Configuration et test de la protection de la mémoire

Aurora Protect Desktop 3.x introduit diverses améliorations de protection de la mémoire et une meilleure visibilité sur l'activité des applications et des processus sur un terminal. Dans certaines situations, les applications effectuent des opérations qui peuvent être considérées comme malveillantes, mais qui sont effectuées à des fins légitimes. Arctic Wolf recommande de suivre les étapes et les bonnes pratiques ci-dessous pour garantir le bon réglage de l'agent Aurora Protect Desktop 3.x avant de le déployer dans votre environnement de production. Pour plus d'informations sur les types de violation de protection de la mémoire, reportez-vous à la section Stratégie de terminal : Paramètres de protection de la mémoire dans le contenu relatif à la configuration de Aurora Endpoint Security.
  1. Dans la barre de menus de la console de gestion, cliquez sur Stratégies > Stratégie de terminal.
  2. Cliquez sur la stratégie de terminal pour vos terminaux de test.
  3. Dans l'onglet Actions de mémoire, cochez la case Protection de la mémoire.
  4. Dans le tableau Type de violation, développez Exploitation, Injection de processus et Escalade. Pour tous les types de violation répertoriés sous Disponible pour la version 2.1.1580 de et les versions ultérieures et Disponible pour CylancePROTECT 3.0 et les versions ultérieures, sélectionnez l'action ALERTER.
  5. Enregistrez la stratégie de terminal.
  6. Exécutez Aurora Protect Desktop 3.x sur vos terminaux de test et consultez les alertes afin de déterminer le risque de ces exploitations pour votre environnement. Si l'une de ces alertes présente un risque faible et a un impact sur l'activité, vous pouvez ajouter des exclusions ciblées de protection de la mémoire. Pour obtenir des instructions et des conseils, consultez la section Protection de la mémoire.
    Il est recommandé de redémarrer chaque terminal de test après l'installation ou la mise à niveau vers Aurora Protect Desktop 3.x.
Après avoir examiné les alertes et ajouté les exclusions nécessaires, vous pouvez modifier les actions de type de violation dans la stratégie de terminal selon vos besoins (par exemple, Bloquer ou Terminer).