Créer une stratégie de test Aurora Protect Desktop

Vous devez mettre en œuvre des fonctions de stratégie Aurora Protect Desktop par étapes afin de vous assurer que les performances et les opérations ne sont pas affectées. Par défaut, lorsque vous créez une stratégie de terminal, les fonctions de stratégie ne sont pas activées et vous devez les activer manuellement. À mesure que vous comprenez les types de menaces qui sont consignées dans votre environnement et le comportement de l'agent Aurora Protect Desktop, vous pouvez activer progressivement davantage de fonctions de stratégie.

Il est recommandé de tester les stratégies sur les terminaux qui incluent les applications utilisées dans votre organisation. Il est important que les terminaux que vous utilisez pour tester les stratégies représentent précisément les terminaux qui se trouvent dans votre environnement de production, et pas seulement une machine propre, afin de garantir que les applications sont autorisées à s'exécuter correctement lorsque les stratégies sont appliquées via l'agent Aurora Protect Desktop. Par exemple, vous pouvez sélectionner un sous-ensemble de terminaux dans votre environnement de production, qui incluent toutes les applications (propriétaires et personnalisées) dont les utilisateurs ont besoin pour leurs activités quotidiennes. 

L'agent utilise le contrôle d'exécution et le contrôle de processus pour analyser uniquement les processus en cours d'exécution. Cela inclut tous les fichiers qui s'exécutent au démarrage, qui sont définis sur exécution automatique et qui sont exécutés manuellement par l'utilisateur. L'agent envoie uniquement des alertes à la console de gestion. Par défaut, aucun fichier n'est bloqué ou mis en quarantaine.

  1. Dans la console de gestion, cliquez sur Stratégies > Stratégie de terminal > Ajouter une nouvelle stratégie.
  2. Dans le champ Nom de la stratégie, saisissez le nom de la stratégie de test.
  3. Activez le Chargement automatique pour analyser et envoyer les fichiers suspects aux services cloud Aurora Protect pour une analyse plus approfondie.
    1. Dans l'onglet Actions de fichier, dans la section Chargement automatique, sélectionnez tous les types de fichiers disponibles.
    2. Cliquez sur Créer pour créer la stratégie de test initiale.
    3. Attribuez la stratégie de test initiale aux points de terminaison Aurora Protect Desktop que vous utilisez pour le test.
    4. Autorisez les terminaux auxquels la stratégie de test est attribuée à s'exécuter au moins pendant une journée pour permettre l'exécution et l'analyse des applications et des processus généralement utilisés sur le terminal. Il est possible que vous souhaitiez prendre en compte toutes les applications requises qui s'exécutent périodiquement sur un terminal (par exemple, une fois par semaine) et qui doivent être surveillées en dehors de cette exécution de test.
    5. Lors du test de la stratégie, accédez à l'écran Protection > Menaces de la console de gestion pour afficher la liste des applications et processus considérés comme une menace (anormale ou dangereuse) par Aurora Protect et identifiez ceux qui doivent être autorisés à s'exécuter sur le point de terminaison. Vous pouvez cliquer sur une menace pour afficher plus d'informations à son sujet et télécharger le fichier malveillant pour effectuer votre propre recherche de menace. Le fichier malveillant n'est pas modifié, mais renommé à l'aide du hachage SHA256 sans extension de fichier pour éviter sa détonation accidentelle. Si vous le renommez pour inclure l'extension de fichier d'origine, le fichier malveillant peut être exécuté. Aucune information personnelle n'est partagée avec la console ou avec d'autres locataires ou organisations.
    6. Accédez à Stratégies > Stratégie de terminal et modifiez la stratégie de terminal pour permettre l'exécution d'applications et de processus spécifiques sur les points de terminaison auxquels cette stratégie est attribuée. Vous pouvez ajouter des fichiers à la section Liste sécurisée des stratégies de l'onglet Actions de fichier.
      Vous pouvez également mettre en quarantaine ou supprimer des fichiers sur des terminaux spécifiques ou sur tous les terminaux de votre organisation. Pour plus d'informations, reportez-vous à la section Gestion des listes sécurisées et dangereuses pour Aurora Protect Desktop.
  4. Modifiez la stratégie de terminal pour activer les analyses de détection des menaces en arrière-plan afin d'analyser les fichiers exécutables qui peuvent être des menaces inactives sur le disque.
    1. Dans l'onglet Paramètres de protection, activez le paramètre Détection des menaces en arrière-plan et sélectionnez l'option Exécuter une fois. Bien que l'analyse périodique ne soit pas nécessaire en raison des capacités prédictives de la solution, vous pouvez sélectionner Exécution récurrente pour l'activer, par exemple, à des fins de conformité.
    2. Activez le paramètre Contrôler les nouveaux fichiers. Ce paramètre peut avoir un impact négatif sur les performances du terminal. L'ajout d'exclusions de dossiers peut contribuer à réduire l'impact.
    3. Pour exclure des dossiers spécifiques de la détection des menaces en arrière-plan, sélectionnez Exclure des dossiers spécifiques (y compris les sous-dossiers) et spécifiez les dossiers à exclure. Pour autoriser l'exécution des fichiers dans les dossiers que vous avez spécifiés, sélectionnez Autoriser l'exécution. Pour en savoir plus sur ces champs, reportez-vous à Stratégie de terminal : paramètres de protection contre les programmes malveillants.
    4. Cliquez sur Enregistrer pour enregistrer la stratégie.
    5. Testez à nouveau la stratégie et assurez-vous que toutes les applications que les utilisateurs doivent utiliser sont autorisées à s'exécuter. L'analyse de détection des menaces en arrière-plan peut prendre jusqu'à une semaine, en fonction de l'activité du système et du nombre de fichiers qui doivent être analysés. Si nécessaire, assurez-vous d'ajouter des fichiers à la liste sécurisée des stratégies, à la liste sécurisée globale ou de les supprimer pour des terminaux individuels. Vous pouvez également exclure le dossier contenant le fichier dans les paramètres de protection.
  5. Modifiez la stratégie de terminal pour éliminer les processus dangereux en cours d'exécution sur le système. Par exemple, lorsqu'une menace est détectée dans un fichier exécutable (.exe ou .msi) et qu'elle est considérée comme dangereuse, ce paramètre interrompt les processus en cours d'exécution et leurs sous-processus.
    1. Dans l'onglet Paramètres de protection, activez le paramètre Arrêter les processus en cours d'exécution dangereux
  6. Modifiez la stratégie afin d'activer les paramètres de mise en quarantaine automatique pour les fichiers dangereux et anormaux.
    1. Dans l'onglet Actions de fichier, sous la colonne de tableau Dangereux, activez le paramètre Mise en quarantaine automatique en regard de l'Exécutable pour déplacer automatiquement les fichiers dangereux vers le dossier de quarantaine du terminal. Les fichiers dangereux ont des attributs de programmes malveillants et sont susceptibles d'être des programmes malveillants.
    2. Sous Anormal, activez Quarantaine automatique pour déplacer automatiquement les fichiers anormaux vers le dossier de quarantaine du terminal. Un fichier anormal possède moins d'attributs de programme malveillant qu'un fichier dangereux et est moins susceptible d'être un programme malveillant.
  7. Modifiez la stratégie pour activer les paramètres de protection de la mémoire afin de gérer les failles de mémoire, les injections de processus et les escalades.
    1. Dans l'onglet Actions de mémoire de la stratégie de terminal, activez Protection de la mémoire et définissez les types de violation sur Alerter. Lorsqu'un type de violation est défini sur Alerte et qu'une menace de ce type est détectée, l'agent envoie des informations à la console, mais ne bloque ni ne met fin aux processus en cours d'exécution dans la mémoire du terminal.
    2. Lors du test de la stratégie, accédez à Protection > Protection de la mémoire de la console afin d'afficher la liste des alertes de protection de la mémoire pour les processus pouvant constituer une menace.
    3. Si vous avez déterminé que l'un des processus est sûr pour les activités quotidiennes de l'entreprise, vous pouvez ajouter des exclusions pour les processus que vous souhaitez autoriser à exécuter. Dans l'onglet Actions de mémoire de la stratégie de terminal, cliquez sur Ajouter une exclusion et spécifiez le chemin relatif vers le fichier.
    4. Une fois que vous avez spécifié les exclusions pour les processus que vous souhaitez autoriser à exécuter, définissez l'action sur Bloquer pour tous les types de violation. Lorsqu'un type de violation est bloqué, l'agent envoie des informations à la console et empêche le processus malveillant de s'exécuter dans la mémoire. L'application qui a appelé le processus malveillant est autorisée à poursuivre son exécution.
  8. Modifiez la stratégie pour activer les paramètres de contrôle du terminal. Cet exemple montre comment bloquer l'accès à tous les types de terminaux et autoriser les exceptions. Cependant, vous pouvez choisir d'autoriser l'accès complet à tous les types de terminaux et de bloquer les exceptions à la place.
    1. Dans l'onglet Contrôle du terminal de la stratégie de terminal, activez la stratégie Contrôle du terminal.
    2. Définissez le niveau d'accès de chaque type de périphérique USB sur Accès complet.
    3. Enregistrez la stratégie.
    4. Sur le terminal test, insérez un périphérique USB.
    5. Dans la console de gestion, accédez à Protection > Terminaux externes et identifiez l'ID fournisseur, l'ID produit et le numéro de série des terminaux que vous souhaitez autoriser. Tous les fabricants n'utilisent pas un numéro de série unique avec leurs produits ; certains fabricants utilisent le même numéro de série pour plusieurs produits.
    6. Dans l'onglet Contrôle de terminal de la stratégie de terminal, dans la section Liste d'exclusion du stockage externe, cliquez sur Ajouter un terminal pour ajouter les terminaux que vous souhaitez autoriser.
    7. Une fois le test terminé, définissez le niveau d'accès de chaque type de terminal sur Bloquer. Vous pouvez ajouter des exclusions si nécessaire.
  9. Modifiez la stratégie pour activer les paramètres de contrôle du script. Le temps de test suggéré est de 1 à 3 semaines.
    1. Dans l'onglet Contrôle de script de la stratégie de terminal, activez la stratégie Contrôle de script.
    2. Définissez la stratégie pour chacun des types de script sur Alerter. Plus la durée d'alerte du contrôle des scripts est longue, plus vous êtes susceptible de trouver des scripts rarement utilisés dans l'organisation.
      Remarque : L'activation du paramètre de contrôle de script peut entrainer un volume élevé d'évènements si des scripts sont utilisés pour gérer les paramètres Active Directory.
    3. Accédez à Protection > Contrôle de script et identifiez les scripts qui ont été exécutés sur les terminaux que vous souhaitez autoriser.
    4. Dans l'onglet Contrôle de script de la stratégie de terminal, dans la section Exclure des fichiers, scripts ou processus, cliquez sur Ajouter une exclusion et spécifiez un chemin de processus relatif pour les scripts que vous souhaitez autoriser (par exemple, \Cases\AllowedScripts).
    5. Une fois que vous avez ajouté les exclusions pour les scripts que vous souhaitez autoriser à exécuter, vous pouvez définir la stratégie pour chacun des types de script sur Bloquer.