McAfee Host Intrusion Prevention 8.0 Guide Produit à utiliser avec epolicy Orchestrator 4.5

sociétés affiliées.

DROITS DE MARQUES

AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN et WEBSHIELD sont des marques commerciales déposées ou des marques commerciales de McAfee, Inc. et/ou de ses sociétés affiliées aux Etats-Unis et/ou dans d'autres pays. La couleur rouge McAfee utilisée pour identifier des fonctionnalités liées à la sécurité est propre aux produits de la marque McAfee. Toutes les autres marques commerciales déposées ou non déposées citées dans ce document sont la propriété exclusive de leurs détenteurs respectifs.

INFORMATIONS DE LICENCE Accord de licence

À L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL APPROPRIÉ CORRESPONDANT À LA LICENCE QUE VOUS AVEZ ACHETÉE, QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS NE CONNAISSEZ PAS LE TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, CONSULTEZ LES DOCUMENTS DE VENTE, D'ATTRIBUTION DE LICENCE OU LE BON DE COMMANDE QUI ACCOMPAGNENT LE LOGICIEL OU QUE VOUS AVEZ REÇUS SÉPARÉMENT LORS DE L'ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER SUR LE CD-ROM DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUS N'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ RETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE REMBOURSEMENT INTÉGRAL.

Protection Host IPS. . . 7

Stratégies Host IPS. . . 8

Gestion des stratégies Host IPS. . . 9

Suivi et réglage des stratégies Host IPS. . . 10

Gestion de votre protection. . . .13

Gestion des informations. . . 13

Tableaux de bord Host IPS. . . 13

Requêtes Host IPS. . . 14

Gestion des stratégies. . . 18

Où trouver les stratégies. . . 18

Configuration des stratégies. . . 19

Protection et réglage par défaut. . . 20

Migration des stratégies Host IPS. . . 24

Gestion du système. . . 26

Ensembles d'autorisations Host IPS. . . 26

Tâches serveur Host IPS. . . 28

Réponses aux événements Host IPS. . . 29

Mises à jour de la protection Host IPS . . . 30

Configuration des stratégies IPS. . . .33

Présentation des stratégies IPS. . . 33

Méthodes de mise en place de la protection IPS . . . 34

Signatures. . . 35

Règles comportementales. . . 36

Réactions. . . 37

Exceptions. . . 37

Règles de protection des applications. . . 38

Evénements. . . 38

Activation de la protection IPS. . . 38

Configuration de la stratégie Options IPS. . . 39

Définition de la réaction relative aux signatures IPS. . . 40

Configuration de la stratégie Protection IPS. . . 41

Définition de la protection IPS. . . 41

Configuration de la stratégie Règles IPS. . . 42

Affectation de plusieurs instances de la stratégie. . . 42

FAQ : Stratégies à plusieurs instances. . . 43

Fonctionnement des signatures IPS. . . 44

Fonctionnement des règles IPS de protection des applications. . . 49

Fonctionnement des exceptions IPS. . . 52

Surveillance des événements IPS . . . 54

Gestion des événements IPS. . . 55

Création d'une exception à partir d'un événement. . . 56

Création d'une application approuvée à partir d'un événement. . . 56

Surveillance des règles IPS de client. . . 57

Gestion des règles IPS de client. . . 57

Configuration des stratégies de pare-feu. . . .59

Présentation des stratégies Pare-feu. . . 59

Fonctionnement des règles de pare-feu. . . 60

Fonctionnement des groupes de règles de pare-feu . . . 62

Fonctionnement du catalogue Host IPS. . . 65

Filtrage et inspection des paquets du pare-feu avec état. . . 67

Incidence des modes d'apprentissage et adaptatif sur le pare-feu. . . 71

Règles de pare-feu pour le client. . . 72

Activer la protection par pare-feu. . . 72

Configuration de la stratégie Options de pare-feu . . . 74

FAQ : McAfee TrustedSource et le pare-feu. . . 74

Définir la protection par pare-feu. . . 75

Configuration de la stratégie Règles de pare-feu. . . 76

Création et modification de règles de pare-feu . . . 77

Création et modification de groupes de règles de pare-feu. . . 78

Création de groupes d'isolement de connexion. . . 78

Blocage du trafic DNS. . . 79

Utilisation du catalogue Host IPS. . . 79

Gestion des règles de pare-feu pour le client. . . 80

FAQ : Utilisation des caractères génériques dans les règles de pare-feu. . . 81

Configuration des stratégies générales. . . .83

Présentation des stratégies générales. . . 83

Définition des fonctionnalités du client. . . 84

Configuration d'une stratégie Interface utilisateur du client. . . 84

Configuration des options générales de l'interface utilisateur du client. . . 85

Configuration des options avancées de l'interface utilisateur du client et des mots de passe. . . 85

Configuration des options de dépannage de l'interface utilisateur du client. . . 87

Définition des réseaux approuvés. . . 88

Configuration d'une stratégie Réseaux approuvés. . . 88

Définition des applications approuvées. . . 89

Configuration d'une stratégie Applications approuvées. . . 89

Création et modification de règles d'applications approuvées. . . 90

Affectation de plusieurs instances de la stratégie. . . 91

Utilisation des clients Host Intrusion Prevention. . . .92

Présentation du client Windows. . . 92

Menu de l'icône de la barre d’état système. . . 92

Console client pour les clients Windows. . . 94

Déverrouillage de l'interface du client Windows. . . 94

Configuration des options de l'interface utilisateur du client. . . 95

Dépannage du client Windows. . . 96

Alertes client Windows. . . 97

A propos de l'onglet Stratégie IPS. . . 100

A propos de l'onglet Stratégie de pare-feu. . . 101

A propos de l'onglet Hôtes bloqués. . . 103

Modification de la liste des Hôtes bloqués. . . 104

A propos de l'onglet Liste de protection des applications. . . 104

A propos de l'onglet Journal d'activité. . . 105

Présentation du client Solaris . . . 106

Mise en œuvre des stratégies avec le client Solaris. . . 106

Dépannage du client Solaris. . . 107

Présentation du client Linux . . . 109

Mise en œuvre des stratégies avec le client Linux. . . 109

Remarques concernant le client Linux. . . 110

Dépannage du client Linux. . . 110

Annexe A : Création d'exceptions et de signatures personnalisées. . . .114

Structure d'une règle. . . 114

Sections communes. . . 115

Sections communes facultatives. . . 117

Caractères génériques et variables. . . 118

Signatures personnalisées Windows. . . 120

Classe Windows Buffer Overflow. . . 121

Class Files Windows. . . 122

Classe Windows Hook. . . 125

Classe Windows Illegal API Use (Host IPS). . . 126

Classe Windows Illegal Use. . . 127

Classe Windows Isapi (HTTP). . . 127

Classe Windows Program. . . 130

Classe Windows Registry. . . 131

Class Services Windows. . . 134

Classe Windows SQL. . . 137

Classes et directives pour plate-forme Windows. . . 138

Signatures personnalisées non Windows. . . 141

Classe UNIX_file Solaris/Linux. . . 141

Class UNIX_apache Solaris/Linux (HTTP). . . 144

Classe UNIX_Misc Solaris/Linux. . . 146

Classe UNIX_bo Solaris. . . 147

Classe UNIX_map Solaris. . . 148

Classe UNIX_GUID Solaris. . . 148

Classes et directives pour plate-forme UNIX. . . 149

Annexe B : Dépannage. . . .151

Problèmes généraux. . . 151

Journaux Host IPS. . . 157

Utilitaire Clientcontrol.exe. . . 160

McAfee Host Intrusion Prevention est un système de détection et de prévention des intrusions basé sur l'hôte et protégeant les ressources et applications du système contre les attaques externes et internes. Il fournit une solution facile à gérer et évolutive pour prévenir les intrusions sur les postes de travail, ordinateurs portables et serveurs dits critiques tels que les serveurs web et serveurs de base de données. Sa technologie brevetée bloque les attaques de type

« jour zéro » et les attaques connues.

Host Intrusion Prevention (parfois abrégé dans le produit sous la forme Host IPS ou HIP) peut protéger des informations et empêcher la mise à mal des ressources et applications du système et du réseau qui stockent et fournissent des informations. Il utilise pour cela une fonction de pare-feu de poste client et une fonction de système de prévention des intrusions (IPS). La fonction IPS dispose de mises à jour de contenu mensuelles, ce qui réduit l'urgence des patchs pour les nouvelles menaces. La fonction de pare-feu Host Intrusion Prevention peut être achetée séparément ou en association avec la fonction Host Intrusion Prevention IPS.

Host Intrusion Prevention est totalement intégré à ePolicy Orchestrator et utilise sa structure pour fournir et mettre en œuvre les stratégies. Cette approche offre une solution de gestion unique qui permet un déploiement massif d'un maximum de 100 000 systèmes dans plusieurs langues sur la totalité d'une entreprise, pour une couverture véritablement complète.

Table des matières Protection Host IPS Stratégies Host IPS

Gestion des stratégies Host IPS

Suivi et réglage des stratégies Host IPS

Protection Host IPS

Après l'installation de tous les composants requis pour Host Intrusion Prevention et une fois la communication établie, vous êtes prêt à appliquer la protection, surveiller les événements et mettre à jour les stratégies et le contenu selon les besoins.

Protection de base

Host Intrusion Prevention comprend un ensemble de paramètres par défaut qui fournissent une protection de base pour votre environnement. Ces paramètres comprennent :

• Pour la protection IPS :

• Les signatures à niveau de gravité élevé sont interdites et toutes les autres signatures sont ignorées.

• Les applications McAfee sont incluses comme applications approuvées pour toutes les règles, sauf les règles d'auto-protection IPS.

• Les applications et processus prédéfinis sont protégés.

• Pour la protection par pare-feu :

• Une connectivité réseau de base est autorisée.

REMARQUE :lors de la première installation de Host Intrusion Prevention 8.0, aucune protection n'est activée. Vous devez activer la protection dans la stratégie Options IPS ou Options de pare-feu et appliquer la stratégie au client.

Protection avancée

Pour la protection avancée, passez des paramètres par défaut aux paramètres prédéfinis plus stricts, ou créez des paramètres personnalisés.

Commencez par un déploiement test pour surveiller et régler les nouveaux paramètres. Le réglage implique l'équilibrage de la protection de prévention des intrusions et l'accès aux informations requises et aux applications par type de groupe.

Stratégies Host IPS

Une stratégie est un ensemble de paramètres que vous configurez et mettez en œuvre à l'aide de la console ePolicy Orchestrator. La mise en œuvre de stratégies permet de garantir la satisfaction de vos besoins en matière de sécurité sur des systèmes managés. Host Intrusion Prevention propose trois fonctions de stratégies, chacune possédant son jeu d'options de sécurité. En voici la liste : IPS, Pare-feu et Générale. Les fonctions IPS et de pare-feu contiennent une stratégie « règles » précisant les règles qui définissent un comportement et une stratégie « options » qui active ou désactive ces règles.

La propriété des stratégies est affectée dans le Catalogue de stratégies. Après la création d'une stratégie, elle peut être modifiée ou supprimée uniquement par le créateur de cette dernière, la personne considérée comme un propriétaire de la stratégie ou l'administrateur global. La suppression d'une stratégie peut se faire uniquement à partir du Catalogue de stratégies.

Stratégies IPS

La fonction IPS contient trois stratégies protégeant les ordinateurs Windows et non Windows.

Elle détaille les exceptions, signatures, règles de protection des applications, événements et exceptions générées par le client.

• Options IPS (toutes les plates-formes). Cette stratégie active ou désactive la protection IPS et l'application du mode adaptatif pour les réglages.

• Protection IPS (toutes les plates-formes). Définit la réaction de protection face aux événements que génèrent les signatures.

• Règles IPS (toutes les plates-formes). Définit les exceptions, signatures et les règles de protection des applications. Il s'agit d'une stratégie à plusieurs instances, qui autorise l'affectation de plusieurs stratégies IPS à un système, au lieu d'une. La stratégie appliquée résulte alors du contenu fusionné des stratégies. Si des paramètres sont en conflit, le paramètre explicite apportant le plus haut niveau de protection est appliqué.

Stratégies de pare-feu

La fonction de pare-feu contient trois stratégies protégeant uniquement les ordinateurs Windows.

Elle permet de filtrer le trafic réseau. Le passage du trafic légitime par le pare-feu est autorisé et le reste est bloqué.

• Options de pare-feu (Windows uniquement). Cette stratégie active ou désactive la protection par pare-feu et l'application du mode adaptatif ou d'apprentissage pour les réglages.

• Règles de pare-feu (Windows uniquement). Définit les règles de pare-feu.

• Blocage DNS du pare-feu (Windows uniquement). Définit les serveurs de noms de domaine à bloquer.

Stratégies générales

La fonction Générale contient trois stratégies qui peuvent s'appliquer aux fonctions IPS et Pare-feu.

• Interface utilisateur du client (Windows uniquement). Définit l'accès à l'interface utilisateur de Host Intrusion Prevention sur les systèmes clients Windows, notamment les options de dépannage. Fournit également une protection par mot de passe sur tous les systèmes clients autres que Windows.

• Réseaux approuvés (Windows uniquement). Répertorie les réseaux et les adresses IP sécurisés pour la communication. Utilisée avec les fonctions IPS et de pare-feu.

• Applications approuvées (toutes les plates-formes). Répertorie les applications approuvées pour l'exécution de la plupart des opérations. Utilisée avec la fonction IPS. Il s'agit également d'une stratégie à plusieurs instances, qui autorise l'affectation de plusieurs stratégies Applications approuvées à un système, au lieu d'une. La stratégie appliquée résulte du contenu fusionné des stratégies. Si des paramètres sont en conflit, le paramètre apportant le plus haut niveau de protection est appliqué.

Gestion des stratégies Host IPS

La console ePolicy Orchestrator vous permet de configurer les stratégies Host Intrusion Prevention depuis un emplacement centralisé.

Mise en œuvre des stratégies

Lorsque vous modifiez des stratégies Host Intrusion Prevention sur la console ePolicy Orchestrator, les modifications apportées sont effectives sur les systèmes managés lors de la communication agent-serveur suivante. Par défaut, cet intervalle est défini pour que la communication soit initiée toutes les 60 minutes. Pour mettre les stratégies en œuvre immédiatement, vous pouvez envoyer un appel de réactivation de l'agent depuis la console ePolicy Orchestrator.

Stratégies et leurs catégories

Les informations sur les stratégies pour Host Intrusion Prevention sont regroupées parfonction etcatégorie. Chaque catégorie de stratégie représente un sous-ensemble spécifique de stratégies.

Unestratégie est un groupe de paramètres configurés dans un but spécifique. Vous pouvez créer, modifier ou supprimer autant de stratégies que vous le souhaitez.

Pour chaque stratégie, une stratégie McAfee par défaut est préconfigurée, qui ne peut être modifiée, ni supprimée. A l'exception des Règles IPS et des Applications approuvées, toutes les stratégies comportent également une stratégie Ma stratégie par défaut modifiable basée sur la stratégie par défaut. Certaines catégories de stratégie incluent plusieurs stratégies préconfigurées en lecture seule. Si ces stratégies préconfigurées répondent à vos besoins, vous pouvez appliquer n'importe laquelle d'entre elles. Ces stratégies en lecture seule, comme toutes les stratégies, peuvent être dupliquées et le doublon personnalisé, si nécessaire.

Les stratégies Règles IPS et Applications approuvées sont desstratégies à plusieurs instances car vous pouvez attribuer plusieurs instances de stratégie dans une même stratégie. Les instances de stratégie sont automatiquement combinées en une stratégie active.

CONSEIL :les stratégies McAfee par défaut pour les Règles IPS et Applications approuvées sont automatiquement mises à jour dans le cadre du processus de mise à jour du contenu. Il est toujours recommandé d'affecter ces stratégies à tous les clients et de créer des instances de stratégie supplémentaires pour personnaliser le comportement de ces deux stratégies.

Application des stratégies

Les stratégies s'appliquent à n'importe quel système ou groupe de l'arborescence des systèmes, par héritage ou affectation. L'héritage détermine si les paramètres de stratégie d'un système sont issus de son parent. Par défaut, l'héritage est activé dans l'ensemble de l'arborescence des systèmes. Vous pouvez bloquer l'héritage par uneaffectation directe de stratégie. Host Intrusion Prevention, tel qu'il est managé par ePolicy Orchestrator, vous permet de créer des stratégies et de les affecter sans vous soucier de l'héritage. Si vous bloquez cet héritage en affectant une nouvelle stratégie, tous les groupes et systèmes subalternes héritent de cette nouvelle stratégie.

Propriété des stratégies

Un propriétaire doit impérativement être affecté à chaque stratégie. La propriété sert à ce que personne d'autre que l'administrateur global, le créateur de la stratégie ou la personne considérée comme le propriétaire de la stratégie ne puisse modifier la stratégie. Tout administrateur peut utiliser toute stratégie figurant dans le catalogue, mais seul son créateur, son propriétaire ou un administrateur global est autorisé à la modifier.

CONSEIL :plutôt que d'utiliser une stratégie appartenant à un autre administrateur, il est recommandé de dupliquer la stratégie, puis d'attribuer le doublon. Dans le cas contraire, si vous affectez une stratégie qui ne vous appartient pas à des groupes de l'arborescence des systèmes dont vous êtes responsable et si le propriétaire de la stratégie la modifie, les modifications s'appliqueront à tous les systèmes auxquels cette stratégie est affectée.

Suivi et réglage des stratégies Host IPS

Le déploiement et la gestion des clients Host Intrusion Prevention sont assurés à partir d'ePolicy Orchestrator. Dans l'arborescence des systèmes ePO, vous pouvez regrouper les systèmes de façon hiérarchique par attributs. Par exemple, vous pouvez regrouper un premier niveau de clients par emplacement géographique et un deuxième par plate-forme de système d'exploitation ou par adresse IP. Il est recommandé de regrouper les systèmes selon les critères de

configuration de Host Intrusion Prevention, notamment le type de système (serveur ou poste), les applications principalement utilisées (web, base de données ou serveur de messagerie) et les emplacements stratégiques (zone démilitarisée ou intranet). Vous pouvez placer les systèmes correspondant à un profil d'usage commun dans un groupe commun de l'arborescence des

systèmes. En fait, vous pouvez nommer un groupe d'après son profil d'usage, par exemple, serveurs web.

Une fois les ordinateurs regroupés selon leur type, fonction ou emplacement dans l'arborescence des systèmes, vous pouvez organiser de la même manière les fonctions administratives. A l'aide de Host Intrusion Prevention, vous avez la possibilité de répartir les tâches d'administration selon les fonctions du produit, telles qu'IPS ou Pare-feu.

Il est facile de déployer les clients Host Intrusion Prevention sur des milliers d'ordinateurs car la plupart d'entre eux correspondent à plusieurs profils d'usage. La gestion d'un déploiement étendu se réduit à la maintenance de quelques règles de stratégies. Lorsque le déploiement s'élargit, les nouveaux systèmes ajoutés doivent correspondre à un ou plusieurs profils existants et être placés dans le groupe correct de l'arborescence des systèmes.

Protection prédéfinie

Host Intrusion Prevention propose deux types de protection :

• Les paramètres de stratégie McAfee par défaut offrent une protection de base. Cette protection ne requiert que peu ou pas de réglages et génère peu d'événements. Pour de nombreux environnements, cette protection de base peut suffire.

• Une protection avancée est également proposée par certaines stratégies de pare-feu et IPS préconfigurées ou peut être atteinte en créant des stratégies personnalisées. Les serveurs, par exemple, nécessitent davantage qu'une simple protection de base.

Les deux cas exigent le réglage des paramètres de protection pour les environnements de travail à proprement parler.

Mode adaptatif

Pour affiner les paramètres de protection, les clients Host Intrusion Prevention peuvent créer, côté client, des règles aux stratégies autorisées par le serveur qui bloquent une activité légitime.

La création automatique de règles de client est autorisée lorsque les clients sont en mode adaptatif. En mode adaptatif, les règles de client sont créées sans intervention de l'utilisateur.

Une fois les règles du client créées, vous devez les analyser avec attention et décider celles qui doivent être converties en stratégies autorisées par le serveur.

Dans les grandes organisations, la poursuite des activités professionnelles sans aucune perturbation prend souvent le pas sur les préoccupations de sécurité. Par exemple, l'installation périodique de nouvelles applications peut être requise sur certains ordinateurs et vous ne disposez peut-être pas du temps ou des ressources nécessaires pour en effectuer le réglage immédiatement. Host Intrusion Prevention vous permet de mettre des ordinateurs spécifiques en mode adaptatif pour la protection IPS. Ces ordinateurs peuvent personnaliser ces nouvelles applications et transférer au serveur ePolicy Orchestrator les règles de client qui en résultent.

L'administrateur peut promouvoir ces règles de client au rang de stratégie nouvelle ou existante, puis la mettre en œuvre sur d'autres ordinateurs afin qu'ils prennent le nouveau logiciel en charge.

Les systèmes en mode adaptatif ne bénéficient pratiquement d'aucune protection. Ce mode doit donc être utilisé uniquement pour le réglage d'un environnement puis désactivé pour renforcer la protection du système.

Réglage fin

Dans le cadre du déploiement de Host Intrusion Prevention, vous devez identifier quelques profils d'usage distincts et leur créer des stratégies. Le meilleur moyen d'y parvenir consiste à configurer un déploiement test, puis à commencer à réduire le nombre de faux positifs et d'événements générés. Ce processus est appeléréglage fin.

Des règles IPS plus strictes ciblent une gamme plus vaste d'infractions et génèrent bien plus d'événements que dans un environnement de base. Si vous appliquez la protection avancée, il est recommandé d'en décaler l'impact en utilisant la stratégie de protection IPS. Cela suppose d'appliquer un niveau de gravité (Elevé, Moyen, Faible et Information) à chaque réaction (Empêcher, Journaliser ou Ignorer). En définissant un niveau de gravité pour chaque réaction, excepté Elevé pour Ignorer, seules les signatures d'un niveau de gravité élevé sont appliquées.

Les autres niveaux pourront être progressivement augmentés lors des processus de réglage fin.

Vous pouvez réduire le nombre de faux positifs en créant desrègles d'exception, des applications approuvées et des règles de pare-feu.

• Les règles d'exception permettent de passer outre une signature IPS dans des circonstances spécifiques.

• Les applications approuvées sont des processus d'application qui ignorent toutes les règles IPS ou de pare-feu.

• Les règles de pare-feu autorisent ou non le trafic et bloquent la réception de paquets ou autorisent ou bloquent la transmission de paquets.

Tableaux de bord et requêtes

Les tableaux de bord vous permettent de suivre votre environnement en affichant simultanément plusieurs requêtes. Ces requêtes peuvent être actualisées en permanence ou exécutées à une fréquence déterminée.

Les requêtes vous fournissent des informations sur des éléments spécifiques et vous permettent de les filtrer en sous-ensembles ; par exemple, les événements de niveau de gravité élevé signalés par des clients particuliers sur une période spécifiée. Les rapports peuvent être planifiés et envoyés sous forme d'e-mail.

La gestion d'un déploiement Host Intrusion Prevention englobe la surveillance, l'analyse et la réaction à des activités, la modification et la mise à jour des stratégies et l'exécution de tâches système.

Table des matières Gestion des informations Gestion des stratégies Gestion du système

Gestion des informations

Une fois Host Intrusion Prevention installé, vous pouvez effectuer des suivis et rapports des problèmes de sécurité rencontrés dans votre environnement. Pour avoir un aperçu quotidien de la situation en matière de sécurité ou exécuter des requêtes d'informations détaillées sur des questions particulières, utilisez les tableaux de bord.

Tableaux de bord Host IPS

Les tableaux de bord sont un ensemble de moniteurs représentant un outil essentiel pour la gestion de votre environnement. Les moniteurs peuvent aller d'une requête basée sur un graphique à une petite application web, comme le MyAvert Threat Service. Vous pouvez créer et modifier plusieurs tableaux de bord si vous disposez des autorisations nécessaires. Utilisez toute requête basée sur un graphique comme tableau de bord, actualisé à intervalles déterminés, afin de placer les requêtes les plus utiles sur un tableau de bord actif.

Host Intrusion Prevention fournit deux tableaux de bord par défaut qui contiennent les moniteurs suivants :

Tableau 1 : Tableaux de bord et moniteurs Host IPS

Moniteurs Tableau de bord

Host IPS • Statut du pare-feu

• Statut Host IPS

• Statut du service

• Nombre de règles IPS de client

• Versions des contenus

• 10 principaux événements NIPS par adresse IP source Signatures Host IPS déclenchées • 10 principales signatures IPS de niveau critique

déclenchées sur un poste de travail

• 10 principales signatures IPS de niveau moyen déclenchées sur un poste de travail

Moniteurs Tableau de bord

• 10 principales signatures IPS de niveau faible déclenchées sur un poste de travail

• 10 principales signatures IPS de niveau critique déclenchées sur un serveur

• 10 principales signatures IPS de niveau moyen déclenchées sur un serveur

• 10 principales signatures IPS de niveau faible déclenchées sur un serveur

Pour en savoir plus sur la création et l'utilisation des tableaux de bord, consultez la documentation ePolicy Orchestrator.

Requêtes Host IPS

Host Intrusion Prevention comporte une fonction de requête via ePolicy Orchestrator. Vous pouvez créer des requêtes utiles à partir d'événements et de propriétés stockés dans la base de données ePO ou utiliser des requêtes prédéfinies.

Vous pouvez créer des requêtes pour un groupe de systèmes clients sélectionnés ou limiter le nombre de résultats du rapport au moyen d'un critère de produit ou de système. Vous pouvez exporter les rapports sous différents formats de fichiers, dont HTML et Microsoft Excel.

Options de requête :

• Définir un filtre pour collecter uniquement des informations sélectionnées. Choisir le groupe ou les marqueurs à inclure dans le rapport.

• Configurer un filtre de données utilisant des opérateurs logiques, afin de limiter avec précision les données renvoyées par le rapport.

• Générer des rapports graphiques à partir des informations de la base de données, filtrer les rapports en fonction de vos besoins, imprimer les rapports et les exporter vers d'autres logiciels.

• Exécuter des requêtes sur des ordinateurs, des événements et des installations.

Requêtes prédéfinies et personnalisées pour analyser votre protection

La fonction rapports contient des requêtes prédéfinies venant de Host Intrusion Prevention et vous permet de créer des requêtes personnalisées.

Organisez et gérez des requêtes personnalisées selon vos besoins. Par exemple, si vous personnalisez des paramètres pour un rapport, exportez-les sous la forme d'un modèle. Après avoir créé des modèles personnalisés, organisez-les en groupes logiques afin de pouvoir les exécuter en fonction de vos besoins chaque jour, semaine ou mois.

Après la génération d'un rapport, vous affichez les informations de synthèse, telles que déterminées par le filtre (le cas échéant) que vous avez configuré. A partir des informations de synthèse, vous développez les informations détaillées sur un ou deux niveaux, dans le même rapport.

Vous contrôlez la nature et le nombre d'informations de rapport accessibles aux différents utilisateurs, comme les administrateurs globaux par rapport à d'autres utilisateurs. Certains utilisateurs affichent uniquement des rapports sur des systèmes se trouvant sur des sites pour lesquels ils détiennent des autorisations. Les informations contenues dans les rapports sont également contrôlées au moyen de filtres.

Requêtes personnalisées

Vous pouvez créer quatre requêtes Host IPS spécifiques à l'aide du Générateur de requêtes sous Autres : Règles de pare-feu pour le client Host IPS 8.0, Fichiers exécutables des règles de pare-feu pour le client Host IPS 8.0, Règles IPS de client Host IPS 8.0 et Exceptions IPS Host IPS 8.0.

Les paramètres disponibles pour ces requêtes comprennent : Tableau 2 : Paramètres et requêtes Host IPS

Paramètres Requête

Règles de pare-feu du catalogue et règles de pare-feu pour le client Host IPS 8.0

REMARQUE :cette requête renvoie des règles de pare-feu du catalogue IPS, des groupes de règles

• Action

• Direction

• Activé

• Date de la dernière modification de pare-feu du catalogue IPS et des règles de

pare-feu pour le client. Les valeurs d'action • Utilisateur ayant apporté la dernière modification possibles sontallow, block et jump, cette dernière • ID de nœud terminal

étant la seule action pour les groupes, auxquels

• Services locaux les actions allow/block ne s'appliquent pas. La

valeur de filtreleafNodeId des règles et groupes • Statut du journal du catalogue IPS est définie sur0. Pour afficher

• Protocole IP uniquement les règles de pare-feu pour le client,

définissez la valeur de filtre leafNodeId sur> 0. • Identifier l'intrusion

• Type de support

• Nom

• Remarque

• Services distants

• ID de règle

• Fin de la planification

• Début de la planification

• Basculer à l'expiration

• Protocole de transport Fichiers exécutables des règles de pare-feu pour

le client Host IPS 8.0

• Empreinte

• Nom

• Remarque

• Chemin d’accès

• ID de règle

• Nom du signataire Règles IPS de client Host IPS 8.0 • Date de création

• Description

• Nom du fichier exécutable

• Chemin d'accès du fichier exécutable

• Empreinte

• Nom entier du fichier exécutable

• Inclure tous les fichiers exécutables

• Inclure toutes les signatures

• Inclure tous les utilisateurs

• Date de la dernière modification

• Version locale

• Réaction

Paramètres Requête

• ID de signature

• Nom du signataire

• Statut

• Nom de l'utilisateur Exceptions IPS de Host IPS 8.0 • Règle d'exception IPS

• Stratégie Règles IPS

Propriétés communes Host IPS

Les requêtes Host IPS personnalisées et certaines autres requêtes personnalisées vous permettent d'inclure les propriétés Host IPS suivantes :

• Statut du mode adaptatif IPS

• Type d'agent

• Pirates bloqués • Langue

• Nombre de règles d'exception locales

• Version du client

• Version du contenu • Statut IPS réseau

• En attente de redémarrage

• Statut du mode adaptatif de pare-feu

• Panne du pare-feu (Erreurs) • Version du plug-in

• Statut du produit

• Statut du mode d'apprentissage de

pare-feu pour les éléments entrants • Service en cours d'exécution

• Statut du mode d'apprentissage de

pare-feu pour les éléments sortants • Version de HotFix/patch

• Version du produit

• Nombre de règles du pare-feu

• Service Pack

• Statut du pare-feu

• Informations sur les événements Host IPS (Masqué, Lu)

• Panne de la protection Host IPS (Erreurs)

• Statut Host IPS • Nom de la signature

• Répertoire d'installation Requêtes prédéfinies

Outre les requêtes personnalisées, vous pouvez utiliser plusieurs requêtes prédéfinies telles quelles ou les modifier pour obtenir uniquement les informations recherchées. Faites votre sélection parmi les requêtes Host IPS prédéfinies :

Récapitulatif Requête HIP

Affiche la liste des règles de pare-feu pour le client, classées par processus.

Règles de client par processus

Affiche la liste des règles de pare-feu pour le client, classées par processus et plage de ports.

Règles de client par processus/plage de ports

Affiche la liste des règles de pare-feu pour le client, classées par processus et par utilisateur.

Règles de client par processus/utilisateur

Affiche la liste des règles de pare-feu pour le client, classées par protocole et nom de système.

Règles de client par protocole/nom de système

Affiche la liste des règles de pare-feu pour le client, classées par protocole et plage de ports.

Règles de client par protocole/plage de ports

Récapitulatif Requête HIP

Affiche la liste des règles de pare-feu pour le client, classées par protocole et par processus.

Règles de client par protocole/processus

Indique les trois principales versions de clients avec une seule catégorie pour toutes les autres versions.

Versions des clients

Affiche les systèmes managés sur lesquels Host IPS a été déployé et que le programme d'installation doit redémarrer.

Clients en attente de redémarrage

Indique les trois principales versions de contenus avec une seule catégorie pour toutes les autres versions.

Versions des contenus

Indique le nombre de règles de pare-feu pour le client créées au fil du temps.

Nombre de règles de pare-feu pour le client

Indique le nombre de règles IPS de client créées au fil du temps.

Nombre de règles IPS de client

Affiche les 10 signatures IPS de niveau de gravité élevé (Critique) déclenchées le plus souvent sur un poste de travail.

10 principales signatures IPS de niveau critique déclenchées sur un poste de travail

Affiche les 10 signatures IPS de niveau moyen (Avertissement) déclenchées le plus souvent sur un poste de travail.

10 principales signatures IPS de niveau moyen déclenchées sur un poste de travail

Affiche les 10 signatures IPS de niveau faible (Avis) déclenchées le plus souvent sur un poste de travail.

10 principales signatures IPS de niveau faible déclenchées sur un poste de travail

Affiche la liste des événements générés par les systèmes connectés aux réseaux approuvés par la protection Host IPS.

Evénements des réseaux approuvés par la protection Host IPS

Affiche la liste des systèmes managés sur lesquels la fonction de pare-feu a été activée par une stratégie, mais n'a pas démarré correctement.

Erreurs liées au pare-feu

Indique à quel niveau la protection par pare-feu est activée ou désactivée sur les systèmes managés.

Statut du pare-feu

Affiche la liste des systèmes managés sur lesquels la fonction IPS a été activée par une stratégie, mais n'a pas démarré correctement.

Erreurs liées à la protection Host IPS

Indique à quel niveau la protection IPS est activée ou désactivée sur les systèmes managés.

Statut Host IPS

Affiche la liste des stratégies Règles IPS utilisant des exceptions IPS.

Rapport sur les exceptions IPS

Affiche les 10 signatures IPS de niveau de gravité élevé (Critique) déclenchées le plus souvent sur un serveur.

10 principales signatures IPS de niveau critique déclenchées sur un serveur

Affiche les 10 signatures IPS de niveau moyen (Avertissement) déclenchées le plus souvent sur un serveur.

10 principales signatures IPS de niveau moyen déclenchées sur un serveur

Affiche les 10 signatures IPS de niveau faible (Avis) déclenchées le plus souvent sur un serveur.

Signatures IPS de niveau faible déclenchées sur un serveur

Indique où Host IPS est installé et si une exécution de Host IPS est en cours sur les systèmes managés.

Statut du service

Affiche les 10 systèmes présentant le plus d'événements IPS.

10 principaux événements IPS par cible

Affiche les 10 principaux événements d'intrusion sur le réseau par adresse IP source pour les trois derniers mois.

10 principaux événements d'intrusion sur le réseau par adresse IP source

Récapitulatif Requête HIP

Affiche les 10 signatures IPS déclenchées le plus souvent.

10 principales signatures déclenchées

Gestion des stratégies

La gestion des stratégies demande la configuration et l'application de stratégies et le réglage de la protection pour les ressources et applications du système. Une partie de ce processus nécessite une analyse des événements et des règles de client.

Où trouver les stratégies

ePolicy Orchestrator propose deux emplacements pour afficher et gérer les stratégies Host Intrusion Prevention : l'onglet Stratégies affectées (Systèmes | Arborescence des systèmes

| Stratégies affectées pour un groupe sélectionné dans l'arborescence des systèmes) et l'onglet Catalogue de stratégies (Systèmes | Catalogue de stratégies).

Pour un groupe ou un système sélectionné, utilisez l'onglet Stratégies affectées pour :

• afficher les stratégies disponibles d'une fonction particulière du produit ;

• afficher les détails de la stratégie ;

• afficher les informations d'héritage ;

• modifier l'affectation de la stratégie ;

• modifier les stratégies personnalisées.

Utilisez l'onglet Catalogue de stratégies pour :

• créer des stratégies ;

• afficher et modifier les informations de stratégie ;

• afficher les affectations d'une stratégie ;

• afficher les paramètres et le propriétaire d’une stratégie ;

• afficher les affectations pour lesquelles la mise en œuvre des stratégies est désactivée.

Opérations à exécuter...

Pour...

Cliquez sur Nouvelle stratégie, nommez-la et modifiez ses paramètres.

Créer une stratégie

Cliquez sur Modifier (uniquement disponible pour les stratégies Ma stratégie par défaut ou les stratégies personnalisées).

Modifier une stratégie

Cliquez sur Afficher (uniquement disponible pour les stratégies McAfee par défaut ou les stratégies préconfigurées).

Afficher une stratégie

Cliquez sur Renommer et modifiez le nom de la stratégie (non disponible pour les stratégies par défaut ou préconfigurées).

Renommer une stratégie

Cliquez sur Dupliquer, modifiez le nom de la stratégie et ses paramètres.

Dupliquer une stratégie

Cliquez sur Supprimer (non disponible pour les stratégies par défaut ou préconfigurées).

REMARQUE :lorsque vous supprimez une stratégie, tous les groupes auxquels elle s'applique actuellement héritent, depuis leur parent, de la stratégie de Supprimer une stratégie

cette catégorie. Avant de supprimer une stratégie, vous devez examiner tous les systèmes auxquels elle est affectée et leur affecter une autre stratégie si vous ne souhaitez pas que la stratégie hérite de son parent. Si vous supprimez

Opérations à exécuter...

Pour...

une stratégie appliquée au niveau supérieur, la stratégie par défaut de cette catégorie s'applique.

Cliquez sur le propriétaire de la stratégie et sélectionnez un autre propriétaire dans une liste (non disponible pour les stratégies par défaut ou

préconfigurées).

Affecter un propriétaire de stratégie

Cliquez sur Exporter, puis nommez et enregistrez la stratégie (un fichier XML) à l'emplacement souhaité.

Exporter une stratégie

Cliquez sur Exporter toutes les stratégies, puis nommez et enregistrez le fichier XML de stratégies à l'emplacement souhaité.

Exporter toutes les stratégies

Cliquez sur Importer en haut de la page Catalogue de stratégies, sélectionnez le fichier XML de stratégies, puis cliquez sur OK.

Importer des stratégies

Pour en savoir plus sur l'une de ces fonctions, consultez la documentation ePolicy Orchestrator.

Configuration des stratégies

Une fois le logiciel Host Intrusion Prevention installé, il est recommandé de configurer directement les stratégies afin que la sécurité soit la plus stricte possible sans créer de conflits avec les activités quotidiennes. Les stratégies par défaut de Host Intrusion Prevention sont adaptées à une large gamme d'environnements de clients et peuvent répondre à vos besoins. Pour régler les stratégies de manière à ce qu'elles soient adaptées à votre configuration, il est recommandé de procéder comme suit :

• Définissez clairement votre configuration de sécurité Host Intrusion Prevention. Déterminez les responsables de la configuration des parties spécifiques du système et attribuez-leur les autorisations appropriées.

• Modifiez les stratégies Protection IPS ou Règles de pare-feu par défaut, qui fournissent des niveaux croissants de protection prédéfinie.

• Modifiez les niveaux de gravité des signatures spécifiques. Par exemple, lorsqu'une signature est déclenchée par le travail quotidien des utilisateurs, abaissez son niveau de gravité.

• Configurez les tableaux de bord pour avoir un aperçu rapide de la conformité et des problèmes.

• Configurez les réponses automatiques pour alerter des utilisateurs spécifiques lorsqu'un événement particulier se produit. Par exemple, une notification peut être envoyée lorsqu'une activité, entraînant un événement de gravité élevée, se produit sur un serveur spécifique.

Création d'une stratégie

Pour créer une stratégie, vous devez copier une stratégie existante et attribuez un nom à la nouvelle copie. Vous pouvez effectuer cette tâche dans le catalogue des stratégies ou depuis une page Stratégie.

Tâche

Pour obtenir les définitions des options, cliquez sur ? dans l'interface.

• Effectuez l'une des actions suivantes à partir du catalogue des stratégies :

• Cliquez sur le bouton Nouvelle stratégie. Sélectionnez la stratégie dont vous souhaitez créer une copie, saisissez le nom de la nouvelle stratégie, puis cliquez sur OK.

• Cliquez sur le lien Dupliquer d'une stratégie. Saisissez le nom de la nouvelle stratégie, puis cliquez sur OK.

• Cliquez sur le lien Afficher ou Modifier d'une stratégie, puis sur la page Stratégie, cliquez sur le bouton Dupliquer. Saisissez le nom de la nouvelle stratégie, puis cliquez sur OK. La stratégie dupliquée s'affiche. Modifiez la stratégie, puis cliquez sur Enregistrer.

Modification de l'affectation de stratégies

Utilisez cette tâche pour modifier l'affectation de stratégies Host Intrusion Prevention à un groupe ou système unique de l'arborescence des systèmes ePolicy Orchestrator.

Tâche

Pour obtenir les définitions des options, cliquez sur ? dans l'interface.

• Effectuez l'une des procédures suivantes :

• Pour un groupe, accédez à Systèmes | Arborescence des systèmes, sélectionnez un groupe, puis sous l'onglet Stratégies affectées cliquez sur Modifier l'affectation.

• Pour un système, accédez à Systèmes | Arborescence des systèmes, sélectionnez un groupe qui contient le système, puis dans l'onglet Système, sélectionnez le système et cliquez sur Actions | Agents | Modifier les stratégies sur un seul système.

Protection et réglage par défaut

Host Intrusion Prevention fonctionne avec des stratégies par défaut pour assurer la protection de base. Le niveau de protection peut être renforcé par des paramètres personnalisés réglés manuellement ou automatiquement.

Protection par défaut

Host Intrusion Prevention comprend un jeu de stratégies par défaut qui fournissent une protection de base pour votre environnement. Les protections IPS et par pare-feu sont désactivées par défaut et doivent être activées pour autoriser la mise en œuvre des stratégies de règles par défaut.

Pour la protection avancée, passez des stratégies IPS par défaut aux stratégies prédéfinies plus strictes, ou créez des stratégies personnalisées.

Commencez par un déploiement test pour surveiller et régler les nouveaux paramètres. Le réglage implique l'équilibrage de la protection de prévention des intrusions et l'accès aux informations et applications requises par type de groupe.

Réglage manuel

Un réglage manuel demande une surveillance directe, sur une période déterminée, des événements et des règles de client créés.

• Pour la protection IPS, surveillez les événements pour détecter les faux positifs et créez des exceptions ou des applications approuvées afin d'éviter que ces événements ne se

reproduisent.

• Pour la protection par pare-feu, surveillez le trafic réseau et ajoutez des réseaux approuvés afin de permettre un trafic réseau correct.

• Surveillez les effets des nouvelles exceptions, applications approuvées et des nouveaux réseaux approuvés.

• Si ces règles permettent d'éviter les faux positifs, en conservant le trafic réseau au minimum et en autorisant l'activité légitime, intégrez-les à une nouvelle stratégie ou à une stratégie existante.

• Appliquez la nouvelle stratégie à un ensemble d'ordinateurs et surveillez les résultats.

• Répétez l'opération avec chaque type de groupe de production.

Réglage automatique

Le réglage automatique évite de devoir surveiller en permanence tous les événements et activités pour tous les utilisateurs.

• Appliquez le mode adaptatif pour les stratégies IPS et de pare-feu.

• En mode adaptatif, les événements IPS ne sont pas déclenchés et les activités ne sont pas bloquées, à l'exception des exploits malveillants. Les règles de client sont créées

automatiquement pour permettre une activité légitime.

• Examinez les listes de règles de client.

• Faites passer les règles de client appropriées en règles de stratégie d'administration.

• Après quelques semaines, désactivez le mode adaptatif.

• Surveillez le groupe de test pendant quelques jours afin de vous assurer que les paramètres de stratégie sont appropriés et offrent la protection souhaitée.

• Répétez l'opération avec chaque type de groupe de production.

Clients et planification de votre déploiement

Le client Host Intrusion Prevention est un composant essentiel pour la protection. Lors du déploiement de clients, il est recommandé d'appliquer une approche par phases :

• Déterminez votre plan de déploiement de clients initial. Même si vous pouvez déployer des clients Host Intrusion Prevention sur chaque hôte (serveurs, postes de travail et ordinateurs portables) de votre entreprise, il est recommandé de commencer par installer des clients sur un nombre limité de systèmes représentatifs et de régler leur configuration.

Une fois le déploiement réglé, vous pouvez déployer un plus grand nombre de clients et exploiter les stratégies, les exceptions et les règles de client créées lors du déploiement initial.

• Etablissez une convention de nommage de vos clients. Les clients sont identifiés par nom dans l'arborescence des systèmes, dans certains rapports et dans les données

d'événement générées suite aux activités effectuées sur le client. Les clients peuvent porter le nom de l'hôte sur lequel ils sont installés ou vous pouvez affecter un nom spécifique au client lors de l'installation. Il est recommandé d'établir une convention de nommage des clients facile à interpréter par toute personne travaillant au déploiement de Host Intrusion Prevention.

• Installez les clients. Les clients peuvent être installés avec un ensemble par défaut de stratégies IPS et de pare-feu. Les nouvelles stratégies contenant des règles mises à jour peuvent être, par la suite, diffusées à partir du serveur.

• Regroupez les clients de manière logique. Les clients peuvent être regroupés selon n'importe quel critère correspondant à la hiérarchie de l'arborescence des systèmes. Par exemple, vous pouvez regrouper les clients selon leur emplacement géographique, leur fonction dans l'entreprise ou les caractéristiques du système.

Données client et ce qu'elles vous indiquent

Après l'installation et le regroupement de vos clients, le déploiement est terminé. Vous devriez commencer à voir des événements se déclencher par activité sur les clients. Si vous avez configuré les clients en mode adaptatif, vous devez pouvoir visualiser les règles de client indiquant les règles d'exceptions de client en cours de création. L'analyse de ces données marque le début du réglage du déploiement.

Pour analyser des données sur les événements, affichez l'onglet Evénements de l'onglet Host IPS sous Rapports. Vous pouvez développer les détails d'un événement, comme le processus qui a déclenché l'événement, le moment où l'événement a été généré et le client qui a généré l'événement. Analysez l'événement et prenez les mesures adaptées pour régler le déploiement Host Intrusion Prevention et répondre de manière plus efficace aux diverses attaques. L'onglet Evénements contient tous les événements Host IPS, y compris les événements NIPS, d'intrusions de pare-feu et de blocage TrustedSource.

Pour analyser les règles de client, affichez les onglets Règles IPS de client et Règles de pare-feu pour le client. Vous pouvez visualiser les règles en cours de création, les agréger afin de trouver les règles communes les plus répandues et les transférer directement vers une stratégie pour l'appliquer à d'autres clients.

En outre, le module Rapports d'ePolicy Orchestrator fournit des rapports détaillés basés sur les événements, les règles de client et la configuration de Host Intrusion Prevention. Utilisez ces requêtes pour transmettre l'activité d'environnement à d'autres membres de votre équipe ou à vos supérieurs.

Mode adaptatif

L'un des éléments les plus importants dans le processus de réglage est la mise des clients Host Intrusion Prevention en mode adaptatif pour les fonctions IPS et de pare-feu. Ce mode permet aux ordinateurs de créer des règles d'exception de client pour les stratégies d'administration.

Le mode adaptatif effectue cette opération automatiquement, sans intervention de l'utilisateur.

Ce mode analyse d'abord les événements relatifs aux attaques les plus malveillantes, telles que le Buffer Overflow. Si l'activité est considérée comme normale et nécessaire pour l'entreprise, des règles d'exception de client sont créées. En définissant des clients représentatifs sur le mode adaptatif, vous pouvez leur créer une configuration de réglage. Host Intrusion Prevention vous permet ensuite d'utiliser quelques règles de client, toutes ou aucune et de les convertir en stratégies autorisées par le serveur. Une fois ce réglage terminé, désactivez le mode adaptatif afin de renforcer la protection système de prévention des intrusions.

• Exécutez les clients en mode adaptatif pendant au moins une semaine. Cela permet aux clients d'être confrontés à toutes les activités prévues. Essayez d'effectuer cette opération lors d'une activité planifiée, telle qu'une sauvegarde ou un traitement de scripts.

• A chaque activité rencontrée, des événements IPS sont générés et des exceptions créées.

Les exceptions sont des activités considérées comme des comportements légitimes. Par exemple, une stratégie peut juger les traitements de scripts comme indésirables mais certains systèmes utilisés par vos groupes techniques doivent effectuer de telles tâches. Autorisez la création d'exceptions pour ces systèmes afin qu'ils puissent fonctionner normalement tout en conservant le blocage de cette activité sur d'autres systèmes. Ensuite, stockez ces exceptions dans une stratégie autorisée par le serveur afin de couvrir uniquement le groupe technique.

• Des applications logicielles peuvent être nécessaires pour les activités normales de certains services de votre entreprise, mais pas pour d'autres. Par exemple, vous pouvez autoriser le système de messagerie instantanée dans votre service de support technique et bloquer son utilisation dans votre service financier. L'application peut être définie comme une application

approuvée sur les systèmes de votre service de support technique afin que les utilisateurs puissent y accéder en intégralité.

• La fonction de pare-feu agit comme un filtre entre un ordinateur et le réseau ou Internet.

Le pare-feu analyse tout le trafic entrant et sortant, au niveau des paquets. Parallèlement à l'examen des paquets entrants et sortants, le pare-feu vérifie sa liste de règles de pare-feu : un ensemble de critères auxquels sont associées des actions. Si un paquet correspond à tous les critères d'une règle, le pare-feu entreprend l'action spécifiée par cette dernière, ce qui autorise ou bloque le passage du paquet par le pare-feu.

FAQ : Mode adaptatif

Le mode adaptatif est un paramètre que vous pouvez appliquer aux fonctions IPS et de pare-feu lors du test de déploiement des nouvelles stratégies. Il permet au client Host Intrusion Prevention de créer automatiquement des règles autorisant les activités tout en préservant une protection minimale contre les vulnérabilités. Les questions et réponses suivantes devraient vous aider à utiliser cette fonction.

Comment activer le mode adaptatif ?

Activez le mode adaptatif en sélectionnant cette option dans la stratégie Options IPS ou Options de pare-feu et en appliquant cette stratégie au client Host Intrusion Prevention.

En quoi le mode adaptatif fonctionne-t-il différemment avec les fonctions IPS et de pare-feu ?

Avec la fonction IPS, le mode adaptatif crée des règles côté client qui constituent des exceptions aux signatures IPS existantes. Avec la fonction de pare-feu, le mode adaptatif crée des règles de client pour autoriser les paquets réseau non couverts par les règles de pare-feu existantes.

Les exceptions IPS de client sont créées par utilisateur, par processus et par signature et sont basées uniquement sur les chemins d'accès. Les règles de pare-feu pour le client sont créées par processus et les processus associés aux règles de pare-feu pour le client sont basés sur le chemin, la description du fichier, la signature numérique et le hachage MD5.

Dans quelle situation les règles ne sont-elles pas créées automatiquement en mode adaptatif ?

Avec IPS :

• La signature de la stratégie Règles IPS appliquée ne permet pas la création d'une règle de client. (Il s'agit du paramètre standard pour la plupart des signatures IPS dont le niveau de gravité est élevé. Ces signatures sont réglées pour détecter et bloquer les menaces les plus dangereuses sur vos systèmes. Il est donc peu probable que les activités normales de l'entreprise ne nécessitent une exception automatique.)

• La réaction à la signature est « Ignorer ».

• L'action associée déclenche une signature IPS réseau.

• Un utilisateur tente d'arrêter le service McAfee Host IPS, indépendamment du paramètre de la règle de client relative à l'auto-protection du service dans la signature 1 000.

• Il existe déjà une exception qui exclut l'opération en question, dans une stratégie Règles IPS appliquée.

• Le processus associé à l'action est approuvé pour IPS dans une stratégie Applications approuvées et la signature n'est pas exclue des applications approuvées.

Avec le pare-feu :

• Aucune application n'est associée avec le paquet lors de son examen dans le journal d'activité du client. Les exemples les plus courants sont les suivants :

• les requêtes entrantes pour les services n'étant pas en cours d'exécution, comme FTP (File Transfer Protocol) ou Telnet ;

• ICMP (Internet Control Message Protocol) entrant, comme une demande d'écho ;

• ICMP entrant ou sortant sur le système d'exploitation Microsoft Windows Vista ;

• paquets TCP (Transmission Control Protocol) sur le port 139 (NetBIOS SSN) ou 445 (MSDS), qui peut être requis pour le partage de fichiers Windows ;

• les paquets IPsec (Internet Protocol Security) associés aux solutions clientes VPN (Virtual Private Network).

• Il existe déjà une règle dans la stratégie Règles de pare-feu appliquée qui bloque ou autorise le paquet.

• La stratégie Règles de pare-feu contient un groupe selon l'emplacement dont l'isolement de connexion est activé, une carte d'interface réseau (NIC) active correspond à ce groupe et le paquet est envoyé ou reçu sur une NIC qui ne correspond pas au groupe.

• Il ne s'agit pas d'un paquet TCP, UDP (User Datagram Protocol) ou ICMP.

• Plusieurs utilisateurs sont connectés au système, ou aucun utilisateur n'est connecté au système.

Existe-t-il d'autres restrictions ?

• Il se peut qu'IPS ne parvienne pas à détecter l'utilisateur associé à certaines règles de client (cet événement s'affiche comme « domaine inconnu/utilisateur inconnu » dans la règle de client ePolicy Orchestrator). Des exceptions peuvent tout de même être créées avec ces règles de client, mais elles s'appliquent à tous les utilisateurs.

• Certaines connexions TCP entrantes telles que le Bureau à distance ou HTTPS (Hypertext Transfer Protocol over Secure Socket Layer) peuvent nécessiter plusieurs tentatives pour parvenir à la création d'une règle de pare-feu.

Migration des stratégies Host IPS

Vous ne pouvez pas utiliser les stratégies McAfee Host Intrusion Prevention version 6.1 ou 7.0 avec les clients de la version 8.0 sans migrer au préalable les stratégies de la version 6.1 ou 7.0 vers le format de la version 8.0. Host Intrusion Prevention 8.0 fournit un moyen simple pour migrer les stratégies, grâce à la fonction Migration des stratégies Host IPS d'ePolicy Orchestrator sous Automatisation. Cette migration implique la traduction et le déplacement des stratégies. Une fois la stratégie migrée, son nom apparaît dans le catalogue des stratégies, sous la fonction de produit Host IPS 8.0 et la catégorie correspondante avec la mention [6.1]

ou [7.0] après le nom de la stratégie.

Toutes les stratégies sont traduites et migrées vers les stratégies correspondantes de la version 8.0, à l'exception des suivantes :

• Les stratégies Options de blocage d'application ne sont pas migrées (ces stratégies ont été supprimées de la version 8.0).

• Les stratégies Règles de blocage d'applications sont migrées dans les stratégies Règles IPS sous le nom Accrochage d'application et protection de l'appel <nom> [6.1 ou 7.0] (ces stratégies ont été supprimées de la version 8.0). Après la migration de ces stratégies dans les stratégies Règles IPS, leur liste Règles de protection des applications est vide et la liste Exceptions contient des exceptions pour toutes les applications approuvées par défaut

définies sur « Approuvée pour l'accrochage d'applications ». Pour utiliser cette stratégie migrée, vous devez également affecter la stratégie Règles IPS par défaut dans un paramètre d'instance à plusieurs stratégies car elle contient la dernière liste de protection des applications en raison des mises à jour de contenu.

REMARQUE : les applications pour lesquelles l'accrochage est bloqué dans les stratégies Règles de blocage d'applications ne sont pas migrées et doivent être ajoutées manuellement aux Règles de protection des applications dans la stratégie Règles IPS après la migration.

De plus, si vous migrez une stratégie Applications approuvées avec des applications marquées

« Approuvée pour l'accrochage d'applications » vers la version 8.0, vous devez créer une exception pour cette application dans la signature 6010 (Protection d'accrochage d'application générique) au niveau d'une stratégie Règles Host IPS pour sauvegarder la protection d'accrochage d'application.

• Les stratégies Options de quarantaine du pare-feu ne sont pas migrées (ces stratégies ont été supprimées de la version 8.0).

• Les stratégies Règles de quarantaine du pare-feu ne sont pas migrées (ces stratégies ont été supprimées de la version 8.0).

• Les règles de client IPS et les règles de pare-feu pour le client ne sont pas migrées.

REMARQUE :les affectations de stratégies sont prises en charge lors de la migration. Si l'héritage est bloqué à un emplacement particulier de l'arborescence des systèmes, l'affectation n'est pas remplacée, mais l'héritage pourra être bloqué à d'autres niveaux de l'arborescence, avec la fusion des affectations migrées. Vérifiez toujours l'affectation des stratégies après leur migration.

Migration directe des stratégies

Après l'installation de l'extension Host Intrusion Prevention 8.0, le moyen le plus simple de migrertoutes les stratégies existantes est de les migrer directement.

1 Cliquez sur Automatisation | Migration des stratégies Host IPS.

2 Sous Action, pour les stratégies Host IPS 6.1 ou 7.0 du catalogue des stratégies ePO, cliquez sur Migrer.

3 Au terme de la migration des stratégies, cliquez sur Fermer.

Toutes les stratégies IPS, de pare-feu ou des fonctionnalités générales de la version 6.1/7.0 sont converties en version 8.0 et leur nom est suivi de l'indication [6.1] ou [7.0].

REMARQUE :si vous exécutez une deuxième migration des stratégies, toutes les stratégies du même nom précédemment migrées sont remplacées. Ce processus n'est pas sélectif car toutes les stratégies 6.1 ou 7.0 existantes sont migrées. Si vous souhaitez migrer les stratégies de manière sélective, vous devez réaliser la migration via un processus de fichier xml.

Migration des stratégies via un fichier xml

Si l'extension Host Intrusion Prevention 6.1/7.0 n'est pas installée et que vous avez

précédemment exporté des stratégies individuelles sélectionnées vers un fichier xml, ou si vous souhaitez migrer les stratégies de la version 6.1/7.0 de manière sélective plutôt que la totalité d'entre elles, effectuez la migration via un fichier xml. Ce processus implique tout d'abord l'exportation de stratégies individuelles Host Intrusion Prevention 6.1/7.0 au format xml, puis la conversion du contenu du fichier xml vers des stratégies de version Host Intrusion

Prevention 8.0 et enfin l'importation du fichier xml migré dans le catalogue des stratégies Host IPS.

1 Cliquez sur Automatisation | Migration des stratégies Host IPS.

2 Sous Action, pour les stratégies Host IPS 6.1 ou 7.0 dans un fichier xml, cliquez sur Migrer.