Déploiement de la stratégie antivirus et HIPS

Nous vous conseillons de déployer la stratégie antivirus et HIPS comme suit :

  1. Créer des stratégies différentes pour des groupes différents.
  2. Définir les options de Sophos Live Protection. Cette fonction offre la protection la plus récente contre les menaces grâce à son service de recherche en ligne qui décide instantanément si un fichier suspect est une menace et grâce à la mise à jour en temps réel de votre logiciel Sophos. Sophos Live Protection doit être activé pour pouvoir utiliser les fonctions de détection du trafic malveillant et de réputation des téléchargements.
    • Assurez-vous d’avoir sélectionné les options Activer Sophos Live Protection pour le contrôle sur accès et Activer Sophos Live Protection pour le contrôle à la demande. si le contrôle antivirus identifie un fichier comme étant suspect sur l’ordinateur mais ne peut pas déterminer s’il s’agit d’un fichier sain ou malveillant en se basant sur les fichiers d’identité des menaces (IDE) présents sur l’ordinateur, certaines caractéristiques du fichier (sa somme de contrôle et d’autres attributs) sont envoyés à Sophos pour une analyse approfondie. Le service de recherche en ligne de Sophos effectue une recherche instantanée d’un fichier suspect dans la base de données des SophosLabs. Si le fichier est sain ou malveillant, la décision est renvoyée à l’ordinateur et l’état du fichier est automatiquement mis à jour.
    • Sélectionnez l’option Envoyer automatiquement les échantillons de fichiers à Sophos. Si un fichier est jugé potentiellement malveillant mais ne peut pas être identifié avec certitude comme malveillant d’après ses seules caractéristiques, Sophos Live Protection permet à Sophos de demander un échantillon du fichier. Lorsque Sophos Live Protection est activée et si l’option Envoyer automatiquement les échantillons de fichiers à Sophos est activée et que Sophos n’a pas déjà d’échantillon de ce fichier, ce dernier est envoyé automatiquement. L’envoi de tels échantillons de fichiers aide Sophos à améliorer en permanence la détection des malwares sans aucun risque de faux positifs.
    ATTENTION : Assurez-vous que le domaine Sophos auquel les données des fichiers sont envoyées est fiable dans votre solution de filtrage Web. Retrouvez plus de renseignements dans l’article 62637 de la base de connaissances. Si vous utilisez une solution Sophos de filtrage Web, par exemple l’appliance Web WS1000, aucune intervention de votre part n’est nécessaire. Les domaines sont déjà fiables.
  3. Détecter les virus et les spywares.
    1. Assurez-vous que le contrôle sur accès est activé ou planifiez un contrôle intégral du système pour détecter les virus et les spywares. Le contrôle sur accès est activé par défaut.
    2. Sélectionnez les options de nettoyage pour les virus/spywares.
  4. Détecter les fichiers suspects.
    Les fichiers suspects contiennent certaines caractéristiques communes à celles des programmes malveillants mais pas suffisamment pour que le fichier soit identifié comme une nouvelle pièce de malware.
    1. Activez le contrôle sur accès ou planifiez un contrôle intégral du système pour détecter les fichiers suspects.
    2. Sélectionnez l’option Fichiers suspects dans les paramètres du contrôle.
    3. Sélectionnez les options de nettoyage des fichiers suspects.
    4. Autorisez, si nécessaire, tous les fichiers dont l’exécution est permise.
  5. Détecter les comportements malveillants et suspects, les dépassements de la mémoire tampon et le trafic malveillant (surveillance des comportements).

    Ces options surveillent en permanence les processus afin de déterminer si un programme manifeste un comportement malveillant ou suspect. Elles sont très utiles pour colmater les failles de sécurité.

    1. Assurez-vous que la surveillance des comportements pour le contrôle sur accès est activée. Elle est activée par défaut.
    2. Assurez-vous que l’option Détecter le trafic malveillant est sélectionnée.
    3. Utilisez l’option Alerter uniquement pour ne détecter que les comportements suspects et les dépassements de la mémoire tampon. Cette option est activée par défaut.
    4. Autorisez tous les programmes ou fichiers que vous souhaitez continuer à exécuter à l’avenir.
    5. Configurez votre stratégie pour bloquer les programmes et fichiers qui sont détectés en dessélectionnant l’option Alerter uniquement.
    Cette approche évite le blocage des programmes et des fichiers dont vos utilisateurs pourraient avoir besoin. Retrouvez plus de renseignements dans l’article 50160 de la base de connaissances.
  6. Détecter les adwares et les PUA.

    Le premier contrôle à la recherche d’adwares et de PUA peut générer un grand nombre d’alertes pour les applications déjà en cours d’exécution sur votre réseau. En commençant par exécuter un contrôle planifié, vous traitez de manière plus sûre les applications déjà en cours d’exécution sur votre réseau.

    1. Planifiez un contrôle intégral du système pour détecter tous les adwares et PUA.
    2. Autorisez ou désinstallez toutes les applications détectées par le contrôle.
    3. Sélectionnez l’option de contrôle sur accès Adwares et PUA pour détecter les adwares et les PUA à venir.
    Retrouvez plus de renseignements dans l’article 13815 de la base de connaissances.
  7. Détecter les menaces dans les pages Web.

    Cette option bloque les sites connus pour héberger du contenu malveillant et contrôle les téléchargements à la recherche de contenu malveillant.

    1. Assurez-vous que l’option Bloquer l’accès aux sites Web malveillants est définie sur Activé pour bloquer les sites Web malveillants. Cette option est activée par défaut.
    2. Paramétrez l’option Contrôle du contenu sur Activé ou sur Identique à celui sur accès pour contrôler et bloquer toutes les données malveillantes téléchargées. L’option Identique à celui sur accès, paramètre par défaut, active le contrôle des téléchargements seulement lorsque le contrôle sur accès est activé.
    3. Selon le cas, autorisez tous les sites Web qui sont autorisés.
    4. Assurez-vous que la réputation des fichiers est activée.
    Remarque : Vous pouvez également utiliser la stratégie de contrôle du Web pour contrôler l’activité de navigation de vos utilisateurs en filtrant les sites Web à l’aide des 14 catégories répertoriant les principaux sites Web les plus inappropriés.

Retrouvez plus de renseignements sur le paramétrage des stratégies antivirus et HIPS dans l’Aide de Sophos Enterprise Console.