Cette section répond à quelques questions pratiques concernant l’utilisation de Host Intrusion Prevention 6.0.
Qu’est-ce qu’une stratégie ?
Une stratégie est un sous-ensemble personnalisé de paramètres produit, correspondant à une catégorie de stratégie. Vous pouvez créer, modifier ou supprimer autant de stratégies nommées que nécessaire pour chaque catégorie de stratégie.
Qu’est-ce que la stratégie McAfee par défaut ?
À l’installation, chaque catégorie de stratégie contient au moins une stratégie nommée, Stratégie McAfee par défaut. Les stratégies McAfee par défaut ne peuvent être modifiées, renommées ou supprimées.
Que se passe-t-il au niveau des nuds du répertoire situés en dessous du nud où une nouvelle stratégie est créée ?
Tous les nuds affichant un héritage activé pour cette catégorie de stratégie spécifique héritent de la stratégie appliquée au nud parent.
En quoi sont affectés les nuds auxquels la stratégie est appliquée lorsque celle-ci est modifiée ?
Tous les nuds auxquels une stratégie est appliquée reçoivent les modifications apportées à la stratégie, lors de la communication agent-serveur suivante ou lors de l'exécution d'un appel de réactivation de l'agent. La stratégie est donc mise en uvre à chaque intervalle approprié.
Pourquoi la nouvelle stratégie Host Intrusion Prevention que j’ai créée n’est-elle pas mise en uvre ?
Les nouvelles stratégies créées sont mises en uvre uniquement au moment de la communication agent-serveur suivante ou lors de l'exécution d'un appel de réactivation de l'agent. De même, si l'interface utilisateur du client est déverrouillée avec un mot de passe, aucune nouvelle stratégie créée n'est mise en uvre.
Puis-je déléguer l’administration des stratégies IPS et de pare-feu à d’autres administrateurs situés sur des sites géographiquement distincts ?
Oui. Host Intrusion Prevention vous permet de déléguer la responsabilité de tout ou partie des fonctions IPS et pare-feu. L’amélioration de la granularité des rôles au sein du produit, par exemple la gestion des agents et la création d’exceptions, n’est pas prise en charge.
Si vous affectez des droits au niveau du site (un niveau en dessous du répertoire racine), tous les droits seront hérités par les nuds contenus dans ce site. Les autorisations utilisateur explicites pour les nuds situés en dessous du niveau du site ne sont pas prises en charge. Vous devez déléguer l’administration en fonction du site géographique, désigner un emplacement géographique pour le nud du site, puis appliquer les droits utilisateur appropriés.
Puis-je appliquer la même configuration de sécurité à différents systèmes ?
L’arborescence de la console organise les nuds de manière hiérarchique. Vous affectez des stratégies aux nuds, donc les nuds situés au niveau du site présentent généralement des groupements par profil, tels que Tous les serveurs, Tous les postes de bureau, Serveurs IIS ou Serveurs SQL. Ce schéma de regroupement peut être répliqué sous chaque nud de site.
ePolicy Orchestrator permet la création de stratégies indépendantes pour chaque nud, mais pouvant également être partagées sur l’ensemble des nuds. Lorsque vous affectez une stratégie à un nud, elle est automatiquement héritée par ses enfants, sauf si une autre stratégie a priorité. Vous pouvez créer une stratégie correspondant à chaque profil, par exemple une stratégie serveur IIS, et l’appliquer à chacun des groupes de nud correspondant, par exemple le groupe Serveurs IIS.
Placez un ordinateur ayant un nouvel agent Host Intrusion Prevention dans le groupe de profil approprié, où les stratégies de sécurité adéquates lui seront affectées. Si cela n’est pas possible, vous pouvez définir la stratégie pour chaque agent, en modifiant les stratégies du nud individuel. La plupart des stratégies héritées peuvent être remplacées, à moins qu’elles ne soient en héritage forcé.
Puis-je afficher ou modifier les stratégies appliquées à un nud ou à un agent spécifique ?
Oui. Les stratégies Host Intrusion Prevention sont regroupées en catégories, telles que Règles IPS et Protection IPS, chacune possédant des paramètres spécifiques. Dans chaque fonction Host Intrusion Prevention, vous pouvez consulter les catégories disponibles pour le nud sélectionné dans l’onglet Stratégies. Chaque catégorie affiche le nom de la ou des stratégies qui lui sont affectées. La plupart des catégories, telles que Protection IPS, contiennent une seule stratégie, alors que les catégories Règles IPS et Applications sécurisées contiennent une ou plusieurs instances de stratégie. Pour afficher les détails de chaque stratégie, cliquez sur le nom de la stratégie.
Comment faire pour afficher toutes les stratégies disponibles et les nuds auxquels elles sont affectées ?
L’arborescence ePolicy Orchestrator possède un nud Catalogue des stratégies, qui contient une liste de toutes les stratégies de chaque catégorie, ainsi que le nombre de fois où chaque stratégie est utilisée. Cliquez sur le chiffre pour afficher une liste de tous les nuds où la stratégie est appliquée directement. Le chiffre n'inclut pas les nuds où la stratégie a été héritée.
Comment faire pour afficher les événements IPS déclenchés par les agents ?
ePolicy Orchestrator ne possède pas d’écran d’affichage des événements ; ceux-ci sont donc gérés par l’onglet Événements de Host Intrusion Prevention, dans la stratégie Règles IPS. Pour afficher la liste des événements associés au nud sélectionné, cliquez sur l’onglet Stratégies, puis sur le lien Événements IPS. L’onglet Événements IPS affiche les différents événements IPS générés par les agents dans le nud sélectionné, pendant le laps de temps spécifié. L’affichage s’actualise automatiquement à mesure que de nouveaux événements se déclenchent et propose les opérations suivantes :
Comment faire pour créer une exception sur la base d’un événement IPS ?
Sélectionnez l’événement de votre choix dans l’onglet Événements IPS, puis cliquez sur Créer une exception. Une boîte de dialogue Nouvelle exception s’affiche, pré-renseignée sur la base de l’événement sélectionné. Un onglet de la boîte de dialogue Nouvelle exception affiche une liste des instances de stratégie Règles IPS ciblées, dans lesquelles vous souhaitez appliquer l’exception nouvellement créée.
|
La nouvelle exception peut être appliquée uniquement à une stratégie existante pouvant être modifiée. Appliquez une exception à un agent spécifique ou à plusieurs agents ; la stratégie ciblée par l’exception peut être soit une stratégie spécifique à un agent, soit une stratégie correspondant à un profil commun. Cependant, notez que toutes les stratégies peuvent être partagées, par défaut, et apparaissent dans la liste d’affectation de chaque nud. Il est recommandé de ne créer qu’un minimum de stratégies et d’en assurer la maintenance, afin qu’elles puissent satisfaire collectivement aux besoins de tous les agents. Au lieu de créer une nouvelle exception, vous pouvez rechercher et modifier une exception existante possédant des attributs similaires, à l’aide de la fonction Rechercher les exceptions associées. |
Comment faire pour affiner les stratégies Règles IPS existantes à l’aide de mécanismes automatisés ?
Host Intrusion Prevention offre une option Mode spéculatif, qui permet aux agents de créer, de manière automatique et transparente, des règles client autorisant l’exécution des activités bloquées, mais non malveillantes. Lorsque les agents sont en Mode spéculatif depuis un moment, l’administrateur peut effectuer l’une des actions suivantes :
Comment faire pour créer des signatures personnalisées pour une stratégie IPS ?
Les signatures personnalisées font partie de la stratégie Règles IPS ; vous pouvez en créer pour répondre aux besoins spécifiques d’un profil en matière de sécurité. Un assistant Signatures personnalisées est disponible pour les signatures simples et les Modes standard et expert sont disponibles pour les utilisateurs avancés.
Comment réorganiser les exceptions existantes et les signatures personnalisées au sein d’une nouvelle stratégie ?
En tant qu’administrateur, vous avez identifié plusieurs fausses alertes sur des agents et créé les exceptions correspondantes. Étant donné que ces fausses alertes semblaient isolées, vous avez initialement placé ces exceptions dans diverses stratégies. En examinant plus attentivement les exceptions, vous voyez un nouveau schéma apparaître, qui peut justifier la création d’une stratégie spécifique.
Pour réorganiser ces exceptions en une nouvelle stratégie unique, créez tout d'abord une nouvelle stratégie Règles IPS, puis ajoutez-la à la liste des stratégies Règles IPS pour le nud approprié. Affichez la liste de toutes les exceptions pour les différentes stratégies affectées au nud. Sélectionnez une ou plusieurs exceptions appropriées, puis déplacez-les dans la nouvelle stratégie.
Celle-ci peut ensuite être appliquée à d’autres agents correspondant au nouveau profil identifié, individuellement ou en groupe.
Comment faire pour trouver les stratégies existantes correspondant à un profil donné ?
En général, une organisation possède plusieurs stratégies Règles IPS, une par profil d’agent, tel que Serveur IIS et Serveur SQL. Étant donné que les différentes sections du système sont généralement gérées par plusieurs administrateurs, travaillant parfois suivant des horaires différents, il est essentiel de mettre en place un petit nombre de stratégies bien organisées. Ceci vous aidera, en tant qu’administrateur, à comprendre rapidement l’organisation des stratégies et à trouver facilement ce que vous recherchez.
Vous pouvez utiliser la fonction Recherche d’exceptions IPS pour rechercher des exceptions en fonction de leurs attributs, puis pour rechercher leurs stratégies parentes. Cette fonction de recherche vous permet de :