Protection des serveurs contre les menaces

La protection contre les menaces assure votre sécurité contre les programmes malveillants, les types de fichiers et sites Web dangereux et le trafic réseau malveillant.

Les SophosLabs surveillent les fichiers qui sont contrôlés de manière indépendante. Ils peuvent ajouter ou supprimer le contrôle de certains types de fichier afin d’assurer une protection optimale.

Vous pouvez soit utiliser les paramètres conseillés, soit les modifier.

Retrouvez plus de renseignements sur l’évaluation des menaces sur Adwares et PUA.

Intercept X Advanced for Server

Si vous avez cette licence, votre stratégie de protection contre les menaces offre la protection contre les ransomwares et les Exploits, la détection des menaces sans signature et l’analyse de l’origine de l’attaque (Root Cause Analysis) des événement de menace.

Nous vous conseillons d’utiliser ces paramètres pour bénéficier d’une protection maximale.

si vous activez une de ces fonctions, les serveurs assignés à cette stratégie utiliseront une licence Intercept X Advanced for Server.

Voir Intercept X Advanced for Server.

Paramètres par défaut de Server Protection

Nous vous conseillons de conserver ces paramètres activés. Ces paramètres sont d’une extrême simplicité à configurer et vous permettent de bénéficier d’une protection optimale. Voir Paramètres par défaut de protection des serveurs contre les menaces.

Ces paramètres offrent :

• La détection des malwares connus.
• Les vérifications Cloud pour activer la détection des malwares les plus récents recensés par Sophos.
• La détection proactive des malwares qui n’ont jamais encore été détectés.
• Le nettoyage automatique des malwares.
• L’exclusion automatique du contrôle des applications connues.

Live Protection

Live Protection vérifie la présence de fichiers suspects en consultant la base de données des menaces des SophosLabs. Ceci permet de détecter les menaces les plus récentes et d’éviter les faux positifs.

Utiliser Sophos Live Protection pour vérifier les informations sur les menaces les plus récentes dans la base de données en ligne des SophosLabs : Cette option vérifie les fichiers au cours du contrôle en temps réel.

Pour consulter notre base de données de menaces, allez dans Adwares et PUA.

Deep Learning

Le Deep Learning détecte automatiquement les menaces, en particulier les menaces inconnues qui n’ont jamais été observées auparavant. Il utilise le Machine Learning et ne dépend pas des signatures.

Contrôle en temps réel - Fichiers locaux et partages réseau

Le contrôle en temps réel détecte les malwares connus lorsque les fichiers sont ouverts et mis à jour. Il empêche l’exécution de malwares connus lorsque des fichiers infectés sont ouverts par des applications légitimes.

Contrôle fournit un contrôle en temps réel des fichiers locaux et distants (fichiers accessibles depuis le réseau) par défaut.

Sélectionnez local si vous souhaitez uniquement contrôler des fichiers sur l’appareil.

• À la lecture : Les fichiers seront contrôlés à leur ouverture.
• À l’écriture : Les fichiers seront contrôlés lors de leur enregistrement.

Activer le contrôle pour Server Protection for Linux Agent : Ceci permet l’analyse en temps réel sur les appareils Linux.

Contrôle en temps réel - Internet

Le contrôle en temps réel contrôle les ressources Internet au moment où les utilisateurs tentent d’y accéder.

Contrôler les téléchargements en cours

Ce paramètre permet de contrôler les téléchargements et les éléments de page avant qu’ils n’atteignent le navigateur.

• Connexions HTTP : Nous contrôlons tous les éléments et téléchargements.
• Connexions HTTPS : Nous ne contrôlons aucun élément, sauf si vous activez Déchiffrer les sites Web HTTPS avec SSL/TLS.

Bloquer l’accès aux sites Web malveillants

Ce paramètre bloque l’accès aux sites Web connus pour héberger des malwares.

Nous vérifions la réputation pour voir si le site est connu pour héberger du contenu malveillant (Recherche SXL4). Si vous désactivez Live Protection, vous désactiverez également cette vérification.

• Connexions HTTP : Toutes les URL sont contrôlées, y compris les requêtes HTTP GET complètes.
• Connexions HTTPS : Les URL de base sont vérifiées à l’aide de l’indication du nom du serveur (SNI). Si vous activez Déchiffrer les sites Web HTTPS avec SSL/TLS, nous contrôlons toutes les URL, y compris les requêtes HTTP GET complètes.

Détecter les téléchargements de réputation douteuse

Ce paramètre vérifie la réputation du téléchargement en fonction de la source du fichier, de sa fréquence de téléchargement, etc. Utilisez les options suivantes pour définir le mode de traitement des téléchargements.

Définissez l’Action à effectuer pour Avertir l’utilisateur : Un avertissement s’affiche lorsque l’utilisateur télécharge un fichier de réputation douteuse. Il peut accepter ou supprimer ce fichier. Il s’agit du paramètre par défaut.

Définissez le Niveau de réputation comme l’une des valeurs suivantes :

• Conseillé : Les fichiers de réputation douteuse sont automatiquement bloqués. Il s’agit du paramètre par défaut.
• Strict : Les téléchargements de réputation moyenne et douteuse sont automatiquement bloqués et signalés à Sophos Central.

Retrouvez plus de renseignements sur les niveaux de réputation sur Télécharger la Réputation.

Contrôle en temps réel - Options

Exclure automatiquement l’activité des applications connues : Ce paramètre exclut les applications les plus utilisées, conformément aux recommandations de leurs fournisseurs.

Retrouvez plus de renseignements sur Produits tiers automatiquement exclus.

Remédiation

Activer la création du Graphique de menace : Ce paramètre permet de mener une investigation sur la chaîne d’événements d’une attaque de malwares. En l’activant, vous pourrez analyser les attaques que nous avons détectées et arrêtées.

Sophos Central nettoie automatiquement les éléments détectés sur les ordinateurs Windows et les appareils Linux exécutant Sophos Protection for Linux. Sophos Central supprime le fichier de son emplacement actuel et le met en quarantaine dans SafeStore. Les fichiers restent dans SafeStore jusqu’à ce qu’ils soient autorisés ou supprimés pour faire de la place aux nouvelles détections. Vous pouvez restaurer les fichiers mis en quarantaine dans SafeStore en les ajoutant aux Applications autorisées. Voir Applications autorisées.

SafeStore a les limites par défaut suivantes :

• La limite pour un seul fichier est de 100 Go.
• La taille totale de la quarantaine est de 200 Go.
• Le nombre maximum de fichiers stockés est de 2000.

Protection à l’exécution (runtime)

La protection à l’exécution assure la protection contre les menaces en détectant le comportement ou le trafic suspect ou malveillant.

Protéger les fichiers document contre les ransomwares (CryptoGuard) : Ce paramètre permet d’assurer la protection contre les malwares qui bloquent l’accès aux fichiers et demandent une rançon pour les libérer. Il est activé par défaut. Nous vous conseillons de le garder activé.

Vous pouvez également utiliser les options suivantes :

• Protéger contre les ransomwares exécutés à distance : Ce paramètre garantit la protection de tout le réseau. Nous vous conseillons de le garder activé.
• Protéger contre les attaques de chiffrement des fichiers système : Ce paramètre protège l’ordinateur contre les ransomwares qui chiffrent le système de fichiers. Si un ransomware est détecté, vous pouvez choisir l'action à prendre. Vous pouvez mettre fin aux processus du ransomware ou l’isoler pour l’empêcher d’écrire dans le système de fichiers.

Protéger contre les ransomwares d’enregistrement de démarrage principal : Ce paramètre permet de protéger l’appareil contre les ransomwares qui chiffrent l’enregistrement de démarrage principal (et empêchent donc le démarrage) et contre les attaques qui formatent le disque dur.

Protéger les fonctions critiques des navigateurs Web (Navigation sécurisée) : Ce paramètre protège vos navigateurs Web contre les tentatives de détournement du navigateur.

Limiter les attaques dans les applications vulnérables : Ce paramètre protège les applications les plus susceptibles d’être attaqués par des malwares. Vous pouvez sélectionner les types d’application à protéger.

Protéger les processus : Cette option empêche tout piratage d’applications légitimes par des malwares. Vous pouvez choisir parmi les options suivantes :

• Bloquer les attaques contre les processus creux : Celles-ci sont également connues sous le nom de « remplacement de processus » ou injection DLL. Cette technique est généralement utilisée pour injecter du code malveillant dans une application légitime afin d’essayer de contourner le logiciel de sécurité.

  La désactivation de ce paramètre permettra à un cybercriminel de contourner plus facilement votre logiciel de sécurité.

• Bloquer le chargement de DLL à partir de dossiers non fiables : Ce paramètre protège contre le téléchargement de fichiers DLL à partir de dossiers non fiables.

• Empêcher le vol de codes d’accès : empêche le vol des mots de passe et le hachage d’informations à partir de la mémoire, du registre ou du disque dur.
• Empêcher l’utilisation de « Code cave » : détecte le code malveillant qui a été inséré dans une autre application légitime.
• Empêcher la violation APC : empêche les attaques d’utiliser les appels de procédure d’application (APC ou Application Procedure Calls) pour exécuter leur code.
• Empêcher l’élévation des privilèges : empêche les attaques d’élever les privilèges limités d’un processus à des privilèges lui permettant d’accéder à vos systèmes.

Détection dynamique de shellcode : Ce paramètre détecte le comportement des agents de commande et de contrôle cachés et empêche les cybercriminels de prendre le contrôle de vos réseaux.

Valider l’appelant du protocole CTF : Ce paramètre bloque les applications qui tentent d’exploiter une vulnérabilité dans un composant Windows, connu sous le nom de « CTF », présente dans toutes les versions de Windows. La vulnérabilité permet aux cybercriminels, qui ne sont pas administrateurs, de détourner tous les processus Windows, notamment les applications s’exécutant dans une sandbox. Nous vous recommandons d’activer l’option Valider l’appelant du protocole CTF.

Empêcher le chargement des modules non sécurisés : Ce paramètre empêche les applications de télécharger les DLL malveillantes se faisant passer pour des DLL ApiSet Stub. Les DLL ApiSet Stub servent de proxy pour maintenir la compatibilité entre les anciennes applications et les versions plus récentes du système d’exploitation. Les cybercriminels peuvent utiliser des DLL ApiSet Stub malveillantes pour contourner la protection antialtération et désactiver la protection antimalware.

Protéger les cookies de navigateurs utilisés pour la connexion MFA : Ce paramètre empêche les applications non autorisées de déchiffrer la clé AES utilisée pour chiffrer les cookies d’authentification multi-facteurs (MFA).

Empêcher l’utilisation malveillante des instructions syscall : Ce paramètre bloque les tentatives d’échapper à la surveillance par des appels directs aux API système.

Empêcher les abus de point d’arrêt matériel : Ce paramètre empêche l’utilisation abusive des points d’arrêt matériels.

Protéger le trafic réseau

• Détecter les connexions malveillantes vers des serveurs de commande et de contrôle : Cette option permet de détecter le trafic entre un ordinateur et un serveur qui pourrait indiquer une tentative éventuelle de prise de contrôle du terminal.
• Empêcher le trafic réseau malveillant avec l’inspection des paquets (IPS) : Cette option contrôle le trafic au niveau le plus bas et bloque les menaces avant qu’elles ne puissent endommager le système d’exploitation ou les applications. Cette option est désactivée par défaut.

Détections à l’exécution (runtime) Linux : Ce paramètre vous permet de bénéficier de la visibilité à l’exécution et de la détection des menaces pour les charges de travail et les conteneurs de serveurs Linux. Vous pouvez gérer ces alertes dans le Centre d’analyse des menaces. Retrouvez plus de renseignements sur Détections.

Empêcher les balises malveillantes de se connecter aux serveurs de commande et de contrôle : Ce paramètre identifie et bloque les balises qui tentent d’échapper à la détection en restant chiffrées.

Surveiller l’utilisation des API des pilotes : Ce paramètre détecte les tentatives d’utilisation abusive des API normalement utilisées par des applications légitimes telles que des imprimantes ou des cartes réseau virtuelles pour interagir avec le code en mode noyau.

Détecter les comportements malveillants : Ce paramètre permet d’assurer la protection contre les menaces encore inconnues. Il détecte et bloque les comportements malveillants ou suspects.

Protection AMSI : Ce paramètre assure la protection contre le code malveillant (par exemple, les scripts PowerShell) à l’aide de l’interface AMSI (Antimalware Scan Interface).

Le code transmis via AMSI est contrôlé avant son exécution. Le terminal informe les applications utilisées pour exécuter le code de la présence d’une menace. Si une menace est détectée, un événement est consigné dans le journal.

Empêcher la suppression de l’enregistrement AMSI : Ce paramètre permet de s’assurer qu’AMSI ne peut pas être supprimé de vos ordinateurs.

Surveiller les événements du contrôleur de domaine : Ce paramètre offre une visibilité supplémentaire sur la protection contre les attaques ciblant les contrôleurs de domaine comme par exemple PetitPotam. Ce paramètre est activé par défaut.

Activer Sophos Security Heartbeat : Ce paramètre envoie des rapports sur l’état d’intégrité à chaque Sophos Firewall enregistré sous votre compte Sophos Central. Si plusieurs pare-feu sont enregistrés, les rapports sont envoyés au pare-feu le plus proche. Si un rapport indique qu’un serveur est peut-être compromis, le pare-feu limite son accès.

Protection adaptative contre les attaques

Activer automatiquement les protections supplémentaires lors de l’attaque d’un appareil : Ce paramètre active un ensemble de protection plus agressif lorsqu’une attaque est détectée. Ces niveaux de protection supplémentaires sont conçus pour perturber les actions d’un cybercriminel.

Vous pouvez également activer de manière permanente les fonctions de Protection adaptative contre les attaques.

• Activer la protection en mode sans échec : Ce paramètre active la protection Sophos lorsque les appareils fonctionnent en mode sans échec. Certains composants et fonctions, tels que le Relais de messagerie et le Cache de mise à jour, ne sont pas disponibles en mode sans échec.
• Bloquer l’utilisation abusive du mode sans échec : Ce paramètre détecte et bloque les activités indiquant qu’un cybercriminel tente de mettre l’appareil en mode sans échec.

Paramètres avancés

Ces paramètres servent uniquement à tester ou à résoudre des problèmes. Nous vous conseillons de conserver ces paramètres activés par défaut.

Bloquer le protocole QUIC pour les connexions du navigateur

Sélectionnez Bloquer l’accès du navigateur QUIC (Connexions Internet UDP rapides) aux sites Web pour empêcher ces connexions.

Les navigateurs QUIC peuvent contourner la vérification de notre site Web pour certains sites Le blocage de QUIC garantit que nous appliquons le déchiffrement SSL/TLS et que nous vérifions ces sites.

Le paramètre par défaut, est « Inactif ».

Déchiffrement SSL/TLS de sites Web HTTPS

Si vous sélectionnez Déchiffrer les sites Web HTTPS avec SSL/TLS, nous déchiffrons et vérifions le contenu des sites Web HTTPS à la recherche de menaces.

Si nous déchiffrons un site Web potentiellement dangereux, nous le bloquons. Nous affichons un message à l’utilisateur pour lui donner la possibilité d’envoyer le site aux SophosLabs pour réévaluation.

Par défaut, le déchiffrement est désactivé.

Si le déchiffrement HTTPS est activé dans une stratégie qui s’applique à un appareil :

• le déchiffrement HTTPS est également activé sur cet appareil pour les opérations de contrôle du Web.
• Les fonctions de protection du Contrôle en temps réel - Internet ont également accès au contenu complet du site, les téléchargements et les URL de page

Exclusions du déchiffrement HTTPS

Par défaut, nous excluons du déchiffrement certaines catégories de sites, telles que les services bancaires et la messagerie Web. En effet, les sites de ces catégories contiennent des informations personnelles.

Vous pouvez modifier les exclusions dans les paramètres généraux. Allez dans Mes produits > Paramètres généraux > Général > Déchiffrement SSL/TLS de sites Web HTTPS.

Contrôle en temps réel pour Linux

Si vous sélectionnez Activer le contrôle pour Server Protection for Linux Agent, nous contrôlons les fichiers pendant que les utilisateurs tentent d'y accéder. Nous autorisons l’accès si le fichier est sain.

Par défaut, le contrôle en temps réel pour Linux est désactivé.

Contrôle planifié

Le contrôle planifié procède au contrôle à l’heure ou aux heures que vous avez indiquées.

Le contrôle planifié peut ne pas être nécessaire lorsque le contrôle en temps réel est activé. Cependant, il peut tout de même être utile pour différents cas d’utilisation, notamment pour vérifier des fichiers plus anciens et aider dans le cadre d’investigation de sécurité. Nous recommandons l’exécution de contrôles planifiés en dehors des heures de pointe pour minimiser les impacts potentiels sur la charge système. Nous recommandons également d’utiliser le contrôle en temps réel, qui contrôle les fichiers au moment de leur accès ou de leur modification, plutôt que de compter uniquement sur des intervalles de contrôles planifiés. Voir Contrôle en temps réel - Fichiers locaux et partages réseau.

Vous pouvez sélectionner les options suivantes :

• Activer le contrôle planifié : Cette option vous permet de programmer une heure et un ou plusieurs jours pour le contrôle.

  L’heure du contrôle planifié correspond à l’heure des terminaux (pas l’heure UTC).

• Activer le contrôle en profondeur : Si vous sélectionnez cette option, les archives sont contrôlées pendant les contrôles planifiés. Cette option augmente la charge de travail du système et ralentit considérablement le contrôle.

Exclusions

Vous pouvez exclure des fichiers, des dossiers, des sites Web ou des applications du contrôle à la recherche de menaces comme indiqué ci-dessous.

Nous continuerons à vérifier toute présence de failles d’exploitation dans les éléments exclus. Toutefois, vous pouvez arrêter la vérification d’une faille d’exploitation qui a déjà été détectée. Utiliser une exclusion d’Exploits détectés.

Les exclusions définies dans une stratégie concernent uniquement les utilisateurs auxquels s’applique la stratégie.

Pour créer une stratégie d’exclusion du contrôle :

1. Cliquez sur Ajouter une exclusion (dans le coin supérieur droit de la page).

   La boîte de dialogue Ajouter une exclusion apparaît.

2. Dans la liste déroulante Type d’exclusion, sélectionnez un type d’élément à exclure (fichier ou dossier, site Web, application potentiellement indésirable ou isolement d’un appareil).

3. Indiquez un ou plusieurs éléments à exclure.
4. Dans le cas d’exclusions de Fichier ou dossier uniquement, dans la liste déroulante Activer pour, indiquez si l’exclusion s’applique au contrôle en temps réel, au contrôle planifié ou aux deux.
5. Cliquez sur Ajouter ou sur Ajouter une autre. L’exclusion est ajoutée dans la liste des exclusions du contrôle.

Pour modifier une exclusion ultérieurement, cliquez sur son nom dans la liste des exclusions, saisissez les nouveaux paramètres puis cliquez sur Mettre à jour.

Exclusions du contrôle

Vous pouvez exclure des fichiers, dossiers, sites Web et applications du contrôle des menaces.

Les exclusions définies dans une stratégie concernent uniquement les serveurs auxquels s’applique la stratégie.

Pour en savoir plus sur l'utilisation des exclusions, consultez Utilisation des exclusions en toute sécurité.

Pour créer une exclusion du contrôle, procédez comme suit :

1. Dans Exclusions, cliquez sur Ajouter une exclusion.
2. Dans la boîte de dialogue Ajouter une exclusion, dans le champ Type d’exclusion, sélectionnez un type d’élément à exclure (fichier ou dossier, site web, application potentiellement indésirable ou isolement d’appareil).

3. Indiquez un ou plusieurs éléments à exclure. Les règles suivantes s’appliquent :

   • Fichier ou dossier (Windows) : Sur Windows, vous pouvez exclure le chemin complet vers un lecteur, un dossier ou un fichier. Vous pouvez utiliser les caractères de remplacement et les variables. Veuillez consulter les exemples suivants.

     • Dossier : C:\programdata\adobe\photoshop\
     • Lecteur complet : D:
     • Fichiers : C:\program files\program\*.vmg

   • Fichier ou dossier (Linux) : Sur Linux, vous pouvez exclure un dossier ou un fichier. Vous pouvez utiliser les caractères de remplacement ? et *. Exemple : /mnt/hgfs/excluded.

   • Processus (Windows) : Vous pouvez exclure tous les processus exécutés à partir d’une application. Cette opération exclut également les fichiers que le processus utilise (uniquement lorsque ce processus y accède). Si possible, saisissez le chemin complet vers l’application, et pas seulement le nom du processus affiché dans le Gestionnaire des tâches. Exemple : %PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe.

     Remarque

     Retrouvez plus de renseignements sur tous les processus ou autres éléments que vous avez besoin d’exclure pour une application dans le documentation de l’éditeur de l’application.

   • Site Web (Windows) : Vous pouvez indiquer l’adresse IP, la plage d’adresses IP (« notation CIDR » ou Classless Inter-Domain Routing) ou le domaine des sites Web. Exemples :

     • Adresse IP : 192.168.0.1
     • Plage d’adresses IP : 192.168.0.0/24 Le suffixe /24 correspond au nombre de bits dans le préfixe commun à toutes les adresses IP de cette plage. Par conséquent, /24 équivaut au masque réseau 11111111.11111111.11111111.00000000, ou 255.255.255.0 en représentation décimale. Dans notre exemple, la plage inclut toutes les adresses IP de 192.168.0.0 à 192.168.0.255.
     • Domaine : google.com

     Si vous excluez un site Web, nous ne contrôlons pas la catégorie du site Web et il est exclu de la protection du contrôle Web. Voir Contrôle du Web pour serveurs.

   • Application potentiellement indésirable (Windows/Mac/Linux) : Vous pouvez exclure les applications généralement détectées comme spyware. Indiquez l’exclusion en utilisant le même nom que celui sous lequel le système l’a détecté, par exemple PsExec ou Cain n Abel. Retrouvez plus de renseignements sur les PUA sur Adwares et PUA.

   • Exploits détectés (Windows/Mac). Vous pouvez exclure les exploits détectés à l’aide d’un ID de détection. Vous pouvez utiliser cette option lorsque vous travaillez avec le support Sophos pour résoudre une détection de faux positifs. Le support Sophos peut vous donner un ID de détection et vous pouvez alors exclure la détection de faux positifs. Pour ce faire, cliquez sur L’Exploit n’est pas dans la liste ? et saisissez l’ID.

4. Cliquez sur Ajouter ou sur Ajouter une autre. L’exclusion est ajoutée dans la liste des exclusions du contrôle.

Pour modifier une exclusion ultérieurement, cliquez sur son nom dans la liste des exclusions, saisissez les nouveaux paramètres puis cliquez sur Mettre à jour.

Exclusion de hachage

L’exclusion de hachage interrompt le hachage de fichiers pour les journaux Sophos et le Data Lake et peut avoir un impact sur les performances.

Pour ajouter une exclusion de hachage, procédez comme suit :

1. Dans Exclusions, cliquez sur Ajouter une exclusion.

2. Dans la boîte de dialogue Ajouter une exclusion, procédez comme suit :

   1. Dans Type d’exclusion, sélectionnez Exclusion de hachage (Windows).
   2. Dans Fichier/Dossier ou Processus, sélectionnez un fichier ou un dossier, ou un processus.
   3. Dans Valeur, saisissez le chemin d’exclusion. Vous pouvez exclure un lecteur, un dossier ou un fichier. Vous pouvez également utiliser des caractères de remplacement. Retrouvez plus de renseignements à la section Exclusions du contrôle Windows.
   4. Cliquez sur Ajouter.

3. Sur la page Protection contre les menaces, cliquez sur Enregistrer.

Messagerie de bureau

Vous pouvez ajouter un message à la fin de la notification standard. Si vous laissez le champ vide, seul le message standard est affiché.

L’option Activer la messagerie de bureau pour la protection contre les menaces est activée par défaut. Si vous désactivez cette option, vous ne verrez plus de messages de notification concernant la Protection contre les menaces.

Saisissez le texte à ajouter.