EDR (EndPoint Security)
Introduction
Pourquoi ?
Ce chapitre traite de la gamme EndPoint Security, qui englobe les solutions pour les endpoints. Entre 2017 et 2020, les cyberattaques ont connu une évolution rapide, incitant WatchGuard à acquérir Panda Security et son produit exceptionnel Panda Adaptive Defense 360 (AD360). L’objectif était de proposer une solution EDR (Endpoint Detection and Response) de dernière génération pour contrer tout type de menaces, y compris les plus avancées telles que les LoTL, LOLBins ou LOLBAS (Living Off The Land Binaries and Scripts and Also Libraries), les failles zero day ou encore les APT (Advanced Persistent Threat).
AD360 a été intégré au catalogue commercial de WatchGuard, sous plusieurs formes :
-
WatchGuard EPP (Endpoint Protection Platform) comme simple antivirus (EPP).
-
WatchGuard EDR Core (Endpoint Detection and Response Core) comme complément à un EPP proposant une version légère de l’approche par EDR.
-
WatchGuard EDR (Endpoint Detection and Response) comme complément à un EPP proposant une version complète de l’approche par EDR.
-
WatchGuard EPDR (Endpoint Protection, Detection and Response) comme solution EPP + EDR complète.
-
WatchGuard EPDR Advanced comme solution EPP + EDR complète avec des outils pour l’intégration à un SOC.
L’EDR et l’EPDR...
Technologie EPP vs EDR
Les outils de protection pour les endpoints sont divisés en deux familles. Actuellement, l’une s’appelle EPP, l’autre EDR. L’EPP est conçu pour la prévention et le blocage des menaces connues en temps réel, tandis que l’EDR est orienté sur la détection et la réponse aux menaces avancées. On parle de menaces inconnues qui échappent à la détection des solutions de sécurité traditionnelles.
WatchGuard utilise plusieurs niveaux de protection ainsi qu’un ensemble de modules dans ses produits :
-
Layer 0 Protection for Multiple Attack Vectors (Firewall + IDS/HIPS + NET Protection + Web & USB control).
-
Layer 1 Signature Files and Heuristic Scanners (AV) (détection des attaques connues).
-
Layer 2 Contextual Detections + Collective Intelligence (détection des attaques LOLBAS sans fichiers).
-
Layer 3 Anti-Exploit Technology (détection des attaques LOLBAS orientées exploitation de vulnérabilités).
-
Layer 4 Zero-Trust Application Services (classement de 100 % des processus identifiables + blocage automatique des processus non identifiables).
-
Layer 5 Threat Hunting Services (détection déterministe de l’IOA mappé sur la matrice MITRE).
-
Layer 6 Threat Hunting Services++ (détection non déterministe de l’IOA avec télémétrie contextuelle, recherche de règles STIX IOC et YARA en temps réel, shell à distance et stratégie avancée).
1. WatchGuard EPP
EPP (Endpoint Protection Platform) est le nouveau nom donné par les observateurs de marché (Gartner, Forrester, etc.) pour désigner les antivirus classiques. Bien qu’avec un fonctionnement traditionnel, WatchGuard EPP, expliqué ci-dessous, est boosté par l’approche multicouche suivante :
-
Layer 0 Protection for Multiple Attack Vectors propose de base un firewall personnel intégrant IDS (Intrusion Detection System) + HIPS (Host-based Intrusion Prevention System), le contrôle des équipements USB et un filtrage web. Cette couche est importante pour bloquer les menaces internes. Une des menaces internes les plus préoccupantes sont les HOTPLUG ATTACKS (clé USB avec Payload malveillante). Par exemple, le site Hak5 propose pour 100 €...
Déploiement EndPoint Security
1. EDR Core (Windows)
TDR est remplacé par EDR Core depuis 2023. L’installation, la configuration ou encore l’utilisation sont radicalement plus simples que TDR. Pour s’en convaincre, il suffit de comparer le chapitre du livre dédié à TDR et le présent chapitre. Nous n’allons pas détailler EDR Core car c’est exactement la même chose que l’EPDR qui, lui, va être détaillé plus loin.
Pour commencer, connectez-vous à WatchGuard Cloud, onglet Configurer - ÉTAT. Dans le tableau de bord, vous pouvez voir la différence entre les deux produits. EDR Core dispose simplement des menus suivants :
-
Sécurité
-
Risques
Depuis l’onglet ORDINATEURS, choisissez Ajouter des ordinateurs, puis exécutez le fichier *.msi téléchargé sur le poste client. Voilà le poste équipé de EDR Core.
Toujours dans ÉTAT, vous pouvez voir le nombre d’ordinateurs protégés par EDR Core, les protections obsolètes, les activités d’exploitations et les logiciels malveillants.
Dans l’onglet CONFIGURATION se trouve la couche Layer 3 Anti-Exploit Technology. Pour rappel, EDR Core vient en complément d’une solution antivirale classique.
2. EPDR (Windows)
Le déploiement de l’EPDR est identique à celui de Panda Adaptive Defense 360, mais tout se fait depuis le portail WatchGuard Cloud au lieu du portail de Panda Security. WatchGuard recommande de travailler avec WatchGuard EPDR plutôt qu’avec Panda Adaptive Defense 360. Voici les étapes pour déployer et découvrir EPDR :
-
Étape 1 : déployer un agent EPDR depuis l’onglet ORDINATEURS.
-
Étape 2 : onglet ÉTAT pour connaître l’état des différents services et l’accès à la console AVT.
-
Étape 3 : onglet ORDINATEURS pour le déploiement des agents.
-
Étape 4 : onglet CONFIGURATION pour l’activation du mode Hardening/Lock + Protection for Multiple Attack Vectors.
-
Étape 5 : onglet TÂCHES pour planifier l’analyse antivirus.
-
Étape 6 : onglet ÉTAT - Rapports planifiés pour la création et l’envoi de rapports.
Étape...
Configuration des modules
1. Module Patch Management (PM)
La gestion des correctifs (Patch Management) fait référence au processus consistant à mettre régulièrement à jour des logiciels ou des systèmes d’exploitation pour garantir qu’ils sont à jour, sécurisés et fonctionnent correctement.
Ces correctifs sont généralement publiés par les éditeurs de logiciels ou les développeurs pour résoudre des vulnérabilités de sécurité, corriger des bugs, améliorer les performances et ajouter de nouvelles fonctionnalités.
WatchGuard Patch Management s’appuie sur les services de la société Ivanti, qui offre une variété de produits conçus pour optimiser la gestion des environnements informatiques au sein des entreprises. Ivanti est reconnue par Gartner comme un leader dans le domaine des ITSM en 2022.
Avec EPDR + le module Patch Management (PM), il est possible de réaliser ces actions :
-
Connaître le nombre de correctifs manquants pour l’ensemble des endpoints (clients/serveurs).
-
Connaître la fin de vie des applications (EOL) afin de les remplacer car plus supportées par leurs éditeurs.
-
Apporter une visibilité par matrices (correctifs/ordinateurs et ordinateurs/correctifs).
-
Apporter une visibilité de l’évolution dans le temps des correctifs disponibles.
-
Aider dans le déploiement de correctifs pour les OS/applications Windows et tiers (environ 130 éditeurs).
-
Installer les correctifs manuellement (unité) ou automatiquement (par tâches les regroupant).
-
Planifier le déploiement et configurer les reboots dans la mesure où l’éditeur le permet.
-
Faire profiter les correctifs installés de l’option Roll Back pour revenir en arrière si l’éditeur l’autorise.
-
Patch Management est intégré aux rapports planifiés de l’EPDR avec possible export des listes de mises à jour.
Gardez à l’esprit que Patch Management est un outil très simple d’utilisation, mais qui nécessite de la méthodologie afin de pouvoir gérer correctement les mises à jour d’applications sur un spectre et une durée importante.
Une gestion efficace des correctifs...
Configuration de modules AVT
WatchGuard vous propose d’accéder à un SIEM (Security Information and Event Management) orienté seulement sur les produits EndPoint Security. L’outil se présente sous le nom AVT et est disponible avec les modules :
-
Data Control (DC) permet un niveau très précis de surveillances des fichiers PIIF (et autres) sur les endpoints.
-
Advanced Reporting Tool (ART) permet de suivre le moindre détail des opérations sur les endpoints.
AVT repose en réalité sur DEVO, anciennement connu sous le nom de LogTrust. C’est une entreprise de premier plan dans le domaine de la cybersécurité, spécialisée dans la gestion des SIEM. DEVO est reconnue par Gartner comme un des principaux challengers en 2022 pour son expertise dans le secteur de la sécurité informatique.
La plateforme DEVO collecte et analyse des données de sécurité à partir de diverses sources, offrant ainsi une vue complète et centralisée de la posture de sécurité de l’entreprise. Son interface conviviale et ses fonctionnalités de corrélation d’événements aident les analystes à identifier rapidement les activités suspectes et à mener des enquêtes.
Une fois connecté sur AVT, vous trouvez les menus suivants :
-
Home : tableau de bord regroupant les dernières alertes, le nombre d’événements, le volume, etc.
-
Data search : permet de rechercher des informations sur AVT.
-
Administration / Alert configuration : permet de régler les différents types d’envoi des alertes.
-
ART : informations concernant le module ART.
-
Data Control : informations concernant le module DC.
-
Alertes : alertes concernant tout AVT.
-
Préférences : configuration du compte utilisateur AVT.
AVT propose plusieurs approches pour l’analyse de données :
-
La première consiste à utiliser Data search (Go to query) pour rechercher dans l’intégralité des logs.
-
La deuxième consiste à utiliser les fenêtres déjà préconfigurées pour les modules ART et Data Control.
-
La dernière consiste à configurer des alertes afin d’être informé d’événements...
Troubleshooting
1. En cas de message d’erreur sur l’agent EPDR
Si vous rencontrez un problème avec la solution de protection qui affiche un message d’erreur, il pourrait être nécessaire d’envisager une réinstallation à distance. Deux solutions sont possibles :
-
Réinstaller la protection (nécessite un redémarrage).
-
Réinstaller l’agent (réinstallation depuis un autre poste du réseau).
Pour utiliser ces solutions, allez dans l’onglet ORDINATEURS et sélectionnez l’ordinateur avec le problème. Un menu apparaît avec les options pour la réinstallation à distance.
2. En cas de problème avec l’option anti-tamper de l’EPDR
Pour éviter qu’un hacker ou un malware puisse désinstaller l’agent EPDR, l’option anti-tamper permet de bloquer la désinstallation par la demande d’un mot de passe. C’est très efficace, mais cela peut parfois avoir des effets collatéraux avec d’autres services Windows, il peut donc arriver de devoir le désactiver.
Par défaut, l’agent utilise un profil avec mot de passe obligatoire et généré aléatoirement. Vous avez deux possibilités pour la désinstallation manuelle :
-
Retrouver le mot de passe pour l’utiliser.
-
Désactiver Demander...