Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=cloud-native-security-profile-advanced

Configuration avancée du profil de détection runtime Linux

Les Profils de détection runtime Linux ont plusieurs versions, catégories de règles et options de filtrage pour vous aider à personnaliser vos profils en fonction de votre environnement.

Versions

Deux versions différentes peuvent changer dans un Profil de détection runtime Linux :

  • Version du profil : Les versions de profil commencent par la création du profil initial. Une nouvelle version est créée à chaque fois que vous le modifiez. Ceci vous permet de suivre les modifications et les mises à jour du profil au fil du temps.
  • Version du contenu : Ceci est la version du contenu SophosLabs par défaut utilisée dans un profil.

Mises à jour du contenu

Les mises à jour du contenu du Profil de détection runtime Linux affectent différemment les agents Sophos Protection for Linux (SPL) et les capteurs Sophos Linux Sensor (SLS) :

  • SPL : Les agents SPL exploitent toujours la dernière version du contenu SophosLabs par défaut. Lorsque les SophosLabs publient une version mise à jour du contenu par défaut, les agents de SPL récupèrent le contenu et mettent à jour leurs profils préexistants en fonction de la nouvelle version du contenu. Cela signifie que vous devrez peut-être mettre à jour vos profils en fonction des mises à jour du contenu SophosLabs par défaut. Par exemple, sélectionner Vrai pour le filtre Modifié d’un profil vous permettra d’afficher uniquement les règles que vous avez précédemment modifiées afin de passer en revue les modifications.
  • SLS : SLS vous permet de configurer des profils en fonction de la version du contenu SophosLabs par défaut que vous utilisez pour vos capteurs. SLS doit être mis à jour manuellement lorsqu’une nouvelle version du contenu est disponible.

Catégories de règles

Les Profils de détection runtime Linux ont deux onglets pour les règles : Analyse des détections et Stratégie intelligente.

Analyse des détections

Analyse des détections inclut les détections obtenues par la supervision de bas niveau du système, une technique qui détecte les indicateurs de comportement malveillant. Les SophosLabs les divisent selon les catégories suivantes :

  • Exploitation des applications : Détecte l’exploitation des applications en cours d’exécution sur l’hôte, par exemple, la corruption de la mémoire ou le comportement inhabituel des applications.
  • Exploitation du système : Détecte l’exploitation des vulnérabilités du système Linux, par exemple, l’élévation des privilèges et l’altération des mécanismes de sécurité.
  • Persistance : Détecte les événements qui fournissent un accès continu après le redémarrage de l’hôte, par exemple les portes dérobées (backdoor) du noyau ou de l’espace utilisateur.

Stratégie intelligente

Stratégie Intelligente inclut les détections obtenues après un évènement qui lui-même avait déclenché une détection. Ces détections servent de contexte aux événements connexes qui pourraient être malveillants. Les SophosLabs les divisent selon les catégories suivantes :

  • Activités fichier : Modifications apportées aux binaires système, des configurations et des mises à jour des fichiers.
  • Activités réseau : Activités qui suggèrent des mouvements latéraux et des changements de comportement du service réseau.
  • Activités processus : Exécution anormale du processus, utilisation du compilateur/débugger et modifications et mises à jour des tâches planifiées.
  • Activités utilisateur : Mises à jour des privilèges et des comptes utilisateur.

Détails

Chaque onglet affiche les informations suivantes concernant les règles :

  • Nom de la règle : Le nom de la règle. Cliquez sur le Nom de la règle en haut de la colonne pour trier les règles par ordre alphabétique.
  • Description de la règle : Le comportement qui déclenche l’alerte et pourquoi elle peut être considérée comme malveillante.
  • Modifié : Indique si la règle a été modifiée ou non par rapport au contenu SophosLabs par défaut.
  • Configurable : Indique si la règle peut ou non être personnalisée.
  • Catégorie : La catégorie de la règle. Voir Catégories de règles.
  • Activé : Indique si la règle est activée ou désactivée.

Filtres

Vous pouvez appliquer des filtres à la liste pour faciliter la recherche de règles individuelles. Vous pouvez filtrer la liste en fonction des informations suivantes : Catégorie, Activé, Modifié et Configurable. Pour appliquer les filtres, procédez de la manière suivante :

  1. Cliquez sur Afficher les filtres.
  2. Développez les catégories à filtrer.

  3. Sélectionnez les éléments à afficher dans la liste des règles.

    Conseil

    Vous pouvez appliquer simultanément plusieurs filtres à plusieurs catégories.

  4. Cliquez sur Appliquer.

Cliquez sur Masquer les filtres pour masquer les options de filtrage.

Pour supprimer les filtres appliqués, cliquez sur Tout effacer puis sur Appliquer.

Remarque

Cliquer sur Masquer les filtres, ne supprime les filtres de la liste des règles. Les filtres appliqués doivent être effacés manuellement.

Détails de la règle

Vous pouvez cliquer sur une règle pour afficher les détails et les options de personnalisation suivants :

  • Activé : Indique si la règle est activée ou désactivée.
  • Description : Le comportement qui déclenche l’alerte et pourquoi elle peut être considérée comme malveillante.
  • Message d'alerte : Le message d’alerte affiché lorsque la règle est déclenchée.
  • Priorité : La gravité de l’alerte.
  • Techniques d’attaque MITRE : La technique MITRE associée à la règle. Cliquer sur le numéro de technique vous permettra de consulter les détails complets de la détection sur la page MITRE correspondante.
  • Sortie : Le contenu du champ « sortie » au sein d’une détection.

Listes Autoriser et Bloquer

L’option Liste Autoriser/Bloquer vous permet d’accéder aux listes d’autorisation et de blocage associées à la règle en question à partir d’un menu déroulant. Ces listes vous permettent d’activer ou de désactiver des éléments individuels au sein d’une règle en fonction de votre environnement.

Ajouter une entrée

Vous pouvez cliquer sur Ajouter une entrée pour ajouter un élément personnalisé à une règle.

Le bouclier Sophos Bouclier Sophos. permet de faire la différence entre les éléments personnalisés et les éléments SophosLabs par défaut.

Cliquez sur Supprimer Supprimer. pour supprimer un élément personnalisé d’une Liste Autoriser/Bloquer.