Mettre automatiquement en quarantaine les exécutables dangereux avec le contrôle d'exécution

Lorsque cette option est activée, Aurora Protect Desktop met automatiquement en quarantaine les fichiers non sécurisés lorsqu'ils tentent de s'exécuter sur un terminal. Une fois cette option activée, vous pouvez également choisir de mettre automatiquement en quarantaine les exécutables anormaux lorsqu'ils tentent de s'exécuter (Mettre automatiquement en quarantaine les exécutables anormaux avec contrôle d'exécution).

Les fichiers dangereux contiennent beaucoup plus d'attributs de logiciels malveillants et sont plus susceptibles d'être des logiciels malveillants que les fichiers anormaux.

La liste de contrôle d'accès (ACL) pour le fichier est modifiée pour empêcher l'utilisateur d'interagir avec le fichier.

Certains logiciels malveillants sont conçus pour créer des fichiers dans d'autres répertoires et continuent de le faire jusqu'à ce qu'il réussisse. Au lieu de supprimer les fichiers, Aurora Protect Desktop les modifie afin que le logiciel malveillant n'essaie pas de les créer à nouveau et qu'ils ne puissent pas être exécutés.

Arrêter les processus en cours d'exécution dangereux et leurs sous-processus

Lorsque cette option est activée, l'agent Aurora Protect Desktop arrête tous les processus et processus enfants dangereux en cours d'exécution lorsqu'il détecte une menace .exe ou .dll. Vous disposez ainsi d'un niveau de contrôle élevé sur les processus malveillants qui peuvent être en cours d'exécution sur un terminal.

Le fichier doit être mis en quarantaine automatiquement, manuellement ou à l'aide de la liste de quarantaine globale. Cette fonction doit être activée avant la mise en quarantaine du fichier. Si cette fonction est activée, mais que le fichier n'est pas mis en quarantaine ou qu'il est mis en quarantaine automatiquement, les processus continuent à s'exécuter.

Par exemple, un fichier est autorisé à s'exécuter, puis vous décidez de le mettre en quarantaine. Lorsque ce paramètre est activé, le fichier est mis en quarantaine et le processus ainsi que tous les processus enfants sont interrompus. Si ce paramètre est désactivé, le fichier est mis en quarantaine, mais étant donné qu'il a été autorisé à s'exécuter, tous les processus démarrés par le fichier peuvent continuer à s'exécuter.

Chargement automatique pour les fichiers .exe

Lorsque cette option est activée, Aurora Protect Desktop charge automatiquement les fichiers exécutables inconnus qu'elle détecte dans les services cloud Aurora Protect pour effectuer une analyse plus approfondie du fichier et fournir des données supplémentaires sur la détection pour faciliter l'analyse et le triage manuels.

Aurora Protect Desktop charge et analyse uniquement les fichiers inconnus tels que les fichiers Portable Executable (PE), Executable and Linkable Format (ELF) et Mach Object File format (Mach-O). Si le même fichier inconnu est découvert sur plusieurs terminaux, Aurora Protect Desktop charge un seul fichier à partir d'un seul terminal pour analyse, et non un fichier par terminal.

Copier les exemples de fichier (logiciels malveillants)

Lorsque cette option est activée, vous spécifiez un partage réseau complet (\\nom_serveur\dossier_partagé) pour stocker des copies des exemples de fichiers détectés par les fonctionnalités Détection des menaces en arrière-plan, Contrôler les nouveaux fichiers et Mise en quarantaine automatique avec contrôle d'exécution. Cela vous permet d'effectuer votre propre analyse des fichiers que Aurora Protect Desktop considère comme dangereux ou anormaux.

Les partages réseau CIFS/SMB sont pris en charge. Tous les fichiers qui répondent aux critères dangereux ou anormaux sont copiés. Aucun test d'unicité n'est réalisé. Les fichiers sont compressés et protégés par mot de passe. Le mot de passe est « infecté ».

Liste sécurisée de stratégies

Ajoutez les fichiers que votre organisation considère comme surs à la liste sécurisée de stratégies pour les autoriser à s'exécuter sur les terminaux. La liste de sécurité de la stratégie a la priorité sur la liste sécurisée globale ou la liste de quarantaine globale.

Pour en savoir plus sur la liste sécurisée de stratégies, consultez Exclusions et quand les utiliser.

Détection des menaces en arrière-plan

Lorsque cette option est activée, l'agent Aurora Protect Desktop effectue une analyse complète du disque à un intervalle spécifié pour détecter et analyser les menaces dormantes.

L'analyse est conçue pour minimiser l'impact sur l'utilisateur du terminal en utilisant peu de ressources système. L'analyse de détection des menaces en arrière-plan peut prendre jusqu'à une semaine, en fonction de l'activité du système et du nombre de fichiers du système qui doivent être analysés. Les date et heure de la dernière analyse terminée sont consignées dans la console de gestion.

Vous pouvez spécifier si vous souhaitez que l'analyse ne se produise qu'une seule fois après l'installation de l'agent, ou selon un intervalle récurrent que vous spécifiez (par défaut, 10 jours). L'augmentation de la fréquence d'analyse peut affecter les performances du terminal. Une mise à jour importante du modèle de détection de l'agent (par exemple, ajout de la prise en charge d'un nouveau système d'exploitation) peut déclencher une analyse complète du disque.

Il est recommandé de configurer la détection des menaces en arrière-plan pour qu'elle s'exécute une seule fois et pour activer la fonctionnalité Contrôler les nouveaux fichiers. Les analyses périodiques du disque complet ne sont pas nécessaires, mais peuvent être mises en œuvre à des fins de conformité (par exemple, pour la conformité PCI).

Si des analyses de détection des menaces en arrière-plan sont exécutées simultanément sur plusieurs terminaux de machine virtuelle provenant du même hôte de machine virtuelle, les performances des terminaux en seront affectées. Envisagez d'activer cette fonction de manière incrémentielle pour les terminaux de machine virtuelle afin de limiter le nombre d'analyses effectuées simultanément.

Contrôler les nouveaux fichiers

Lorsque cette option est activée, l'agent Aurora Protect Desktop analyse les fichiers nouveaux ou modifiés pour détecter les menaces dormantes. Si une menace est détectée, le fichier peut être mis en quarantaine (conformément au paramètre Mise en quarantaine automatique) même s'il n'y a pas eu de tentative d'exécution. Il est recommandé d'activer ce paramètre en même temps que la détection des menaces en arrière-plan (exécution unique).

La mise en quarantaine automatique avec contrôle d'exécution bloque les fichiers dangereux ou anormaux lorsqu'ils tentent de s'exécuter, tandis que le contrôle des nouveaux fichiers peut mettre en quarantaine les fichiers dangereux ou anormaux lorsqu'ils sont détectés. Il n'est pas nécessaire d'activer l'option Contrôler les nouveaux fichiers lorsque la quarantaine automatique est également activée, sauf si vous préférez mettre en quarantaine un fichier malveillant dès que l'agent détecte la menace pendant une analyse.

Ce paramètre peut avoir un impact sur les performances du terminal. Envisagez de surveiller les performances de traitement des disques ou des messages pour voir si elles ont changé. L'exclusion de dossiers spécifiques peut améliorer les performances et garantir que certains dossiers et fichiers ne seront pas analysés par l'agent.

Analyser les archives : Taille d'archive maximale

Ce paramètre est disponible si les options Détection des menaces en arrière-plan ou Contrôler les nouveaux fichiers sont activées.

Vous pouvez spécifier la taille maximale d'un fichier d'archive, en Mo, que l'agent Aurora Protect Desktop peut analyser (Détection des menaces en arrière-plan et Contrôler les nouveaux fichiers). Si la taille du fichier est définie sur 0 (valeur par défaut), les fichiers d'archive ne sont pas analysés.

Exclure les dossiers : Ajouter une exclusion

Ce paramètre est disponible si les options Détection des menaces en arrière-plan ou Contrôler les nouveaux fichiers sont activées.

Vous pouvez activer le paramètre Autoriser l'exécution si vous souhaitez également exclure les chemins d'accès spécifiés de la mise en quarantaine automatique avec contrôle d'exécution. Notez que les fichiers et menaces déplacés vers des dossiers d'exclusion seront autorisés à s'exécuter et pourraient compromettre votre terminal et votre organisation. Prenez les précautions nécessaires pour vous assurer que les fichiers non autorisés ne peuvent pas être ajoutés aux dossiers exclus.

Les exclusions ne sont pas appliquées de manière rétroactive. L'ajout d'une exclusion après une détection ou imputation initiale n'exclura pas rétroactivement les fichiers. Tous les fichiers précédemment détectés ou réputés dangereux resteront dans cet état jusqu'à ce qu'ils soient localement dispensés ou ajoutés à la liste sécurisée globale.

Reportez-vous aux détails ci-dessous pour savoir comment utiliser des caractères génériques pour les exclusions de dossiers.