Stratégie de protection contre les menaces

La protection contre les menaces assure votre sécurité contre les programmes malveillants, les types de fichiers et sites Web dangereux et le trafic réseau malveillant.

Allez dans Mes produits > Endpoint > Stratégies pour configurer la protection contre les menaces.

Pour configurer une stratégie, procédez comme suit :

• Créez une stratégie Protection contre les menaces. Voir Création ou modification d’une stratégie.
• Ouvrez l’onglet Paramètres de la stratégie et configurez les options comme décrit ci-dessous. Assurez-vous que la stratégie est activée

Vous pouvez soit utiliser les paramètres par défaut, soit les modifier.

Si vous modifiez l’un des paramètres de cette stratégie et que vous souhaitez connaître la valeur par défaut, créez une nouvelle stratégie. Vous n’avez pas besoin de l’enregistrer, mais il affiche les valeurs par défaut.

Paramètres conseillés

Par défaut, la stratégie utilise nos paramètres recommandés.

Ces paramètres sont d’une extrême simplicité à configurer et vous permettent de bénéficier d’une protection optimale. Sont inclus :

• La détection des malwares connus.
• Les vérifications Cloud pour autoriser la détection des malwares les plus récents recensés par Sophos.
• La détection proactive des malwares qui n’ont jamais encore été détectés.
• Le nettoyage automatique des malwares.

Si vous utilisez des paramètres non recommandés, des avertissements s’affichent sur la page des paramètres de stratégie.

Live Protection

Live Protection vérifie la présence de fichiers suspects en consultant la base de données des menaces des SophosLabs. Ceci permet de détecter les menaces les plus récentes et d’éviter les faux positifs. Vous pouvez l’utiliser comme suit :

• Utiliser Sophos Live Protection pour vérifier les informations sur les menaces les plus récentes dans la base de données en ligne des SophosLabs. Cette option vérifie les fichiers au cours du contrôle en temps réel.
• Utiliser Sophos Live Protection pendant les contrôles planifiés.

Retrouvez notre base de données des menaces sur le Centre Sophos d’analyse des menaces.

Deep Learning

Le Deep Learning permet de détecter les menaces automatiquement, en particulier les menaces inconnues qui n’ont jamais été observées auparavant. Il utilise le Machine Learning sans avoir à dépendre de signatures.

Contrôle en temps réel - Fichiers locaux et partages réseau

Le contrôle en temps réel détecte les malwares connus lorsque les fichiers sont ouverts et mis à jour. Il empêche l’exécution de malwares connus lorsque des fichiers infectés sont ouverts par des applications légitimes.

Les fichiers locaux et distants (fichiers accessibles depuis le réseau) sont contrôlés par défaut.

Fichiers distants vous permet d’activer ou de désactiver le contrôle des fichiers distants.

Contrôle en temps réel - Internet

Le contrôle en temps réel contrôle les ressources Internet au moment où les utilisateurs tentent d’y accéder.

Contrôler les téléchargements en cours

Ce paramètre permet de contrôler les téléchargements et les éléments de page avant qu’ils n’atteignent le navigateur.

• Connexions HTTP : Nous contrôlons tous les éléments et téléchargements.
• Connexions HTTPS : Nous ne contrôlons aucun élément, sauf si vous activez Déchiffrer les sites Web HTTPS avec SSL/TLS.

Bloquer l’accès aux sites Web malveillants

Ce paramètre bloque l’accès aux sites Web connus pour héberger des malwares.

Nous vérifions la réputation pour voir si le site est connu pour héberger du contenu malveillant (Recherche SXL4). Si vous désactivez Live Protection, vous désactiverez également cette vérification.

• Connexions HTTP : Toutes les URL sont contrôlées, y compris les requêtes HTTP GET complètes.
• Connexions HTTPS : Seules les URL de base sont contrôlées (SNI). Si vous activez Déchiffrer les sites Web HTTPS avec SSL/TLS, nous contrôlons toutes les URL, y compris les requêtes HTTP GET complètes.

Détecter les téléchargements de réputation douteuse

Ce paramètre vérifie la réputation du téléchargement en fonction de la source du fichier, de sa fréquence de téléchargement, etc. Utilisez les options suivantes pour définir le mode de traitement des téléchargements.

Définissez l’Action à effectuer pour Avertir l’utilisateur : Un avertissement s’affiche lorsque l’utilisateur télécharge un fichier de réputation douteuse. Il peut accepter ou supprimer ce fichier. Il s’agit du paramètre par défaut.

Définissez le Niveau de réputation comme l’une des valeurs suivantes :

• Conseillé : Les fichiers de réputation douteuse sont automatiquement bloqués. Il s’agit du paramètre par défaut.
• Strict : Les téléchargements de réputation moyenne et douteuse sont automatiquement bloqués et signalés à Sophos Central.

Retrouvez plus de renseignements sur Réputation des téléchargements.

Remédiation

Les options de remédiation sont les suivantes :

Nettoyer automatiquement les malwares : Sophos Central nettoie automatiquement les malwares détectés et journalise ce nettoyage. Vous retrouverez ces informations dans la liste des Événements.

Lorsque Sophos Central nettoie un fichier, il supprime le fichier de son emplacement actuel et le met en quarantaine dans SafeStore. Les fichiers restent dans SafeStore jusqu’à ce qu’ils soient autorisés ou supprimés pour faire de la place aux nouvelles détections. Vous pouvez restaurer les fichiers mis en quarantaine dans SafeStore en les ajoutant aux Applications autorisées. Voir Applications autorisées.

SafeStore a les limites par défaut suivantes :

• La limite pour un seul fichier est de 100 Go.
• La taille totale de la quarantaine est de 200 Go.
• Le nombre maximum de fichiers stockés est de 2000.

Activer la création du Graphique de menace. Ce paramètre permet de mener une investigation sur la chaîne d’événements d’une attaque de malwares. En l’activant, vous pourrez analyser les attaques que nous avons détectées et arrêtées.

Protection à l’exécution (runtime)

La protection à l’exécution assure la protection contre les menaces en détectant le comportement ou le trafic suspect ou malveillant.

Protéger les fichiers document contre les ransomwares (CryptoGuard). Ce paramètre permet d’assurer la protection contre les malwares qui bloquent l’accès aux fichiers et demandent une rançon pour les libérer. Il est activé par défaut. Nous vous conseillons de le garder activé.

Vous pouvez également utiliser les options suivantes :

• Protéger contre les ransomwares exécutés à distance. Ce paramètre garantit la protection de tout le réseau. Nous vous conseillons de le garder activé.
• Protéger contre les attaques de Chiffrement des fichiers système. Ce paramètre protège l’ordinateur contre les ransomwares qui chiffrent le système de fichiers. Choisissez l’action à effectuer en cas de détection d’un ransomware. Vous pouvez mettre fin aux processus du ransomware ou l’isoler pour l’empêcher d’écrire dans le système de fichiers.
• Protéger contre les ransomwares d’enregistrement de démarrage principal. Ce paramètre permet de protéger l’appareil contre les ransomwares qui chiffrent l’enregistrement de démarrage principal (et empêchent donc le démarrage) et contre les attaques qui formatent le disque dur.

Protéger les fonctions critiques des navigateurs Web (Navigation sécurisée). Ce paramètre protège vos navigateurs Web contre les tentatives de détournement du navigateur.

Limiter les attaques dans les applications vulnérables. Ce paramètre protège les applications les plus susceptibles d’être attaqués par des malwares. Vous pouvez sélectionner les types d’application à protéger.

Protéger les processus. Cette option empêche tout piratage d’applications légitimes par des malwares. Vous pouvez choisir parmi les options suivantes :

• Bloquer les attaques contre les processus creux. Celles-ci sont également connues sous le nom de « remplacement de processus » ou injection DLL. Cette technique est généralement utilisée pour injecter du code malveillant dans une application légitime afin d’essayer de contourner le logiciel de sécurité.

  La désactivation de ce paramètre permettra à un cybercriminel de contourner plus facilement votre logiciel de sécurité.

• Bloquer le chargement de DLL à partir de dossiers non fiables. Ce paramètre protège contre le téléchargement de fichiers DLL à partir de dossiers non fiables.

• Empêcher le vol de codes d’accès. empêche le vol des mots de passe et le hachage d’informations à partir de la mémoire, du registre ou du disque dur.
• Empêcher l’utilisation de « Code cave ». Ce paramètre détecte le code malveillant qui a été inséré dans une autre application légitime.
• Empêcher la violation APC. empêche les attaques d’utiliser les appels de procédure d’application (APC ou Application Procedure Calls) pour exécuter leur code.
• Empêcher l’élévation des privilèges. empêche les attaques d’élever les privilèges limités d’un processus à des privilèges lui permettant d’accéder à vos systèmes.

Détection dynamique de shellcode. Ce paramètre détecte le comportement des agents de commande et de contrôle cachés et empêche les cybercriminels de prendre le contrôle de vos réseaux.

Valider l’appelant du protocole CTF. Ce paramètre bloque les applications qui tentent d’exploiter une vulnérabilité dans un composant Windows, connu sous le nom de « CTF », présente dans toutes les versions de Windows. La vulnérabilité permet aux cybercriminels, qui ne sont pas administrateurs, de détourner tous les processus Windows, notamment les applications s’exécutant dans une sandbox. Nous vous recommandons d’activer l’option Valider l’appelant du protocole CTF.

Empêcher le chargement des modules non sécurisés. Ce paramètre empêche les applications de télécharger les DLL malveillantes se faisant passer pour des DLL ApiSet Stub. Les DLL ApiSet Stub servent de proxy pour maintenir la compatibilité entre les anciennes applications et les versions plus récentes du système d’exploitation. Les cybercriminels peuvent utiliser des DLL ApiSet Stub malveillantes pour contourner la protection antialtération et désactiver la protection antimalware.

Protéger les cookies de navigateurs utilisés pour la connexion MFA. Ce paramètre empêche les applications non autorisés de déchiffrer la clé AES utilisée pour chiffrer les cookies d’authentification multifacteur (MFA).

Empêcher les balises malveillantes de se connecter aux serveurs de commande et de contrôle. Ce paramètre identifie et bloque les balises qui tentent d’échapper à la détection en restant chiffrées.

Protéger le trafic réseau

• Détecter les connexions malveillantes vers des serveurs de commande et de contrôle. Cette option permet de détecter le trafic entre un ordinateur et un serveur qui pourrait indiquer une tentative éventuelle de prise de contrôle du terminal.
• Empêcher le trafic réseau malveillant avec l’inspection des paquets (IPS). Cette option contrôle le trafic au niveau le plus bas et bloque les menaces avant qu’elles ne puissent endommager le système d’exploitation ou les applications.

Détecter les comportements malveillants. Ce paramètre permet d’assurer la protection contre les menaces encore inconnues. Il détecte et bloque les comportements malveillants ou suspects.

Protection AMSI. Ce paramètre assure la protection contre le code malveillant (par exemple, les scripts PowerShell) à l’aide de l’interface AMSI (Antimalware Scan Interface).

Le code transmis via AMSI est contrôlé avant son exécution. Le terminal informe les applications utilisées pour exécuter le code de la présence d’une menace. Si une menace est détectée, un événement est consigné dans le journal.

Empêcher la suppression de l’enregistrement AMSI. Ce paramètre permet de s’assurer qu’AMSI ne peut pas être supprimé de vos ordinateurs.

Protection adaptative contre les attaques

Activer automatiquement les protections supplémentaires lors de l’attaque d’un appareil. Ce paramètre active un ensemble de protection plus agressif lorsqu’une attaque est détectée. Ces niveaux de protection supplémentaires sont conçus pour perturber les actions d’un cybercriminel.

Paramètres avancés

Ces paramètres servent uniquement à tester ou à résoudre des problèmes. Nous vous conseillons de conserver ces paramètres activés par défaut.

Bloquer les connexions du navigateur QUIC

Sélectionnez Bloquer l’accès du navigateur QUIC (Connexions Internet UDP rapides) aux sites Web pour empêcher ces connexions.

Les navigateurs QUIC peuvent contourner la vérification de notre site Web pour certains sites Le blocage de QUIC garantit que nous appliquons le déchiffrement SSL/TLS et que nous vérifions ces sites.

Le paramètre par défaut, est « Inactif ».

Déchiffrement SSL/TLS de sites Web HTTPS

Déchiffrer les sites Web HTTPS avec SSL/TLS. Ce paramètre permet aux appareils de déchiffrer et de vérifier le contenu des sites Web HTTPS pour détecter les menaces.

Si nous déchiffrons un site Web potentiellement dangereux, nous le bloquons. Nous affichons un message à l’utilisateur pour lui donner la possibilité d’envoyer le site aux SophosLabs pour réévaluation.

Par défaut, le déchiffrement est désactivé.

Si le déchiffrement HTTPS est activé dans une stratégie qui s’applique à un appareil :

• le déchiffrement HTTPS est également activé sur cet appareil pour les opérations de contrôle du Web.
• Les fonctions de protection du Contrôle en temps réel - Internet ont accès au contenu complet du site, les téléchargements et les URL de page

Exclusions du déchiffrement HTTPS

Par défaut, certaines catégories de sites sont exclues du déchiffrement. Il s’agit de catégories qui contiennent des informations personnelles (sites bancaires, de messagerie Web, etc).

Vous pouvez modifier les exclusions dans les paramètres généraux. Allez dans Mes produits > Paramètres généraux > Général > Déchiffrement SSL/TLS de sites Web HTTPS.

Isolement de l’appareil

Si vous sélectionnez cette option, nous isolons les appareils du réseau en cas de mauvais état de fonctionnement. Lorsque l’état d’intégrité d’un appareil est « rouge », ceci signifie que des menaces sont détectées, que le logiciel n’est pas mis à jour, que la conformité à la stratégie n’est pas respectée ou que l’appareil n’est pas protégé correctement.

Vous pouvez toujours administrer les appareils isolés à partir de Sophos Central. Vous pouvez également utiliser les exclusions du contrôle ou les exclusions générales afin d’accorder un accès limité pour la résolution de problèmes.

Vous ne pouvez pas sortir ces appareils de l’isolement. Pour sortir un appareil de son isolement, vous devez résoudre ses problèmes et le remettre en état d’intégrité « vert ».

Nous vous recommandons d’évaluer l’impact de cette option sur votre réseau avant de l’appliquer. Pour ce faire, activez-la dans une stratégie et appliquez-la à un échantillon représentatif d’appareils.

Contrôle planifié

Le contrôle planifié procède au contrôle à l’heure ou aux heures que vous avez indiquées.

Le contrôle planifié est une ancienne technique de détection des malwares. Il est rarement utilisé à présent que nous offrons le contrôle en arrière-plan. Son utilisation est susceptible de faire augmenter la charge du système et ralentir considérablement le contrôle. Nous vous recommandons de ne pas utiliser le contrôle planifié, sauf en cas de besoin spécifique.

Vous pouvez sélectionner ces options :

• Activer le contrôle planifié : Cette option vous permet de programmer une heure et un ou plusieurs jours pour le contrôle.

  Remarque

  L’heure du contrôle planifié correspond à l’heure des terminaux (il ne s’agit pas de l’heure UTC).

• Activer le contrôle en profondeur : Si vous sélectionnez cette option, les archives sont contrôlées pendant les contrôles planifiés. Cette option augmente la charge de travail du système et ralentit considérablement le contrôle.

Exclusions du contrôle

Vous pouvez exclure des fichiers, dossiers, sites Web et applications du contrôle des menaces.

Les exclusions définies dans une stratégie concernent uniquement les utilisateurs et appareils auxquels s’applique la stratégie. Pour appliquer des exclusions à tous vos utilisateurs et appareils, veuillez configurer des exclusions générales. Pour ce faire, allez dans Mes produits > Paramètres généraux > Exclusions générales.

Retrouvez de l’aide sur l’utilisation des exclusions sur Utilisation des exclusions en toute sécurité.

Pour créer une stratégie d’exclusion du contrôle :

1. Cliquez sur Ajouter une exclusion (dans le coin supérieur droit de la page).

   La boîte de dialogue Ajouter une exclusion apparaît.

2. Dans la liste déroulante Type d’exclusion, sélectionnez un type d’élément à exclure (fichier ou dossier, site Web, application potentiellement indésirable ou isolement d’un appareil).

3. Indiquez un ou plusieurs éléments à exclure. Les règles suivantes s’appliquent :

   • Application potentiellement indésirable (Windows/Mac/Linux). Vous pouvez exclure les applications généralement détectées comme spyware. Indiquez l’exclusion en utilisant le même nom que celui sous lequel le système l’a détecté, par exemple « PsExec » ou « Cain n Abel ». Retrouvez plus de renseignements sur les applications potentiellement indésirables (PUA) dans le Centre d’analyse des menaces de Sophos.

     Procédez avec prudence avant d’ajouter des exclusions de PUA car cette opération peut affaiblir votre niveau de protection.

   • Fichier ou dossier. Dans la liste déroulante Activer pour, indiquez si l’exclusion s’applique au contrôle en temps réel, au contrôle planifié ou aux deux.

   • Exploits détectés (Windows/Mac). Vous pouvez exclure les exploits détectés à l’aide d’un ID de détection. Vous pouvez utiliser cette option si vous travaillez avec le support Sophos pour résoudre une détection de faux positifs. Le support Sophos peut vous donner un ID de détection et vous pouvez alors exclure la détection de faux positifs. Pour ce faire, cliquez sur L’Exploit n’est pas dans la liste ? et saisissez l’ID.

4. Cliquez sur Ajouter ou sur Ajouter une autre. L’exclusion est ajoutée dans la liste des exclusions du contrôle.

Pour modifier une exclusion ultérieurement, cliquez sur son nom dans la liste des exclusions, saisissez les nouveaux paramètres et cliquez sur Mettre à jour.

Retrouvez plus de renseignements sur les exclusions que vous pouvez utiliser en consultant :

• Exclusions du contrôle Windows.
• Exclusions des macOs du contrôle
• Exclusions de sites Web
• Exclusions de Prévention du trafic réseau malveillant (IPS) (Windows)
• Exclusions de processus (Windows)

Exclusions de la prévention des Exploits

Vous pouvez exclure des applications de la protection contre les Exploits de sécurité. Par exemple, vous pourriez vouloir exclure une application qui n’a pas été détecté correctement en tant que menace jusqu’à ce que le problème soit résolu.

Nous vous conseillons d’appliquer la stratégie contenant l’exclusion uniquement aux utilisateurs et aux appareils concernés par l’exclusion.

Pour créer une exclusion de la stratégie de prévention des Exploits, procédez comme suit :

1. Cliquez sur Ajouter une exclusion (dans le coin supérieur droit de la page).

   La boîte de dialogue Ajouter une exclusion apparaît.

2. Dans Type d’exclusion, sélectionnez Prévention des Exploits (Windows).

   La liste des applications protégées sur votre réseau s’affiche.

3. Sélectionnez l’application à exclure.

4. Si vous ne voyez pas l’application souhaitée, cliquez sur L’application n’est pas dans la liste ?. Vous pouvez désormais exclure votre application de la protection en saisissant son chemin d’accès au fichier. Vous pouvez aussi utiliser les autres variables ci-dessous :

5. Sous Préventions, choisissez parmi les options suivantes :

   • Désactivez Protéger l’application. L’application sélectionnée n’est pas vérifiée pour les Exploits.
   • Gardez l’option Protéger l’application activée et sélectionnez les types d’exploits qui seront contrôlés ou exclus.

6. Cliquez sur Ajouter ou sur Ajouter une autre

Pour modifier une exclusion ultérieurement, cliquez sur son nom dans la liste des exclusions, saisissez les nouveaux paramètres et cliquez sur Mettre à jour.

Retrouvez plus d’aide sur les exclusions de la prévention des Exploits ci-dessous :

• Exclusions de la prévention des Exploits
• Prévention des Exploits ou ransomware : caractères de remplacement et variables

Exclusions de la protection antiransomware

Vous pouvez exclure les applications ou les dossiers utilisés par les applications de la protection antiransomware.

Vous pourriez avoir besoin d’exclure une application que nous avons détectée incorrectement comme une menace ou une application incompatible avec la protection antiransomware. Par exemple, si vous utilisez une application qui chiffre les données, vous pourriez avoir besoin de l’exclure. Cela nous empêche de détecter l’application en tant que ransomware.

Vous pourriez également avoir besoin d’exclure les dossiers utilisés par des applications qui présentent des problèmes de performances lorsqu’elles sont surveillées par la protection antiransomware. Par exemple, vous pourriez avoir besoin d’exclure les dossiers utilisés par les applications de sauvegarde.

Nous vous recommandons d’ajouter des exclusions dans une stratégie et de l’assigner uniquement aux utilisateurs et appareils pour lesquels les exclusions sont nécessaires.

Pour créer une exclusion de la stratégie de protection antiransomware, procédez comme suit :

1. Cliquez sur Ajouter une exclusion (dans le coin supérieur droit de la page).

   La boîte de dialogue Ajouter une exclusion apparaît.

2. Dans Type d’exclusion, sélectionnez Protection antiransomware (Windows) ou Protection antiransomware (Mac).

3. Choisissez si vous souhaitez exclure un processus ou un dossier.

   Choisissez Processus pour exclure une application.

4. Dans VALEUR, saisissez le chemin du processus ou du dossier à exclure.

   Vous pouvez uniquement exclure un dossier par son chemin local. Vous ne pouvez pas l’exclure par son chemin distant au format UNC, par exemple \\servername\shared-folder.

   Vous pouvez utiliser des variables lorsque vous excluez des processus ou des dossiers.

   • Retrouvez plus de renseignements sur les variables Windows sur Prévention des Exploits ou ransomware : caractères de remplacement et variables.
   • Retrouvez plus de renseignements sur les variables macOS sur Exclusions des macOs du contrôle.

5. Cliquez sur Ajouter ou sur Ajouter une autre.

Pour modifier une exclusion ultérieurement, cliquez sur son nom dans la liste des exclusions, saisissez les nouveaux paramètres et cliquez sur Mettre à jour.

Retrouvez plus d’aide sur les exclusions de la protection antiransomware sur Exclusions de la protection antiransomware.

Messagerie de bureau

La Messagerie de bureau vous envoie des notifications sur les événements de protection contre les menaces. Il est activé par défaut.

Vous pouvez saisir votre propre message à la fin des notifications prédéfinies afin de les personnaliser.