Les critères Source/Destination d’une règle d’accès définissent les zones de sécurité (interfaces) par lesquelles passe le trafic, les adresses IP ou le pays ou le continent (emplacement géographique) pour l’adresse IP, les balises du groupe de sécurité (SGT) assignées à l’adresse, ou les protocoles et les ports utilisés dans le trafic. La valeur par défaut englobe toute zone, adresse, emplacement géographique, SGT, protocole et port.

Pour modifier une condition, vous cliquez sur le bouton + dans cette condition, sélectionnez l’objet ou l’élément souhaité, puis cliquez sur OK. Si le critère requiert un objet, vous pouvez cliquer sur Create New Object (créer un nouvel objet) si l’objet requis n’existe pas. Cliquez sur le x d'un objet ou d'un élément pour le supprimer de la politique.

Vous pouvez utiliser les critères suivants pour identifier la source et la destination à mettre en correspondance dans la règle.

Zones source, zones de destination

Les objets de la zone de sécurité qui définissent les interfaces par lesquelles passe le trafic. Vous pouvez définir un critère, les deux critères ou aucun critère : tout critère non spécifié s’applique au trafic sur n’importe quelle interface.

• Pour faire correspondre le trafic sortant de l’appareil depuis une interface dans la zone, ajoutez cette zone aux zones de destination.

• Pour faire correspondre le trafic entrant dans l’appareil depuis une interface dans la zone, ajoutez cette zone aux zones source ( Source Zones).

• Si vous ajoutez des conditions de zone source et de zone de destination à une règle, le trafic correspondant doit provenir de l'une des zones source spécifiées et sortir par l'une des zones de destination.

Utilisez ces critères lorsque la règle doit être appliquée en fonction de l’entrée ou de la sortie du trafic sur l’appareil. Par exemple, si vous voulez vous assurer que tout le trafic destiné aux hôtes internes est soumis à l’inspection d’intrusion, vous devez sélectionner votre zone interne comme Destination Zones (zones de destination) tout en laissant la zone source vide. Pour mettre en œuvre le filtrage des intrusions dans la règle, l’action liée à la règle doit être Allow(Autoriser), et vous devez sélectionner une politique de prévention des intrusions dans la règle.

Remarque

Vous ne pouvez pas combiner des zones de sécurité passives et routées dans une seule règle. En outre, vous pouvez spécifier des zones de sécurité passives comme zones source uniquement, vous ne pouvez pas les spécifier comme zones de destination.

Réseaux sources, réseaux de destination

Les objets réseau ou les emplacements géographiques qui définissent les adresses réseau ou les emplacements du trafic.

• Pour faire correspondre le trafic d’une adresse IP ou d’un emplacement géographique, configurez les réseaux sources (Source Networks).

• Pour faire correspondre le trafic à une adresse IP ou à un emplacement géographique, configurez les réseaux de destination (Source Networks).

• Si vous ajoutez des conditions de réseau source et de destination à une règle, le trafic correspondant doit provenir de l’une des adresses IP spécifiées et être destiné à l’une des adresses IP de destination.

Lorsque vous ajoutez ce critère, vous sélectionnez les onglets suivants :

• Network (réseau) : Sélectionnez les objets ou groupes réseau qui définissent les adresses IP source ou de destination du trafic que vous souhaitez contrôler. Vous pouvez utiliser des objets qui définissent l'adresse utilisant le nom de domaine complet (FQDN); l’adresse est déterminée au moyen d’une recherche DNS.

• Geolocation (géolocalisation) : Sélectionnez l’emplacement géographique pour contrôler le trafic en fonction de son pays ou continent de source ou de destination. La sélection d’un continent sélectionne tous les pays du continent. En plus de sélectionner l’emplacement géographique directement dans la règle, vous pouvez également sélectionner un objet de géolocalisation que vous avez créé pour définir l’emplacement. En utilisant la localisation géographique, vous pouvez facilement restreindre l’accès à un pays en particulier sans avoir besoin de connaître toutes les adresses IP potentielles qui y sont utilisées.

  Remarque

  Pour vous assurer que vous utilisez des données de localisation géographique à jour pour filtrer votre trafic, Cisco vous recommande fortement de mettre à jour régulièrement la base de données de géolocalisation (GeoDB).

Ports source, ports/protocoles de destination

Les objets de port qui définissent les protocoles utilisés dans le trafic. Pour TCP/UDP, cela peut inclure les ports. Pour ICMP, cela peut inclure des codes et des type.

• Pour faire correspondre le trafic d'un protocole ou d'un port, configurez les ports source (Source Ports). Les ports source peuvent uniquement être TCP/UDP.

• Pour faire correspondre le trafic à un protocole ou à un port, configurez les protocoles/ports de destination (Destination Ports/Protocols). Si vous n'ajoutez que des ports de destination à une condition, vous pouvez ajouter des ports qui utilisent différents protocoles de transport. Les spécifications ICMP et les autres spécifications non TCP/UDP sont autorisées dans les ports de destination uniquement; elles ne sont pas autorisées pour les ports source.

• Pour faire correspondre le trafic provenant de ports TCP/UDP spécifiques et destiné à des ports TCP/UDP spécifiques, configurez les deux. Si vous ajoutez des ports source et de destination à une condition, vous ne pouvez ajouter que des ports partageant un seul protocole de transport, TCP ou UDP. Par exemple, vous pouvez cibler le trafic du port TCP/80 au port TCP/8080.

Groupes SGT source, groupes SGT de destination

Les objets de groupe de balise de groupe de sécurité (SGT) qui identifient les balises SGT affectées au trafic, tels qu’ils sont téléchargés à partir d’Identity Services Engine (ISE). Vous ne pouvez utiliser ces objets que si vous définissez une source d’identité Identity Services Engine (ISE) ; sinon, cette section ne s’affichera pas. Pour en savoir plus sur l’utilisation des balises SGT pour le contrôle d’accès, consultez Comment contrôler l’accès au réseau à l’aide des balises de groupe de sécurité TrustSec.

• Pour faire correspondre le trafic dont la source est l’une des balises SGT définies dans le groupe, configurez les groupes SGT source.

• Pour faire correspondre le trafic vers une destination dont l’une des balises SGT est définie dans le groupe, configurez les groupes SGT de destination.

• Si vous ajoutez des conditions de balise source et de destination à une règle, le trafic correspondant doit provenir d’une source avec l’une des balises spécifiées et être destiné à l’une des balises de destination.

Les critères d’application d’une règle d’accès définissent l’application utilisée dans une connexion IP ou un filtre qui définit les applications par type, catégorie, balise, risque ou pertinence commerciale. La valeur par défaut est n’importe quelle application.

Bien que vous puissiez spécifier des applications individuelles dans la règle, les filtres d’applications simplifient la création et l’administration des politiques. Par exemple, vous pouvez créer une règle de contrôle d’accès qui identifie et bloque toutes les applications à haut risque et à faible pertinence commerciale. Si un utilisateur tente d’utiliser l’une de ces applications, la session est bloquée.

De plus, Cisco met fréquemment à jour et ajoute des détecteurs d’applications supplémentaires par l’intermédiaire des mises à jour du système et de la base de données de vulnérabilités (VDB). Ainsi, une règle bloquant les applications à risque élevé peut s’appliquer automatiquement aux nouvelles applications sans que vous ayez à mettre à jour la règle manuellement.

Vous pouvez spécifier des applications et des filtres directement dans la règle, ou créer des objets de filtre d’application qui définissent ces caractéristiques. Les spécifications sont équivalentes, bien que l’utilisation d’objets puisse permettre de respecter plus facilement la limite du système de 50 éléments par critère si vous créez une règle complexe.

Pour modifier la liste des applications et des filtres, vous cliquez sur le bouton + dans la condition, sélectionnez les applications ou les objets de filtre d’application souhaités, qui sont répertoriés sur des onglets distincts, puis cliquez sur OK dans la boîte de dialogue contextuelle. Dans l’un ou l’autre des onglets, vous pouvez cliquer sur Advanced Filter (Filtres avancés) pour sélectionner des critères de filtre ou pour vous aider à rechercher des applications spécifiques. Cliquez sur le x pour une application, un filtre ou un objet pour le supprimer de la politique. Cliquez sur le lien Save As Filter (Enregistrer en tant que filtre) pour enregistrer les critères combinés qui ne sont pas déjà un objet en tant que nouvel objet de filtre d’application.

Remarque

Si une application sélectionnée a été supprimée par une mise à jour de VDB, « (Deprecated) » s’affiche après le nom de l’application. Vous devez supprimer ces applications du filtre, sinon les déploiements et les mises à niveau logicielles du système suivants seront bloqués.

Vous pouvez utiliser les critères Advanced Filter (Filtres avancés) suivants pour identifier l’application ou le filtre à mettre en correspondance dans la règle. Il s’agit des mêmes éléments utilisés dans les objets de filtre d’application.

Remarque

Plusieurs sélections dans un seul critère de filtre ont une relation OU. Par exemple, le risque est élevé ou très élevé. La relation entre les filtres est ET, donc le risque est élevé ou très élevé, ET la pertinence commerciale est faible ou très faible. Lorsque vous sélectionnez des filtres, la liste des applications dans l’affichage est mise à jour pour n’afficher que celles qui répondent aux critères. Vous pouvez utiliser ces filtres pour vous aider à trouver les applications que vous souhaitez ajouter individuellement ou pour vérifier que vous sélectionnez les filtres souhaités à ajouter à la règle.

Risques

La probabilité que l’application soit utilisée à des fins qui pourraient être contraires à la politique de sécurité de votre organisation, de très faible à très élevée.

Pertinence commerciale

La probabilité que l’application soit utilisée dans le cadre des activités professionnelles de votre entreprise, plutôt qu’à des fins récréatives, de très faible à très élevée.

Types

Le type d’application :

• Application Protocol (Protocole d’application) : protocoles d’application tels que HTTP et SSH, qui représentent les communications entre les hôtes.

• Client Protocol (Protocole client) : clients tels que les navigateurs Web et les clients de messagerie, qui représentent les logiciels s’exécutant sur l’hôte.

• Web Application (Application Web) : applications Web telles que MPEG video et Facebook, qui représentent le contenu ou l’URL demandée pour le trafic HTTP.

Catégories

Une classification générale de l’application qui décrit sa fonction la plus essentielle.

Étiquettes

Des informations supplémentaires sur l’application, similaires à la catégorie.

Pour le trafic chiffré, le système peut identifier et filtrer le trafic en utilisant uniquement les applications marquées SSL Protocol (Protocole SSL). Les applications sans cette balise ne peuvent être détectées que dans le trafic non chiffré ou déchiffré. Le système attribue la balise de trafic déchiffré aux applications qu’il peut détecter dans le trafic déchiffré uniquement, non chiffré ou non déchiffré.

Liste des applications (bas de l’affichage)

Cette liste est mise à jour à mesure que vous sélectionnez des filtres dans les options au-dessus de la liste, de sorte que vous pouvez voir les applications qui correspondent actuellement au filtre. Utilisez cette liste pour vérifier que votre filtre cible les applications souhaitées lorsque vous avez l’intention d’ajouter des critères de filtre à la règle. Si votre intention est d’ajouter des applications spécifiques, sélectionnez-les dans cette liste.

Les critères d’URL d’une règle d’accès définissent l’URL utilisée dans une demande Web ou la catégorie à laquelle l’URL demandée appartient. Pour les correspondances de catégorie, vous pouvez également spécifier la réputation relative des sites à autoriser ou à bloquer. La valeur par défaut est d’autoriser toutes les URL.

Si vous activez le filtrage de la demande de recherche DNS, les paramètres de catégorie et de réputation s’appliquent également au nom de domaine complet (FQDN) dans la demande de recherche. Seuls les paramètres de catégorie et de réputation s’appliquent au filtrage de demande DNS. Le filtrage manuel des URL est ignoré.

Les catégories d’URL et les réputations vous permettent de créer rapidement des conditions d’URL pour les règles de contrôle d’accès. Par exemple, vous pourriez bloquer tous les sites de jeu ou les sites de non fiables. Si un utilisateur tente de rechercher une URL avec cette catégorie et cette combinaison de réputation, la session est bloquée.

L’utilisation des données de catégorie et de réputation simplifie également la création et l’administration des politiques. Cela assure que le système contrôlera le trafic Web comme prévu. Enfin, comme les renseignements sur les menaces de Cisco sont continuellement mis à jour à la lumière de nouvelles URL, ainsi que de nouvelles catégories et risques pour les URL existantes, vous pouvez vous assurer que le système utilise des informations à jour pour filtrer les URL demandées. Les sites malveillants qui représentent des menaces de sécurité, comme les logiciels malveillants, les pourriels, les réseaux de zombies et l’hameçonnage peuvent apparaître et disparaître plus rapidement que vous ne pouvez mettre à jour et déployer de nouvelles politiques.

Pour modifier la liste d’URL, cliquez sur le bouton + dans la condition, puis sélectionnez les catégories ou les URL souhaitées à l’aide de l’une des techniques suivantes. Cliquez sur le x pour une catégorie ou un objet afin de le supprimer de la politique.

Onglet URL

Cliquez sur le signe +, sélectionnez des objets ou des groupes d’URL, puis cliquez sur OK. Vous pouvez cliquer sur Create New URL (Créer une nouvelle URL) si l'objet dont vous avez besoin n'existe pas.

Remarque

Avant de configurer des objets URL pour cibler des sites spécifiques, lisez attentivement les informations sur le filtrage d’URL manuel.

Onglet Catégories

Cliquez sur +, sélectionnez les catégories souhaitées, puis cliquez sur OK.

Pour une description des catégories, consultez https://www.talosintelligence.com/categories.

La valeur par défaut est d’appliquer la règle à toutes les URL de chaque catégorie sélectionnée, quelle que soit leur réputation. Pour limiter la règle en fonction de la réputation, cliquez sur la flèche vers le bas pour chaque catégorie, désélectionnez la case Any (Tout), puis utilisez le curseur Reputation (Réputation) pour choisir le niveau de réputation. À la gauche du curseur de réputation, vous trouverez de l’information sur les sites qui seront autorisés, tandis que les sites qui sont bloqués sont présentés du côté droit. La façon dont la réputation est utilisée dépend de l’action de la règle :

• Si la règle bloque ou surveille l’accès Web, la sélection d’un niveau de réputation sélectionne également toutes les réputations plus graves que ce niveau. Par exemple, si vous configurez une règle pour bloquer ou surveiller les sites (Suspects) et Questionable (Discutables) (niveau 2), elle bloque également automatiquement les sites (À risque élevé) et Untrusted (Non fiables) (niveau 1).

• Si la règle autorise l’accès Web, la sélection d’un niveau de réputation sélectionne également toutes les réputations moins graves que ce niveau. Par exemple, si vous configurez une règle pour autoriser les sites (Bénins) et Favorable (Favorables) (niveau 4), elle autorise également automatiquement les sites (Bien connus) et Trusted (de confiance) (niveau 5).

Sélectionnez l'option Include Sites with Unknown Reputation (inclure les sites avec une réputation inconnue) pour inclure les URL de réputation inconnue dans la correspondance de réputation. Les nouveaux sites ne sont généralement pas classés, et il peut y avoir d'autres raisons pour lesquelles la réputation d'un site est inconnue ou ne peut être déterminée.

Vérifier la catégorie d’une URL

Vous pouvez vérifier la catégorie et la réputation d’une URL particulière. Saisissez l’URL dans le champ URL to Check (URL à vérifier), puis cliquez sur Go (Lancer). Vous serez redirigé vers un site Web externe pour consulter les résultats. Si vous êtes en désaccord avec une catégorisation, cliquez sur le lien Submit a URL Category Dispute (Soumettre une contestation de catégorie d’URL) et faites-le-nous savoir.

Les critères utilisateur d’une règle d’accès définissent l’utilisateur ou le groupe d’utilisateurs pour une connexion IP. Vous devez configurer les politiques d’identité et le serveur d’annuaire associé pour inclure les critères d’utilisateur ou de groupe d’utilisateurs dans une règle d’accès.

Vos politiques d’identité déterminent si l’identité de l’utilisateur est collectée pour une connexion particulière. Si l’identité est établie, l’adresse IP de l’hôte est associée à l’utilisateur identifié. Ainsi, le trafic dont l’adresse IP source est mappée à un utilisateur est considéré comme provenant de cet utilisateur. Les paquets IP en eux-mêmes ne comprennent pas d’informations sur l’identité de l’utilisateur, de sorte que ce mappage adresse IP-utilisateur est la meilleure approximation disponible.

Étant donné que vous pouvez ajouter un maximum de 50 utilisateurs ou groupes à une règle, il est généralement plus logique de sélectionner des groupes que de sélectionner des utilisateurs individuels. Par exemple, vous pouvez créer une règle autorisant le groupe d'ingénierie à accéder à un réseau de développement, puis créer une règle ultérieure qui refuse tout autre accès au réseau. Ensuite, pour que la règle s’applique aux nouveaux ingénieurs, il vous suffit d’ajouter le spécialiste en ingénierie au groupe Engineering dans le serveur d’annuaire.

Vous pouvez également sélectionner les sources d’identité à appliquer à tous les utilisateurs de cette source. Ainsi, si vous prenez en charge plusieurs domaines Active Directory, vous pouvez fournir un accès différentiel aux ressources en fonction du domaine.

Pour modifier la liste des utilisateurs, vous cliquez sur le bouton + dans la condition et sélectionnez les identités souhaitées en utilisant l’une des techniques suivantes. Cliquez sur le x pour supprimer une identité de la politique.

• Sources d’identité : sélectionnez une source d’identité, telle qu’un domaine AD ou la base de données d’utilisateurs locaux, pour appliquer la règle à tous les utilisateurs obtenus à partir des sources sélectionnées. Si le domaine dont vous avez besoin n’existe pas encore, cliquez sur Create New Identity Realm (Créer un nouveau domaine d’identité) et créez-le maintenant.

• Groupes : sélectionnez les groupes d’utilisateurs souhaités. Les groupes sont disponibles uniquement si vous les configurez dans le serveur de répertoire. Si vous sélectionnez un groupe, la règle s’applique à tous les membres du groupe, y compris les sous-groupes. Si vous souhaitez traiter un sous-groupe différemment, vous devez créer une règle d’accès distincte pour le sous-groupe et la placer au-dessus de la règle pour le groupe parent dans la stratégie de contrôle d’accès.

• Utilisateurs : sélectionnez des utilisateurs individuels. Le nom d’utilisateur est précédé de la source d’identité, par exemple Realm\username (domaine\nom_utilisateur).

  Il existe certains utilisateurs intégrés dans le domaine Special-Identities-Realm (domaine d’identités spéciales) :

  • Failed Authentication (Échec de l’authentification) : l’utilisateur a été invité à s’authentifier, mais n’a pas réussi à saisir une paire nom d’utilisateur/mot de passe valide dans le nombre maximal de tentatives autorisées. L’échec de l’authentification n’empêche pas l’utilisateur d’accéder au réseau, mais vous pouvez écrire une règle d’accès pour limiter l’accès au réseau pour ces utilisateurs.

  • Guest (Invité) : les utilisateurs invités sont similaires aux utilisateurs en Failed Authentication (Échec de l’authentification), sauf que votre règle d’identité est configurée pour identifier ces utilisateurs comme Guest (Invité). Les utilisateurs invités ont été invités à s’authentifier et n’ont pas réussi à le faire dans les limites du nombre maximal de tentatives.

  • No Authentication Required (Aucune authentification requise) : l’utilisateur n’a pas été invité à s’authentifier, car ses connexions correspondaient à des règles d’identité ne spécifiant aucune authentification.

  • Unknown (Inconnu) : aucun mappage d’utilisateur n’existe pour l’adresse IP et aucun échec d’authentification n’a encore été enregistré. En règle générale, cela signifie qu’aucun trafic HTTP n’a encore été vu à partir de cette adresse.

Utilisez les politiques de fichiers pour détecter les programmes malveillants, ou malware, au moyen de la défense contre les logiciels malveillants. Vous pouvez également utiliser les politiques de fichiers pour effectuer le contrôle de fichier, ce qui permet de contrôler tous les fichiers d’un type spécifique, qu’ils contiennent ou non des logiciels malveillants.

La défense contre les logiciels malveillants utilise le Cisco AMP Cloud pour récupérer les dispositions relatives aux éventuels programmes malveillants détectés dans le trafic réseau, et pour obtenir des analyses locales de programmes malveillants et des mises à jour de pré-classification de fichiers. L'interface de gestion doit disposer d'un chemin vers Internet pour atteindre Cisco AMP Cloud et effectuer des recherches de programmes malveillants. Lorsque l'appareil détecte un fichier admissible, il utilise la valeur de hachage SHA-256 du fichier pour demander la Cisco AMP Cloud disposition du fichier. Les dispositions possibles sont les suivantes :

• Malware (Programmes malveillants) : le Cisco AMP Cloud a classé le fichier comme un logiciel malveillant. Un fichier d’archive (p. ex. un fichier compressé) est marqué comme malveillant si un de ses fichiers est malveillant.

• Clean (Propre : le Cisco AMP Cloud a classé le fichier comme propre, ne contenant aucun logiciel malveillant. Un fichier d’archive est marqué comme propre si tous les fichiers qu’il contient le sont.

• Unknown (Inconnu) : le Cisco AMP Cloud n’a pas encore affecté de disposition au fichier. Un fichier d’archive est marqué comme inconnu s'il contient un fichier inconnu.

• Unavailable (Non disponible) : le système n’a pas pu interroger le Cisco AMP Cloud pour déterminer la disposition du fichier. Vous pouvez voir un faible pourcentage d’événements avec cette disposition; c’est un comportement attendu. Si vous voyez un certain nombre d’événements « indisponible » se succéder, assurez-vous que la connexion Internet fonctionne correctement pour l’adresse de gestion.

Les paramètres de journalisation d’une règle d’accès déterminent si les événements de connexion sont émis pour le trafic qui correspond à la règle. Vous devez activer la journalisation pour voir les événements liés à la règle dans la visionneuse d’événements. Vous devez également activer la journalisation pour que le trafic correspondant soit reflété dans les différents tableaux de bord que vous pouvez utiliser pour surveiller le système.

Vous devez enregistrer les connexions en fonction des besoins de sécurité et de conformité de votre entreprise. Si votre objectif est de limiter le nombre d’événements que vous générez et d’améliorer les rendements, activez la journalisation uniquement pour les connexions essentielles à votre analyse. Toutefois, si vous souhaitez obtenir une vue d’ensemble de votre trafic réseau à des fins de profilage, vous pouvez activer la journalisation pour des connexions supplémentaires.

Mise en garde

La journalisation des connexions TCP bloquées lors d’une attaque par déni de service (DoS) peut affecter le rendement du système et submerger la base de données avec plusieurs événements similaires. Avant d’activer la journalisation pour une règle de blocage, déterminez si la règle concerne une interface Internet ou une autre interface vulnérable aux attaques DoS.

Vous pouvez configurer les actions de journalisation suivantes.

Sélectionner l’action de journalisation

Vous pouvez sélectionner l’une des actions suivantes :

• Log at Beginning and End of Connection (Journaliser au début et à la fin de la connexion)  : émet des événements au début et à la fin d’une connexion. Comme les événements de fin de connexion contiennent tout ce que contiennent les événements de début de connexion, ainsi que toutes les informations qui peuvent être obtenues au cours de la connexion, Cisco vous recommande de ne pas sélectionner cette option pour le trafic que vous autorisez. La journalisation de ces deux événements peut avoir une incidence sur les performances du système. Cependant, il s’agit de la seule option autorisée pour le trafic bloqué.

• Log at End of Connection (Journaliser à la fin de la connexion) : sélectionnez cette option si vous souhaitez activer la journalisation des connexions à la fin de la connexion, ce qui est recommandé pour le trafic autorisé ou de confiance.

• No Logging at Connection (Aucune journalisation à la connexion) : sélectionnez cette option pour désactiver la journalisation pour la règle. Il s'agit du paramètre par défaut.

Remarque

Lorsqu’une politique de prévention des intrusions, invoquée par une règle de contrôle d’accès, détecte une intrusion et génère un événement d’intrusion, le système consigne automatiquement la fin de la connexion où l’intrusion s’est produite, quelle que soit la configuration de journalisation de la règle. Pour les connexions où une intrusion a été bloquée, l’action pour la connexion dans le journal de connexion est Block (blocage), avec un motif Intrusion Block (blocage d’intrusion), même si, pour effectuer une inspection de prévention des intrusions, vous devez utiliser une règle Allow (autoriser).

Événements liés aux fichiers

Sélectionnez Log Files (Journaliser les fichiers) si vous souhaitez activer la journalisation des fichiers interdits ou des événements de programmes malveillants. Vous devez sélectionner une politique de fichiers dans la règle pour configurer cette option. L’option est activée par défaut si vous sélectionnez une politique de fichiers pour la règle. Cisco vous recommande de laisser cette option activée.

Lorsque le système détecte un fichier interdit, il consigne automatiquement l’un des types d’événement suivants :

• File events (événements de fichier), qui représentent les fichiers détectés ou bloqués, y compris les fichiers de programmes malveillants

• Malware events (événements de programmes malveillants), qui représentent uniquement les fichiers de programmes malveillants détectés ou bloqués

• Retrospective malware events (événements rétrospectifs de programme malveillant), qui sont générés lorsque la disposition de programme malveillant pour un fichier détecté précédemment change.

Pour les connexions où un fichier a été bloqué, l’action pour la connexion dans le journal de connexion est Block (blocage), même si, pour effectuer l’inspection des fichiers et des programmes malveillants, vous devez utiliser une règle Allow (autoriser). Le motif de la connexion (Reason) est soit File Monitor (surveillance de fichier, lorsqu’un type de fichier ou un programme malveillant a été détecté), soit Malware Block (blocage de programme malveillant) ou File Block (blocage de fichier), lorsqu’un fichier a été bloqué.

Envoyer les événements de connexion à :

Si vous souhaitez envoyer une copie des événements à un serveur syslog externe, sélectionnez l’objet serveur qui définit le serveur syslog. Si l’objet requis n’existe pas déjà, cliquez sur Create New Syslog Server (Créer un nouveau serveur syslog) et créez-le. (Pour désactiver la journalisation sur un serveur syslog, sélectionnez Any (tout) dans la liste des serveurs.)

Comme le stockage d’événements sur l’appareil est limité, l’envoi des événements à un serveur journal système externe peut fournir un stockage à plus long terme et améliorer votre analyse des événements.

Ce paramètre s’applique uniquement aux événements de connexion. Pour envoyer les incidents d’intrusion à syslog, configurez le serveur dans les paramètres de la politique de prévention des intrusions. Pour envoyer des événements de fichier ou de programme malveillant à syslog, configurez le serveur dans Device (Appareil) > System Settings (Paramètres du système) > Logging Settings (Paramètres de journalisation).