Organisation de ce guide
Ce document sert de référence à utiliser avec les interfaces utilisateur de la Console VirusScan et ePolicy Orchestrator. Il décrit également, dans un ordre logique, l’approche à adopter pour protéger votre système contre les logiciels malveillants (malwares) avec VirusScan Enterprise. La description de cette procédure est divisée en quatre parties principales accompagnées d’annexes :
- Partie I – Prévention : éviter les menaces : le meilleur moyen de protéger votre système consiste à empêcher les logiciels malveillants (malwares) d’y accéder. Cette partie du document décrit les éléments suivants :
- la protection des points d’accès de votre système et de la mémoire en cas d’erreurs provoquées par des Buffer Overflows et des programmes indésirables ;
- les définitions de détection et leur utilisation pour protéger votre système ainsi que l’importance de la mise à jour régulière de ces définitions ;
- l’exclusion des fichiers, dossiers et disques de l’analyse ;
- l’utilisation de tâches planifiées pour analyser régulièrement votre système et mettre à jour les fichiers utilisés par VirusScan Enterprise.
- Partie II – Détection : trouver les menaces : les fichiers ouverts ou copiés à partir d’autres systèmes de fichiers ou d’Internet peuvent représenter une porte ouverte sur votre système. Les appels d’API (Application Programming Interface, interface de programmation d’applications) et les scripts peuvent également représenter une menace pour votre système. Ces menaces sont découvertes lors des processus d’analyse VirusScan Enterprise suivants :
- Analyse à l’accès : analyse un fichier à la recherche de logiciels malveillants (malwares) lorsque ce dernier est lu ou écrit sur le disque, protège les secteurs d’amorçage, analyse la mémoire des processus en cours d’exécution, détecte les cookies et protège le système des programmes indésirables.
- Analyse à la demande : analyse la totalité du système à la recherche de menaces, régulièrement ou à la demande lorsqu’elle est exécutée à partir de la Console VirusScan.
- Analyse d’e-mails à la réception et à la demande : protège contre les logiciels malveillants (malwares) contenus dans les messageries Microsoft Outlook et Lotus Notes.
- Protection en cas de Buffer Overflow : analyse les appels d’API effectués par certains processus, pour confirmer qu’ils ne tentent pas d’écraser des données adjacentes de la mémoire tampon.
- ScriptScan : recherche les menaces provenant de navigateurs ou autres applications utilisant le composant Windows Scripting Host.
- Partie III – Réponse : gérer les menaces : VirusScan Enterprise peut être configuré pour exécuter toutes les étapes suivantes en cas de détection de menace :
- Refuser l’accès à la menace ou n’entreprendre aucune autre action.
- Supprimer ou nettoyer la menace. Lorsque l’une ou l’autre de ces actions est entreprise, une copie du fichier d’origine est stockée dans le dossier de quarantaine.
Remarque : pour toutes les détections, vous pouvez configurer VirusScan Enterprise pour qu’il envoie ou non une notification à l’utilisateur. - Partie IV – Surveillance, analyse et paramétrage de votre protection : dès que votre protection est opérationnelle, vous devez surveiller votre système à l’aide de requêtes et de rapports ePolicy Orchestrator. Vous pouvez ensuite décider d’apporter des modifications à vos paramètres de sécurité afin de renforcer ou d’affaiblir la protection de votre système. Vous pouvez également utiliser les journaux de la Console VirusScan et les interruptions SNMP (Simple Network Management Protocol) pour ce faire.
- Annexes : décrivent quelques fonctions supplémentaires à connaître pour l’utilisation de VirusScan Enterprise. Par exemple, les options de ligne de commande VirusScan Enterprise, la connexion à des systèmes distants via VirusScan Enterprise, etc.