Stratégie de protection contre les menaces

La protection contre les menaces assure votre sécurité contre les programmes malveillants, les types de fichiers et sites Web dangereux et le trafic réseau malveillant.

Restriction : Cette page vous explique les paramètres de stratégies pour les utilisateurs de postes de travail. Différents paramètres de stratégie s’appliquent aux serveurs.

Allez dans Endpoint Protection > Stratégies pour configurer la protection contre les menaces.

Pour configurer une stratégie, procédez comme suit :

  • Créez une stratégie Protection contre les menaces. Retrouvez plus de renseignements à la section Création ou modification d’une stratégie.
  • Ouvrez l’onglet Paramètres de la stratégie et configurez les options comme décrit ci-dessous. Assurez-vous que la stratégie est activée

Vous pouvez soit utiliser les paramètres conseillés, soit les modifier. Retrouvez une vidéo vous expliquant comment configurer la protection contre les menaces à la section Configurer la protection contre les menaces.

Si vous modifiez l’un des paramètres de cette stratégie et que vous souhaitez connaître la valeur par défaut, créez une nouvelle stratégie. Vous n’avez pas besoin de l’enregistrer, mais il affiche les valeurs par défaut.

Remarque : Les SophosLabs surveillent les fichiers qui sont contrôlés de manière indépendante. Ils peuvent ajouter ou supprimer le contrôle de certains types de fichier afin d’assurer une protection optimale.
Remarque : Si une option est verrouillée, votre administrateur Partenaire ou Entreprise a appliqué les paramètres généraux. Vous pouvez toujours arrêter de détecter les applications, les Exploits et les ransomwares depuis la liste des événements.

Utiliser les paramètres recommandés

Avertissement : Procédez avec prudence avant de modifier les paramètres conseillés car cette opération peut affaiblir votre niveau de protection.

Cliquez sur Utiliser les paramètres recommandés si vous voulez utiliser les paramètres que nous vous conseillons. Ces paramètres sont d’une extrême simplicité à configurer et vous permettent de bénéficier d’une protection optimale.

Si nos conseils devaient changer à l’avenir, nous mettrons automatiquement à jour votre stratégie avec les nouveaux paramètres.

Les paramètres conseillés offrent :

  • La détection des malwares connus.
  • Les vérifications Cloud pour autoriser la détection des malwares les plus récents recensés par Sophos.
  • La détection proactive des malwares qui n’ont jamais encore été détectés.
  • Le nettoyage automatique des malwares.

Configurer la protection contre les menaces

Cette vidéo vous explique comment créer une stratégie de protection contre les menaces. Vous y trouverez également toutes nos recommandations concernant les meilleures pratiques d’utilisation.

Sophos Live Protection

Sophos Live Protection vérifie la présence de fichiers suspects en consultant la base de données des SophosLabs recensant les malwares les plus récents. Retrouvez plus de renseignements à la section Centre d’analyse des menaces de Sophos.

Vous pouvez sélectionner ces options :

  • Utiliser Sophos Live Protection pour vérifier les informations sur les menaces les plus récentes dans la base de données en ligne des SophosLabs. Cette option vérifie les fichiers au cours du contrôle en temps réel.
  • Utiliser Sophos Live Protection pendant les contrôles planifiés

Deep Learning

Deep Learning utilise l’apprentissage machine avancé pour détecter les menaces. Il identifie les malwares connus et auparavant inconnus ainsi que les applications potentiellement indésirables sans l’aide de signatures.

Deep Learning est uniquement disponible avec with Sophos Intercept X.

Contrôle en temps réel - Fichiers locaux et partages réseau

Le contrôle en temps réel contrôle les fichiers au moment où les utilisateurs tentent d’y accéder. L’accès est autorisé si le fichier est sain.

Les fichiers locaux sont contrôlés par défaut. Vous pouvez également sélectionner cette option :

  • Fichiers distants : Les fichiers sur les partages réseau sont contrôlés.

Contrôle en temps réel - Internet

Le contrôle en temps réel contrôle les ressources Internet au moment où les utilisateurs tentent d’y accéder. Retrouvez plus de renseignements à la section Réputation des téléchargements. Vous pouvez sélectionner ces options :

  • Contrôler les téléchargements en cours
  • Bloquer l’accès aux sites Web malveillants : L’accès aux sites Web connus pour héberger des programmes malveillants sera interdit.
  • Détecter les fichiers de réputation douteuse : Cette option envoie un avertissement en cas de téléchargement de réputation douteuse. La réputation est basée sur la provenance d’un fichier, sur sa fréquence de téléchargement et sur d’autres facteurs. Vous pouvez indiquer :
    • La Action à prendre sur les téléchargements de réputation douteuse : Si vous sélectionnez Avertir l’utilisateur, l’utilisateur voit s’afficher un message d’avertissement lorsqu’il télécharge un fichier de réputation douteuse. Il peut accepter ou supprimer ce fichier. Il s’agit du paramètre par défaut.
    • La Niveau de réputation : Si vous sélectionnez Strict, les fichiers de réputation moyenne ou douteuse sont détectés. Le paramètre par défaut est Conseillé.

Correction

Les options de correction sont :

  • Nettoyer automatiquement les malwares : Sophos Central va tenter de nettoyer automatiquement les malwares détectés.

    En cas de succès de l’opération de nettoyage automatique, l’alerte de détection de malware est effacée de la liste des alertes. Les opérations de détection et de nettoyage sont affichées dans la liste des événements.

    Remarque : Nous nettoyons toujours les fichiers PE (portable Executable) comme les applications, les bibliothèques et les fichiers système, même si vous désactivez le nettoyage automatique. Les fichiers PE sont mis en quarantaine et vous pouvez les restaurer s’ils sont inférieurs à 50 Mo.
  • Activer la création du Graphique de menace : Les graphiques de menace vous permettent d’examiner en profondeur la série d’événements d’une attaque de malware et d’identifier les zones sur lesquelles la sécurité peut être renforcée.

Protection à l’exécution (runtime)

Restriction : Vous devez rejoindre le programme d’accès anticipé pour utiliser certaines options.

La protection à l’exécution assure la protection contre les menaces en détectant le comportement ou le trafic suspect ou malveillant. Vous pouvez sélectionner :

  • Protéger les fichiers document contre les ransomwares (CryptoGuard) : Cette option permet de protéger des fichiers document contre les malwares empêchant l’accès aux fichiers et demandant le paiement d’une somme d’argent pour les rendre accessibles. Vous pouvez également choisir de protéger les ordinateurs 64 bits contre les ransomwares s’exécutant depuis un emplacement distant.
  • Protéger contre les attaques de chiffrement des fichiers système : protège l’ordinateur contre les ransomwares qui chiffrent le système de fichiers. Choisissez l’action à effectuer en cas de détection d’un ransomware. Vous pouvez mettre fin aux processus du ransomware ou l’isoler pour l’empêcher d’écrire dans le système de fichiers.
  • Protéger contre les ransomwares d’enregistrement de démarrage principal : Cette option permet de protéger l’ordinateur contre les ransomwares qui chiffrent l’enregistrement de démarrage principal (et empêchent donc le démarrage) et contre les attaques qui formattent le disque dur.
  • Protéger les fonctions critiques des navigateurs Web (Navigation sécurisée) : Cette option permet de protéger les navigateurs Web contre toute mauvaise exploitation par des malwares.
  • Limiter les attaques dans les applications vulnérables : Cette option permet de protéger les applications les plus susceptibles d’être attaquées par des malwares. Vous pouvez sélectionner les types d’application à protéger.
  • Protéger les processus : Cette option empêche tout piratage d’applications légitimes par des malwares. Vous pouvez sélectionner les options suivantes :
    • Bloquer les attaques contre les processus creux. protège contre les attaques de remplacement de processus.
    • Bloquer le chargement de DLL à partir de dossiers non fiables. protège contre le chargement de fichiers .DLL à partir de dossiers non fiables.
    • Empêcher le vol de codes d’accès. empêche le vol des mots de passe et le hachage d’informations à partir de la mémoire, du registre ou du disque dur.
    • Empêcher l’utilisation de « Code cave ». détecte le code malveillant qui a été inséré dans une autre application légitime.
    • Empêcher la violation APC. empêche les attaques d’utiliser les appels de procédure d’application (APC ou Application Procedure Calls) pour exécuter leur code.
    • Empêcher l’élévation des privilèges. empêche les attaques d’élever les privilèges limités d’un processus à des privilèges lui permettant d’accéder à vos systèmes.
  • Protéger le trafic réseau. Vous pouvez sélectionner les options suivantes :
    • Détecter les connexions malveillantes vers des serveurs de commande et de contrôle. Cette option permet de détecter le trafic entre un ordinateur et un serveur qui pourrait indiquer une tentative éventuelle de prise de contrôle du terminal.
    • Empêcher le trafic réseau malveillant avec l’inspection des paquets (IPS). Cette option contrôle le trafic au niveau le plus bas et bloque les menaces avant qu’elles ne puissent endommager le système d’exploitation ou les applications.
  • Détecter les comportements malveillants (HIPS) : Cette option permet d’assurer la protection contre les menaces encore inconnues. Elle détecte et bloque les comportements malveillants ou suspects.
  • Détecter les comportements malveillants : Cette option permet d’assurer la protection contre les menaces encore inconnues. Elle détecte et bloque les comportements malveillants ou suspects.
    Restriction : Vous devez rejoindre le programme d’accès anticipé pour utiliser cette option.
  • Protection AMSI (avec contrôle optimisé des menaces de scripts) : Cette option assure la protection contre le code malveillant (par exemple, les scripts PowerShell) à l’aide de l’interface AMSI (Antimalware Scan Interface). Le code transmis via AMSI est contrôlé avant son exécution et Sophos informe les applications utilisées pour exécuter le code de la présence de menaces. Si une menace est détectée, un événement est consigné dans le journal. Vous pouvez empêcher la suppression de l’enregistrement AMSI sur vos ordinateurs. Retrouvez plus de renseignements à la section Antimalware Scan Interface (AMSI).

Paramètres avancés

Ces paramètres servent uniquement à tester ou à résoudre des problèmes. Nous vous conseillons de conserver ces paramètres activés par défaut.

Isolement de l’appareil

Si vous sélectionnez cette option, les appareils s’isolent de votre réseau en cas de mauvais état de fonctionnement. Lorsque l’état de fonctionnement d’un appareil est affiché en rouge, ceci signifie que des menaces sont détectées, que le logiciel n’est pas mis à jour, que la conformité à la stratégie n’est pas respectée ou que l’appareil n’est pas protégé correctement.

Vous pouvez toujours administrer les appareils isolés à partir de Sophos Central. Vous pouvez également utiliser les exclusions du contrôle ou les exclusions générales afin d’accorder un accès limité pour la résolution de problèmes.

Vous ne pouvez pas sortir ces appareils de l’isolement. Ils communiquent de nouveau avec le réseau lorsque leur état de sécurité passe au vert.

Contrôle planifié

Le contrôle planifié procède au contrôle à l’heure ou aux heures que vous avez indiquées.

Vous pouvez sélectionner ces options :

  • Activer le contrôle planifié : Cette option vous permet de programmer une heure et un ou plusieurs jours pour le contrôle.
    Remarque : L’heure du contrôle planifié correspond à l’heure des terminaux (il ne s’agit pas de l’heure UTC).
  • Activer le contrôle en profondeur : Si vous sélectionnez cette option, les archives sont contrôlées pendant les contrôles planifiés. Cette option augmente la charge de travail du système et ralentit considérablement le contrôle.
    Remarque : Le contrôle des archives augmente la charge de travail du système et ralentit considérablement le contrôle.

Exclusions du contrôle

Vous pouvez exclure des fichiers, des dossiers, des sites Web ou des applications du contrôle à la recherche de menaces comme indiqué ci-dessous.

Nous continuerons à vérifier toute présence de failles d’exploitation dans les éléments exclus. Toutefois, vous pouvez arrêter la vérification d’une faille d’exploitation qui a déjà été détectée en utilisant l’exclusion Exploits détectés.

Les exclusions définies dans une stratégie concernent uniquement les utilisateurs auxquels s’applique la stratégie.

Remarque : Pour appliquer des exclusions à tous vos utilisateurs et serveurs, veuillez configurer des exclusions générales sur la page Paramètres généraux > Exclusions générales.

Pour créer une stratégie d’exclusion du contrôle :

  1. Cliquez sur Ajouter une exclusion (dans le coin supérieur droit de la page).

    La boîte de dialogue Ajouter une exclusion apparaît.

  2. Dans la liste déroulante Type d’exclusion, sélectionnez un type d’élément à exclure (fichier ou dossier, site Web, application potentiellement indésirable ou isolement d’un appareil).
  3. Indiquez un ou plusieurs éléments à exclure.
  4. Dans le cas d’exclusions de Fichier ou dossier uniquement, dans la liste déroulante Activer pour, indiquez si l’exclusion s’applique au contrôle en temps réel, au contrôle planifié ou aux deux.
  5. Cliquez sur Ajouter ou sur Ajouter une autre. L’exclusion est ajoutée dans la liste des exclusions du contrôle.

Pour modifier une exclusion ultérieurement, cliquez sur son nom dans la liste des exclusions, saisissez les nouveaux paramètres puis cliquez sur Mettre à jour.

Retrouvez plus de renseignements sur les exclusions que vous pouvez utiliser en consultant :

Exclusions de la prévention des Exploits

Vous pouvez exclure des applications de la protection contre les Exploits de sécurité. Par exemple, vous pourriez vouloir exclure une application qui n’a pas été détecté correctement en tant que menace jusqu’à ce que le problème soit résolu.

L’ajout d’exclusions réduit votre protection.

L’ajout d’exclusions à l’aide de l’option globale Vue générale > Paramètres généraux > Exclusions générales, crée des exclusions qui s’appliquent à tous les utilisateurs et appareils.

Nous vous recommandons d’utiliser cette option et d’assigner la stratégie contenant l’exclusion uniquement aux utilisateurs et aux appareils pour lesquels l’exclusion est nécessaire.

Restriction : Vous pouvez uniquement créer des exclusions pour les applications Windows.

Pour créer une exclusion de la stratégie de prévention des Exploits, procédez comme suit :

  1. Cliquez sur Ajouter une exclusion (dans le coin supérieur droit de la page).

    La boîte de dialogue Ajouter une exclusion apparaît.

  2. Dans Type d’exclusion, sélectionnez Prévention des Exploits (Windows).

    La liste des applications protégées sur votre réseau s’affiche.

  3. Sélectionnez l’application à exclure.
  4. Si vous ne voyez pas l’application souhaitée, cliquez sur L’application n’est pas dans la liste ?. Vous pouvez désormais exclure votre application de la protection en saisissant son chemin d’accès au fichier. Vous pouvez aussi utiliser les autres variables ci-dessous :
  5. Sous Préventions, choisissez parmi les options suivantes :
    • Désactivez Protéger l’application. L’application sélectionnée n’est pas vérifiée pour les Exploits.
    • Gardez Protéger l’application activé et sélectionnez les types d’Exploit qui seront contrôlés ou exclus.
  6. Cliquez sur Ajouter ou sur Ajouter une autre. L’exclusion est ajoutée dans la liste présente dans la page Exclusions générales.

    L’exclusion s’applique uniquement aux utilisateurs ou aux appareils auxquels vous assignez cette stratégie.

Pour modifier une exclusion ultérieurement, cliquez sur son nom dans la liste des exclusions, saisissez les nouveaux paramètres puis cliquez sur Mettre à jour.

Exclusions de la protection antiransomware

Restriction : Cette fonctionnalité est uniquement disponible si vous participez au Programme d’accès anticipé (EAP).

Vous pouvez exclure les applications ou les dossiers utilisés par les applications de la protection antiransomware.

Vous pourriez avoir besoin d’exclure une application que nous avons détectée incorrectement comme une menace ou une application incompatible avec la protection antiransomware. Par exemple, si vous utilisez une application qui chiffre les données, vous pourriez avoir besoin de l’exclure. Cela nous empêche de détecter l’application en tant que ransomware.

Vous pourriez également avoir besoin d’exclure les dossiers utilisés par des applications spécifiques qui présentent des problèmes de performances lorsqu’elles sont surveillées par la protection antiransomware. Par exemple, vous pourriez avoir besoin d’exclure les dossiers utilisés par les applications de sauvegarde.

L’ajout d’exclusions réduit votre protection.

L’ajout d’exclusions à l’aide de l’option globale Vue générale > Paramètres généraux > Exclusions générales, crée des exclusions qui s’appliquent à tous les utilisateurs et appareils.

Nous vous recommandons d’utiliser cette option et d’assigner la stratégie contenant l’exclusion uniquement aux utilisateurs et aux appareils pour lesquels l’exclusion est nécessaire.

Pour créer une exclusion de la stratégie de protection antiransomware, procédez comme suit :

  1. Cliquez sur Ajouter une exclusion (dans le coin supérieur droit de la page).

    La boîte de dialogue Ajouter une exclusion apparaît.

  2. Dans Type d’exclusion, sélectionnez Protection antiransomware (Windows).
  3. Choisissez si vous souhaitez exclure un processus ou un dossier.
  4. Dans VALEUR, saisissez le chemin du processus ou du dossier à exclure.

    Vous pouvez utiliser des variables. Retrouvez plus de renseignements à la section Prévention des Exploits ou exclusions de ransomware : variables.

  5. Cliquez sur Ajouter ou sur Ajouter une autre. L’exclusion est ajoutée dans la liste présente dans la page Exclusions générales.

    L’exclusion s’applique uniquement aux utilisateurs ou aux appareils auxquels vous assignez cette stratégie.

Pour modifier une exclusion ultérieurement, cliquez sur son nom dans la liste des exclusions, saisissez les nouveaux paramètres puis cliquez sur Mettre à jour.

Restriction : Vous pouvez uniquement créer des exclusions pour les applications Windows.

Messagerie de bureau

Remarque : Veuillez désactiver Utiliser les paramètres recommandés pour configurer Messagerie de bureau.

Vous pouvez ajouter un message à la fin de la notification standard. Si vous laissez le champ vide, seul le message standard est affiché.

L’option Messagerie de bureau est activée par défaut.

Cliquez dans le champ et saisissez le message que vous voulez ajouter.