Endpoint : Protection contre les menaces
La protection contre les menaces assure votre sécurité contre les programmes malveillants, les types de fichiers et sites Web dangereux et le trafic réseau malveillant.
Remarque
Cette page vous explique les paramètres de stratégies pour les terminaux. Différents paramètres de stratégie s’appliquent aux serveurs.
Les SophosLabs surveillent les fichiers qui sont contrôlés de manière indépendante. Ils peuvent ajouter ou supprimer le contrôle de certains types de fichier afin d’assurer une protection optimale.
Retrouvez plus de renseignements sur la façon dont nous évaluons les menaces à la section Centre Sophos d’analyse des menaces.
Utiliser les paramètres recommandés
Avertissement
Procédez avec prudence avant de modifier les paramètres conseillés car cette opération peut affaiblir votre niveau de protection.
Cliquez sur Utiliser les paramètres recommandés si vous voulez utiliser les paramètres conseillés par Sophos. Ces paramètres sont d’une extrême simplicité à configurer et vous permettent de bénéficier d’une protection optimale.
Si nos conseils devaient changer à l’avenir, nous mettrons automatiquement à jour votre stratégie avec les nouveaux paramètres.
Les paramètres conseillés offrent :
- La détection des malwares connus.
- Les vérifications Cloud pour activer la détection des malwares les plus récents recensés par Sophos.
- La détection proactive des malwares qui n’ont jamais encore été détectés.
- Le nettoyage automatique des malwares.
Configurer la protection contre les menaces
Cette vidéo vous explique comment créer une stratégie de protection contre les menaces. Vous y trouverez également toutes nos recommandations concernant les meilleures pratiques d’utilisation.
Deep Learning
Deep Learning utilise l’apprentissage machine avancé pour détecter les menaces. Il identifie les malwares connus et auparavant inconnus ainsi que les applications potentiellement indésirables sans l’aide de signatures.
Deep Learning est uniquement disponible avec Sophos Intercept X.
Live Protection
Sophos Live Protection vérifie la présence de fichiers suspects en consultant la base de données des SophosLabs recensant les malwares les plus récents.
Vous pouvez sélectionner ces options :
Utiliser Sophos Live Protection pour vérifier les informations sur les menaces les plus récentes dans la base de données en ligne des SophosLabs : Cette option vérifie les fichiers au cours du contrôle en temps réel.
Contrôle en temps réel - Fichiers locaux et partages réseau
Le contrôle en temps réel procède au contrôle des fichiers au moment où l’utilisateur tente d’y accéder. L’accès est autorisé si le fichier est sain.
Les fichiers locaux sont contrôlés par défaut. Vous pouvez aussi sélectionner Fichiers distants pour contrôler les fichiers sur les partages réseau.
Contrôle en temps réel - Internet
Le contrôle en temps réel contrôle les ressources Internet au moment où les utilisateurs tentent d’y accéder. Vous pouvez sélectionner ces options :
Contrôler les téléchargements en cours : Ce paramètre permet de contrôler les téléchargements et les éléments de page avant qu’ils n’atteignent le navigateur.
- Connexions HTTP : Nous contrôlons tous les éléments et téléchargements.
- Connexions HTTPS : Nous ne contrôlons aucun élément, sauf si vous activez Déchiffrer les sites Web HTTPS avec SSL/TLS.
Bloquer l’accès aux sites Web malveillants : L’accès aux sites Web connus pour héberger des programmes malveillants sera interdit.
Nous vérifions la réputation pour voir si le site est connu pour héberger du contenu malveillant (Recherche SXL4). Si vous désactivez Live Protection, vous désactiverez également cette vérification.
- Connexions HTTP : Toutes les URL sont contrôlées, y compris les requêtes HTTP GET complètes.
- Connexions HTTPS : Seules les URL de base sont contrôlées (SNI). Si vous activez Déchiffrer les sites Web HTTPS avec SSL/TLS, nous contrôlons toutes les URL, y compris les requêtes HTTP GET complètes.
Détecter les fichiers de réputation douteuse : Ce paramètre vérifie la réputation du téléchargement en fonction de la source du fichier, de sa fréquence de téléchargement, etc. Utilisez les options suivantes pour définir le mode de traitement des téléchargements.
Vous pouvez indiquer :
-
Action à prendre sur les téléchargements de réputation douteuse : Définissez l’une des options suivantes :
- Avertir l’utilisateur : Lorsqu’un fichier de réputation inconnue ou douteuse est sélectionné pour le téléchargement, l’utilisateur est invité à le bloquer ou à approuver et autoriser le téléchargement. Il s’agit du paramètre par défaut.
- Consigner uniquement : Les détails du fichier téléchargé sont enregistrés dans le journal local, mais l’utilisateur ne recevra aucune invites.
-
Niveau de réputation : Définissez l’une des options suivantes :
- Conseillé : Les fichiers de réputation douteuse sont automatiquement bloqués. Il s’agit du paramètre par défaut.
- Strict : Les téléchargements de réputation moyenne et douteuse sont automatiquement bloqués et signalés à Sophos Central.
Voir Réputation des téléchargements.
Remédiation
Les options de remédiation sont les suivantes :
-
Nettoyer automatiquement les malwares : Sophos Central nettoie automatiquement les malwares détectés et journalise ce nettoyage. Vous retrouverez ces informations dans la liste des Événements.
Restriction
Les ordinateurs Windows nettoient toujours les éléments détectés, quel que soit ce paramètre. Vous pouvez restaurer des éléments qui ont été nettoyés sous Windows. Vous ne pouvez pas restaurer ces éléments sur Mac, mais nous vous recommandons quand même d’activer le nettoyage automatique sur Mac.
Lorsque Sophos Central nettoie un fichier, il supprime le fichier de son emplacement actuel et le met en quarantaine dans SafeStore. Les fichiers restent dans SafeStore jusqu’à ce qu’ils soient autorisés ou supprimés pour faire de la place aux nouvelles détections. Vous pouvez restaurer les fichiers mis en quarantaine dans SafeStore en les ajoutant aux Applications autorisées. Voir Applications autorisées.
SafeStore a les limites par défaut suivantes :
- La limite pour un seul fichier est de 100 Go.
- La taille totale de la quarantaine est de 200 Go.
- Le nombre maximum de fichiers stockés est de 2000.
-
Activer la création du Graphique de menace : Les dossiers Menace vous permettent d’examiner en profondeur la série d’événements d’une attaque de malware et d’identifier les zones sur lesquelles la sécurité peut être renforcée.
Protection à l’exécution (runtime)
Vous devez rejoindre le programme d’accès anticipé pour utiliser certaines options.
La protection à l’exécution assure la protection contre les menaces en détectant le comportement ou le trafic suspect ou malveillant. Vous pouvez sélectionner :
Protéger les fichiers document contre les ransomwares (CryptoGuard) : Cette option permet de protéger des fichiers document contre les malwares empêchant l’accès aux fichiers et demandant le paiement d’une somme d’argent pour les rendre accessibles. Vous pouvez également choisir de protéger les ordinateurs 64 bits contre les ransomwares s’exécutant depuis un emplacement distant.
Vous pouvez également utiliser les options suivantes :
- Protéger contre les ransomwares exécutés à distance : Ce paramètre garantit la protection de tout le réseau. Nous vous conseillons de le garder activé.
- Protéger contre les attaques de chiffrement des fichiers système : protège l’ordinateur contre les ransomwares qui chiffrent le système de fichiers. Choisissez l’action à effectuer en cas de détection d’un ransomware. Vous pouvez mettre fin aux processus du ransomware ou l’isoler pour l’empêcher d’écrire dans le système de fichiers.
Protéger contre les ransomwares d’enregistrement de démarrage principal : Cette option permet de protéger l’ordinateur contre les ransomwares qui chiffrent l’enregistrement de démarrage principal (et empêchent donc le démarrage) et contre les attaques qui formattent le disque dur.
Protéger les fonctions critiques des navigateurs Web (Navigation sécurisée) : Cette option permet de protéger les navigateurs Web contre toute mauvaise exploitation par des malwares.
Limiter les attaques dans les applications vulnérables : Cette option permet de protéger les applications les plus susceptibles d’être attaquées par des malwares. Vous pouvez sélectionner les types d’application à protéger.
Protéger les processus : Cette option empêche tout piratage d’applications légitimes par des malwares. Vous pouvez sélectionner les options suivantes :
-
Bloquer les attaques contre les processus creux : protège contre les attaques de remplacement de processus.
La désactivation de ce paramètre permettra à un cybercriminel de contourner plus facilement votre logiciel de sécurité.
-
Bloquer le chargement de DLL à partir de dossiers non fiables : protège contre le chargement de fichiers .DLL à partir de dossiers non fiables.
- Empêcher le vol de codes d’accès : empêche le vol des mots de passe et le hachage d’informations à partir de la mémoire, du registre ou du disque dur.
- Empêcher l’utilisation de « Code cave » : détecte le code malveillant qui a été inséré dans une autre application légitime.
- Empêcher la violation APC : empêche les attaques d’utiliser les appels de procédure d’application (APC ou Application Procedure Calls) pour exécuter leur code.
- Empêcher l’élévation des privilèges : empêche les attaques d’élever les privilèges limités d’un processus à des privilèges lui permettant d’accéder à vos systèmes.
Détection dynamique de shellcode : Cette option détecte le comportement des agents d’accès à distance malveillants et empêche les cybercriminels de prendre le contrôle de vos réseaux.
Valider l’appelant du protocole CTF : Cette option intercepte et bloque les applications qui tentent d’exploiter CTF.
Une vulnérabilité dans un composant Windows, connu uniquement sous le nom de « CTF », présente dans toutes les versions de Windows XP, permet à un cybercriminel non administratif et non autorisé de détourner tous les processus Windows de son choix, y compris les applications qui s’exécutent dans une « sandbox ».
Empêcher le chargement des modules non sécurisés : Cette option empêche une application de charger une DLL malveillante se faisant passer pour une DLL ApiSet Stub.
Les DLL ApiSet Stub sont des DLL qui servent de proxy pour maintenir la compatibilité entre les anciennes applications et les versions plus récentes du système d’exploitation. Les cybercriminels peuvent placer des DLL ApiSet Stub malveillantes pour manipuler cette fonctionnalité, ou contourner la protection antialtération et désactiver la protection antimalwares.
Leur désactivation affaiblira considérablement votre protection.
Protéger les cookies de navigateurs utilisés pour la connexion MFA. Cette option empêche les applications non autorisées de déchiffrer la clé AES utilisée pour chiffrer les cookies d’authentification multifacteur (MFA).
Empêcher les balises malveillantes de se connecter aux serveurs de commande et de contrôle : Ce paramètre identifie et bloque les balises qui tentent d’échapper à la détection en restant chiffrées.
Surveiller l’utilisation des API des pilotes : Ce paramètre détecte les tentatives d’utilisation abusive des API normalement utilisées par des applications légitimes telles que des imprimantes ou des cartes réseau virtuelles pour interagir avec le code en mode noyau.
Empêcher l’utilisation malveillante des instructions syscall : Ce paramètre bloque les tentatives d’échapper à la surveillance par des appels directs aux API système.
Empêcher les abus de point d’arrêt matériel : Ce paramètre empêche l’utilisation abusive des points d’arrêt matériels.
Protéger le trafic réseau
- Détecter les connexions malveillantes vers des serveurs de commande et de contrôle. Cette option permet de détecter le trafic entre un ordinateur et un serveur qui pourrait indiquer une tentative éventuelle de prise de contrôle du terminal.
- Empêcher le trafic réseau malveillant avec l’inspection des paquets (IPS). Cette option contrôle le trafic au niveau le plus bas et bloque les menaces avant qu’elles ne puissent endommager le système d’exploitation ou les applications.
Détecter les comportements malveillants : Cette option permet d’assurer la protection contre les menaces encore inconnues. Elle détecte et bloque les comportements malveillants ou suspects.
Protection AMSI (avec contrôle optimisé des menaces de scripts) : Cette option assure la protection contre le code malveillant (par exemple, les scripts PowerShell) à l’aide de l’interface AMSI (Antimalware Scan Interface). Le code transmis via AMSI est contrôlé avant son exécution et Sophos informe les applications utilisées pour exécuter le code de la présence de menaces. Si une menace est détectée, un événement est consigné dans le journal. Vous pouvez empêcher la suppression de l’enregistrement AMSI sur vos ordinateurs. Voir Antimalware Scan Interface (AMSI).
Empêcher la suppression de l’enregistrement AMSI : Ce paramètre permet de s’assurer qu’AMSI ne peut pas être supprimé de vos ordinateurs.
Protection adaptative contre les attaques
Activer automatiquement les protections supplémentaires lors de l’attaque d’un appareil : Ce paramètre active un ensemble de protection plus agressif lorsqu’une attaque est détectée. Ces niveaux de protection supplémentaires sont conçus pour perturber les actions d’un cybercriminel.
Vous pouvez également activer de manière permanente les fonctions de Protection adaptative contre les attaques.
-
Activer la protection en mode sans échec : Ce paramètre active la protection Sophos lorsque les appareils fonctionnent en mode sans échec. Certains composants et fonctions, tels que le Relais de messagerie et le Cache de mise à jour, ne sont pas disponibles en mode sans échec.
-
Bloquer l’utilisation abusive du mode sans échec : Ce paramètre détecte et bloque les activités indiquant qu’un cybercriminel tente de mettre l’appareil en mode sans échec.
Paramètres avancés
Ces paramètres servent uniquement à tester ou à résoudre des problèmes. Nous vous conseillons de conserver ces paramètres activés par défaut.
Bloquer le protocole QUIC pour les connexions du navigateur
Pour les Mac, cette fonction est uniquement disponible si vous participez au Programme d’accès anticipé (EAP).
Sélectionnez Bloquer l’accès du navigateur QUIC (Connexions Internet UDP rapides) aux sites Web pour empêcher ces connexions.
Les navigateurs QUIC peuvent contourner la vérification de notre site Web pour certains sites Le blocage de QUIC garantit que nous appliquons le déchiffrement SSL/TLS et que nous vérifions ces sites.
Le paramètre par défaut, est « Inactif ».
Déchiffrement SSL/TLS de sites Web HTTPS
Pour les Mac, cette fonction est uniquement disponible si vous participez au Programme d’accès anticipé (EAP).
Si vous sélectionnez Déchiffrer les sites Web HTTPS avec SSL/TLS, nous déchiffrons et vérifions le contenu des sites Web HTTPS à la recherche de menaces sur les ordinateurs de vos clients.
Si nous déchiffrons un site Web dangereux, nous le bloquons. Nous affichons un message à l’utilisateur pour lui donner la possibilité d’envoyer le site aux SophosLabs pour réévaluation.
Par défaut, le déchiffrement est désactivé.
Remarque
Si le déchiffrement est activé dans la stratégie de Protection contre les menaces appliquée à un appareil, il est également utilisé pour les vérifications de contrôle Web sur le même appareil.
Si vous activez ce paramètre, vos clients ne pourront pas effectuer de modifications.
Remarque
Si vos clients participent au programme d’accès anticipé (EAP) des Nouvelles fonctions d’Endpoint Protection, ils peuvent activer ou désactiver le déchiffrement pour les sites Web HTTPS. Ils peuvent modifier ler les paramètres que vous avez choisis.
Isolement de l’appareil
Si vous sélectionnez cette option, les appareils s’isoleront de votre réseau en cas de mauvais état de fonctionnement. Lorsque l’état d’intégrité d’un appareil est « rouge », ceci signifie que des menaces sont détectées, que le logiciel n’est pas mis à jour, que la conformité à la stratégie n’est pas respectée ou que l’appareil n’est pas protégé correctement.
Remarque
Sophos Central utilise un large gamme de facteurs pour déterminer l’état d’intégrité des appareils. Ceci implique parfois qu’il signale un état d’intégrité différent, depuis l’appareil lui-même. Ceci n’affecte pas l’isolement. Nous isolons uniquement les appareils indiquant un état d’intégrité rouge.
Vous pouvez toujours administrer les appareils isolés à partir de Sophos Central. Vous pouvez également utiliser les exclusions du contrôle ou les exclusions générales afin d’accorder un accès limité pour la résolution de problèmes.
Vous ne pouvez pas sortir ces appareils de l’isolement. Ils communiqueront de nouveau avec le réseau lorsque leur état de fonctionnement passera au « vert ».
Nous vous recommandons d’évaluer l’impact de cette option sur votre réseau avant de l’appliquer. Pour ce faire, activez-la dans une stratégie et appliquez-la à un échantillon représentatif d’appareils.
Remarque
Lorsque les appareils de vos utilisateurs passent à l’isolement, ils peuvent apparemment toujours accéder à leurs fichiers réseau. Cela est dû à la fonction « Toujours disponible hors connexion » de Windows, qui crée des copies locales des lecteurs réseau mappés auxquels les utilisateurs peuvent accéder lorsqu’ils sont déconnectés. Ce comportement n’affecte pas l’isolement de l’appareil.
Contrôle planifié
Le contrôle planifié procède au contrôle à l’heure ou aux heures que vous avez indiquées.
Le contrôle planifié est une ancienne technique de détection des malwares. Il est rarement utilisé à présent que nous offrons le contrôle en arrière-plan. Son utilisation est susceptible de faire augmenter la charge du système et ralentir considérablement le contrôle. Nous vous recommandons de ne pas utiliser le contrôle planifié, sauf en cas de besoin spécifique.
Vous pouvez sélectionner ces options :
-
Activer le contrôle planifié : Cette option vous permet de programmer une heure et un ou plusieurs jours pour le contrôle.
Remarque
L’heure du contrôle planifié correspond à l’heure des terminaux (il ne s’agit pas de l’heure UTC).
-
Activer le contrôle en profondeur : Si vous sélectionnez cette option, les archives sont contrôlées pendant les contrôles planifiés. Cette option augmente la charge de travail du système et ralentit considérablement le contrôle.
Le contrôle planifié n’a lieu que lorsque l’ordinateur est connecté. Si l’ordinateur est hors connexion à l’heure du contrôle planifié, le contrôle n’a pas lieu. Le système lancera un contrôle à la prochaine heure planifiée, à condition que l’ordinateur soit connecté.
Exclusions
Vous pouvez exclure des fichiers, des dossiers, des sites Web ou des applications du contrôle à la recherche de menaces comme indiqué ci-dessous.
Restriction
Vous ne pouvez pas créer une exclusion « Atténuation des exploits et surveillance des activités (Windows) » sur la page Modèles généraux.
Nous continuerons à vérifier toute présence de failles d’exploitation dans les éléments exclus. Toutefois, vous pouvez arrêter la vérification d’une faille d’exploitation qui a déjà été détectée. Utiliser une exclusion d’exploits détectés.
Les exclusions définies dans une stratégie concernent uniquement les utilisateurs auxquels s’applique la stratégie.
Remarque
Pour appliquer des exclusions à tous vos utilisateurs et serveurs, veuillez configurer des exclusions générales. Dans Sophos Central Admin, allez dans Mes produits > Paramètres généraux > Exclusions générales.
Pour créer une exclusion de la stratégie d’exclusion du contrôle, procédez de la manière suivante :
- Dans Exclusions de stratégie, cliquez sur Ajouter une exclusion.
-
Dans Ajouter une exclusion, procédez comme suit :
- Dans Type d’exclusion, sélectionnez un type d’élément à exclure. Par exemple, fichier ou dossier, site Web, application potentiellement indésirable ou isolement de l’appareil.
-
Dans Valeur, indiquez un ou plusieurs éléments à exclure. Retrouvez plus de renseignements sur les exclusions sur Utilisation des exclusions en toute sécurité.
Vous devez saisir des informations supplémentaires en fonction de votre type d’exclusion.
-
Cliquez sur Ajouter. L’exclusion est ajoutée dans la liste des exclusions du contrôle.
- (Facultatif) Cliquez sur Ajouter une autre pour ajouter une autre exclusion.
Pour modifier une exclusion ultérieurement, cliquez sur son nom dans la liste des exclusions, saisissez les nouveaux paramètres puis cliquez sur Mettre à jour.
Messagerie de bureau
La Messagerie de bureau vous envoie des notifications sur les événements de protection contre les menaces. Il est activé par défaut.
Vous pouvez saisir votre propre message à la fin des notifications prédéfinies afin de les personnaliser.