McAfee Host Intrusion Prevention 8.0 Guide Produit à utiliser avec epolicy Orchestrator 4.5

Transcription

1 McAfee Host Intrusion Prevention 8.0 Guide Produit à utiliser avec epolicy Orchestrator 4.5

2 COPYRIGHT Copyright 2010 McAfee, Inc. Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, transmise, transcrite, stockée dans un système d'archivage ou traduite dans toute autre langue, sous quelque forme ou par quelque moyen que ce soit sans l'autorisation écrite de McAfee, Inc., de ses fournisseurs ou de ses sociétés affiliées. DROITS DE MARQUES AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUSHIELD, MA (MCAFEE SECURITYALLIANCE ECHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN et WEBSHIELD sont des marques commerciales déposées ou des marques commerciales de McAfee, Inc. et/ou de ses sociétés affiliées au Etats-Unis et/ou dans d'autres pays. La couleur rouge McAfee utilisée pour identifier des fonctionnalités liées à la sécurité est propre au produits de la marque McAfee. Toutes les autres marques commerciales déposées ou non déposées citées dans ce document sont la propriété eclusive de leurs détenteurs respectifs. INFORMATIONS DE LICENCE Accord de licence À L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL APPROPRIÉ CORRESPONDANT À LA LICENCE QUE VOUS AVEZ ACHETÉE, QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS NE CONNAISSEZ PAS LE TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, CONSULTEZ LES DOCUMENTS DE VENTE, D'ATTRIBUTION DE LICENCE OU LE BON DE COMMANDE QUI ACCOMPAGNENT LE LOGICIEL OU QUE VOUS AVEZ REÇUS SÉPARÉMENT LORS DE L'ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER SUR LE CD-ROM DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUS N'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ RETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE REMBOURSEMENT INTÉGRAL. 2

3 Table des matières Introduction de Host Intrusion Prevention Protection Host IPS Stratégies Host IPS Gestion des stratégies Host IPS Suivi et réglage des stratégies Host IPS Gestion de votre protection Gestion des informations Tableau de bord Host IPS Requêtes Host IPS Gestion des stratégies Où trouver les stratégies Configuration des stratégies Protection et réglage par défaut Migration des stratégies Host IPS Gestion du système Ensembles d'autorisations Host IPS Tâches serveur Host IPS Réponses au événements Host IPS Mises à jour de la protection Host IPS Configuration des stratégies IPS Présentation des stratégies IPS Méthodes de mise en place de la protection IPS Signatures Règles comportementales Réactions Eceptions Règles de protection des applications Evénements Activation de la protection IPS Configuration de la stratégie Options IPS Définition de la réaction relative au signatures IPS

4 Table des matières Configuration de la stratégie Protection IPS Définition de la protection IPS Configuration de la stratégie Règles IPS Affectation de plusieurs instances de la stratégie FAQ : Stratégies à plusieurs instances Fonctionnement des signatures IPS Fonctionnement des règles IPS de protection des applications Fonctionnement des eceptions IPS Surveillance des événements IPS Gestion des événements IPS Création d'une eception à partir d'un événement Création d'une application approuvée à partir d'un événement Surveillance des règles IPS de client Gestion des règles IPS de client Configuration des stratégies de pare-feu Présentation des stratégies Pare-feu Fonctionnement des règles de pare-feu Fonctionnement des groupes de règles de pare-feu Fonctionnement du catalogue Host IPS Filtrage et inspection des paquets du pare-feu avec état Incidence des modes d'apprentissage et adaptatif sur le pare-feu Règles de pare-feu pour le client Activer la protection par pare-feu Configuration de la stratégie Options de pare-feu FAQ : McAfee TrustedSource et le pare-feu Définir la protection par pare-feu Configuration de la stratégie Règles de pare-feu Création et modification de règles de pare-feu Création et modification de groupes de règles de pare-feu Création de groupes d'isolement de conneion Blocage du trafic DNS Utilisation du catalogue Host IPS Gestion des règles de pare-feu pour le client FAQ : Utilisation des caractères génériques dans les règles de pare-feu Configuration des stratégies générales Présentation des stratégies générales Définition des fonctionnalités du client

5 Table des matières Configuration d'une stratégie Interface utilisateur du client Configuration des options générales de l'interface utilisateur du client Configuration des options avancées de l'interface utilisateur du client et des mots de passe Configuration des options de dépannage de l'interface utilisateur du client Définition des réseau approuvés Configuration d'une stratégie Réseau approuvés Définition des applications approuvées Configuration d'une stratégie Applications approuvées Création et modification de règles d'applications approuvées Affectation de plusieurs instances de la stratégie Utilisation des clients Host Intrusion Prevention Présentation du client Windows Menu de l'icône de la barre d état système Console client pour les clients Windows Déverrouillage de l'interface du client Windows Configuration des options de l'interface utilisateur du client Dépannage du client Windows Alertes client Windows A propos de l'onglet Stratégie IPS A propos de l'onglet Stratégie de pare-feu A propos de l'onglet Hôtes bloqués Modification de la liste des Hôtes bloqués A propos de l'onglet Liste de protection des applications A propos de l'onglet Journal d'activité Présentation du client Solaris Mise en œuvre des stratégies avec le client Solaris Dépannage du client Solaris Présentation du client Linu Mise en œuvre des stratégies avec le client Linu Remarques concernant le client Linu Dépannage du client Linu Annee A : Création d'eceptions et de signatures personnalisées Structure d'une règle Sections communes Sections communes facultatives Caractères génériques et variables Signatures personnalisées Windows

6 Table des matières Classe Windows Buffer Overflow Class Files Windows Classe Windows Hook Classe Windows Illegal API Use (Host IPS) Classe Windows Illegal Use Classe Windows Isapi (HTTP) Classe Windows Program Classe Windows Registry Class Services Windows Classe Windows SQL Classes et directives pour plate-forme Windows Signatures personnalisées non Windows Classe UNI_file Solaris/Linu Class UNI_apache Solaris/Linu (HTTP) Classe UNI_Misc Solaris/Linu Classe UNI_bo Solaris Classe UNI_map Solaris Classe UNI_GUID Solaris Classes et directives pour plate-forme UNI Annee B : Dépannage Problèmes générau Journau Host IPS Utilitaire Clientcontrol.ee

7 Introduction de Host Intrusion Prevention McAfee Host Intrusion Prevention est un système de détection et de prévention des intrusions basé sur l'hôte et protégeant les ressources et applications du système contre les attaques eternes et internes. Il fournit une solution facile à gérer et évolutive pour prévenir les intrusions sur les postes de travail, ordinateurs portables et serveurs dits critiques tels que les serveurs web et serveurs de base de données. Sa technologie brevetée bloque les attaques de type «jour zéro» et les attaques connues. Host Intrusion Prevention (parfois abrégé dans le produit sous la forme Host IPS ou HIP) peut protéger des informations et empêcher la mise à mal des ressources et applications du système et du réseau qui stockent et fournissent des informations. Il utilise pour cela une fonction de pare-feu de poste client et une fonction de système de prévention des intrusions (IPS). La fonction IPS dispose de mises à jour de contenu mensuelles, ce qui réduit l'urgence des patchs pour les nouvelles menaces. La fonction de pare-feu Host Intrusion Prevention peut être achetée séparément ou en association avec la fonction Host Intrusion Prevention IPS. Host Intrusion Prevention est totalement intégré à epolicy Orchestrator et utilise sa structure pour fournir et mettre en œuvre les stratégies. Cette approche offre une solution de gestion unique qui permet un déploiement massif d'un maimum de systèmes dans plusieurs langues sur la totalité d'une entreprise, pour une couverture véritablement complète. Table des matières Protection Host IPS Stratégies Host IPS Gestion des stratégies Host IPS Suivi et réglage des stratégies Host IPS Protection Host IPS Après l'installation de tous les composants requis pour Host Intrusion Prevention et une fois la communication établie, vous êtes prêt à appliquer la protection, surveiller les événements et mettre à jour les stratégies et le contenu selon les besoins. Protection de base Host Intrusion Prevention comprend un ensemble de paramètres par défaut qui fournissent une protection de base pour votre environnement. Ces paramètres comprennent : Pour la protection IPS : Les signatures à niveau de gravité élevé sont interdites et toutes les autres signatures sont ignorées. Les applications McAfee sont incluses comme applications approuvées pour toutes les règles, sauf les règles d'auto-protection IPS. 7

8 Introduction de Host Intrusion Prevention Stratégies Host IPS Les applications et processus prédéfinis sont protégés. Pour la protection par pare-feu : Une connectivité réseau de base est autorisée. REMARQUE : lors de la première installation de Host Intrusion Prevention 8.0, aucune protection n'est activée. Vous devez activer la protection dans la stratégie Options IPS ou Options de pare-feu et appliquer la stratégie au client. Protection avancée Pour la protection avancée, passez des paramètres par défaut au paramètres prédéfinis plus stricts, ou créez des paramètres personnalisés. Commencez par un déploiement test pour surveiller et régler les nouveau paramètres. Le réglage implique l'équilibrage de la protection de prévention des intrusions et l'accès au informations requises et au applications par type de groupe. Stratégies Host IPS Une stratégie est un ensemble de paramètres que vous configurez et mettez en œuvre à l'aide de la console epolicy Orchestrator. La mise en œuvre de stratégies permet de garantir la satisfaction de vos besoins en matière de sécurité sur des systèmes managés. Host Intrusion Prevention propose trois fonctions de stratégies, chacune possédant son jeu d'options de sécurité. En voici la liste : IPS, Pare-feu et Générale. Les fonctions IPS et de pare-feu contiennent une stratégie «règles» précisant les règles qui définissent un comportement et une stratégie «options» qui active ou désactive ces règles. La propriété des stratégies est affectée dans le Catalogue de stratégies. Après la création d'une stratégie, elle peut être modifiée ou supprimée uniquement par le créateur de cette dernière, la personne considérée comme un propriétaire de la stratégie ou l'administrateur global. La suppression d'une stratégie peut se faire uniquement à partir du Catalogue de stratégies. Stratégies IPS La fonction IPS contient trois stratégies protégeant les ordinateurs Windows et non Windows. Elle détaille les eceptions, signatures, règles de protection des applications, événements et eceptions générées par le client. Options IPS (toutes les plates-formes). Cette stratégie active ou désactive la protection IPS et l'application du mode adaptatif pour les réglages. Protection IPS (toutes les plates-formes). Définit la réaction de protection face au événements que génèrent les signatures. Règles IPS (toutes les plates-formes). Définit les eceptions, signatures et les règles de protection des applications. Il s'agit d'une stratégie à plusieurs instances, qui autorise l'affectation de plusieurs stratégies IPS à un système, au lieu d'une. La stratégie appliquée résulte alors du contenu fusionné des stratégies. Si des paramètres sont en conflit, le paramètre eplicite apportant le plus haut niveau de protection est appliqué. 8

9 Introduction de Host Intrusion Prevention Gestion des stratégies Host IPS Stratégies de pare-feu La fonction de pare-feu contient trois stratégies protégeant uniquement les ordinateurs Windows. Elle permet de filtrer le trafic réseau. Le passage du trafic légitime par le pare-feu est autorisé et le reste est bloqué. Options de pare-feu (Windows uniquement). Cette stratégie active ou désactive la protection par pare-feu et l'application du mode adaptatif ou d'apprentissage pour les réglages. Règles de pare-feu (Windows uniquement). Définit les règles de pare-feu. Blocage DNS du pare-feu (Windows uniquement). Définit les serveurs de noms de domaine à bloquer. Stratégies générales La fonction Générale contient trois stratégies qui peuvent s'appliquer au fonctions IPS et Pare-feu. Interface utilisateur du client (Windows uniquement). Définit l'accès à l'interface utilisateur de Host Intrusion Prevention sur les systèmes clients Windows, notamment les options de dépannage. Fournit également une protection par mot de passe sur tous les systèmes clients autres que Windows. Réseau approuvés (Windows uniquement). Répertorie les réseau et les adresses IP sécurisés pour la communication. Utilisée avec les fonctions IPS et de pare-feu. Applications approuvées (toutes les plates-formes). Répertorie les applications approuvées pour l'eécution de la plupart des opérations. Utilisée avec la fonction IPS. Il s'agit également d'une stratégie à plusieurs instances, qui autorise l'affectation de plusieurs stratégies Applications approuvées à un système, au lieu d'une. La stratégie appliquée résulte du contenu fusionné des stratégies. Si des paramètres sont en conflit, le paramètre apportant le plus haut niveau de protection est appliqué. Gestion des stratégies Host IPS La console epolicy Orchestrator vous permet de configurer les stratégies Host Intrusion Prevention depuis un emplacement centralisé. Mise en œuvre des stratégies Lorsque vous modifiez des stratégies Host Intrusion Prevention sur la console epolicy Orchestrator, les modifications apportées sont effectives sur les systèmes managés lors de la communication agent-serveur suivante. Par défaut, cet intervalle est défini pour que la communication soit initiée toutes les 60 minutes. Pour mettre les stratégies en œuvre immédiatement, vous pouvez envoyer un appel de réactivation de l'agent depuis la console epolicy Orchestrator. Stratégies et leurs catégories Les informations sur les stratégies pour Host Intrusion Prevention sont regroupées par fonction et catégorie. Chaque catégorie de stratégie représente un sous-ensemble spécifique de stratégies. Une stratégie est un groupe de paramètres configurés dans un but spécifique. Vous pouvez créer, modifier ou supprimer autant de stratégies que vous le souhaitez. 9

10 Introduction de Host Intrusion Prevention Suivi et réglage des stratégies Host IPS Pour chaque stratégie, une stratégie McAfee par défaut est préconfigurée, qui ne peut être modifiée, ni supprimée. A l'eception des Règles IPS et des Applications approuvées, toutes les stratégies comportent également une stratégie Ma stratégie par défaut modifiable basée sur la stratégie par défaut. Certaines catégories de stratégie incluent plusieurs stratégies préconfigurées en lecture seule. Si ces stratégies préconfigurées répondent à vos besoins, vous pouvez appliquer n'importe laquelle d'entre elles. Ces stratégies en lecture seule, comme toutes les stratégies, peuvent être dupliquées et le doublon personnalisé, si nécessaire. Les stratégies Règles IPS et Applications approuvées sont des stratégies à plusieurs instances car vous pouvez attribuer plusieurs instances de stratégie dans une même stratégie. Les instances de stratégie sont automatiquement combinées en une stratégie active. CONSEIL : les stratégies McAfee par défaut pour les Règles IPS et Applications approuvées sont automatiquement mises à jour dans le cadre du processus de mise à jour du contenu. Il est toujours recommandé d'affecter ces stratégies à tous les clients et de créer des instances de stratégie supplémentaires pour personnaliser le comportement de ces deu stratégies. Application des stratégies Les stratégies s'appliquent à n'importe quel système ou groupe de l'arborescence des systèmes, par héritage ou affectation. L'héritage détermine si les paramètres de stratégie d'un système sont issus de son parent. Par défaut, l'héritage est activé dans l'ensemble de l'arborescence des systèmes. Vous pouvez bloquer l'héritage par une affectation directe de stratégie. Host Intrusion Prevention, tel qu'il est managé par epolicy Orchestrator, vous permet de créer des stratégies et de les affecter sans vous soucier de l'héritage. Si vous bloquez cet héritage en affectant une nouvelle stratégie, tous les groupes et systèmes subalternes héritent de cette nouvelle stratégie. Propriété des stratégies Un propriétaire doit impérativement être affecté à chaque stratégie. La propriété sert à ce que personne d'autre que l'administrateur global, le créateur de la stratégie ou la personne considérée comme le propriétaire de la stratégie ne puisse modifier la stratégie. Tout administrateur peut utiliser toute stratégie figurant dans le catalogue, mais seul son créateur, son propriétaire ou un administrateur global est autorisé à la modifier. CONSEIL : plutôt que d'utiliser une stratégie appartenant à un autre administrateur, il est recommandé de dupliquer la stratégie, puis d'attribuer le doublon. Dans le cas contraire, si vous affectez une stratégie qui ne vous appartient pas à des groupes de l'arborescence des systèmes dont vous êtes responsable et si le propriétaire de la stratégie la modifie, les modifications s'appliqueront à tous les systèmes auquels cette stratégie est affectée. Suivi et réglage des stratégies Host IPS Le déploiement et la gestion des clients Host Intrusion Prevention sont assurés à partir d'epolicy Orchestrator. Dans l'arborescence des systèmes epo, vous pouvez regrouper les systèmes de façon hiérarchique par attributs. Par eemple, vous pouvez regrouper un premier niveau de clients par emplacement géographique et un deuième par plate-forme de système d'eploitation ou par adresse IP. Il est recommandé de regrouper les systèmes selon les critères de configuration de Host Intrusion Prevention, notamment le type de système (serveur ou poste), les applications principalement utilisées (web, base de données ou serveur de messagerie) et les emplacements stratégiques (zone démilitarisée ou intranet). Vous pouvez placer les systèmes correspondant à un profil d'usage commun dans un groupe commun de l'arborescence des 10

11 Introduction de Host Intrusion Prevention Suivi et réglage des stratégies Host IPS systèmes. En fait, vous pouvez nommer un groupe d'après son profil d'usage, par eemple, serveurs web. Une fois les ordinateurs regroupés selon leur type, fonction ou emplacement dans l'arborescence des systèmes, vous pouvez organiser de la même manière les fonctions administratives. A l'aide de Host Intrusion Prevention, vous avez la possibilité de répartir les tâches d'administration selon les fonctions du produit, telles qu'ips ou Pare-feu. Il est facile de déployer les clients Host Intrusion Prevention sur des milliers d'ordinateurs car la plupart d'entre eu correspondent à plusieurs profils d'usage. La gestion d'un déploiement étendu se réduit à la maintenance de quelques règles de stratégies. Lorsque le déploiement s'élargit, les nouveau systèmes ajoutés doivent correspondre à un ou plusieurs profils eistants et être placés dans le groupe correct de l'arborescence des systèmes. Protection prédéfinie Host Intrusion Prevention propose deu types de protection : Les paramètres de stratégie McAfee par défaut offrent une protection de base. Cette protection ne requiert que peu ou pas de réglages et génère peu d'événements. Pour de nombreu environnements, cette protection de base peut suffire. Une protection avancée est également proposée par certaines stratégies de pare-feu et IPS préconfigurées ou peut être atteinte en créant des stratégies personnalisées. Les serveurs, par eemple, nécessitent davantage qu'une simple protection de base. Les deu cas eigent le réglage des paramètres de protection pour les environnements de travail à proprement parler. Mode adaptatif Pour affiner les paramètres de protection, les clients Host Intrusion Prevention peuvent créer, côté client, des règles au stratégies autorisées par le serveur qui bloquent une activité légitime. La création automatique de règles de client est autorisée lorsque les clients sont en mode adaptatif. En mode adaptatif, les règles de client sont créées sans intervention de l'utilisateur. Une fois les règles du client créées, vous devez les analyser avec attention et décider celles qui doivent être converties en stratégies autorisées par le serveur. Dans les grandes organisations, la poursuite des activités professionnelles sans aucune perturbation prend souvent le pas sur les préoccupations de sécurité. Par eemple, l'installation périodique de nouvelles applications peut être requise sur certains ordinateurs et vous ne disposez peut-être pas du temps ou des ressources nécessaires pour en effectuer le réglage immédiatement. Host Intrusion Prevention vous permet de mettre des ordinateurs spécifiques en mode adaptatif pour la protection IPS. Ces ordinateurs peuvent personnaliser ces nouvelles applications et transférer au serveur epolicy Orchestrator les règles de client qui en résultent. L'administrateur peut promouvoir ces règles de client au rang de stratégie nouvelle ou eistante, puis la mettre en œuvre sur d'autres ordinateurs afin qu'ils prennent le nouveau logiciel en charge. Les systèmes en mode adaptatif ne bénéficient pratiquement d'aucune protection. Ce mode doit donc être utilisé uniquement pour le réglage d'un environnement puis désactivé pour renforcer la protection du système. Réglage fin Dans le cadre du déploiement de Host Intrusion Prevention, vous devez identifier quelques profils d'usage distincts et leur créer des stratégies. Le meilleur moyen d'y parvenir consiste à configurer un déploiement test, puis à commencer à réduire le nombre de fau positifs et d'événements générés. Ce processus est appelé réglage fin. 11

12 Introduction de Host Intrusion Prevention Suivi et réglage des stratégies Host IPS Des règles IPS plus strictes ciblent une gamme plus vaste d'infractions et génèrent bien plus d'événements que dans un environnement de base. Si vous appliquez la protection avancée, il est recommandé d'en décaler l'impact en utilisant la stratégie de protection IPS. Cela suppose d'appliquer un niveau de gravité (Elevé, Moyen, Faible et Information) à chaque réaction (Empêcher, Journaliser ou Ignorer). En définissant un niveau de gravité pour chaque réaction, ecepté Elevé pour Ignorer, seules les signatures d'un niveau de gravité élevé sont appliquées. Les autres niveau pourront être progressivement augmentés lors des processus de réglage fin. Vous pouvez réduire le nombre de fau positifs en créant des règles d'eception, des applications approuvées et des règles de pare-feu. Les règles d'eception permettent de passer outre une signature IPS dans des circonstances spécifiques. Les applications approuvées sont des processus d'application qui ignorent toutes les règles IPS ou de pare-feu. Les règles de pare-feu autorisent ou non le trafic et bloquent la réception de paquets ou autorisent ou bloquent la transmission de paquets. Tableau de bord et requêtes Les tableau de bord vous permettent de suivre votre environnement en affichant simultanément plusieurs requêtes. Ces requêtes peuvent être actualisées en permanence ou eécutées à une fréquence déterminée. Les requêtes vous fournissent des informations sur des éléments spécifiques et vous permettent de les filtrer en sous-ensembles ; par eemple, les événements de niveau de gravité élevé signalés par des clients particuliers sur une période spécifiée. Les rapports peuvent être planifiés et envoyés sous forme d' . 12

13 Gestion de votre protection La gestion d'un déploiement Host Intrusion Prevention englobe la surveillance, l'analyse et la réaction à des activités, la modification et la mise à jour des stratégies et l'eécution de tâches système. Table des matières Gestion des informations Gestion des stratégies Gestion du système Gestion des informations Une fois Host Intrusion Prevention installé, vous pouvez effectuer des suivis et rapports des problèmes de sécurité rencontrés dans votre environnement. Pour avoir un aperçu quotidien de la situation en matière de sécurité ou eécuter des requêtes d'informations détaillées sur des questions particulières, utilisez les tableau de bord. Tableau de bord Host IPS Les tableau de bord sont un ensemble de moniteurs représentant un outil essentiel pour la gestion de votre environnement. Les moniteurs peuvent aller d'une requête basée sur un graphique à une petite application web, comme le MyAvert Threat Service. Vous pouvez créer et modifier plusieurs tableau de bord si vous disposez des autorisations nécessaires. Utilisez toute requête basée sur un graphique comme tableau de bord, actualisé à intervalles déterminés, afin de placer les requêtes les plus utiles sur un tableau de bord actif. Host Intrusion Prevention fournit deu tableau de bord par défaut qui contiennent les moniteurs suivants : Tableau 1 : Tableau de bord et moniteurs Host IPS Tableau de bord Moniteurs Host IPS Statut du pare-feu Statut Host IPS Statut du service Nombre de règles IPS de client Versions des contenus 10 principau événements NIPS par adresse IP source Signatures Host IPS déclenchées 10 principales signatures IPS de niveau critique déclenchées sur un poste de travail 10 principales signatures IPS de niveau moyen déclenchées sur un poste de travail 13

14 Gestion de votre protection Gestion des informations Tableau de bord Moniteurs 10 principales signatures IPS de niveau faible déclenchées sur un poste de travail 10 principales signatures IPS de niveau critique déclenchées sur un serveur 10 principales signatures IPS de niveau moyen déclenchées sur un serveur 10 principales signatures IPS de niveau faible déclenchées sur un serveur Pour en savoir plus sur la création et l'utilisation des tableau de bord, consultez la documentation epolicy Orchestrator. Requêtes Host IPS Host Intrusion Prevention comporte une fonction de requête via epolicy Orchestrator. Vous pouvez créer des requêtes utiles à partir d'événements et de propriétés stockés dans la base de données epo ou utiliser des requêtes prédéfinies. Vous pouvez créer des requêtes pour un groupe de systèmes clients sélectionnés ou limiter le nombre de résultats du rapport au moyen d'un critère de produit ou de système. Vous pouvez eporter les rapports sous différents formats de fichiers, dont HTML et Microsoft Ecel. Options de requête : Définir un filtre pour collecter uniquement des informations sélectionnées. Choisir le groupe ou les marqueurs à inclure dans le rapport. Configurer un filtre de données utilisant des opérateurs logiques, afin de limiter avec précision les données renvoyées par le rapport. Générer des rapports graphiques à partir des informations de la base de données, filtrer les rapports en fonction de vos besoins, imprimer les rapports et les eporter vers d'autres logiciels. Eécuter des requêtes sur des ordinateurs, des événements et des installations. Requêtes prédéfinies et personnalisées pour analyser votre protection La fonction rapports contient des requêtes prédéfinies venant de Host Intrusion Prevention et vous permet de créer des requêtes personnalisées. Organisez et gérez des requêtes personnalisées selon vos besoins. Par eemple, si vous personnalisez des paramètres pour un rapport, eportez-les sous la forme d'un modèle. Après avoir créé des modèles personnalisés, organisez-les en groupes logiques afin de pouvoir les eécuter en fonction de vos besoins chaque jour, semaine ou mois. Après la génération d'un rapport, vous affichez les informations de synthèse, telles que déterminées par le filtre (le cas échéant) que vous avez configuré. A partir des informations de synthèse, vous développez les informations détaillées sur un ou deu niveau, dans le même rapport. Vous contrôlez la nature et le nombre d'informations de rapport accessibles au différents utilisateurs, comme les administrateurs globau par rapport à d'autres utilisateurs. Certains utilisateurs affichent uniquement des rapports sur des systèmes se trouvant sur des sites pour lesquels ils détiennent des autorisations. Les informations contenues dans les rapports sont également contrôlées au moyen de filtres. 14

15 Gestion de votre protection Gestion des informations Requêtes personnalisées Vous pouvez créer quatre requêtes Host IPS spécifiques à l'aide du Générateur de requêtes sous Autres : Règles de pare-feu pour le client Host IPS 8.0, Fichiers eécutables des règles de pare-feu pour le client Host IPS 8.0, Règles IPS de client Host IPS 8.0 et Eceptions IPS Host IPS 8.0. Les paramètres disponibles pour ces requêtes comprennent : Tableau 2 : Paramètres et requêtes Host IPS Requête Règles de pare-feu du catalogue et règles de pare-feu pour le client Host IPS 8.0 Paramètres Action Direction REMARQUE : cette requête renvoie des règles de pare-feu du catalogue IPS, des groupes de règles de pare-feu du catalogue IPS et des règles de Activé Date de la dernière modification pare-feu pour le client. Les valeurs d'action Utilisateur ayant apporté la dernière modification possibles sont allow, block et jump, cette dernière étant la seule action pour les groupes, auquels ID de nœud terminal les actions allow/block ne s'appliquent pas. La Services locau valeur de filtre leafnodeid des règles et groupes Statut du journal du catalogue IPS est définie sur 0. Pour afficher uniquement les règles de pare-feu pour le client, Protocole IP définissez la valeur de filtre leafnodeid sur > 0. Identifier l'intrusion Type de support Nom Remarque Services distants ID de règle Fin de la planification Début de la planification Basculer à l'epiration Protocole de transport Fichiers eécutables des règles de pare-feu pour le client Host IPS 8.0 Empreinte Nom Remarque Chemin d accès ID de règle Nom du signataire Règles IPS de client Host IPS 8.0 Date de création Description Nom du fichier eécutable Chemin d'accès du fichier eécutable Empreinte Nom entier du fichier eécutable Inclure tous les fichiers eécutables Inclure toutes les signatures Inclure tous les utilisateurs Date de la dernière modification Version locale Réaction 15

16 Gestion de votre protection Gestion des informations Requête Paramètres ID de signature Nom du signataire Statut Nom de l'utilisateur Eceptions IPS de Host IPS 8.0 Règle d'eception IPS Stratégie Règles IPS Propriétés communes Host IPS Les requêtes Host IPS personnalisées et certaines autres requêtes personnalisées vous permettent d'inclure les propriétés Host IPS suivantes : Type d'agent Pirates bloqués Langue Version du client Statut du mode adaptatif IPS Nombre de règles d'eception locales Version du contenu Statut IPS réseau Statut du mode adaptatif de pare-feu En attente de redémarrage Panne du pare-feu (Erreurs) Version du plug-in Statut du mode d'apprentissage de Statut du produit pare-feu pour les éléments entrants Service en cours d'eécution Statut du mode d'apprentissage de Version de HotFi/patch pare-feu pour les éléments sortants Version du produit Nombre de règles du pare-feu Service Pack Statut du pare-feu Informations sur les événements Host IPS Panne de la protection Host IPS (Erreurs) (Masqué, Lu) Statut Host IPS Nom de la signature Répertoire d'installation Requêtes prédéfinies Outre les requêtes personnalisées, vous pouvez utiliser plusieurs requêtes prédéfinies telles quelles ou les modifier pour obtenir uniquement les informations recherchées. Faites votre sélection parmi les requêtes Host IPS prédéfinies : Requête HIP Règles de client par processus Règles de client par processus/plage de ports Règles de client par processus/utilisateur Règles de client par protocole/nom de système Règles de client par protocole/plage de ports Récapitulatif Affiche la liste des règles de pare-feu pour le client, classées par processus. Affiche la liste des règles de pare-feu pour le client, classées par processus et plage de ports. Affiche la liste des règles de pare-feu pour le client, classées par processus et par utilisateur. Affiche la liste des règles de pare-feu pour le client, classées par protocole et nom de système. Affiche la liste des règles de pare-feu pour le client, classées par protocole et plage de ports. 16

17 Gestion de votre protection Gestion des informations Requête HIP Règles de client par protocole/processus Versions des clients Clients en attente de redémarrage Versions des contenus Nombre de règles de pare-feu pour le client Nombre de règles IPS de client Récapitulatif Affiche la liste des règles de pare-feu pour le client, classées par protocole et par processus. Indique les trois principales versions de clients avec une seule catégorie pour toutes les autres versions. Affiche les systèmes managés sur lesquels Host IPS a été déployé et que le programme d'installation doit redémarrer. Indique les trois principales versions de contenus avec une seule catégorie pour toutes les autres versions. Indique le nombre de règles de pare-feu pour le client créées au fil du temps. Indique le nombre de règles IPS de client créées au fil du temps. 10 principales signatures IPS de niveau critique déclenchées sur un poste de travail 10 principales signatures IPS de niveau moyen déclenchées sur un poste de travail Affiche les 10 signatures IPS de niveau de gravité élevé (Critique) déclenchées le plus souvent sur un poste de travail. Affiche les 10 signatures IPS de niveau moyen (Avertissement) déclenchées le plus souvent sur un poste de travail. 10 principales signatures IPS de niveau faible déclenchées sur un poste de travail Evénements des réseau approuvés par la protection Host IPS Erreurs liées au pare-feu Statut du pare-feu Erreurs liées à la protection Host IPS Statut Host IPS Rapport sur les eceptions IPS Affiche les 10 signatures IPS de niveau faible (Avis) déclenchées le plus souvent sur un poste de travail. Affiche la liste des événements générés par les systèmes connectés au réseau approuvés par la protection Host IPS. Affiche la liste des systèmes managés sur lesquels la fonction de pare-feu a été activée par une stratégie, mais n'a pas démarré correctement. Indique à quel niveau la protection par pare-feu est activée ou désactivée sur les systèmes managés. Affiche la liste des systèmes managés sur lesquels la fonction IPS a été activée par une stratégie, mais n'a pas démarré correctement. Indique à quel niveau la protection IPS est activée ou désactivée sur les systèmes managés. Affiche la liste des stratégies Règles IPS utilisant des eceptions IPS. 10 principales signatures IPS de niveau critique déclenchées sur un serveur 10 principales signatures IPS de niveau moyen déclenchées sur un serveur Signatures IPS de niveau faible déclenchées sur un serveur Affiche les 10 signatures IPS de niveau de gravité élevé (Critique) déclenchées le plus souvent sur un serveur. Affiche les 10 signatures IPS de niveau moyen (Avertissement) déclenchées le plus souvent sur un serveur. Affiche les 10 signatures IPS de niveau faible (Avis) déclenchées le plus souvent sur un serveur. Statut du service 10 principau événements IPS par cible 10 principau événements d'intrusion sur le réseau par adresse IP source Indique où Host IPS est installé et si une eécution de Host IPS est en cours sur les systèmes managés. Affiche les 10 systèmes présentant le plus d'événements IPS. Affiche les 10 principau événements d'intrusion sur le réseau par adresse IP source pour les trois derniers mois. 17

18 Gestion de votre protection Gestion des stratégies Requête HIP 10 principales signatures déclenchées Récapitulatif Affiche les 10 signatures IPS déclenchées le plus souvent. Gestion des stratégies La gestion des stratégies demande la configuration et l'application de stratégies et le réglage de la protection pour les ressources et applications du système. Une partie de ce processus nécessite une analyse des événements et des règles de client. Où trouver les stratégies epolicy Orchestrator propose deu emplacements pour afficher et gérer les stratégies Host Intrusion Prevention : l'onglet Stratégies affectées (Systèmes Arborescence des systèmes Stratégies affectées pour un groupe sélectionné dans l'arborescence des systèmes) et l'onglet Catalogue de stratégies (Systèmes Catalogue de stratégies). Pour un groupe ou un système sélectionné, utilisez l'onglet Stratégies affectées pour : afficher les stratégies disponibles d'une fonction particulière du produit ; afficher les détails de la stratégie ; afficher les informations d'héritage ; modifier l'affectation de la stratégie ; modifier les stratégies personnalisées. Utilisez l'onglet Catalogue de stratégies pour : créer des stratégies ; afficher et modifier les informations de stratégie ; afficher les affectations d'une stratégie ; afficher les paramètres et le propriétaire d une stratégie ; afficher les affectations pour lesquelles la mise en œuvre des stratégies est désactivée. Pour... Créer une stratégie Modifier une stratégie Afficher une stratégie Renommer une stratégie Dupliquer une stratégie Supprimer une stratégie Opérations à eécuter... Cliquez sur Nouvelle stratégie, nommez-la et modifiez ses paramètres. Cliquez sur Modifier (uniquement disponible pour les stratégies Ma stratégie par défaut ou les stratégies personnalisées). Cliquez sur Afficher (uniquement disponible pour les stratégies McAfee par défaut ou les stratégies préconfigurées). Cliquez sur Renommer et modifiez le nom de la stratégie (non disponible pour les stratégies par défaut ou préconfigurées). Cliquez sur Dupliquer, modifiez le nom de la stratégie et ses paramètres. Cliquez sur Supprimer (non disponible pour les stratégies par défaut ou préconfigurées). REMARQUE : lorsque vous supprimez une stratégie, tous les groupes auquels elle s'applique actuellement héritent, depuis leur parent, de la stratégie de cette catégorie. Avant de supprimer une stratégie, vous devez eaminer tous les systèmes auquels elle est affectée et leur affecter une autre stratégie si vous ne souhaitez pas que la stratégie hérite de son parent. Si vous supprimez 18

19 Gestion de votre protection Gestion des stratégies Pour... Opérations à eécuter... une stratégie appliquée au niveau supérieur, la stratégie par défaut de cette catégorie s'applique. Affecter un propriétaire de stratégie Eporter une stratégie Eporter toutes les stratégies Importer des stratégies Cliquez sur le propriétaire de la stratégie et sélectionnez un autre propriétaire dans une liste (non disponible pour les stratégies par défaut ou préconfigurées). Cliquez sur Eporter, puis nommez et enregistrez la stratégie (un fichier ML) à l'emplacement souhaité. Cliquez sur Eporter toutes les stratégies, puis nommez et enregistrez le fichier ML de stratégies à l'emplacement souhaité. Cliquez sur Importer en haut de la page Catalogue de stratégies, sélectionnez le fichier ML de stratégies, puis cliquez sur OK. Pour en savoir plus sur l'une de ces fonctions, consultez la documentation epolicy Orchestrator. Configuration des stratégies Une fois le logiciel Host Intrusion Prevention installé, il est recommandé de configurer directement les stratégies afin que la sécurité soit la plus stricte possible sans créer de conflits avec les activités quotidiennes. Les stratégies par défaut de Host Intrusion Prevention sont adaptées à une large gamme d'environnements de clients et peuvent répondre à vos besoins. Pour régler les stratégies de manière à ce qu'elles soient adaptées à votre configuration, il est recommandé de procéder comme suit : Définissez clairement votre configuration de sécurité Host Intrusion Prevention. Déterminez les responsables de la configuration des parties spécifiques du système et attribuez-leur les autorisations appropriées. Modifiez les stratégies Protection IPS ou Règles de pare-feu par défaut, qui fournissent des niveau croissants de protection prédéfinie. Modifiez les niveau de gravité des signatures spécifiques. Par eemple, lorsqu'une signature est déclenchée par le travail quotidien des utilisateurs, abaissez son niveau de gravité. Configurez les tableau de bord pour avoir un aperçu rapide de la conformité et des problèmes. Configurez les réponses automatiques pour alerter des utilisateurs spécifiques lorsqu'un événement particulier se produit. Par eemple, une notification peut être envoyée lorsqu'une activité, entraînant un événement de gravité élevée, se produit sur un serveur spécifique. Création d'une stratégie Pour créer une stratégie, vous devez copier une stratégie eistante et attribuez un nom à la nouvelle copie. Vous pouvez effectuer cette tâche dans le catalogue des stratégies ou depuis une page Stratégie. Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. Effectuez l'une des actions suivantes à partir du catalogue des stratégies : Cliquez sur le bouton Nouvelle stratégie. Sélectionnez la stratégie dont vous souhaitez créer une copie, saisissez le nom de la nouvelle stratégie, puis cliquez sur OK. 19

20 Gestion de votre protection Gestion des stratégies Cliquez sur le lien Dupliquer d'une stratégie. Saisissez le nom de la nouvelle stratégie, puis cliquez sur OK. Cliquez sur le lien Afficher ou Modifier d'une stratégie, puis sur la page Stratégie, cliquez sur le bouton Dupliquer. Saisissez le nom de la nouvelle stratégie, puis cliquez sur OK. La stratégie dupliquée s'affiche. Modifiez la stratégie, puis cliquez sur Enregistrer. Modification de l'affectation de stratégies Utilisez cette tâche pour modifier l'affectation de stratégies Host Intrusion Prevention à un groupe ou système unique de l'arborescence des systèmes epolicy Orchestrator. Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. Effectuez l'une des procédures suivantes : Pour un groupe, accédez à Systèmes Arborescence des systèmes, sélectionnez un groupe, puis sous l'onglet Stratégies affectées cliquez sur Modifier l'affectation. Pour un système, accédez à Systèmes Arborescence des systèmes, sélectionnez un groupe qui contient le système, puis dans l'onglet Système, sélectionnez le système et cliquez sur Actions Agents Modifier les stratégies sur un seul système. Protection et réglage par défaut Host Intrusion Prevention fonctionne avec des stratégies par défaut pour assurer la protection de base. Le niveau de protection peut être renforcé par des paramètres personnalisés réglés manuellement ou automatiquement. Protection par défaut Host Intrusion Prevention comprend un jeu de stratégies par défaut qui fournissent une protection de base pour votre environnement. Les protections IPS et par pare-feu sont désactivées par défaut et doivent être activées pour autoriser la mise en œuvre des stratégies de règles par défaut. Pour la protection avancée, passez des stratégies IPS par défaut au stratégies prédéfinies plus strictes, ou créez des stratégies personnalisées. Commencez par un déploiement test pour surveiller et régler les nouveau paramètres. Le réglage implique l'équilibrage de la protection de prévention des intrusions et l'accès au informations et applications requises par type de groupe. Réglage manuel Un réglage manuel demande une surveillance directe, sur une période déterminée, des événements et des règles de client créés. Pour la protection IPS, surveillez les événements pour détecter les fau positifs et créez des eceptions ou des applications approuvées afin d'éviter que ces événements ne se reproduisent. Pour la protection par pare-feu, surveillez le trafic réseau et ajoutez des réseau approuvés afin de permettre un trafic réseau correct. Surveillez les effets des nouvelles eceptions, applications approuvées et des nouveau réseau approuvés. 20