2 Cliquez sur l'onglet Hôtes bloqués et supprimez tous les hôtes bloqués de la liste.
3 Testez le système pour vérifier la récurrence du problème. Si c'est le cas, il n'est probablement pas lié aux hôtes bloqués.
Si vous n'avez toujours pas déterminé l'origine du problème, contactez le support technique McAfee, expliquez votre problème et joignez les données obtenues lors de cette procédure.
• Informations : journalise les informations, les avertissements et les messages d'erreur.
• Avertissement : journalise les avertissements et les messages d'erreur.
• Erreur : journalise les messages d'erreur.
• Désactivé : ne journalise aucun message.
La journalisation IPS et la journalisation de pare-feu sont contrôlées séparément. Ces paramètres de journalisation s'appliquent à la prochaine mise en œuvre de stratégies.
Quels fichiers journaux sont associés au composant Host IPS ?
Le fichier journal principal du composant Host IPS est HipShield.log. Ce fichier journal atteint 128 Mo et s'alterne avec une sauvegarde.
La rotation du fichier journal est contrôlée par les entrées DWORD log_rotate_size_kb et log_rotate_count dans la clé de Registre
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP. La clé log_rotate_count détermine le nombre de fichiers journaux de sauvegarde à conserver et l'entrée DWORD
entrylog_rotate_size_kb représente la taille approximative en Ko d'un fichier journal de sauvegarde, où 0 signifie que la rotation de fichier journal est désactivée.
Lorsque la taille indiquée dans l'entrée log_rotate_size_kb est atteinte, le fichier est fermé et renommé avec le suffixe .1. Si un fichier portant ce nom existe déjà, le suffixe est incrémenté d'un. Lorsque le nombre spécifié de fichiers de sauvegarde est atteint, le plus ancien est supprimé.
REMARQUE :lors de la collecte des données relatives aux incidents signalés au support technique McAfee, il est fortement recommandé de créer la valeur de Registre debug_enabled et de la définir sur 1. Cette valeur de Registre permet de journaliser tous les événements Host IPS et IPS réseau dans le fichier HIPShield.log, indépendamment du paramètre Statut du journal des propriétés de signature. Assurez-vous d'arrêter le service, de supprimer les anciens fichiers journaux, de redémarrer le service et d'exécuter la copie. Cela a pour effet de réduire la taille des fichiers journaux.
Quels sont les éléments à rechercher dans le fichier HipShield.log ?
L'exécution du composant Host IPS démarre avec une instruction permettant d'identifier le build exécuté et l'horodatage de la session. Chaque entrée du journal HipShield affiche un horodatage, suivi d'une indication concernant la nature des données : informations, débogage ou erreur.
Les données contenues dans le journal HipShield sont des données ad hoc et sont différentes en fonction des segments du composant Host IPS.
Domaines d'intérêt principaux :
• Les lignes débutant par In install modules new décrivent la copie des fichiers comme faisant partie du démarrage du composant Host IPS. L'échec de la copie de ces fichiers empêche le composant Host IPS de démarrer.
• Une ligne débutant par Scrutinizer initialized successfully indique que le composant Host IPS s'est chargé jusqu'à l'initialisation de Scrutinizer, ce qui dépend de la copie correcte ou non des fichiers mentionnés ci-dessus.
• Une ligne débutant par New Process: Pid= indique que le composant Host IPS peut surveiller la création des processus.
• Une ligne débutant par IIS - Start indique que la surveillance IIS a commencé.
• Une ligne démarrant par Scrutinizer started successfully ACTIVATED status indique que Scrutinizer a démarré correctement.
• Une ligne débutant par Hooking xxx indique que l'accrochage des processus se poursuit.
Le numéro xxx indique le PID (ID de processus) du processus accroché.
• Une série de lignes débutant par Processing Buffer xxx.scn rapporte les résultats du traitement du fichier d'analyse xxx.scn par l'analyseur, où xxx est remplacé par un nom tel que EnterceptMgmtServer, comme indiqué ci-dessus. Les erreurs dans le traitement des fichiers d'analyse par les analyseurs sont reportées ici.
• Les lignes au format signature=111 level=2, log=True indiquent qu'une signature individuelle a été chargée. L'ID et le niveau de signature sont inclus avec une indication précisant si la journalisation est activée pour cette signature.
REMARQUE :Shield.db et except.db sont créés dans le même répertoire que les journaux uniquement lorsque le débogage est activé. Ces fichiers contiennent un vidage des règles et exceptions envoyées au noyau après le traitement du contenu par AgentNT.dll.
Quels fichiers journaux sont associés au composant de pare-feu ?
Les fichiers journaux principaux du composant de pare-feu et ce qu'ils contiennent :
Contient Description
Nom
Journal de service principal
FireSvc.log • Journalisation de niveau débogage
• Sortie correspondant à l'emplacement
• Sortie d'évaluation de connexion TrustedSource
• Erreurs/avertissements Journal du plug-in McAfee
Agent
HipMgtPlugin.log • Journalisation de niveau débogage
• Statistiques de délai de mise en œuvre des stratégies
• Erreurs/avertissements Journal de la barre d'état
FireTray.log/McTrayHip.log • Journalisation de niveau débogage
• Erreurs/avertissements Journal de l'interface
utilisateur du client
FireUI.log • Journalisation de niveau débogage
• Erreurs/avertissements
Ces fichiers journaux grossissent jusqu'à atteindre la taille maximale par défaut de 100 Mo. Si vous souhaitez obtenir des fichiers journaux plus légers ou plus lourds, leur taille peut être contrôlée en ajoutant la valeur de Registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize.
Pour définir la taille d'un fichier journal :
1 Sélectionnez la clé de Registre HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP, cliquez sur un espace vide du volet droit, puis sélectionnez Nouveau, Valeur Dword.
2 Nommez la nouvelle valeur MaxFwLogSize.
3 Cliquez sur MaxFwLogSize avec le bouton droit de la souris et sélectionnez Modifier.
4 Modifiez la valeur sur la taille de journal souhaitée. Cette valeur est entrée en Ko.
5 Cliquez sur OK, puis fermez l'Editeur du Registre.
REMARQUE :la clé de Registre MaxFwLogSize contrôle la taille des journaux FireSvc.log, HipMgtPlugin.log, FireTray.log et FireUI.log. La création et l'affectation d'une valeur à la clé de Registre ci-dessus définissent la taille maximale de tous ces fichiers journaux.
Utilitaire Clientcontrol.exe
Cet utilitaire de ligne de commande permet d'automatiser les mises à niveau et les autres tâches de maintenance lorsqu'un logiciel tiers est utilisé pour déployer Host Intrusion Prevention sur des ordinateurs clients. Il peut être inclus dans les scripts d'installation et de maintenance pour désactiver temporairement la protection IPS et activer les fonctions de journalisation.
Fonctions et configuration
Cet utilitaire permet aux administrateurs d'effectuer les actions suivantes sur le client McAfee Host IPS :
• démarrer le service Host IPS ;
• arrêter le service Host IPS (requiert un mot de passe administrateur ou à validité limitée) ;
• modifier les paramètres de journalisation (requiert un mot de passe administrateur ou à validité limitée) ;
• démarrer/arrêter les moteurs Host IPS (requiert un mot de passe administrateur ou à validité limitée) ;
• exporter le journal d'activité vers un fichier texte mis en forme ;
• afficher les données de licence NaiLite résidant dans le Registre de l'ordinateur client ;
• exporter les paramètres de configuration vers un fichier texte mis en forme ;
• remplacer les paramètres de configuration par les paramètres de stratégie par défaut ;
• exporter les règles de protection IPS au démarrage à partir du Registre.
L'utilitaire enregistre ses activités dans le fichier ClientControl.log dans le répertoire : C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention ou C:\ProgramData\McAfee\Host Intrusion Prevention sous Windows Vista, Windows 2008 et Windows 7.
Pour activer la journalisation, modifiez HKLM\Software\McAfee\HIP dans le Registre en ajoutant une entrée FwLogLevel de type DWORD avec une valeur de 0x7.
Arrêt des services Host IPS
Le paramètre /stop permet d'arrêter les services Host IPS si l'utilisateur dispose des droits d'administrateur nécessaires à l'arrêt de services. Si l'utilisateur dispose des droits suffisants pour arrêter des services sur l'ordinateur, les événements suivants se produisent :
• Les services Host IPS sont arrêtés. La case Host IPS de l'onglet Stratégie IPS est désactivée automatiquement.
• Les services Host IPS ne sont pas arrêtés. Une entrée apparaît dans le fichier ClientControl.log.
• McAfee Agent met en œuvre les stratégies à l'intervalle de mise en œuvre des stratégies suivant.
• Si McAfee Agent met en œuvre les stratégies alors que vous effectuez une activité qui requiert la désactivation de la protection (par exemple l'application d'un patch à Windows), votre activité peut être bloquée par les stratégies mises en œuvre.
Même si l'arrêt des services Host IPS est effectif, les paramètres de stratégie peuvent autoriser McAfee Agent à les redémarrer au prochain intervalle de communication agent-serveur (Agent-Server Communication Interval ou ASCI). Pour l'en empêcher :
1 Dans ePolicy Orchestrator, ouvrez Host Intrusion Prevention : Stratégie générale.
2 Sélectionnez l'onglet Avancé.
3 Désactivez la case à cocher Effectuer une vérification de l'intégrité des produits.
4 Envoyez un appel de réactivation de l'agent.
Syntaxe de ligne de commande Conventions :
• [ ] signifie requis.
• [xxx, ...] signifie un ou plus.
• < > signifie données entrées par l'utilisateur.
Arguments principaux :
Un seul des argumentsprincipaux suivants est autorisé par appel :
• /help
• /start
• /stop
• /log
• /engine
• /export
Cependant, vous pouvez spécifier plus d'une option de journalisation lors de la modification des paramètres de journalisation.
La commande /help de l'utilitaire fournit les remarques et informations d'aide les plus récentes.
Syntaxe : clientcontrol [arg]
Définition des arguments :
• /help
Affiche les remarques et la syntaxe de la ligne de commande.
• /start
Démarre le service.
• /stop <mot de passe>
Arrête le service.
• /log <mot de passe> [type de journal] [options de journalisation]
Génère les journaux. Les options de journalisation sont traitées dans l'ordre.
Définition des types de journaux :
• 0 = HIPS (créer un journal HipShield.log)
• 1 = Pare-feu (créer un journal FireSvc.log) Définition des options de journalisation :
• 0 = désactivé
• 1 = erreur
• 2 = avertissement
• 3 = informations
• 4 = débogage
• 5 = violation de sécurité (IPS uniquement)
• /engine <mot de passe> [type de moteur] [option de moteur]
Active et désactive les moteurs.
Définition des types de moteurs :
• 0 = tous
• 1 = Buffer Overflow
• 2 = SQL (serveur uniquement)
• 3 = Registre
• 4 = Services
• 5 = Fichiers
• 6 = HTTP (serveur uniquement)
• 7 = API Host IPS
• 8 = Utilisation illicite
• 9 = Programme
• 10= Point d'accroche
Définition des options de moteur :
• 0 = désactivé
• 1 = activé
• /export /s <chemin du fichier source d'exportation> <chemin du fichier d'exportation du journal d'événements>
Exporte le journal d'événements vers un fichier texte mis en forme. Le chemin du fichier source est facultatif. N'incluez pas « /s » s'il n'existe aucun fichier source.
• /readNaiLic
Affiche les données de licence NaiLite.
• /exportConfig <chemin du fichier d'exportation> <type de configuration>
Exporte les paramètres de configuration vers un fichier texte mis en forme.
Définition des types de configuration :
• 0 = tous
• 1 = protection des applications
• 2 = hôtes bloqués
• 3 = pare-feu
• 4 = signatures personnalisées host IPS
• 5 = exceptions IPS
• 6 = paramètres
• 7 = applications approuvées
• 8 = réseaux approuvés
• 9 = signatures IPS réseau
• 10 = signatures host IPS
• 11 = moteurs host IPS
• 12 = ouverture de sessions
• 13 = règles de blocage DNS
• /defConfig <mot de passe>
Remplace les paramètres de configuration par les stratégies client par défaut pour les paramètres de protection des applications, pare-feu et applications approuvées.
• /bootTimeRules <mot de passe> <chemin du fichier d'exportation>
Exporte les règles IPS de protection au démarrage vers un fichier texte mis en forme.
REMARQUE :
• Au moins une espace doit figurer entre l'argument, le mot de passe et tout autre paramètre requis.
Exemples de flux de travail
Application d'un patch sur un ordinateur protégé par McAfee Host IPS 1 Ouvrez un shell de commande.
2 Exécutez la commandeclientcontrol.exe /stop <mot de passe>. 3 Exécutez vos activités de maintenance.
4 Exécutez la commandeclientcontrol.exe /start(pour redémarrer les services Host IPS).
Exportation du journal d'activité Host IPS vers un fichier texte 1 Ouvrez un shell de commande.
2 Exécutez la commandeclientcontrol.exe /export <chemin du fichier d'exportation>. 3 Copiez le fichier journal exporté sur un autre ordinateur pour la collecte et l'analyse.
Activation de la journalisation dans le cadre d'un dépannage 1 Ouvrez un shell de commande.
2 Exécutez la commandeclientcontrol.exe /log <mot de passe> [type de journal] [option de journalisation, ...].
3 Exécutez les activités de génération des entrées de journal.
4 Consultez le fichier HipShield.log ou FireSvc.log pour obtenir des informations utiles.
Désactivation des moteurs Host IPS spécifiques dans le cadre d'un dépannage.
1 Ouvrez un shell de commande.
2 Exécutez la commandeclientcontrol.exe /<mot de passe> [type de moteur] [option de moteur]. 3 Exécutez les activités de génération des réactions et entrées de journal.
4 Consultez le fichier HipShield.log ou FireSvc.log pour obtenir des informations utiles.
A
adaptateurs réseau
conditions d'autorisation de connexion62 administrateurs globaux
affectation d'ensembles d'autorisations26 adresse IP
configuration de réseaux approuvés88 groupes de règles62
groupes selon l'emplacement62
pare-feu avec état, IPv4 par rapport à IPv667 règles de pare-feu et101
surveillance des hôtes bloqués103 affectation de stratégies
activer la protection par pare-feu72 Host IPS9
modification20
alertes d'usurpation détectée99 alertes, Host IPS
alertes d'intrusion98 clients Windows97
configuration des options pour des clients95 mode d'apprentissage et trafic réseau inconnu71 pare-feu98
réponse à98, 99 usurpation détectée99 appels de réactivation
mise à jour des clients Host IPS31 applications approuvées
configuration, dans Host IPS89 création d'une liste dans Host IPS89 création et modification, dans Host IPS90 création, basée sur un événement54 définition10
stratégie Règles IPS54 autoriser et bloquer des actions
communications réseau, Stratégie de pare-feu101 filtrage avec état du pare-feu68
B
blindage et enveloppement
règles comportementales IPS et36 Blocage DNS du pare-feu, stratégie
définir75 Buffer Overflow
configuration d'une stratégie Applications approuvées89 empêche sur client Solaris106
règles comportementales IPS et36
C
caractères génériques règles de pare-feu81 règles IPS48
signatures personnalisées118
gestion des stratégies Host IPS18 Interface utilisateur du client84 propriété des stratégies Host IPS8 Réseaux approuvés88
stratégies de pare-feu personnalisées, création72, 75 Catalogue Host IPS
ajout79 contenu65 dépendances65 explication65 exportation79 exportation depuis79 filtrage79
modification79 utilisation79 client Linux109, 110, 112
arrêt et redémarrage112 considérations110 dépannage110, 112
mise en œuvre des stratégies109 présentation109
vérification des fichiers d'installation112 client Solaris
arrêt et redémarrage109 dépannage107
empêcher Buffer Overflow106 fichiers d'installation108 mise en œuvre des stratégies106 présentation106
vérification de l'exécution du client109 client Windows
alertes97 dépannage96, 97
liste de règles de pare-feu101 onglet Hôtes bloqués103, 104 onglet Journal d'activité105 onglet Protection d'applications104 onglet Stratégie de pare-feu101, 102 onglet Stratégie IPS100
présentation92
règles d'exception pour les stratégies IPS100 règles de pare-feu, création et modification102 stratégies IPS, modification100
stratégies IPS, utilisation de100 ClientControl, utilitaire
arrêt des services160 fonction et configuration160 syntaxe de ligne de commande160 utilisation pour le dépannage160 clients
analyse de données sur les clients Host IPS22 conventions de nommage pour Host IPS21 Linux (Consulter Client Linux)109
mise à jour avec tâche ou appel de réactivation d'agent31
clients(suite)
réglage Host IPS22
requêtes pour des groupes de14 Solaris (Consulter client Solaris)106 utilisation, dans Host IPS21
Windows (Consulter client Windows)92 conformité
configuration des tableaux de bord Host IPS à afficher19 console client Windows
déverrouillage de l'interface94
menu de l'icône de la barre d’état système92 méthodes d'ouverture94
personnalisation par client95 présentation92
D
dépannage, Host IPS
blocage du trafic non IP151 client Linux109, 110 client Solaris107 client Windows96
désactivation des moteurs Host IPS97
échec d'application avec l'installation de Host Intrusion Prevention 151
Interface utilisateur du client87
isolement du composant à l'origine des problèmes151 journalisation de pare-feu, configuration des options97 options96
outil hipts107, 110
utilisation de l'utilitaire ClientControl160 utilisation des journaux157
vérification de l'exécution des services151 déploiement
déploiement initial d'un client Host IPS21 profils d'usage dans Host IPS10 stratégies Host IPS et10 tâches serveur pour Host IPS26
E
ensembles d’autorisations affectation27
autorisations Host IPS26 configuration du système19 gestion du déploiement Host IPS26 enveloppement et blindage34
événements IPS à propos de38
applications approuvées, création54 exceptions, création54
gestion55 présentation54 utilisation54 événements, Host IPS
réponses automatiques29 alertes d'intrusion, réponse à98 analyse et réglage10
exceptions37 gestion55
journalisation et onglet Evénements IPS38 pare-feu, journaux d'activité105
règles comportementales36 réponses automatiques29 stratégie Règles IPS41 utilisation54
violations de signature38
F
FAQ
mode adaptatif23
stratégie à plusieurs instances43 faux positifs
exceptions et stratégie Règles IPS52 réglage des stratégies Host IPS10
stratégie Applications approuvées, réduction89 fichiers journaux, Host IPS
activité IPS96 activité pare-feu97
client Linux, historique d'installation112 client Solaris, historique d'installation108 dépannage107, 110
Dépannage de l'interface utilisateur du client87 filtres
événements et requêtes Host IPS10
fonctionnement du filtrage avec état du pare-feu68 requêtes concernant les activités de Host IPS14
G
gestion des informations
analyse des données client Host IPS22
requêtes prédéfinies et personnalisées pour Host IPS14 tableaux de bord et requêtes pour Host IPS13 gestion des stratégies
accès aux stratégies Host IPS18
analyse des règles de client et des événements Host IPS18 client Linux et109
onglet Stratégies, Host IPS18 réglage Host IPS10, 20 suivi des stratégies Host IPS10 gestion du système
réponses automatiques aux événements Host IPS29 mise à jour de la protection Host IPS30
tâches serveur pour Host IPS26, 28 groupes de règles, Host IPS
groupes de règles de pare-feu, création78 groupes selon l'emplacement
création78
isolement de connexion64 groupes, Host IPS
affectation de stratégie9 application des stratégies9 critères de configuration10 et héritage9
pare-feu, selon l'emplacement, création78 suppression des stratégies et héritage pour18
H
Host IPS
activités et tableaux de bord13
configuration et réglage de la protection20 ensembles d’autorisations26
fonctions et catégories9
onglet Informations sur l'intrusion98 principes de fonctionnement7 protection de base et avancée7 réponse aux alertes98 stratégies et leurs catégories9 types de stratégies8
I
IPS, Host IPS
autorisations pour26
J
journaux
activation157 FireSvc.log157 HipShield.log157
pour la fonctionnalité de pare-feu157 pour la fonctionnalité IPS157 utilisation pour le dépannage157 journaux d'activité, Host IPS
affichage105
options de journalisation de pare-feu97 options de journalisation IPS96 personnalisation des options105 suppression d'entrées105
utilisation de l'onglet Journal d'activité105
L
langue, Host IPS
configuration des options pour des clients95 listes de règles
exceptions pour Host IPS100 règles de pare-feu pour Host IPS102
M
Ma stratégie par défaut blocage DNS75 Règles de pare-feu75 McAfee par défaut, stratégie
blocage DNS75 Règles de pare-feu75 McAfee, recommandations
contacter le support McAfee pour désactiver le moteur HIPS97 critères de regroupement des systèmes Host IPS10
déploiement Host IPS par phases21 régler les stratégies Host IPS par défaut19 regrouper de manière logique les clients Host IPS21
utiliser la protection IPS pour décaler l'impact des événements10 migration
stratégies24
version de stratégie 7 ou 824 mise à jour
archivage des packages Host IPS30 méthodes Host IPS31
package de contenu Host IPS30 signatures, Host IPS30 mise en œuvre des stratégies
client Linux et109 Client Solaris et106 clients Host IPS et ePO7 Host IPS9
mode adaptatif application23
avec IPS vs pare-feu23 FAQ23
règles créées de manière non automatique23 à propos de10
exception et37
mise des clients Host IPS en22, 38 réglage automatique20
Règles de pare-feu, stratégies75
mode adaptatif(suite)
stratégie Options de pare-feu72 stratégie Options IPS39 mode d'apprentissage
à propos de10
mise des clients Host IPS en22 règles de pare-feu71
Règles de pare-feu, stratégies75 stratégie Options de pare-feu72 mots de passe
déverrouillage de l'interface du client Windows94 pour la stratégie Interface utilisateur du client85 utilisation de l'outil de dépannage hipts107
N
NIPS (signatures de prévention des intrusions sur le réseau)103 niveaux de gravité, IPS
configuration et réglage de la protection20 définition des réactions pour41
événements et54
mappage avec une réaction10 réglage10, 19
stratégie Protection IPS40 utilisation des signatures44 niveaux de sécurité des signatures
types de44
O
onglet Hôtes bloqués, utilisation de103 options de ligne de commande
arrêt du client Solaris109
arrêt et redémarrage d'un client Linux112 client Solaris, redémarrage109
ClientControl.exe, automatisation de la mise à niveau96 vérification de l'exécution du client Linux112
vérification de l'exécution du client Solaris109
P
packages
mises à jour du contenu Host IPS30 pare-feu avec état
fonctionnement du filtrage avec état68 inspection des paquets, fonctionnement69 suivi de protocole70
pare-feu, Host IPS
inspection des paquets avec état67, 69 à propos de8
actions, autoriser et bloquer68 alertes98
autorisations pour26
filtrage avec état, fonctionnement68 filtrage des paquets avec état67 fonctionnement des règles de pare-feu60 groupes de règles62
groupes de règles de pare-feu, création78 groupes de règles, selon l'emplacement62 groupes selon l'emplacement78
inspection des paquets avec état67, 69 liste de règles76, 101, 102
liste de règles de pare-feu, classement60 mode d'apprentissage et mode adaptatif71 options de journalisation97
Options de pare-feu, configuration74 personnalisation des options102