Questions fréquentes sur le mode d'observation d'Application Control 6.1.2
Articles techniques ID:
KB79576
Date de la dernière modification : 02/04/2015
Date de la dernière modification : 02/04/2015
Environnement
McAfee Application Control (MAC) 6.2.0
McAfee Application Control (MAC) 6.1.2
Synthèse
Cet article rassemble les questions courantes sur la découverte de stratégie dans MAC 6.2.0 et sur le mode d'observation de MAC 6.1.2.
Solution
Nouveautés de la découverte de stratégie dans MAC 6.2.0
- L'administrateur du site peut afficher les requêtes de découverte de stratégie et agir en conséquence à condition que ces requêtes soient issues de leurs hôtes uniquement, et non des hôtes auxquels l'utilisateur connecté n'a pas accès.
- Les observations sont dorénavant générées pour les opérations de fichier par chemin réseau. L'administrateur peut découvrir des stratégies de répertoire approuvées pour ces observations. Les observations reçues des partages réseau sont répertoriées sur la page Découverte de stratégie avec l'activité Exécution du chemin d'accès réseau.
- De nouvelles fonctionnalités ont été ajoutées à la découverte de stratégie pour permettre une meilleure gestion des requêtes.
- La page Découverte de stratégie permet à présent de filtrer les résultats, par activité, par niveau d'approbation et par nom de système.
- L'administrateur peut dorénavant définir des règles de stratégie personnalisées autres que celles suggérées par l'option Découverte->Actions->« Créer une stratégie personnalisée ». À cette fin, tous les onglets de stratégie sont maintenant visibles, une nouvelle action Effacer et définir des règles a été ajoutée et les détails des requêtes sont à présent disponibles à la page Créer une stratégie personnalisée.
- La page de détails de la découverte de stratégie affiche la somme de contrôle binaire dans la section Propriétés du fichier binaire.
- Des fonctions de tri par colonne (Nom d'utilisateur, Nom d'hôte, Chemin d'accès du fichier binaire) et de recherche rapide par nom d'hôte ont été ajoutées à la page de détails de la découverte de stratégie.
- La page Découverte de stratégie permet à présent de filtrer les résultats, par activité, par niveau d'approbation et par nom de système.
- L'administrateur peut directement créer des règles de stratégie personnalisées à partir d'événements de menace. A cette fin, une action Créer une stratégie personnalisée est affichée pour chaque événement de type Ecriture interdite, Exécution refusée, Modification du package interdite, et autres événements de protection de la mémoire. Grâce à cette action, l'administrateur peut examiner les détails sur l'événement et créer des règles de stratégie en conséquence.
Pour plus d'informations sur ces éléments, consultez le Guide produit de MAC 6.2.0.
Nouveautés du mode d'observation dans MAC 6.1.2
Quoi de neuf ?
- La fonctionnalité Mode d'observation a été sensiblement améliorée pour cette version, afin de permettre une plus grande évolutivité.
- La page Découverte de stratégie a été ajoutée afin de permettre de créer des stratégies pour les événements d'observation et d'auto-approbation.
- Des modifications importantes ont également été apportées à l'option de menu Mode d'observation :
- L'interface utilisateur du mode d'observation et de l'auto-approbation ont été fusionnées en une seule page Découverte de stratégie.
- Les données d'observation et d'auto-approbation d'une même application font l'objet d'une seule entrée de candidat de stratégie. Vous pouvez d'accéder aux détails d'une ligne spécifique pour consulter les requêtes d'auto-approbation ou les informations d'observation.
Nouveautés
- La fonctionnalité Mode d'observation a été sensiblement améliorée pour cette version, afin de permettre une plus grande évolutivité. En conséquence, les administrateurs verront une différence immédiate dans le nombre et la qualité des observations, qui seront moins nombreuses dans les versions futures d'Application Control.
- Certaines de ces modifications auront des répercussions sur les workflows de cette fonctionnalité :
- L'élément de menu Mode d'observation est à présent obsolète.
- L'analyse de découverte de règle s'effectue dorénavant au niveau des terminaux pour garantir que seuls les événements nécessaires sont envoyés à ePO.
- L'arborescence de processus n'est plus disponible dans l'interface utilisateur de la découverte de stratégie. Les événements générés pour la création de l'arborescence de processus (Processus créé) constituaient l'une des principales causes de création d'observations dans les versions précédentes d'Application Control.
- Les événements identiques (concernant le même fichier binaire et la même activité) issus de plusieurs hôtes sont regroupés dans une seule ligne sur la page Découverte de stratégie, permettant ainsi un traitement efficace des requêtes et une réduction des surcharges. Toutefois, ce regroupement a un impact sur le mécanisme de création de stratégies à partir de la page Evénements, disponible dans les versions précédentes.
- Ce dernier se fonde désormais sur la découverte de candidats de stratégie, qui servent d'agent des modifications pour le contenu de la liste d'autorisation. Cela permet de garantir que les privilèges de programme de mise à jour sont attribués aux processus appropriés. Ainsi, les événements de type EXECUTION_DENIED ne seront plus affichés pour les nouveaux fichiers, mais pour l'ajout de fichiers à la liste d'autorisation.
- Aucune observation n'est générée pour les opérations de fichier par chemin réseau.
- Des règles d'autorisation d'exécution temporaires sont créées à la première invocation de nouveau contenu au niveau de terminaux. Cela empêche la génération de nouvelles observations lors des exécutions répétées.
- Un mécanisme de mise en cache a été implémenté pour le mode d'activation afin qu'une même demande d'observation ne soit pas générée plusieurs fois pour le même fichier binaire.
- Le groupe de règles Règles d'auto-approbation globales a été rebaptisé Règles globales.
- Plusieurs groupes de règles liés à l'implémentation d'observations sont désormais obsolètes. Leur nom comporte le suffixe Obsolète. Exemple : Règles d'observation globales (Obsolète).
Que se passera-t-il lors de la mise à jour des versions antérieures à 6.1.2 ?
- L'option de menu Mode d'observation sera toujours disponible mais marquée comme Obsolète.
- Les demandes d'auto-approbation soumises dans les versions antérieures seront placées dans l'interface utilisateur de la page Découverte de stratégie.
Que se passera-t-il pendant les nouvelles installations de l'extension MAC 6.1.2 ?
- Seule la page Découverte de stratégie s'affiche.
- Toutes les requêtes d'auto-approbation et les observations levées en mode d'observation ou d'activation apparaîtront sur cette page.
- Seuls les terminaux de la version 6.1.2 (et versions ultérieures) seront en mesure de lever des observations dans cette interface utilisateur.
- Tous terminaux des builds 6.1.0 et ultérieurs sont en mesure de lever des requêtes d'auto-approbation dans cette interface utilisateur.
Qu'adviendra-t-il des règles ajoutées aux groupes obsolètes dans les versions à venir ?
Chaque fois que ces groupes de règles sont supprimés, toutes les règles de stratégie concernées qui s'y trouvent sont conservées et déplacées vers d'autres groupes.
Pourquoi le lien « Afficher les suggestions » est-il absent de la page Evénements pour les nouvelles observations ?
Avant la version 6.1.2 :
Avant la version 6.1.2 :
- Les observations et les événements sont mis en correspondance un-à-un.
- La page Evénements incluait le lien Afficher les suggestions pour les observations générées en mode d'activation afin de permettre la découverte de règles de stratégie.
A partir de la version 6.1.2 et dans les versions ultérieures :
- La page Découverte de stratégie fait office de console centralisée pour les règles de découverte de stratégie, quel que soit le mode d'exécution du terminal.
- La page Découverte de stratégie regroupe les événements identiques (concernant le même fichier binaire et la même activité) issus de plusieurs hôtes dans une seule ligne, permettant ainsi un traitement efficace des requêtes et une réduction des surcharges.
Avec ce mécanisme de découverte de stratégie, le lien Afficher les suggestions n'est plus nécessaire et il a donc été supprimé.
Quels événements sont générés en mode d'observation et en mode d'activation avec 6.1.2 ?
Quels événements sont générés en mode d'observation et en mode d'activation avec 6.1.2 ?
Consultez le tableau ci-dessous pour connaître les événements générés dans les workflows en mode d'observation et d'activation.
| Type d'événement | Mode | Opérations |
| Exécution refusée (hors chemin réseau) | Activation | Génération d'une observation pour l'authentification par somme de contrôle |
| Observation |
|
|
| Ecriture interdite | Activation | Génération d'une observation pour « Outil de mise à jour par nom » |
| Observation |
|
|
| Exécution refusée (chemin réseau) | Activation | Aucune observation |
| Observation | Aucune observation | |
| Déni de contrôle de package | Activation | Génération d'une observation pour « Outil de mise à jour par total de contrôle » |
| Observation |
|
|
| Déni Active X | Activation | Génération d'une observation pour le certificat |
| Observation |
|
|
| Protection de la mémoire NX/Piratage | Activation | Génération d'une observation pour attr bypass |
| Observation |
|
|
| Exécutable procédant à l'extraction de fichiers MSI | Activation | Génération d'une observation pour « Outil de mise à jour par total de contrôle » |
| Observation |
|
|
| Exécutable procédant à l'extraction de fichiers binaires (exe/dll/driver) et de fichiers de script | Activation | Génération d'une observation pour « Outil de mise à jour par nom » |
| Observation |
|
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
Produits affectés
Langues :
Cet article est disponible dans les langues suivantes :
GermanEnglish United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified
