Configuration d’obtention des statistiques
Pour activer l’envoi des informations de postes pour la section Événements du Contrôle des applications
1.Dans la section Réseau antivirus, sélectionnez dans l’arborescence les postes et les groupes de postes avec le Contrôle des applications installé depuis lesquels vous voulez recevoir des informations concernant le lancement des applications.
2.Dans le menu de gestion, sélectionnez Windows → Agent Dr.Web.
3.Dans l’onglet Général, cochez la case Suivre les événements du Contrôle des applications pour suivre l’activité des processus sur les postes enregistrée par le Contrôle des applications et envoyer les événements sur le Serveur. S’il n’y a pas de connexion au Serveur, les événements sont accumulés et envoyés, une fois la connexion établie. Si la case est décochée, l’activité des processus est ignorée.
4.Cliquez sur Enregistrer.
Pour activer la collecte des informations par le Serveur pour la section Événements du Contrôle des applications
5.Dans la section Administration → Configuration du Serveur Dr.Web, accédez à l’onglet Statistiques.
6.Spécifiez l’une des options suivantes :
•Statistiques du Contrôle des applications sur l’activité des processus pour obtenir et enregistrer les informations sur toute activité de tous les processus dont le lancement est autorisé ou bloqué par le Contrôle des applications. Si vous choisissez cette option, les applications seront enregistrées dans le répertoire seulement après la création et l’assignation d’au moins un profil avec une ou plusieurs catégories de critères d’analyse fonctionnelle sélectionnées.
Avant la création de profils et leur assignation aux postes du réseau antivirus, le lancement de toutes les applications est autorisé.
•Statistiques du Contrôle des applications sur l’activité des processus pour obtenir et enregistrer les informations sur l’activité de tous les processus dont le lancement est bloqué par le Contrôle des applications. Si vous choisissez cette option, les applications seront enregistrées dans le répertoire seulement après la création des profils dont les paramètres bloqueront le lancement des applications et l’assignation de ces profils aux postes du réseau antivirus.
|
La case Statistiques du Contrôle des applications sur l’activité des processus peut augmenter considérablement la charge de la collecte des statistiques sur tout le réseau antivirus. |
7.Cliquez sur Enregistrer.
8.Redémarrez le Serveur.
9.Après le redémarrage, le Serveur commencera à enregistrer, selon les paramètres spécifiés, les statistiques de lancement des applications envoyées depuis tous les postes avec le Contrôle des applications installée.
Consultation des statistiques
Pour voir les événements enregistres sur les postes par le composant Contrôle des applications
1.Sélectionnez un poste ou un groupe dans la liste hiérarchique.
2.Dans le menu de gestion, sélectionnez l’élément Événements du Contrôle des applications dans la rubrique Statistiques.
3.La fenêtre s’ouvre affichant la liste des applications dont le lancement a été autorisé ou interdit sur les postes sélectionnés.
4.Les statistiques pour les 24 heures s’affichent par défaut. Pour consulter les informations relatives à une période déterminée, indiquez dans la liste déroulante une période arbitraire par rapport à la date courante ou choisissez depuis la barre d’outils une plage de dates nécessaire. Pour spécifier une plage de dates, saisissez les dates nécessaires ou cliquez sur les icônes du calendrier contre les champs des dates. Pour charger des données, cliquez sur Actualiser. Les tableaux statistiques seront chargés. Vous trouverez la description des colonnes du tableau ci-dessous.
Description des colonnes du tableau Événements du Contrôle des applications
Nom de la colonne |
Description |
|---|---|
Identificateur |
Identificateur du poste |
Poste |
Nom du poste |
Adresse du poste |
Adresse du poste |
Identificateur de sécurité |
Identificateur de sécurité du compte utilisateur |
Utilisateur |
Utilisateur du poste de travail |
Type d’événement |
Type de l’événement lancé sur le poste |
Action appliquée |
Action appliquée à l’application lancée sur le poste |
Critère de l’analyse fonctionnelle |
Critère selon lequel l’application est autorisée ou bloquée |
Masque de l’analyse fonctionnelle |
Paramètre du critère de l’analyse fonctionnelle qui détermine si l’application est autorisée à se lancer ou pas |
ID du profil |
Identificateur du profil |
Nom du profil |
Nom du profil |
ID de la règle |
Identificateur de la règle |
Nom de la règle |
Nom de la règle |
Mode de fonctionnement |
Mode de fonctionnement de la règle |
Chemin vers le fichier de processus |
Localisation du fichier de processus |
Processus |
Processus autorisé à se lancer sur le poste ou bloqué |
Bulletin avec le hash du processus |
Bulletin contenant le hash du fichier du processus lancé |
Chemin du fichier de script |
Localisation du fichier de script |
Script |
Fichier du script |
Bulletin avec le hash du script |
Bulletin contenant le hash de fichier du script lancé |
Apparition de l’événement |
Date et heure de l’apparition de l’événement |
Notification de l’événement |
Date et heure de notification de l’événement |
Hash de fichier (SHA-256) |
Valeur du hash de fichier par l’agorithme SHA-256 |
Description du fichier |
Description du fichier |
Éditeur |
Éditeur du fichier |
Éditeur du certificat |
Centre de certification qui a délivré le certificat |
Hash de certificat (SHA-1) |
Valeur du hash de certificat par l’algorithme SHA-1 |
Date de début du certificat |
Date de début du certificat |
Date de fin du certificat |
Date de fin du certificat |
|
Les paramètres du filtre ne sont pas permanents. Leur présence ou l’absence dépend des données reçues pendant la période spécifiée. Un paramètre disparait du filtre si les données lui correspondant n’ont pas été reçues pendant la période spécifiée. |
5.Afin de sauvegarder un tableau de statistiques pour l’imprimer ou le traiter plus tard, cliquez sur le bouton :
Sauvegarder les données dans un fichier CSV,
Sauvegarder les données dans un fichier HTML,
Sauvegarder les données dans un fichier XML,
Sauvegarder les données dans un fichier PDF.
|
S’il y a un profil ou une règle en mode test lancé sur les postes assignés, les applications sont analysées conformément au schéma de fonctionnement du Contrôle des applications du début à la fin. Les statistiques vont contenir les cas de concordance de l’application à tous les critères suivants : les paramètres de l’analyse fonctionnelle, les règles et le groupe d’applications de confiance. Ainsi, une application peut avoir plusieurs enregistrements dans la colonne Règle appliquée qui indiquent que l’application est autorisée selon un critère et/ou elle bloquée selon un autre critère. |
Création de règles
Pour créer une nouvelle règle à partir des statistiques des événements du Contrôle des applications
1.Dans la section Statistiques → Événements du Contrôle des applications, sélectionnez la ligne portant sur une tentative du lancement de l’application pour laquelle vous voulez créer une règle contrôlant le lancement.
2.Quand vous cliquez sur une ligne du tableau, une fenêtre contenant les informations sur l’événement sélectionné s’ouvre.
3.Cliquez sur le bouton Créer une règle.
4.Une fenêtre de création d’une nouvelle règle s’ouvre. Spécifiez les paramètres suivants :
a)Dans la liste déroulante Nom de profil, sélectionnez un profil du Contrôle des applications dans lequel la règle sera créée.
b)Dans le champ Nom de règle, spécifiez un nom pour la règle créée.
c)Dans la section Type de règle, sélectionnez le type de la règle créée : une règle de blocage ou une règle d’autorisation.
d)Pour l’option Mode de fonctionnement, sélectionnez un mode dans lequel la règle créée fonctionnera (cela correspond à la case Faire basculer la règle en mode test lors de la création de la règle depuis le profil) :
Si vous voulez tester la règle, sélectionnez le mode Test. Les applications sur les postes ne seront pas bloquées, pourtant l’activité sera journalisée comme si les paramètres étaient activés. Les résultats de lancements et de blocages d’applications en mode test s’afficheront dans la section Événements du Contrôle des applications.
En mode Actif, la règle fonctionnera en mode actif avec le blocage des applications sur les postes conformément aux paramètres de règle spécifiés (voir aussi les modes de fonctionnement des profils).
e)Dans la section Bloquer le lancement des applications selon les critères suivants/Autoriser le lancement des applications selon les critères suivants (en fonction du type de règle sélectionnée à l’étape 4c), les champs seront automatiquement remplis conformément à l’application sur laquelle la règle est basée. Si nécessaire, vous pouvez modifier les valeurs des paramètres.
5.Cliquez sur Enregistrer. La règle sera créée dans le profil spécifié du Contrôle des applications.