Evaluation des Risques des Endpoints WatchGuard

S'applique À : WatchGuard EPDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard EPDR. et WatchGuard Advanced EPDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard Advanced EPDR.

L'Evaluation des Risques des Endpoints WatchGuard vous permet d'évaluer la situation de cybersécurité de vos comptes gérés qui utilisent une solution de sécurité des endpoints tierce. L'Evaluation des Risques des Endpoints est non intrusive et vous permet d'identifier les menaces, les vulnérabilités et autres risques de sécurité. Après la période d'évaluation, vous pouvez planifier un rapport détaillé qui fournit des informations sur le profil de risque du compte, des recommandations sur la façon de réduire la surface d'attaque, ainsi que des améliorations globales de la posture de sécurité.

Le rapport Evaluation des Risques des Endpoints comprend des résumés graphiques de :

• Risques
• État de risque du endpoint
• Évaluation de Zero-Trust Application Service
• Évaluation du Service Threat Hunting

La section Détails de l'Evaluation et Recommandations comprend des informations détaillées sur ces risques de sécurité :

• Logiciels malveillants, PPI, exploitations, attaques réseau, indicateurs ou attaques détectés
• Vulnérabilités activement exploitées détectées
• Vulnérabilités critiques et importantes détectées
• Logiciel en Fin de Vie détecté
• Applications avec un volume de chargement et de téléchargement élevé
• Applications LOTL (Living-off-the-Land) exécutées

Pourquoi Activer une Evaluation des Risques des Endpoints ?

L'Evaluation des Risques des Endpoints est un outil permettant aux Service Provider d'apporter une valeur supplémentaire à leurs clients grâce à une évaluation de la cybersécurité du réseau client. Vous pouvez utiliser l'évaluation des risques pour montrer les avantages de la technologie et des produits WatchGuard Endpoint Security à un client qui souhaite s'assurer qu'il est entièrement protégé contre les menaces de sécurité.

L'Evaluation des Risques des Endpoints se concentre sur une approche zero-trust (de confiance zéro) pour aider le client à créer un environnement informatique fiable. Elle offre une visibilité sur les applications installées dans l'environnement client et sur les applications qui consomment le plus de bande passante. Elle offre également une visibilité sur les applications LOTL et qui sont couramment utilisées par des acteurs malveillants pour introduire des logiciels malveillants dans les réseaux.

L'évaluation des risques est transparente pour le client. Sur ses endpoints, le client ne voit pas les alertes locales ni l'icône WatchGuard Endpoint Security dans la barre d'état système de Windows. Les mises à jour automatiques de la protection sont désactivées pour garantir que le client n'a pas besoin de redémarrer l'endpoint pour une mise à niveau de la protection.

Si le client n'active pas de licence pour WatchGuard Endpoint Security, il peut toujours appliquer la plupart des recommandations du rapport. Aucun matériel ou outil de test supplémentaire n'est requis.

Exigences et Restrictions

L'Evaluation des Risques des Endpoints est disponible sur WatchGuard Cloud pour les partenaires et les clients disposant d'un essai de WatchGuard EPDR ou WatchGuard Advanced EPDR. Elle n'est pas disponible pour les partenaires ou les clients disposant d'une licence de produit Endpoint Security existante. Si le partenaire ou le client dispose d'une licence Firebox Total Security Suite avec EDR Core, mais n'a installé EDR Core sur aucun endpoint, il peut alors commencer un essai et activer l'Évaluation des Risques des Endpoints.

Nous vous recommandons également de démarrer un essai simultané de WatchGuard Advanced Reporting Tool pour une visibilité supplémentaire. Advanced Reporting Tool fournit des informations avancées utilisées par l'évaluation, telles qu'un aperçu de toutes les applications utilisées, des fonctionnalités de recherche et la traçabilité des licences Microsoft Office actuellement actives.

L'Evaluation des Risques des Endpoints s'applique uniquement aux endpoints sur les plates-formes Windows, Linux et macOS. Les endpoints Android et iOS ne rentrent pas dans le champ d'application du rapport.

Avant de Commencer

Lorsque l'évaluation des risques démarre, les nouveaux paramètres s'appliquent automatiquement au groupe Tous. Toutefois, tout groupe de comptes incluant des paramètres de l'UI de gestion d'Endpoint Security multilocataire ne reçoit pas les paramètres d'évaluation des risques. Pour plus d'informations sur les paramètres de l'UI de gestion multilocataire, accédez à Gestion Multilocataire des Profils de Paramètres.

Si vous utilisez l'UI de gestion multilocataire pour attribuer des paramètres, assurez-vous qu'aucun paramètre de configuration n'est appliqué aux comptes que vous souhaitez inclure dans l'évaluation. Nous vous recommandons de créer un groupe de comptes appelé Evaluation des Risques à utiliser pour l'évaluation et de n'attribuer aucun paramètre à ce groupe à partir de l'UI de gestion multilocataire. Pour obtenir plus informations concernant les groupes de comptes, accédez à Gérer les Groupes de Comptes. Si vous ajoutez de nouveaux comptes à inclure dans l'évaluation, assurez-vous de les inclure dans le groupe Evaluation des Risques.

Démarrer avec l'Evaluation des Risques des Endpoints WatchGuard

Complétez les étapes suivantes :

1. Commencer un Essai et Activer l'Évaluation des Risques sur Votre Compte

2. Installer Endpoint Security sur Vos Endpoints

3. Examiner le Rapport Evaluation des Risques des Endpoints

1. Commencer un Essai et Activer l'Évaluation des Risques sur Votre Compte

Vous pouvez activer l'Évaluation des Risques des Endpoints sur les comptes WatchGuard Cloud qui ne disposent pas d'une licence de produit WatchGuard Endpoint Security.

Les comptes Subscriber avec des endpoints auxquels EDR Core (disponible avec Firebox Total Security Suite) a été attribué mais n'ont pas installé EDR Core sur aucun endpoint, peuvent également commencer un essai et activer l'évaluation des risques.

Pour commencer un essai et activer l'évaluation des risques :

1. Connectez-vous à WatchGuard Cloud.
2. Dans le Gestionnaire de Comptes, sélectionnez Vue d'Ensemble.
3. Démarrez un essai d'Advanced EPDR ou EPDR.
   
   1. Sélectionnez Administration > Essais.
   2. Sélectionnez l'onglet Endpoints.
   3. Dans la colonne Nom du Compte, à côté du compte pour lequel vous souhaitez démarrer l'évaluation, activez l'option d'essai.
      La boîte de dialogue Ajouter un Essai s'ouvre.
   4. Dans la liste Produit, sélectionnez Advanced EPDR ou EPDR.
   5. (Facultatif) Dans la liste des modules, cochez la case Advanced Reporting Tool.
      Advanced Reporting Tool fournit des informations avancées utilisées par l'évaluation, telles qu'un aperçu de toutes les applications utilisées, des fonctionnalités de recherche et la traçabilité des licences Microsoft Office actuellement actives.
   6. Cliquez sur Ajouter.
      L'essai peut demander jusqu'à deux minutes avant de devenir disponible dans WatchGuard Cloud..
4. Sélectionnez Surveiller > Endpoints.
   Le tableau de bord Sécurité sur la page Configuration s'ouvre.

5. Cliquez sur Activer.
   La boîte de dialogue de confirmation s'ouvre.

6. Cliquez sur Activer.

2. Installer Endpoint Security sur Vos Endpoints

Après avoir commencé un essai et activé l'évaluation des risques, déployez le produit WatchGuard Endpoint Security sur vos endpoints. Plus vous installez Endpoint Security sur des endpoints, plus l'évaluation des risques est approfondie. Nous vous recommandons d'installer Endpoint Security sur les endpoints les plus vulnérables aux menaces, tels que les ordinateurs portables. Pour plus d'informations sur la planification du déploiement de WatchGuard Endpoint Security sur votre réseau, accédez à Plan d'Installation d'Endpoint Security.

Le premier ordinateur Windows que vous ajoutez à WatchGuard Endpoint Security est automatiquement désigné en tant qu'ordinateur de découverte. L'ordinateur de découverte trouve d'autres ordinateurs sur le réseau sur lesquels l'Agent WatchGuard n'est pas installé. Utilisez la liste Ordinateurs Non Gérés Découverts pour rechercher des ordinateurs sur le réseau sur lesquels déployer l'Agent WatchGuard. Pour de plus amples informations, accédez à Liste Ordinateurs Non Gérés Découverts .

Vous pouvez ensuite installer le logiciel d'endpoint à distance sur les ordinateurs Windows. Pour de plus amples informations, accédez à Installer le Logiciel d'Endpoint à Distance (Ordinateurs Windows).

L'installation ne devrait prendre que quelques minutes. Lorsque vous installez le logiciel sur l'endpoint, l'icône Endpoint Security ne s'affiche pas dans la barre de notification et les alertes locales sont désactivées. En effet, les paramètres de l'évaluation des risques sont appliqués au groupe Tout et déployés sur les endpoints.

Antivirus Tiers et Produits EDR

WatchGuard Endpoint Security et l'Evaluation des Risques des Endpoints sont compatibles avec les antivirus tiers et les produits EDR. L'Evaluation des Risques des Endpoints est installée sur les produits EDR et antivirus tiers existants pour inspecter les endpoints à la recherche de logiciels malveillants actifs et latents, de vulnérabilités et d'autres risques de sécurité.

Pour de plus amples informations, examinez cet article de la Base de Connaissances : Les produits Endpoint Security sont-ils compatibles avec les solutions EDR et antivirus tiers ?

3. Examiner le Rapport Evaluation des Risques des Endpoints

Vous pouvez prévisualiser le Rapport Evaluation des Risques des Endpoints à tout moment. Vous pouvez également planifier l'envoi du rapport à la fin de la période d'évaluation. Le rapport met en évidence les différents types de risques de sécurité découverts au cours de la période d'évaluation. Le rapport classe les risques par gravité :

• Critique — Indique qu'un logiciel malveillant confirmé a été exécuté ou indique un niveau d'exposition dangereux à une cyberattaque.
• Elevé — Indique qu'un logiciel malveillant latent a été détecté et pourrait s'exécuter à tout moment ou indique un besoin urgent de réduire la surface d'attaque.
• Moyen — Indique que des facteurs de risque supplémentaires ont été détectés et doivent être traités de manière préventive.

Le rapport inclut uniquement les endpoints Windows, Linux et Mac avec une licence d'essai WatchGuard Advanced EPDR ou EPDR activée.

Pour recevoir uniquement le rapport d'évaluation final et non les alertes par e-mail chaque fois qu'Endpoint Security détecte une menace, vous pouvez désactiver les alertes par e-mail pour le groupe Evaluation des Risques. Pour de plus amples informations, accédez à À Propos des Alertes.

Prévisualiser le Rapport

Pour prévisualiser le rapport depuis WatchGuard Cloud :

1. Dans le Gestionnaire de Comptes, sélectionnez le compte pour lequel vous avez activé l'évaluation des risques.
2. Sélectionnez Surveiller > Endpoints.
3. Sur la page Etat, sélectionnez Rapports Planifiés.
4. Cliquez sur Ajouter un Rapport Planifié.

5. Cliquez sur Prévisualiser le Rapport.
   Le rapport s'ouvre dans un nouvel onglet du navigateur.

Planifier le Rapport

Planifiez le rapport Evaluation des Risques si vous souhaitez le recevoir par e-mail quotidiennement, hebdomadairement ou mensuellement à des jours et à des heures spécifiques. Pour les réseaux plus petits (1 à 50 endpoints), nous vous recommandons de planifier l'exécution du rapport 2 semaines après le début de l'évaluation. Pour les réseaux plus importants, nous vous recommandons de planifier l'exécution du rapport jusqu'à 4 semaines après le début de l'évaluation. La période d'essai d'Endpoint Security est de 30 jours, mais peut être prolongée une fois jusqu'à 60 jours. Les réseaux plus grands pourraient nécessiter une période d'évaluation plus longue. Contactez votre représentant WatchGuard.

Pour planifier le rapport Evaluation des Risques depuis WatchGuard Cloud :

1. Dans le Gestionnaire de Comptes, sélectionnez le compte pour lequel vous avez activé l'évaluation des risques.
2. Sélectionnez Surveiller > Endpoints.
3. Sur la page Etat, sélectionnez Rapports Planifiés.
4. Cliquez sur Ajouter un Rapport Planifié.
5. Dans la zone de texte Nom, saisissez le nom du rapport planifié.
6. Dans la section Envoyer Automatiquement, sélectionnez la fréquence et l'heure du rapport planifié. L'option Envoyer Automatiquement est activée par défaut.

7. Dans la zone de texte À, saisissez les adresses e-mail destinataires des rapports en les séparant par des virgules.
8. Dans les zones de texte CC et CCI, saisissez les adresses e-mail à copier en les séparant par des virgules.
9. Dans la zone de texte Objet, saisissez l'objet de votre e-mail (par exemple, Rapport Evaluation des Risques des Endpoints).
10. Pour spécifier le Format du rapport, dans la liste déroulante, sélectionnez PDF ou Word.
11. Cliquez sur Ajouter.

Désactiver l'Evaluation des Risques

Vous pouvez désactiver l'évaluation des risques à tout moment. Lorsque vous activez l'évaluation, le mode Audit est activé pour détecter les logiciels malveillants et autres failles de sécurité. En mode Audit, Endpoint Security ne bloque ni ne supprime les menaces. Vous pouvez désactiver l'évaluation des risques, puis désactiver le mode Audit pour permettre à Endpoint Security de bloquer et de supprimer les menaces trouvées. Vous devriez également activer les paramètres par ordinateur par défaut pour activer les mises à jour automatiques et afficher l'icône Endpoint Security dans la barre d'état système de Windows.

Pour désactiver l'évaluation des risques et désactiver le mode audit :

1. Connectez-vous à WatchGuard Cloud.
2. Dans le Gestionnaire de Comptes, sélectionnez le compte pour lequel vous avez démarré l'essai et l'évaluation des risques.
3. Sélectionnez Surveiller > Endpoints.

4. Cliquez sur Désactiver.
   Une boîte de dialogue de confirmation s'ouvre.

5. Cliquez sur Désactiver.
6. Sélectionnez Configuration > Stations de Travail et Serveurs.

7. Attribuez les paramètres par défaut des stations de travail et serveurs au groupe Tous.
   Cela désactive le mode Audit. Si le compte n'avait pas de profil attribué par son Service Provider, l'Evaluation des Risques des Endpoints attribuait automatiquement un profil de paramètres avec des fichiers leurres et anti-exploitation désactivés. Lorsque vous désactivez l'évaluation des risques, ce profil est désactivé. Pour activer le mode Audit, les fichiers fictifs et la protection anti-exploitation, nous vous recommandons d'attribuer les paramètres par défaut.
   
8. Sélectionnez Paramètres par Ordinateur.
9. Attribuez le profil par défaut des paramètres par ordinateur au groupe Tous.

Traiter les Menaces Trouvées sur les Endpoints

À tout moment, vous pouvez appliquer des stratégies de traitement pour améliorer la sécurité du compte.

Pour traiter les vulnérabilités avec Endpoint Security, nous vous recommandons :

1. Désactivez l'Evaluation des Risques des Endpoints.
2. Attribuez les paramètres par défaut des stations de travail et serveurs aux comptes pour lesquels vous souhaitez corriger les menaces. Cela désactive le mode Audit pour garantir qu'Endpoint Security bloque et supprime les logiciels malveillants, les PPI ou les autres exploitations trouvées. Pour de plus amples informations, accédez à Configurer les Paramètres de Sécurité pour les Stations de Travail et Serveurs et Attribuer un Profil de Paramètres.
3. Analysez les zones critiques sur tous les périphériques d'endpoint. Pour de plus amples informations, accédez à Analyser les Ordinateurs et les Périphériques.
4. Commencez un essai de Patch Management pour appliquer automatiquement les correctifs disponibles sur vos endpoints. Pour de plus amples informations, accédez à Meilleures Pratiques de Patch Management.
5. Examinez et suivez les recommandations du rapport Evaluation des Risques des Endpoints pour réduire la surface d'attaque et améliorer la posture de sécurité. Cela peut inclure l'isolation des périphériques, des tâches supplémentaires d'analyse des logiciels malveillants et le contrôle des applications (Blocage des Programmes).

Rubriques Connexes

Commencer un Essai – Service Providers

Exigences d'Installation (lien externe)

Démarrer avec Watchguard Endpoint Security