel le moteur Threat Defense identifie des attributs qui ressemblent fortement à un programme malveillant. Anormal : fichier avec un score entre 1 et 59. Un fichier anormal a quelques attributs de programme malveillant, mais moins qu'un fichier dangereux, et est donc moins susceptible d'être un programme malveillant. Remarque : il arrive qu'un fichier soit classé comme dangereux ou anormal, même si le score affiché ne correspond pas à la plage de la classification. Cela peut être dû aux toutes dernières constatations ou à une analyse de fichier supplémentaire réalisée après la détection initiale. Pour consulter l'analyse la plus à jour, activez Téléchargement auto dans la stratégie de périphérique. Score Cylance Un score Cylance est attribué à chaque fichier considéré comme anormal ou dangereux. Le score indique le degré de probabilité qu'il s'agisse d'un fichier de programme malveillant. Plus le chiffre est élevé, plus le degré de probabilité est élevé. Affichage des informations de menace L'onglet Protection de la console affiche des informations détaillées sur les menaces, en précisant les périphériques où elles ont été détectées et les actions appliquées à ces périphériques en réaction à ces menaces. Remarque : vous pouvez configurer les colonnes de la liste des menaces de l'onglet Protection. Cliquez sur la flèche vers le bas d'une colonne pour ouvrir le menu associé, puis affichez/masquez les différents détails concernant les menaces. Le menu inclut un sous-menu de filtrage. Pour afficher les détails de menace 1. Connectez-vous à la console (http://dellthreatdefense.com). 2. Cliquez sur l'onglet Protection pour afficher la liste des menaces identifiées dans l'entreprise. 3. Utilisez le filtre de la barre de menus de gauche pour filtrer la liste par priorité (Élevée, Moyenne ou Faible) et par état (Mis en quarantaine, Ignoré, Dangereux ou Anormal). 24 | Guide d'installation et d'administration Remarque : les nombres affichés en rouge dans le volet de gauche signalent les menaces en attente qui n'ont pas encore été mises en quarantaine ou ignorées. Filtrez l'affichage sur la base de ces éléments pour afficher la liste des fichiers qui doivent être examinés. 4. Pour ajouter des colonnes afin de pouvoir afficher des informations supplémentaires sur les menaces, cliquez sur la flèche vers le bas près des noms de colonne et sélectionnez un nom. 5. Pour afficher des informations supplémentaires sur une menace spécifique, cliquez sur le lien de nom de cette menace (les détails s'affichent dans une nouvelle page) ou cliquez n'importe où dans la ligne de la menace (les détails s'affichent au bas de la page). Les deux vues affichent le même contenu mais dans une présentation différente. Les détails disponibles incluent une présentation des métadonnées du fichier, la liste des périphériques où la menace a été détectée et des rapports de preuve. a. Métadonnées de fichier • Classification [attribuée par l'équipe Advanced Threat and Alert Management (ATAM) de Cylance] • Score Cylance (niveau de confiance) • Opinion de l'industrie des antivirus (liens vers VirusTotal.com pour comparaison avec d'autres fournisseurs) • Date de première détection et date de dernière détection • SHA256 • MD5 • Informations de fichier (auteur, description, version, etc.) • Détails de signature b. Périphériques La liste de périphériques/zones correspondant à une menace peut être filtrée en fonction de l'état de la menace (Dangereux, Mis en quarantaine, Ignoré et Anormal). Cliquez sur le lien de filtre d'état pour afficher les périphériques qui présentent la menace dans cet état. • Dangereux : le fichier est classé comme dangereux, mais aucune action n'a été entreprise. • Mis en quarantaine : le fichier a déjà été mis en quarantaine en raison d'un paramètre de stratégie. • Ignoré : le fichier a été ignoré ou mis en liste blanche par l'administrateur. • Anormal : le fichier est classé comme anormal, mais aucune action n'a été entreprise. c. Rapports de preuve • Indicateurs de menace : observations concernant un fichier que le moteur Cylance Infinity a analysé. Ces indicateurs vous aident à comprendre la raison de la classification d'un fichier, et fournissent des détails sur les attributs et le comportement de ce fichier. Les indicateurs de menace sont regroupés en catégories pour offrir une aide contextuelle. • Données de menace détaillées : la section Données de menace détaillées fournit un récapitulatif complet des caractéristiques statiques et dynamiques d'un fichier, notamment des métadonnées de fichier supplémentaires, les détails de la structure du fichier, ainsi que ses comportements dynamiques, comme la suppression de fichiers, la création ou la modification de clés de registre, et les URL avec lesquelles il a tenté de communiquer. Guide d'installation et d'administration | 25 Pour afficher les indicateurs de menace : 1. Connectez-vous à la console (http://dellthreatdefense.com). 2. Cliquez sur Protection dans le menu supérieur pour afficher la liste des menaces (ou cliquez sur Périphériques, puis sélectionnez un périphérique). 3. Cliquez sur un nom de menace. La page Détails de la menace s'affiche. 4. Cliquez sur Rapports de preuve. Catégories d'indicateurs de menace : chaque catégorie représente un aspect fréquemment constaté dans les logiciels malveillants, sur la base d'une analyse en profondeur de plus de 100 millions de fichiers binaires. Le rapport Indicateurs de menace indique le nombre de ces catégories détectées dans le fichier. Anomalies Le fichier comporte des éléments incohérents ou anormaux. Souvent, il s'agit d'incohérences dans la structure du fichier. Collecte Le fichier montre des traces de collecte de données. Il peut s'agir d'une énumération de la configuration de périphérique ou de la collecte d'informations sensibles. Perte de données Le fichier montre des traces de données en sortie. Il peut s'agir de connexions réseau sortantes, d'une preuve que le système a servi de navigateur ou d'autres communications réseau. Tromperie Le fichier montre des traces d'une tentative de tromperie. La tromperie peut se manifester par des sections masquées, l'inclusion d'un code pour éviter la détection ou de signes d'étiquetage incorrect des métadonnées ou d'autres sections. Destruction Le fichier montre des traces de fonctions de destruction. La destruction est notamment la capacité à supprimer des ressources sur un périphérique, comme des fichiers ou des répertoires. Divers Tous les indicateurs non classés dans les autres catégories. Remarque : parfois, les sections Indicateurs de menace et Données de menace détaillées ne comportent aucun résultat ou ne sont pas disponibles. Cela se produit lorsque le fichier n'a pas été téléchargé. Le journal de débogage peut fournir des détails sur la raison pour laquelle le fichier n'a pas été téléchargé. Traitement des menaces Le type d'action à appliquer à certaines menaces peut dépendre de l'utilisateur affecté au périphérique. Les actions appliquées aux menaces peuvent l'être au niveau du périphérique ou au niveau global. Voici les différentes actions que vous pouvez appliquer aux menaces ou aux fichiers détectés : • Mettre en quarantaine : mettre un fichier en quarantaine pour empêcher son exécution sur ce périphérique. Remarque : Vous pouvez mettre une menace en quarantaine à l'aide de la ligne de commande sur un périphérique. Cette fonctionnalité est uniquement disponible avec l'agent Windows. Pour plus d'informations, voir Mise en quarantaine par ligne de commande. • Quarantaine globale : mettre un fichier en quarantaine globale pour l'empêcher de s'exécuter sur tous les périphériques de l'entreprise. Remarque : la mise en quarantaine d'un fichier le déplace de son emplacement d'origine vers le répertoire de quarantaine (C:\ProgramData\Cylance\Desktop\q). 26 | Guide d'installation et d'administration • Ignorer : si vous ignorez un fichier spécifique, vous l'autorisez à s'exécuter sur le périphérique. • Confiance globale : l'inscription d'un fichier sur une liste de confiance globale l'autorise à s'exécuter sur tous les périphériques de l'entreprise. Remarque : parfois, Threat Defense peut mettre en quarantaine ou signaler un fichier « sain » (surtout si les caractéristiques de ce fichier ressemblent fortement à celles de fichiers malveillants). Dans ce cas, il peut s'avérer utile d'ignorer le fichier ou de le placer dans la liste de confiance globale. • Charger le fichier : permet de télécharger manuellement un fichier vers Cylance Infinity pour analyse. Si vous avez activé le téléchargement automatique, les nouveaux fichiers (pas encore analysés par Cylance) sont automatiquement téléchargés vers Cylance Infinity. Si le fichier existe déjà dans Cylance Infinity, le bouton Télécharger le fichier vers Cylance n'est pas disponible (grisé). • Télécharger le fichier : vous permet de télécharger un fichier pour effectuer vos propres tests. Cette fonction doit avoir été activée pour l'entreprise. L'utilisateur doit avoir des droits Administrateur. La menace doit avoir été détectée par un agent de version 1320 ou supérieure. Remarque : le fichier doit être disponible dans Cylance Infinity et ses 3 valeurs de hachage (SHA256, SHA1 et MD5) doivent être identiques dans Cylance Infinity et dans l'agent. Sinon, le bouton Télécharger le fichier n'est pas disponible. Traitement des menaces sur un périphérique spécifique 1. Connectez-vous à la console (http://dellthreatdefense.com) en tant qu'administrateur ou gestionnaire de zone. 2. Cliquez sur l'onglet Périphériques. 3. Recherchez et sélectionnez le périphérique voulu. 4. Vous pouvez également utiliser le lien vers le périphérique qui figure dans l'onglet Protection si une menace est signalée sur ce périphérique. 5. Toutes les menaces de ce périphérique sont répertoriées au bas de la page. Sélectionnez la menace pour mettre en quarantaine ou ignorer le fichier sur ce périphérique. Traitement des menaces au niveau global Les fichiers ajoutés à la liste Quarantaine globale ou à la liste de confiance globale sont soit mis en quarantaine, soit autorisés sur tous les périphériques de toutes les zones. 1. Connectez-vous à la console (http://dellthreatdefense.com) en tant qu'administrateur. 2. Cliquez sur Paramètres > Liste globale. 3. Cliquez sur Quarantaine globale ou sur Liste de confiance globale. 4. Cliquez sur Ajouter un fichier. 5. Ajoutez les valeurs de hachage SHA256 (obligatoire) et MD5 du fichier, son nom et la raison pour laquelle vous le placez dans la Liste globale. 6. Cliquez sur Envoyer. Guide d'installation et d'administration | 27 Protection – Contrôle des scripts Threat Defense fournit des détails sur les scripts Active Script et PowerShell qui ont été bloqués ou ont déclenché une alerte. Si vous avez activé Contrôle des scripts, les résultats s'affichent dans l'onglet Contrôle des scripts de la page Protection. Vous y trouverez des détails sur le script et sur les périphériques concernés. Pour afficher les résultats de Contrôle des scripts 1. Connectez-vous à la console (http://dellthreatdefense.com) en tant qu'administrateur. 2. Cliquez sur Protection. 3. Cliquez sur Contrôle des scripts. 4. Sélectionnez un script dans la table. Cela met à jour la table Détails avec la liste des périphériques concernés. Description des colonnes Contrôle des scripts • Nom du fichier : nom du script. • Interpréteur : fonction de contrôle des scripts qui a identifié le script. • Dernière détection : date et heure de la dernière exécution du script. • Type de lecteur : type du lecteur où le script a été détecté (exemple : Disque dur interne). • SHA256 : valeur de hachage SHA256 du script. • Nb de périphériques : nombre de périphériques concernés par ce script. • Alerte : nombre de fois où le script a déclenché une alerte. Il peut y avoir plusieurs occurrences pour le même périphérique. • Bloquer : nombre de fois où le script a été bloqué. Il peut y avoir plusieurs occurrences pour le même périphérique. Description des colonnes Détails • Nom du périphérique : nom du périphérique affecté par ce script. Cliquez sur le nom du périphérique pour afficher la page Détails du périphérique. • Affirmation : état du périphérique (en ligne ou hors ligne). • Version de l'agent : numéro de la version de l'agent actuellement installée sur le périphérique. • Chemin d'accès au fichier : chemin de fichier depuis lequel le script a été exécuté. • Quand : date et heure d'exécution du script. • Nom d'utilisateur : nom de l'utilisateur connecté au moment où le script a été exécuté. • Action : action à appliquer au script (Alerte ou Bloquer). Liste globale Une liste globale permet de sélectionner un fichier pour la mise en quarantaine ou au contraire d'autoriser son exécution sur tous les périphériques de l'entreprise. • 28 Quarantaine globale : tous les agents de l'entreprise mettent en quarantaine tout fichier présent dans la liste Quarantaine globale détecté sur le périphérique. | Guide d'installation et d'administration • Liste de confiance globale : tous les agents de l'entreprise autorisent tout fichier présent dans la liste de confiance globale détecté sur le périphérique. • Non attribué : désigne toutes les menaces identifiées dans l'entreprise qui ne sont attribués ni à la liste Quarantaine globale, ni à la liste de confiance globale. Modification de l'état d'une menace Permet de modifier l'état d'une menace (Quarantaine globale, Liste de confiance ou Non attribué) : 1. Connectez-vous à la console (http://dellthreatdefense.com) en tant qu'administrateur. 2. Sélectionnez Paramètres > Liste globale. 3. Sélectionnez la liste à laquelle la menace est actuellement associée. Par exemple, cliquez sur Non attribué pour définir l'état d'une menace non attribuée sur Liste de confiance ou Quarantaine globale. 4. Cochez les cases des menaces à modifier, puis cliquez sur un bouton d'état. a. Liste de confiance globale : déplace les fichiers dans la liste de confiance. b. Quarantaine globale : déplace les fichiers dans la liste Quarantaine globale. c. Supprimer de la liste : déplace les fichiers dans la liste Non attribué. Ajout d'un fichier Ajoutez manuellement un fichier à la liste Quarantaine globale ou à la liste de confiance globale. La valeur de hachage SHA256 du fichier que vous ajoutez est obligatoire. 1. Connectez-vous à la console (http://dellthreatdefense.com) en tant qu'administrateur. 2. Sélectionnez Paramètres > Liste globale. 3. Sélectionnez la liste dans laquelle placer le fichier (Quarantaine globale ou Liste de confiance globale). 4. Cliquez sur Ajouter un fichier. 5. Entrez la valeur de hachage SHA256. (Facultatif) Indiquez la valeur MD5 et le nom du fichier. 6. Indiquez la raison pour laquelle vous ajoutez ce fichier. 7. Cliquez sur Envoyer. Liste de confiance par certificat Les clients peuvent placer les fichiers dans la liste de confiance en fonction de leur certificat signé, ce qui permet aux logiciels personnalisés dûment signés de s'exécuter sans interruption. Remarque : actuellement, cette fonction n'est disponible que pour les systèmes d'exploitation Windows. • Cette fonctionnalité permet aux clients d'établir une liste blanche/liste de confiance en fonction du certificat signé, représenté par son empreinte SHA1. • Les informations de certificat sont extraites par la console (Horodatage, Sujet, Émetteur et Empreinte). Le certificat n'est pas téléchargé ni enregistré dans la console. • L'horodatage du certificat indique la date de création de ce certificat. • La console ne vérifie pas si le certificat est actif ou s'il a expiré. • Si le certificat change (s'il est remplacé par un autre ou renouvelé, par exemple), vous devez l'ajouter à la liste de confiance de la console. Guide d'installation et d'administration | 29 1. Ajoutez les détails du certificat à la logithèque de certificats. a. Identifiez l'empreinte du certificat pour le fichier Portable Executable (PE) signé. b. Sélectionnez Paramètres > Certificats. c. Cliquez sur Ajouter un certificat. d. Cliquez sur Rechercher des certificats à ajouter ou déposez le certificat correspondant dans la zone de message à l'aide de la fonction glisser-déplacer. e. Si vous décidez de rechercher manuellement des certificats, la fenêtre Ouvrir s'affiche pour vous permettre de choisir les certificats voulus. f. (Facultatif) Ajoutez des remarques sur ce certificat. g. Cliquez sur Envoyer. Le nom de l'émetteur, le sujet, l'empreinte et les notes (si vous en avez entré) du certificat sont ajoutés à la logithèque. 2. Ajoutez un fichier à la liste de confiance. a. Sélectionnez Paramètres > Liste globale. b. Sélectionnez l'onglet Liste de confiance globale. c. Cliquez sur Certificats. d. Cliquez sur Ajouter un certificat. e. Supprimez un certificat de la liste de confiance. (Facultatif) Sélectionnez une catégorie et indiquez la raison pour laquelle vous ajoutez ce certificat. f. Cliquez sur Envoyer. Affichage des empreintes d'une menace Dans l'onglet Protection, la section Détails de la menace affiche désormais l'empreinte du certificat. Depuis l'écran, sélectionnez Ajouter au certificat pour ajouter le certificat à la logithèque. Privilèges Ajouter au certificat est une fonction à laquelle seuls les administrateurs peuvent accéder. Si le certificat a déjà été ajouté à la logithèque de certificats, la console affiche l'option Accéder au certificat. Les certificats sont en lecture seule pour les gestionnaires de zone, qui voient l'option Accéder au certificat. Profil Le menu Profil (angle supérieur droit) vous permet de gérer votre compte, de consulter les journaux d'audit de la console et d'accéder à l'aide du produit. Mon compte Modifiez votre mot de passe et vos paramètres de notification par e-mail dans la page Mon compte. 1. Connectez-vous à la console (http://dellthreatdefense.com). 2. Cliquez sur le menu Profil dans l'angle supérieur droit, puis sélectionnez Mon compte. 3. Pour modifier votre mot de passe : a. Cliquez sur Modifier le mot de passe. b. Entrez votre ancien mot de passe. 30 | Guide d'installation et d'administration c. Entrez votre nouveau mot de passe, puis saisissez-le à nouveau pour le confirmer. d. Cliquez sur Mettre à jour. 4. Cochez ou décochez la case appropriée pour activer/désactiver les notifications par e-mail. L'activation ou la désactivation de l'option est automatiquement enregistrée. Les notifications par e-mail sont disponibles uniquement pour les administrateurs. Journaux d'audit Liste déroulante de l'icône d'utilisateur (angle supérieur droit de la console) Le journal d'audit contient des informations sur les actions suivantes, réalisées depuis la console : • Connexion (Succès, Échec) • Stratégie (Ajouter, Modifier, Supprimer). • Périphérique (Modifier, Supprimer). • Menace (Quarantaine, Ignorer, Quarantaine globale, Liste de confiance) • Utilisateur (Ajouter, Modifier, Supprimer). • Mise à jour de l'agent (Modifier) Vous pouvez consulter le journal d'audit depuis la console en accédant à la liste déroulante du profil dans l'angle supérieur droit de la console, puis en cliquant sur Journal d'audit. Les journaux d'audit sont disponibles uniquement pour les administrateurs. Paramètres La page Paramètres comprend les onglets Application, Gestion des utilisateurs, Stratégie de périphérique, Liste globale et Mise à jour de l'agent. L'entrée de menu Paramètres est disponible uniquement pour les administrateurs. APPLICATION Agent Threat Defense Vous ajoutez des périphériques à l'entreprise en installant l'agent Threat Defense sur chaque point de terminaison. Une fois connecté à la console, appliquez une stratégie (pour gérer les menaces identifiées) et organisez vos périphériques en fonction des besoins de l'entreprise. L'agent Threat Defense est conçu pour utiliser un minimum de ressources système. L'agent traite en priorité les fichiers ou les processus qui s'exécutent, car ils peuvent s'avérer malveillants. Les fichiers simplement stockés sur le disque (mais pas en cours d'exécution) correspondent à niveau de priorité plus faible. En effet, même s'ils peuvent être malveillants, ils ne représentent pas une menace immédiate. Guide d'installation et d'administration | 31 Agent Windows Configuration système requise Dell vous recommande de choisir pour vos points de terminaison un matériel (UC, GPU, etc.) qui respecte ou surpasse les recommandations de configuration pour le système d'exploitation concerné. Les exceptions sont signalées ci-après (mémoire RAM, espace disque dur disponible et logiciels supplémentaires requis). Systèmes d'exploitation • Windows 7 (32 et 64 bits) • Windows Embedded Standard 7 (32 bits) et Windows Embedded Standard 7 Pro (64 bits) • Windows 8 et 8.1 (32 et 64 bits)* • Windows 10 (32 et 64 bits)** • Windows Server 2008 et 2008 R2 (32 et 64 bits)*** • Windows Server 2012 et 2012 R2 (64 bits)*** • Windows Server 2016 – Éditions Standard, Data Center et Essentials**** RAM • 2 Go Espace disque dur disponible • 300 Mo Autres logiciels/éléments requis • .NET Framework 3.5 (SP1) ou supérieur (Windows uniquement) • Navigateur Internet • Accès Internet pour la connexion, l'accès au programme d'installation et l'inscription du produit • Droits Administrateur local pour installer le logiciel Autres conditions requises • TLS 1.2 est pris en charge avec la version 1422 ou une version supérieure de l'agent et nécessite .NET Framework 4.5 ou une version supérieure Tableau 2 : Configuration système requise pour Windows *Non pris en charge : Windows 8,1 RT **La mise à jour anniversaire Microsoft Windows 10 nécessite la version 1402 ou une version ultérieure de l'agent. ***Non pris en charge : Server Core (2008 et 2012) et Minimal Server (2012). ****Nécessite la version 1412 ou une version ultérieure de l'agent. Pour télécharger le fichier d'installation 1. Connectez-vous à la console (http://dellthreatdefense.com). 2. Sélectionnez Paramètres > Application. 3. Copiez le jeton d'installation. Le jeton d'installation est une chaîne aléatoire de caractères, générée par le système, qui permet à l'agent de transmettre des données au compte qui lui est attribué dans la console. Le jeton d'installation est obligatoire pour l'installation, que ce soit dans l'Assistant d'installation ou en tant que paramètre d'installation. 4. Téléchargez le programme d'installation. a. Sélectionnez le système d'exploitation voulu. b. Sélectionnez le type de fichier à télécharger. Pour Windows, Dell vous recommande d'utiliser le fichier MSI pour installer l'agent. Conseil : si vous avez configuré une règle de zone, les périphériques peuvent être automatiquement associés à une zone s'ils répondent aux critères de la règle de zone. 32 | Guide d'installation et d'administration Installation de l'agent – Windows Vérifiez que tous les prérequis sont respectés avant d'installer Threat Defense. Voir Configuration système requise. 1. Double-cliquez sur DellThreatDefenseSetup.exe (ou le fichier MSI) pour démarrer l'installation. 2. Cliquez sur Installer dans la fenêtre de configuration de Threat Defense. 3. Saisissez le jeton d'installation fourni par le locataire Threat Defense. Cliquez sur Suivant. Remarque : contactez votre administrateur Threat Defense ou consultez l'article de base de connaissances « How To: Manage Threat Defense » (Procédure : Gérer Threat Defense) si l'accès au jeton d'installation est impossible. 4. (Facultatif) Modifiez le dossier de destination de Threat Defense. Cliquez sur OK pour démarrer l'installation. 5. Cliquez sur Terminer pour terminer l'installation. Cochez la case appropriée pour lancer Threat Defense. Paramètres d'installation Windows Vous pouvez installer l'agent en mode interactif ou non interactif via GPO, Microsoft System Center Configuration Manager (généralement appelé SCCM) et MSIEXEC. Les fichiers MSI peuvent être personnalisés à l'aide de paramètres intégrés (voir ci-dessous) ou vous pouvez entrer les paramètres sur la ligne de commande. Propriété Valeur PIDKEY <Jeton d'installation> Description Saisie automatique du jeton d'installation 0 : l'icône dans la barre d'état système et le dossier du menu Démarrer sont masqués lors de l'exécution. LAUNCHAPP SELFPROTECTIONLEVEL APPFOLDER 0 ou 1 1 ou 2 <Dossier d'installation cible> 1 : l'icône dans la barre d'état système et le dossier du menu Démarrer sont visibles lors de l'exécution (valeur par défaut). 1 : seuls les administrateurs locaux peuvent modifier le registre et les services. 2 : seul l'administrateur système peut modifier le registre et les services (valeur par défaut). Indique le répertoire d'installation de l'agent. L'emplacement par défaut est C:\Program Files\Cylance\Desktop. Nécessite la version 1382 ou une version ultérieure de l'agent •Ajoute des périphériques à une zone. VenueZone « Nom_zone » •Si elle n'existe pas, la zone est créée à partir du nom indiqué. •Remplacez nom_zone par le nom d'une zone existante ou de la zone que vous souhaitez créer. Avertissement : si vous ajoutez des espaces avant ou après le nom de la zone, une nouvelle zone est créée. Tableau 3 : Paramètres d'installation pour Windows Guide d'installation et d'administration | 33 L'exemple de ligne de commande suivant montre comment exécuter l'outil Microsoft Windows Installer Tool (MSIEXEC) en lui transmettant les paramètres d'installation PIDKEY, APPFOLDER et LAUNCHAPP : msiexec /i DellThreatDefenseSetup_x64.msi /qn PIDKEY=<JETON D'INSTALLATION> LAUNCHAPP=0 /L*v C:\temp\install.log L'installation est réalisée en mode silencieux et le journal d'installation est enregistré sous C:\temp. Pendant l'exécution de l'agent, l'icône dans la barre d'état système et le dossier Threat Defense du menu Démarrer sont masqués. Vous trouverez des informations supplémentaires sur les commutateurs de ligne de commande acceptés par MSIEXEC dans l'article de base de connaissance KB 227091. Installation de l'agent Windows avec Wyse Device Manager (WDM) Cette section explique comment créer un script d'installation, comment créer un paquet RSP pour WDM et comment ajouter le paquet à WDM pour effectuer l'installation sur plusieurs clients légers (Thin Client) simultanément, sans intervention de l'utilisateur. Créez un script en fichier batch qui exécute l'installation de Threat Defense via la ligne de commande. WDM exécute ce script lors du déploiement. 1. Ouvrez le Bloc-notes. À l'aide des paramètres de ligne de commande ci-dessus, entrez la commande suivante pour exécuter l'installation, en remplaçant <JETON D'INSTALLATION> par le jeton qui vous a été fourni : msiexec /i C:\TDx86\DellThreatDefense_x86.msi PIDKEY=<JETON D'INSTALLATION> /q C:\TDx86 est utilisé en tant que répertoire, car c'est dans celui-ci que le dossier est copié sur le client léger (Thin Client). 2. Enregistrez le fichier avec l'extension .bat dans le dossier TDx86. Par exemple, TDx86_Install.bat. Créez un paquet RSP permettant l'installation simultanée de l'application Agent Threat Defense sur plusieurs clients légers (Thin Clients) sans intervention de l'utilisateur. 3. Ouvrez Scriptbuilder sur un ordinateur où WDM est installé. 4. Entrez le nom et la description du paquet. • Sélectionnez la catégorie de paquets Autres paquets. • Sélectionnez le système d'exploitation Windows Embedded Standard 7. 5. Ajoutez des commandes de script pour vérifier si les systèmes cible sont de type WES7 ou WES7p. • Sélectionnez Confirm Operating System (CO) (Confirmer le système d'exploitation) sous Commande de script. • Sous Device OS (Système d'exploitation du périphérique), indiquez le système d'exploitation approprié. 6. Utilisez les flèches doubles pour ajouter un élément. 7. Appuyez sur OK dans l'invite. 8. Ajoutez une commande pour verrouiller le client léger (Thin Client) et interdire toute interaction de l'utilisateur. • 34 | Sélectionnez Commande de script > Lockout User (LU) (Verrouillage utilisateur). Aucune valeur n'est nécessaire. Cependant, dans cet exemple, une valeur Yes est entrée, de sorte que l'écran de démarrage soit supprimé si le programme d'installation échoue ou en présence d'une erreur. Guide d'installation et d'administration 9. Ajoutez une commande pour copier les fichiers vers le client léger. • Sélectionnez la commande de script X Copy (XC) (Copie X). • Pour la valeur Repository Directory (Répertoire de la logithèque), ajoutez * à la fin de la valeur <regroot>\ existante. • Pour la valeur Repository Directory (Répertoire du périphérique), entrez le chemin d'accès aux fichiers à copier dans les clients légers (Thin Clients) de destination. Dans notre exemple, le nom du paquet est utilisé. 10. Ajoutez une commande pour exécuter le script d'installation .bat. • Sélectionnez Commande de script > Execute on Device (EX) (Exécuter sur le périphérique). • Pour la valeur Device Filename (Nom de fichier du périphérique), entrez le chemin C:\TDx86\TDx86_install.bat. Le dossier TDx86 est copié par la commande précédente (XC). • Ajoutez le signe + en tant que valeur Synchronous Execute (Exécution synchrone). Cette option demande à WDM d'attendre la fin de l'exécution du fichier en cours avant de continuer. 11. Ajoutez une commande pour supprimer les fichiers copiés depuis le client léger (Thin Client). • Ajoutez la commande de script Delete Tree (DT) (Supprimer l'arborescence). 12. Ajoutez des commandes pour désactiver le verrouillage. • Ajoutez la commande de script End Lockout (EL) (Fin du verrouillage). 13. Lorsque vous le passez en revue, le paquet de script doit ressembler à ce qui suit. • Si vous déployez Threat Defense sur des systèmes WES7P, mettez à jour la section relative au système d'exploitation vers WES7P. Sinon, l'installation du paquet échoue. 14. Enregistrez le paquet. • Cliquez sur Enregistrer et accédez à l'emplacement du dossier TDx86, qui devrait se trouver sur le Bureau (si ces instructions ont été respectées). 15. Fermez Scriptbuilder. 16. Lancez WyseDeviceManager pour ajouter le paquet à WDM. 17. Accédez à WyseDeviceManager > Gestionnaire de paquets > Autres paquets. 18. Sélectionnez Action > Nouveau > Paquet dans la barre de menus. 19. Sélectionnez Enregistrer un paquet à partir d'un fichier de script (.RSP), puis cliquez sur Suivant. 20. Accédez à l'emplacement du fichier RSP créé à l'étape précédente et cliquez sur Suivant. 21. Assurez-vous que la case Actif est cochée, puis cliquez sur Suivant. 22. Cliquez sur Suivant quand WDM est prêt à enregistrer le paquet. 23. Cliquez sur Terminer une fois que le paquet a bien été enregistré. 24. Le paquet devient visible sous Autres paquets. Guide d'installation et d'administration | 35 25. Vérifiez le contenu du paquet : • Ouvrez l'Explorateur de fichiers, accédez à C:\inetpub\ftproot\Rapport et localisez le dossier TDx86. • Ouvrez le dossier TDx86, et vérifiez qu'il contient bien le programme d'installation et le fichier .bat. Le paquet est désormais disponible dans WDM pour déployer Threat Defense sur plusieurs clients légers (Thin Client) WES7 sans interaction de l'utilisateur. Mise en quarantaine à l'aide de la ligne de commande Vous pouvez mettre un fichier en quarantaine à l'aide de la ligne de commande sur un périphérique. Cela nécessite de connaître le code de hachage SHA256 pour la menace. Remarque : Cette fonctionnalité s'applique uniquement à Windows et nécessite la version 1432 ou une version supérieure de l'agent. 1. Sur le périphérique Windows, ouvrez la ligne de commande. Exemple : Dans le menu Démarrer, recherchez cmd.exe. 2. Lancez Dell.ThreatDefense.exe et incluez l'argument -q: <hash>, où <hash> est le code de hachage SHA256 pour le fichier. Cela invitera l'agent à envoyer le fichier vers le dossier de quarantaine. Exemple de ligne de commande (Dell Threat Defense installé à l'emplacement par défaut) : "C:\Program Files\Cylance\Desktop\Dell.ThreatDefense.exe" -q: 14233d4875e148c370a6bbe40fccabccdbfa194dac9e8bd41b0eadcf2351f941 Désinstallation de l'agent Pour désinstaller l'agent sur un système Windows, utilisez la ligne de commande ou la fonction Ajout/Suppression de programmes. La désinstallation de l'agent ne supprime pas l'appareil du Panneau de configuration. Vous devez supprimer manuellement l'appareil du Panneau de configuration. Avant d'essayer de désinstaller l'agent : • Si l'option Exiger un mot de passe pour la désinstallation de l'agent est activée, vérifiez que vous disposez bien du mot de passe pour le désinstaller. • Si l'option Empêcher l'arrêt du service de l'appareil est activée, désactivez-la dans la stratégie ou appliquez une stratégie différente aux appareils sur lesquels vous souhaitez désinstaller l'agent. Désinstaller à l'aide de la fonction Ajout/Suppression de programmes 1. Sélectionnez Démarrer > Panneau de configuration. 2. Cliquez sur Désinstaller un programme. Si des icônes sont sélectionnées à la place des catégories, cliquez sur Programmes et fonctionnalités. 3. Sélectionnez Dell Threat Defense, puis cliquez sur Désinstaller. 36 | Guide d'installation et d'administration À l'aide de la ligne de commande 1. Accédez à l'invite de commande en tant qu'administrateur. 2. Utilisez les commandes suivantes selon le progiciel d'installation que vous avez utilisé pour installer l'agent. a. DellThreatDefense_x64.msi i. Désinstallation standard : msiexec /uninstall DellThreatDefense_x64.msi ii. Windows Installer : msiexec /x DellThreatDefense_x64.msi b. DellThreatDefense_x86.msi i. Désinstallation standard : msiexec /uninstall DellThreatDefense_x86.msi ii. Windows Installer : msiexec /x DellThreatDefense_x86.msi 3. Les commandes suivantes sont optionnelles : a. Pour une désinstallation silencieuse : /quiet b. Pour une désinstallation silencieuse et masquée : /qn c. Pour une désinstallation de la protection par mot de passe UNINSTALLKEY=<password> d. Pour désinstaller le fichier journal : /Lxv* <path> i. Cela crée un fichier journal au chemin désigné (<path>), incluant le nom du fichier. ii. Exemple : C:\Temp\Uninstall.log Agent macOS Configuration système requise Dell vous recommande de choisir pour vos points de terminaison un matériel (UC, GPU, etc.) qui respecte ou surpasse les recommandations de configuration pour le système d'exploitation concerné. Les exceptions sont signalées ci-après (mémoire RAM, espace disque dur disponible et logiciels supplémentaires requis). Mac OS X 10.9 Mac OS X 10.10 Mac OS X 10.11 macOS 10.12* macOS 10.13** Systèmes d'exploitation • • • • • RAM • 2 Go Espace disque dur disponible • 300 Mo Tableau 4 : Configuration système requise pour macOS *Nécessite la version 1412 ou une version ultérieure de l'agent. ** Nécessite la version 1452 ou une version ultérieure de l'agent. Guide d'installation et d'administration | 37 Pour télécharger le fichier d'installation 1. Connectez-vous à la console (http://dellthreatdefense.com). 2. Sélectionnez Paramètres > Application. 3. Copiez le jeton d'installation. Le jeton d'installation est une chaîne aléatoire de caractères, générée par le système, qui permet à l'agent de transmettre des données au compte qui lui est attribué dans la console. Le jeton d'installation est obligatoire pour l'installation, que ce soit dans l'Assistant d'installation ou en tant que paramètre d'installation. 4. Téléchargez le programme d'installation. a. Sélectionnez le système d'exploitation voulu. b. Sélectionnez le type de fichier à télécharger. Conseil : si vous avez configuré une règle de zone, les périphériques peuvent être automatiquement associés à une zone s'ils répondent aux critères de la règle de zone. Installation de l'agent - macOS Vérifiez que tous les prérequis sont respectés avant d'installer Threat Defense. Voir Configuration système requise. Remarque : l'agent macOS portera la marque Dell dans les futures versions. 1. Double-cliquez sur DellThreatDefense.dmg pour monter le programme d'installation. 2. Double-cliquez sur l'icône Protection de l'interface utilisateur PROTECT pour démarrer l'installation. 3. Cliquez sur Continuer pour vérifier que le système d'exploitation et le matériel sont conformes à la configuration requise. 4. Cliquez sur Suivant dans l'écran Introduction. 5. Saisissez le jeton d'installation fourni par le locataire Threat Defense. Cliquez sur Continuer. Remarque : contactez votre administrateur Threat Defense ou consultez l'article de base de connaissances « How To: Manage Threat Defense » (Procédure : Gérer Threat Defense) si l'accès au jeton d'installation est impossible. 6. (Facultatif) Modifiez l'emplacement d'installation de Threat Defense. Cliquez sur Installer pour démarrer l'installation. 7. Entrez le nom d'utilisateur et le mot de passe d'un administrateur. Cliquez sur Installer le logiciel. 8. Cliquez sur Fermer dans l'écran Résumé. Paramètres d'installation macOS Vous pouvez installer l'agent Threat Defense à l'aide d'options de ligne de commande dans la fenêtre de terminal. Les exemples suivants utilisent le programme d'installation PKG. Pour DMG, modifiez simplement l'extension de fichier dans la commande. Remarque : vérifiez que les points de terminaison cible respectent la configuration système requise et que la personne qui installe le logiciel dispose des références d'identification correctes pour effectuer cette installation. 38 | Guide d'installation et d'administration Propriété Valeur Description InstallToken Jeton d'installation disponible dans la console NoCylanceUI Masque l'icône de l'agent au démarrage. Valeur par défaut : Visible 0 ou 1 SelfProtectionLevel 1 : seuls les administrateurs locaux peuvent modifier le registre et les services. 2 : seul l'administrateur système peut modifier le registre et les services (valeur par défaut). 0 : erreur – Seuls les messages d'erreur sont consignés dans les journaux. 1 : avertissement – Les messages d'erreur et d'avertissement sont consignés dans les journaux. 0, 1, 2 ou 3 LogLevel 2 : information (valeur par défaut) – Les messages d'erreur, d'avertissement et d'information sont consignés dans les journaux. Cette option peut fournir des détails utiles pour le dépannage. 3 : détaillé (verbose) – Tous les messages sont consignés. Il s'agit du niveau de journalisation recommandé pour le dépannage. Cependant, les fichiers journaux détaillés peuvent devenir très volumineux. Dell vous recommande d'activer le mode Détaillé pour le dépannage, puis de rétablir le mode Information une fois le dépannage terminé. Nécessite la version 1382 ou une version ultérieure de l'agent •Ajoute des périphériques à une zone. « Nom_zone » VenueZone •Si elle n'existe pas, la zone est créée à partir du nom indiqué. •Remplacez nom_zone par le nom d'une zone existante ou de la zone que vous souhaitez créer. Avertissement : si vous ajoutez des espaces avant ou après le nom de la zone, une nouvelle zone est créée. Tableau 5 : Paramètres d'installation pour macOS Installation de l'agent Installation sans jeton d'installation sudo installer –pkg DellThreatDefense.pkg –target/ Installation avec le jeton d'installation echo [jeton_installation] > cyagent_install_token sudo installer –pkg DellThreatDefense.pkg –target/ Remarque : remplacez [jeton_installation] par le jeton d'installation. La commande d'écho génère un fichier cyagent_install_token, qui est un fichier texte contenant une option d'installation par ligne. Ce fichier doit se trouver dans le même dossier que le paquet d'installation. Faites preuve de prudence au niveau des extensions de fichiers : dans l'exemple ci-dessus, le fichier cyagent_install_token ne comprend aucune extension de fichier. Les paramètres par défaut de macOS définissent les extensions comme masquées. La compilation manuelle de ce fichier par édition de texte ou dans un autre éditeur de texte peut ajouter automatiquement une extension qui devra être supprimée. Guide d'installation et d'administration | 39 Paramètres d'installation facultatifs Saisissez les commandes suivantes dans un terminal pour créer un fichier (cyagent_install_token) utilisé par le programme d'installation pour appliquer les options entrées. Chaque paramètre doit se trouver sur sa propre ligne. Ce fichier doit se trouver dans le même dossier que le paquet d'installation. En voici un exemple. Certains paramètres ne sont pas nécessaires dans ce fichier. La fenêtre Terminal inclut tout ce qui figure entre apostrophes dans le fichier. Veillez à appuyer sur Entrée/Retour après chaque paramètre pour garantir que le fichier contient un seul paramètre par ligne. Vous pouvez également utiliser un éditeur de texte pour créer ce fichier, en plaçant chaque paramètre sur sa propre ligne. Ce fichier doit se trouver dans le même dossier que le paquet d'installation. Exemple : echo 'InstallToken NoCylanceUI SelfProtectionLevel=2 LogLevel=2'> cyagent_install_token sudo installer –pkg DellThreatDefense.pkg –target/ Désinstallation de l'agent Sans mot de passe sudo /Applications/Cylance/Uninstall\ DellThreatDefense.app/Contents/MacOS/Uninstall\ DellThreatDefense Avec un mot de passe sudo /Applications/Cylance/Uninstall\ DellThreatDefense.app/Contents/MacOS/Uninstall\ DellThreatDefense -password=thisismypassword Remarque : remplacez thisismypassword par le mot de passe de désinstallation créé dans la console. Service d'agent Démarrage du service sudo launchctl load /Library/launchdaemons/com.cylance.agent_service.plist Arrêt du service sudo launchctl unload /Library/launchdaemons/com.cylance.agent_service.plist 40 | Guide d'installation et d'administration Vérification de l'installation Contrôlez les points suivants pour vérifier que l'installation de l'agent a réussi. 1. Le dossier de programme a été créé. • Valeur par défaut Windows : C:\Program Files\Cylance\Desktop • Valeur par défaut macOS : /Applications/DellThreatDefense/ 2. L'icône Threat Defense est visible dans la barre d'état système du périphérique cible. Cela ne s'applique pas si vous avez utilisé les paramètres LAUNCHAPP=0 (Windows) ou NoCylanceUI (macOS). 3. Il existe un dossier Threat Defense sous Menu Démarrer\Tous les programmes sur le périphérique cible. Cela ne s'applique pas si vous avez utilisé les paramètres LAUNCHAPP=0 (Windows) ou NoCylanceUI (macOS). 4. Le service Threat Defense a été ajouté et est en cours d'exécution. Le service Threat Defense doit être répertorié comme étant en cours d'exécution dans le volet Services Windows du périphérique cible. 5. Le processus Dell.ThreatDefense.exe est en cours d'exécution. Le processus Dell.ThreatDefense.exe doit apparaître dans l'onglet Processus du Gestionnaire de tâches Windows sur le périphérique cible. 6. Le périphérique communique avec la console. Connectez-vous à la console et cliquez sur l'onglet Périphériques. Le périphérique cible doit être visible et apparaître avec l'état En ligne. Interface utilisateur de l'agent L'interface utilisateur de l'agent est activée par défaut. Cliquez sur l'icône de l'agent dans la barre d'état système pour l'afficher. Vous pouvez également installer l'agent de manière à masquer son icône dans la barre d'état système. Onglet Menaces Affiche toutes les menaces détectées sur le périphérique, ainsi que l'action appliquée. L'état Dangereux indique qu'aucune mesure n'a été prise pour la menace. L'état Quarantaine indique que la menace a été modifiée (de façon à empêcher le fichier correspondant de s'exécuter) et a été placée dans le dossier de quarantaine. L'état Ignoré indique que l'administrateur a estimé que ce fichier était fiable et l'a autorisé à s'exécuter sur le périphérique. Onglet Événements Affiche tous les événements de menace qui se sont produits sur le périphérique. Onglet Scripts Affiche tous les scripts malveillants qui se sont exécutés sur le périphérique, ainsi que l'action appliquée à chaque script. Menu Agent Le menu Agent permet d'accéder à l'aide et aux mises à jour de Threat Defense. Il permet également d'accéder à l'interface utilisateur avancée, qui offre davantage d'options de menu. Menu Agent Le menu Agent permet aux utilisateurs d'appliquer des actions sur le périphérique. Effectuez un clic droit sur l'icône de l'agent pour afficher le menu. • Rechercher des mises à jour : l'agent recherche les mises à jour disponibles et les installe. Les seules mises à jour autorisées sont celles qui correspondent à la version de l'agent autorisée pour la zone dont le périphérique est membre. Guide d'installation et d'administration | 41 • Vérifier la mise à jour de règle : L'agent vérifie si une mise à jour de règle est disponible. Elle peut se définir par des modifications apportées à la règle existante ou une autre règle en cours d'application sur l'agent. Remarque : Vérifiez que la mise à jour de règle est prise en charge dans la version 1422 (ou supérieure) pour Windows et la version 1432 (ou supérieure) pour macOS. • À propos : affiche une boîte de dialogue qui contient la version de l'agent, le nom de la stratégie affectée au périphérique, l'heure de dernière recherche de mises à jour par l'agent et le jeton d'installation utilisé pour installer le logiciel. • Quitter : ferme l'icône de l'agent dans la barre d'état système. Cela n'arrête aucun des services Threat Defense. • Options > Afficher les notifications : sélectionnez cette option pour afficher des notifications pour tous les nouveaux événements. Activation des options avancées de l'interface utilisateur de l'agent L'agent Threat Defense offre des options avancées, disponibles via l'interface utilisateur, qui permettent d'utiliser des fonctions sur les périphériques sans connexion à la console. Le programme CylanceSVC.exe doit être en cours d'exécution si vous activez les options avancées. Windows 1. Si l'icône de l'agent est visible dans la barre d'état système, cliquez dessus avec le bouton droit de la souris et sélectionnez Quitter. 2. Lancez l'invite de commande et entrez la commande suivante. Appuyez sur Entrée lorsque vous avez terminé. cd C:\Program Files\Cylance\desktop Si l'application a été installée à un autre emplacement, naviguez jusqu'à cet emplacement à l'invite de commande. 3. Entrez la commande suivante et appuyez sur Entrée lorsque vous avez terminé. Dell.ThreatDefense.exe –a L'icône de l'agent apparaît dans la barre d'état système. 4. Effectuez un clic droit sur cette icône. Les options Journalisation, Exécuter une détection et Threat Management s'affichent. macOS 1. Si l'icône de l'agent est visible dans le menu supérieur, cliquez dessus avec le bouton droit de la souris et sélectionnez Quitter. 2. Ouvrez le terminal et exécutez la commande a. Sudo /Applications/DellThreatDefense/DellThreatDefense.app/Contents/MacOS/DellThreatDefenseUI –a Remarque : il s'agit du chemin d'installation par défaut de Dell Threat Defense. Vous devrez peut-être modifier ce chemin pour l'adapter à votre environnement. 3. L'interface utilisateur de l'agent s'affichera désormais dans les options supplémentaires. 42 | Guide d'installation et d'administration Journalisation Sélectionnez le niveau d'informations de journal à collecter auprès de l'agent. Valeur par défaut : Information Dell vous recommande de configurer le niveau de journalisation sur Tout (Détaillé) pour le dépannage. Une fois le dépannage terminé, revenez au niveau Information (la journalisation de toutes les informations peut générer des fichiers journaux très volumineux). Exécuter une détection Permet aux utilisateurs de spécifier le dossier où effectuer une analyse pour trouver les menaces. 1. Sélectionnez Exécuter une détection > Spécifier le dossier. 2. Sélectionnez le dossier à analyser, puis cliquez sur OK. Toutes les menaces détectées s'affichent dans l'interface utilisateur de l'agent. Gestion des menaces Permet aux utilisateurs de supprimer les fichiers mis en quarantaine du périphérique. 1. Sélectionnez Gestion des menaces > Supprimer les fichiers mis en quarantaine. 2. Cliquez sur OK pour confirmer. Machines virtuelles Vous devez suivre certaines recommandations lorsque vous utilisez l'agent Threat Defense sur une image de machine virtuelle. Lorsque vous créez une image de machine virtuelle afin de l'utiliser comme modèle, déconnectez les paramètres réseau de la machine virtuelle avant d'installer l'agent. Cela empêche l'agent de communiquer avec la console et de configurer les détails du périphérique. Vous évitez ainsi de créer des périphériques en double dans la console. Désinstallation protégée par un mot de passe PARAMÈTRES > Application Les administrateurs peuvent exiger un mot de passe pour la désinstallation de l'agent. Pour désinstaller l'agent avec un mot de passe : • Si l'installation a été réalisée avec le programme d'installation MSI, désinstallez le logiciel avec le MSI ou utilisez le Panneau de configuration. • Si l'installation a été réalisée avec le programme d'installation EXE, utilisez ce même EXE pour la désinstallation. Le Panneau de configuration ne fonctionne pas si l'installation a été réalisée avec le programme d'installation EXE et qu'un mot de passe est requis pour la désinstallation. • Si vous effectuez la désinstallation via la ligne de commande, ajoutez la chaîne de désinstallation suivante : UNINSTALLKEY = [MyUninstallPassword]. Pour créer un mot de passe de désinstallation 1. Connectez-vous à la console (http://dellthreatdefense.com) à l'aide d'un compte administrateur. 2. Sélectionnez Paramètres > Application. 3. Cochez la case Exiger un mot pour la désinstallation de l'agent. 4. Entrez le mot de passe. 5. Cliquez sur Enregistrer. Guide d'installation et d'administration | 43 Intégrations La console Threat Defense permet l'intégration avec certains programmes tiers. Syslog/SIEM Threat Defense peut s'intégrer au logiciel Security Information Event Management (SIEM) grâce à la fonction Syslog. Les événements Syslog sont conservés tant que les événements d'agent persistent dans la console. Pour connaître les adresses IP les plus récentes pour les messages Syslog, contactez le support Dell. Types d'événement Journal d'audit Sélectionnez cette option pour envoyer le journal d'audit des actions réalisées par les utilisateurs dans la console (site Web) au serveur Syslog. Les événements du journal d'audit apparaissent toujours dans l'écran Journal d'audit, même si vous désélectionnez cette option. Exemple de message de journal d'audit transmis à Syslog Périphériques Sélectionnez cette option pour envoyer les événements de périphérique au serveur Syslog. • Lorsqu'un nouveau périphérique est inscrit, le programme reçoit deux messages pour cet événement : Inscription et Sécurité du système. Exemple de message pour l'événement Périphérique inscrit • Lorsque vous supprimez un périphérique. Exemple de message pour l'événement Périphérique supprimé • Lorsque vous modifiez la stratégie, la zone, le nom ou le niveau de journalisation d'un périphérique. Exemple de message pour l'événement Périphérique mis à jour Menaces Sélectionnez cette option pour consigner toutes les nouvelles menaces détectées et tous les changements concernant une menace existante sur le serveur Syslog. Les modifications incluent la définition d'une menace comme supprimée, mise en quarantaine, ignorée ou exécutée. Il existe 5 types d'événement de menace : 44 • threat_found : une nouvelle menace a été détectée avec l'état Dangereux. • threat_removed : une menace existante a été supprimée. • threat_quarantined : une nouvelle menace a été détectée avec l'état Quarantaine. • threat_waived : une nouvelle menace a été détectée avec l'état Ignoré. • threat_changed : le comportement d'une menace existante a changé (exemples : Score, État de quarantaine, État d'exécution). • threat_cleared : une menace qui a été ignorée, ajoutée à la liste de confiance ou supprimée de la quarantaine sur un périphérique. | Guide d'installation et d'administration Exemple de message pour un événement de menace Classification des menaces Des centaines de menaces sont classifiées chaque jour comme Programme malveillant ou PUP (Programme potentiellement indésirable). Si vous sélectionnez cette option, vous vous abonnez aux notifications concernant ces événements. Exemple de message de classification de menace SIEM (Security Information and Event Management) Spécifie le type de serveur Syslog ou SIEM auquel les événements doivent être envoyés. Protocole Cette valeur doit être identique à celle configurée sur votre serveur Syslog. Valeurs disponibles : UDP et TCP. UDP est généralement déconseillé, car il ne garantit pas la distribution des messages. Dell vous recommande TCP (valeur par défaut). TLS/SSL Disponible uniquement si le protocole choisi est TCP. TLS/SSL garantit que le message Syslog est crypté pour le transit de Threat Defense vers le serveur Syslog. Dell encourage ses clients à activer cette option. Vérifiez que le serveur Syslog est configuré pour écouter les messages TLS/SSL. Adresse IP/Domaine Spécifie l'adresse IP ou le nom de domaine entièrement qualifié (FQDN) du serveur Syslog configuré par le client. Consultez vos experts réseau en interne pour vous assurer que les paramètres de pare-feu et de domaine sont correctement configurés. Port Spécifie le numéro du port des périphériques où le serveur Syslog écoute les messages. Il doit s'agir d'un nombre entre 1 et 65535. Valeurs courantes : 512 pour UDP, 1235 ou 1468 pour TCP et 6514 pour Secured TCP (exemple : TCP avec option TLS/SSL activée). Gravité Spécifie la gravité des messages à afficher sur le serveur Syslog. Ce champ est subjectif. Choisissez le niveau que vous préférez. La valeur de gravité ne change pas les messages retransmis à Syslog. Site Spécifie le type d'application qui journalise le message. Valeur par défaut : Interne (ou Syslog). Cette option permet de trier les messages lorsque le serveur Syslog les reçoit. Test de la connexion Cliquez sur Tester la connexion pour tester les paramètres IP/Domaine, Port et Protocole. Si vous avez entré des valeurs valides, une confirmation indiquant la réussite s'affiche au bout d'un instant. Authentification personnalisée Utilisez des IdP (Identity Providers, fournisseurs d'identité) externes pour vous connecter à la console. Pour cela, vous devez configurer des paramètres avec votre IdP afin d'obtenir un certificat X.509 et une URL pour la vérification de votre connexion IdP. L'authentification personnalisée fonctionne avec Microsoft SAML 2.0. Nous avons vérifié : cette option fonctionne avec OneLogin, OKTA, Microsoft Azure et PingOne. Cette fonction comporte aussi le paramètre Personnalisé, et devrait fonctionner avec tous les autres fournisseurs d'identité qui suivent Microsoft SAML 2.0. Guide d'installation et d'administration | 45 Remarque : l'authentification personnalisée ne prend pas en charge Active Directory Federation Services (ADFS). • Authentification complexe : fournit un accès avec authentification multifacteur. • Authentification unique : fournit un accès avec authentification unique (SSO). Remarque : le choix de l'authentification complexe ou de l'authentification unique n'affecte pas les paramètres d'authentification personnalisée, car tous les paramètres de configuration sont gérés par le fournisseur d'identité (IdP). • Autoriser la connexion par mot de passe : sélectionnez cette option pour autoriser la connexion directe à la console avec authentification unique (SSO). Cela permet d'autoriser les tests SSO sans que l'utilisateur soit bloqué hors de la console. Une fois connecté avec succès à la console par SSO, Dell vous recommande de désactiver cette fonction. • Fournisseur : sélectionnez le fournisseur de services pour l'authentification personnalisée. • Certificat X.509 : entrez les informations de certification X.509. • URL de connexion : indiquez l'URL d'authentification personnalisée. Rapport des données de menace Feuille de calcul qui contient les informations suivantes concernant l'entreprise : • Menaces : répertorie toutes les menaces détectées dans l'entreprise. Ces informations incluent le nom et l'état du fichier (Dangereux, Anormal, Ignoré et Mis en quarantaine). • Unités : répertorie tous les périphériques de l'entreprise où l'agent Threat Defense est installé. Ces informations incluent le nom du périphérique, la version de son système d'exploitation et celle de l'agent, et la stratégie appliquée. • Indicateurs de menace : répertorie chaque menace, avec ses caractéristiques. • Effacé : répertorie tous les fichiers qui ont été effacés de votre entreprise. Ces informations comprennent des fichiers ignorés, ajoutés à la liste de confiance ou supprimés du dossier Quarantaine d'un périphérique. • Événements : répertorie tous les événements liés au diagramme Événements de menace du tableau de bord, pour les 30 derniers jours. Ces informations incluent la valeur de hachage, le nom du périphérique, le chemin du fichier et la date à laquelle l'événement s'est produit. Lorsque cette fonction est activée, le rapport est automatiquement mis à jour à 1h00 du matin, Heure standard du Pacifique (PST). Cliquez sur Régénérer le rapport pour générer manuellement une mise à jour. Le rapport des données de menaces contient une URL et un jeton que vous pouvez utiliser pour télécharger le rapport sans avoir besoin de vous connecter à la console. Il est également possible de supprimer ou de régénérer le jeton, selon les besoins, ce qui permet de contrôler les personnes autorisées à accéder au rapport. DÉPANNAGE Cette section présente la liste de questions auxquelles vous devez répondre et celle des fichiers à collecter pour le dépannage des incidents Threat Defense. Ces informations permettront au support Dell de vous aider à résoudre le problème. Cette section répertorie également certains problèmes courants, avec des suggestions de solution. 46 | Guide d'installation et d'administration Support Paramètres d'installation • • • Quelle est la méthode d'installation ? Indiquez tous les paramètres utilisés. o Exemple – Windows : utilisation de LAUCHAPP=0 pour l'installation depuis la ligne de commande, afin de masquer l'icône de l'agent et le dossier du menu Démarrer lors de l'exécution. o Exemple - macOS : utilisation de SelfProtectionLevel=1 pour l'installation depuis la ligne de commande pour désactiver l'autoprotection (Self Protection) sur l'agent. Quelles étapes d'installation avez-vous suivies ? o Exemple – Windows : avez-vous utilisé le programme d'installation MSI ou EXE ? o Exemple – Tous les systèmes d'exploitation : avez-vous utilisé des options de ligne de commande ? Par exemple Mode silencieux ou Pas d'interface utilisateur d'agent. Activez la journalisation détaillée pour l'installation. Problèmes de performances • • • • • Prenez une capture d'écran de Gestionnaire de tâches (Windows) ou de Moniteur d'activité (macOS), montrant les processus et la consommation de mémoire de Threat Defense. Capturez un fichier de vidage (dump) du processus Threat Defense. Collectez les journaux de débogage. Collectez la sortie Informations système au moment de l'incident. o Sous Windows : msinfo32 ou winmsd o Pour macOS : Informations système Collectez tous les journaux d'événements (Windows) ou toutes les informations de console (macOS) pertinents. Problèmes de mise à jour, d'état et de connexion • • • • • • Vérifiez que le port 443 est ouvert dans le pare-feu, et que le périphérique parvient à résoudre les adresses des sites Cylance.com et à s'y connecter. Le périphérique apparaît-il dans la page Périphériques de la console ? Est-il en ligne ou hors ligne ? Quelle est l'heure de sa dernière connexion ? Le périphérique utilise-t-il un proxy pour se connecter à Internet ? Les références d'identification sont-elles correctement configurées sur le proxy ? Redémarrez le service Threat Defense pour qu'il tente de se connecter à la console. Collectez les journaux de débogage. Collectez la sortie Informations système au moment de l'incident. o Sous Windows : msinfo32 ou winmsd o Pour macOS : Informations système Activation des journaux de débogage Par défaut, Threat Defense conserve les fichiers journaux stockés dans C:\Program Files\Cylance\Desktop\log. Pour le dépannage, Threat Defense peut être configuré pour produire des journaux plus détaillés (verbose). Incompatibilités de Contrôle des scripts Guide d'installation et d'administration | 47 Problème : Lorsque Contrôle des scripts est activé sur certains périphériques, il peut provoquer des conflits avec d'autres logiciels exécutés sur ces périphériques. Le conflit est généralement dû au fait que l'agent injecte des données dans des processus appelés par d'autres logiciels. Solution : Selon le logiciel concerné, vous pouvez résoudre le problème en ajoutant des exclusions de processus spécifiques à la stratégie de périphérique dans la console. Autre option : activez le mode de compatibilité (clé de registre) sur chacun des périphériques concernés. Cependant, si les exclusions ne suffisent pas, Dell vous recommande de désactiver Contrôle des scripts dans la stratégie de périphérique appliquée aux périphériques concernés. Cela devrait restaurer le fonctionnement normal de ces périphériques. Remarque : cette solution basée sur le mode de compatibilité s'adresse uniquement à la version 1370 de l'agent. À partir de la version 1382 de l'agent, le processus d'injection a été mis à jour pour garantir la compatibilité avec d'autres produits. Mode de compatibilité Ajoutez la clé de registre suivante pour activer le mode de compatibilité : 1. Dans l'Éditeur de registre de l'ordinateur, accédez à HKEY_LOCAL_MACHINE\SOFTWARE\Cylance\Desktop. 2. Cliquez avec le bouton droit de la souris sur Bureau, cliquez sur Autorisation, puis désignez-vous comme propriétaire et attribuez-vous le droit Contrôle total. Cliquez sur OK. 3. Effectuez un clic droit sur Bureau, puis sélectionnez Nouveau > Valeur binaire. 4. Nommez le fichier Mode de compatibilité. 5. Ouvrez le paramètre de registre et changez la valeur en 01. 6. Cliquez sur OK, puis fermez l'Éditeur de registre. 7. Vous devrez peut-être redémarrer le périphérique. Options de ligne de commande Avec Psexec : psexec -s reg add HKEY_LOCAL_MACHINE\SOFTWARE \Cylance\Desktop /v CompatibilityMode /t REG_BINARY /d 01 Pour exécuter une commande sur plusieurs périphériques, utilisez la sous-commande Invoke-Command cmdlet: $servers = “testComp1″,”testComp2″,”textComp3″ $credential = Get-Credential -Credential {UserName}\administrator Invoke-Command -ComputerName $servers -Credential $credential ScriptBlock {New-Item -Path HKCU:\Software\Cylance\Desktop -Name CompatibilityMode -Type REG_BINARY -Value 01} 48 | Guide d'installation et d'administration ANNEXE A : GLOSSAIRE Anormal Administrateur Agent Journal d'audit Quarantaine auto Téléchargement auto Guide d'utilisation de la console Stratégie de périphérique Fichier suspect avec un score plus faible (1 à 59), peu susceptible d'être un programme malveillant Gestionnaire locataire pour Threat Defense Hôte de point de terminaison Threat Defense, qui communique avec la console Journal qui consigne les actions exécutées depuis la console Threat Defense Empêcher automatiquement l'exécution de tous les fichiers dangereux et/ou anormaux Télécharger automatiquement tous les fichiers Portable Executable (PE) inconnus, identifiés comme dangereux ou anormaux, sur le cloud Cylance Infinity pour analyse. Interface utilisateur de gestion de Threat Defense Stratégie Threat Defense que l'administrateur de l'entreprise peut configurer pour déterminer la façon dont les menaces sont traitées sur tous les périphériques Quarantaine globale Interdit l'exécution d'un fichier au niveau global (sur tous les périphériques de l'entreprise) Liste de confiance globale Autorise l'exécution d'un fichier au niveau global (sur tous les périphériques de l'entreprise) Infinity Organisation Mettre en quarantaine Menaces Dangereux Ignorer Modèle mathématique utilisé pour attribuer un score aux fichiers Compte de locataire qui utilise le service Threat Defense Interdire l'exécution d'un fichier au niveau local (sur un périphérique spécifique) Fichiers potentiellement malveillants, que Threat Defense a détectés et classés comme dangereux ou anormaux Fichier suspect avec un score élevé (60 à 100), susceptible d'être un programme malveillant Autoriser l'exécution d'un fichier au niveau local (sur un périphérique spécifique) Zone Méthode d'organisation et de regroupement des périphériques dans l'entreprise, sur la base de la priorité, des fonctions, etc. Règle de zone Fonction qui permet d'automatiser l'attribution des périphériques à des zones spécifiques, sur la base des adresses IP, du système d'exploitation ou du nom de périphérique. ANNEXE B : GESTION DES EXCEPTIONS Il arrive que les utilisateurs aient besoin de mettre en quarantaine ou d'autoriser (ignorer) manuellement un fichier. Threat Defense permet de gérer des exceptions pour chaque périphérique (local), pour un groupe de périphériques (stratégie) ou pour toute l'entreprise (global). Fichiers Local : mettre en quarantaine ou ignorer (liste de confiance) un fichier sur le périphérique. Cela s'avère utile pour bloquer ou autoriser temporairement un fichier jusqu'à un moment plus propice pour l'analyser. Le fait d'ignorer un fichier sur un périphérique est également utile lorsqu'il s'agit du seul périphérique sur lequel le fichier doit être autorisé à s'exécuter. Dell préconise l'utilisation d'une stratégie ou d'une liste globale lorsque cette action a besoin d'être effectuée sur plusieurs périphériques. Guide d'installation et d'administration | 49 Stratégie : mettre en liste de confiance un fichier sur tous les périphériques attribués à une stratégie. Cette option est utile pour autoriser un fichier sur un groupe de périphériques (par exemple, pour autoriser les périphériques IT à exécuter des outils susceptibles de servir des objectifs malveillants, comme PsExec). Il est impossible de mettre en quarantaine un fichier au niveau Stratégie. Global : mettre en quarantaine ou en liste de confiance un fichier pour toute l'entreprise. Mettre en quarantaine un fichier malveillant dans l'entreprise. Mettre en liste de confiance un fichier connu pour être sain et utilisé dans l'entreprise, mais que l'agent identifie comme malveillant. Scripts Stratégie : le contrôle des scripts permet d'approuver l'exécution des scripts depuis un dossier spécifique. En autorisant les scripts à s'exécuter depuis un dossier, vous les autorisez aussi à s'exécuter depuis tous les sous-dossiers. Certificats Global : ajouter des certificats à la console, puis à la liste de confiance globale. Cela permet aux applications signées par ce certificat de s'exécuter dans l'entreprise. Pour ajouter un certificat, sélectionnez Paramètres > Certificats, puis cliquez sur Ajouter un certificat. Pour ajouter le certificat à la liste de confiance globale, sélectionnez Paramètres > Liste globale, accédez à l'onglet Liste de confiance globale puis à l'onglet Certificats, puis cliquez sur Ajouter un certificat. ANNEXE C : AUTORISATIONS UTILISATEUR Les actions que les utilisateurs peuvent exécuter dépendent des autorisations utilisateur (rôle) qui leur ont été attribuées. En général, les utilisateurs Administrateur peuvent réaliser des actions dans l'ensemble de l'entreprise. Les utilisateurs Gestionnaire de zone et Utilisateur sont limités aux zones qui leur sont attribuées. Cette restriction signifie qu'ils ne peuvent accéder qu'aux périphériques de la zone en question et ne voient que les données de menace relatives à ces périphériques. Si un gestionnaire de zone ou un utilisateur ne voit pas un périphérique ou une menace spécifique, cela signifie probablement que le périphérique concerné n'appartient pas aux zones attribuées à ces personnes. UTILISATEUR Mise à jour de l'agent Afficher/Modifier Journaux d'audit Afficher Périphériques Ajouter des périphériques – Global Ajouter des périphériques à une zone Supprimer des périphériques – Global Supprimer des périphériques d'une zone Renommer un périphérique Zones Créer une zone Supprimer une zone Renommer une zone – Partout Renommer une zone qui lui est attribuée Stratégie Créer une stratégie – Global Créer une stratégie pour une zone 50 | GESTIONNAIRE DE ZONE ADMIN X X X X X X X X X X X X X X X X Guide d'installation et d'administration UTILISATEUR Ajouter une stratégie – Global Ajouter une stratégie à une zone Supprimer une stratégie – Global Supprimer une stratégie d'une zone Menaces Mettre des fichiers en quarantaine – Global Mettre des fichiers en quarantaine dans une zone Ignorer des fichiers – Global Ignorer des fichiers dans une zone Quarantaine globale/Liste de confiance globale Paramètres Générer ou supprimer un jeton d'installation Générer ou supprimer une URL d'invitation Copier un jeton d'installation Copier une URL d'invitation Gestion des utilisateurs Attribuer des utilisateurs à n'importe quelle zone Attribuer des utilisateurs à une zone qu'il gère Désigner un gestionnaire de zone – Global Désigner un gestionnaire de zone pour les zones qu'il gère Supprimer des utilisateurs de la console Supprimer des utilisateurs d'une zone – Global Supprimer des utilisateurs d'une zone qu'il gère GESTIONNAIRE DE ZONE ADMIN X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X ANNEXE D : FILTRE D'ÉCRITURE BASÉ SUR DES FICHIERS L'agent Dell Threat Defense peut être installé sur un système exécutant Windows Embedded Standard 7 (client léger, « Thin Client »). Sur les périphériques intégrés, il est possible que l'écriture sur le stockage du système ne soit pas autorisée. Dans ce cas, le système peut utiliser un filtre d'écriture basé sur des fichiers (FBWF) pour rediriger les éventuelles écritures sur le stockage du système vers le cache de la mémoire du système. Cela peut entraîner des problèmes, notamment de perte des modifications par l'agent au redémarrage du système. Lorsque vous utilisez l'agent sur un système intégré, procédez comme suit : 1. Avant d'installer l'agent, désactivez le filtre d'écriture basé sur des fichiers à l'aide de la commande suivante : fbwfmgr /disable. 2. Redémarrez le système. Cela permet d'appliquer la désactivation du filtre d'écriture basé sur des fichiers. 3. Installez l'agent Dell Threat Defense. Guide d'installation et d'administration | 51 4. Après l'installation de l'agent, réactivez le filtre d'écriture basé sur des fichiers à l'aide de la commande suivante : fbwfmgr /enable. 5. Redémarrez le système. Cela permet d'appliquer l'activation du filtre d'écriture basé sur des fichiers. 6. Dans le filtre d'écriture basé sur des fichiers, excluez les dossiers suivants : a. C:\Program Files\Cylance\Desktop ; l'exclusion de ce dossier permet aux mises à jour de l'agent d'être conservées après un redémarrage du système. 7. Utilisez la commande suivante pour exclure le dossier Bureau : fbwfmgr /addexclusion C: “\Program Files\Cylance\Desktop\” a. Ces informations partent du principe que vous effectuez l'installation dans le répertoire par défaut. Remplacez l'exclusion par le dossier dans lequel vous avez installé l'agent, le cas échéant. 8. Si vous envisagez de stocker les menaces sur la machine pour effectuer des tests sur l'agent, prenez soin d'exclure également l'emplacement de stockage du filtre d'écriture basé sur des fichiers (C:\Samples par exemple). 52 | Guide d'installation et d'administration