Téléchargez le rapport Magic Quadrant de Gartner, qui évalue 18 fournisseurs selon des critères tels que la vision complète et la capacité de mise en œuvre.
Selon Gartner, « le XDR est une technologie émergente capable de renforcer l'efficacité de la prévention, de la détection et de la neutralisation des menaces ».
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Meilleures pratiques pour la Endpoint Security for Linux
Articles techniques ID:
KB95920
Date de la dernière modification : 2022-12-20 17:27:01 Etc/GMT
Environnement
Endpoint Security for Linux-pare-feu (ENSLFW) 10.x
Prévention contre les menaces Endpoint Security for Linux (ENSLTP) 10.x
Synthèse
Vous trouverez ci-dessous les meilleures pratiques recommandées lors de l’utilisation de ENSL.
Contenus Cliquez pour développer la section à afficher :
Le module kernel et Fanotify sont deux moyens qui permettent à ENSL d’obtenir des événements d’accès aux fichiers (par exemple, ouvrir, lire et écrire) sur le système.
Avec le module kernel, ENSL se raccorde aux appels système pour recevoir les événements.
Par la suite, le noyau Linux lui-même fournit une fonctionnalité nommée Fanotify. Avec Fanotify, tout espace utilisateur application peut s’enregistrer pour obtenir tous les événements de système de fichiers à des fins de traitement. Cette configuration évite que les applications d’espace utilisateur écrivent des modules de noyau dans le même but.
Ainsi, le module kernel et Fanotify ont la même finalité de fournir tous les événements à l’espace utilisateur ENSLTP à analyser. Tous les clients ENSL utilisant Ubuntu/Debian ou SUSE utilisent uniquement Fanotify, car nous ne fournissons pas de module de noyau pour eux.
Les clients peuvent utiliser Fanotify ou le module kernel en toute sécurité, car il n’existe aucune différence de fonctionnalité.
Lorsque ENSL est installé avec OAS activé (sans analyse différée), il bloque l’accès au fichier jusqu’à ce que ENSL l’analyse et le détecte comme non infecté. Si le fichier n’est pas nettoyé, ENSL prend l’action spécifiée, puis bloque l’accès au fichier. Une analyse de fichier peut être effectuée en quelques millisecondes ou peut prendre plus de temps pour les fichiers plus volumineux.
Nous avons observé que dans les environnements intensifs d’e/s (par exemple, Hadoop et splunkd ), un petit délai dans l’obtention des événements du système (en raison de l’analyse des fichiers) entraîne un retard dans les performances et le fonctionnement du application. Ainsi, le blocage des événements lors de l’analyse entraînait des problèmes d’opération. Pour résoudre ce problème, ENSL 10.7.5 et versions ultérieures fournissent l’option "" d’analyse différée. Les événements de lecture et d’écriture sont analysés, mais ils ne sont pas bloqués lors de l’analyse.
Avec Fanotify, ENSL utilise une option d’analyse "reportée" qui permet aux utilisateurs d’effectuer l’analyse d’une manière non bloquante pour prendre en charge les applications intensives d’e/s intensives pour s’exécuter sans heurts.
Remarque : L’analyse différée est applicable uniquement sur les systèmes basés sur Fanotify.
Vous pouvez activer l’analyse différée lors de l’installation de ENSL en tant que paramètre :
sudo ./install-mfetp.sh usedeferredscan
Pour activer l’analyse différée à l’aide de la ligne de commande :
La configuration des profils OAS permet d’identifier et de filtrer les fichiers et les dossiers à analyser lors des opérations d’analyse. La création de profils OAS avec des exclusions et des configurations appropriées permet au système de fonctionner de façon plus fluide et plus efficace.
REMARQUES :
Pour Linux, le nom du processus doit être le chemin d’accès absolu de l’obtention du fichier binaire exécuté au lieu d’un simple nom de processus.
N’ajoutez pas de "Windows" des chemins d’accès spécifiques dans les exclusions.
Vous pouvez configurer les profils OAS en fonction des méthodes suivantes :
Configurez des profils OAS spécifiques au client (personnalisé) :
Vous pouvez inclure des applications spécifiques aux clients ou des application des processus tiers dans les exclusions.
Vous pouvez configurer des exclusions de profils OAS personnalisées en fonction des exigences. Par défaut, ENSL contient les exclusions de type de fichier suivantes dans le profil d’analyse : arc , ctl , dtxdblrdovmdkdbfjarwarfrmlogmydmyi ,,,,,,,,,, etc.
Certaines applications tierces effectuent des opérations d’e/s intensives, entraînant une lenteur du système ou un blocage. Pour éviter ce problème, identifiez les processus ci-dessous en activant le journal d’activité "OAS" et en ajoutant les processus dans les listes d’exclusion du profil d’analyse. Par exemple, /docker/, /splunk/ et /opt/IBM/.
Dans la console ePolicy Orchestrator (ePO), accédez à catégorie de stratégies, analyse à l’accès, votre stratégie, puis cliquez sur avancé, paramètres de processus, exclusions.
Ajoutez les noms ou les chemins d’accès des processus.
Cliquez sur Enregistrer.
Configurez des profils OAS basés sur les risques (risque élevé, risque faible) :
Le profil OAS est configuré comme "standard" par défaut, sauf si vous choisissez une option basée sur les risques. Catégorisez votre système ou vos processus de application en fonction de la criticité et de la sensibilité. Ensuite, configurez les processus comme présentant un risque élevé et un risque faible dans le profil OAS.
Pour créer des profils basés sur les risques à partir de la console ePO :
Accédez à catégorie de stratégies, analyse à l’accès, votre stratégie, puis sélectionnez les options risque élevé et risque faible.
Cliquez sur Ajouter et ajoutez vos processus avec l’option risque comme risque élevé ou risque faible.
Pour créer des profils basés sur les risques à l’aide de la ligne de commande :
Connectez-vous au système avec des droits d’administrateur et exécutez la commande suivante :
Exemple : /opt/McAfee/ens/tp/bin/mfetpcli --addprocess --highrisk /usr/bin/google-chrome
Vous trouverez ci-dessous une liste des meilleures pratiques pour la création et l’affectation de stratégies pour ENSLTP et ENSLFW.
Produit
Attaques
uniquement
ENSLTP
Utilisez les conventions d’affectation de noms appropriées lors de la création de stratégies ENSLTP. Utilisez n’importe quel caractère’alphanumérique’ou' _ '.
Evitez d’utiliser des espaces entre les noms de profil.
Veillez à ce que les noms soient courts et compréhensibles.
Évitez les noms longs et longues.
Cliquez sur toujours l’option "sur les lecteurs réseau" dans la stratégie OAS si des lecteurs réseau (NFS/CIFS) sont montés et doivent être analysés.
Les lecteurs montés sur le réseau ne sont pas analysés s’ils sont désactivés dans la stratégie OAS.
Ajoutez les types de fichiers appropriés dans les exclusions à exclure de l’analyse.
Evitez d’ajouter des types de fichiers non valides et des chemins d’accès Windows dans les exclusions de l’analyse.
ENSLFW
Utilisez les conventions d’affectation de noms appropriées lors de la création de stratégies ENSLFW. Utilisez n’importe quel caractère’alphanumérique’ou' _ '.
Evitez d’utiliser des espaces entre les noms de profil.
Veillez à ce que les noms soient courts et compréhensibles.
Évitez les noms longs et longues.
Créez plusieurs règles de pare-feu séparément dans une stratégie ENSLFW.
Ne pas créer de règles de pare-feu imbriquées (règle à l’intérieur de la règle). Linux ne prend pas en charge les règles de pare-feu imbriquées.
Configurez toujours les règles de pare-feu avec des noms de domaine de travail.
Ne configurez pas de règles pare-feu pour les noms de domaine non valides.
Configurez toujours les règles de pare-feu avec des numéros de port réseau valides.
Ne configurez pas de règles de pare-feu avec un numéro de port réseau non valide.
Remarques : Pour ENSLFW en mode adaptatif :
Pour des raisons de sécurité, les requêtes ping entrantes (entrantes) sont bloquées en mode adaptatif. Vous devez donc créer une règle autoriser explicite pour le trafic ICMP entrant.
Le trafic entrant vers un port qui n’est pas ouvert sur l’hôte est bloqué en mode adaptatif. Vous devez donc créer une règle autoriser explicite pour ce trafic.
Activez et exécutez toujours la tâche serveur "pare-feu Endpoint Security traducteur de propriétés" à partir d’EPO lorsque le mode adaptatif est activé pour la stratégie.
Problème :
Splunk est un application très gourmand en e/s. Ses performances sont affectées, car les opérations Splunk sont interceptées pour l’analyse OAS.
Recommandation :
Les performances peuvent être améliorées pour les applications d’e/s approuvées de manière intensive en configurant des exclusions OAS. Ces exclusions OAS excluent les événements d’analyse de ces processus approuvés. Ajoutez les exclusions de processus OAS comme "les processus" à risque faible avec l’analyse définie sur "n’analysez pas les" pour le profil à risque faible.
Procédure d’ajout d’exclusions OAS pour Splunk :
Dans la console ePO, accédez à catégorie de stratégies, analyse à l’accès, votre stratégie, puis cliquez sur avancé, paramètres de processus.
Sélectionnez l'option Configurer différents paramètres pour les processus à haut risque et à faible risque.
Définissez la "quand analyser" option pour les risques à faible risque de ne pas analyser.
Cliquez sur Ajouter , puis ajoutez la liste des processus Splunk exclus approuvés. Liste d’exclusions Splunk pour OAS :
/opt/splunk/bin/splunkd
/opt/splunk/bin/bloom
/opt/splunk/bin/btool
/opt/splunk/bin/btprobe
/opt/splunk/bin/bzip2
/opt/splunk/bin/cherryd
/opt/splunk/bin/classify
/opt/splunk/bin/exporttool
/opt/splunk/bin/locktest
/opt/splunk/bin/locktool
/opt/splunk/bin/mongod
/opt/splunk/bin/node
/opt/splunk/bin/splunk
/opt/splunk/bin/splunk-optimize
/opt/splunk/bin/splunkmon
/opt/splunk/bin/tsidxprobe
/opt/splunk/bin/tsidxprobe_plo
/opt/splunk/bin/walklex
/opt/splunk/bin/python
Pour obtenir la liste la plus récente des exclusions Splunk, reportez-vous à la documentation Splunk.
Remarque : Les dernières versions ENSL ont des optimisations des performances pour le traitement des exclusions. Par conséquent, pour obtenir de meilleures performances avec les processus exclus, utilisez les versions suivantes :
Systèmes basés sur Fanotify-utilisez ENSL 10.7.10 ou une version ultérieure.
Systèmes basés sur le module kernel : utilisez ENSL 10.7.12 ou une version ultérieure.
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.