Événements du Contrôle des applications

Configuration d’obtention des statistiques

Pour activer l’envoi des informations de postes pour la section Événements du Contrôle des applications

1.Dans la section Réseau antivirus, sélectionnez dans l’arborescence les postes et les groupes de postes avec le Contrôle des applications installé depuis lesquels vous voulez recevoir des informations concernant le lancement des applications.

2.Dans le menu de gestion, sélectionnez Windows → Agent Dr.Web.

3.Dans l’onglet Général, cochez la case Suivre les événements du Contrôle des applications pour suivre l’activité des processus sur les postes enregistrée par le Contrôle des applications et envoyer les événements sur le Serveur. S’il n’y a pas de connexion au Serveur, les événements sont accumulés et envoyés, une fois la connexion établie. Si la case est décochée, l’activité des processus est ignorée.

4.Cliquez sur Enregistrer.

Pour activer la collecte des informations par le Serveur pour la section Événements du Contrôle des applications

5.Dans la section Administration → Configuration du Serveur Dr.Web, accédez à l’onglet Statistiques.

6.Spécifiez l’une des options suivantes :

Statistiques du Contrôle des applications sur l’activité des processus pour obtenir et enregistrer les informations sur toute activité de tous les processus dont le lancement est autorisé ou bloqué par le Contrôle des applications. Si vous choisissez cette option, les applications seront enregistrées dans le répertoire seulement après la création et l’assignation d’au moins un profil avec une ou plusieurs catégories de critères d’analyse fonctionnelle sélectionnées.
Avant la création de profils et leur assignation aux postes du réseau antivirus, le lancement de toutes les applications est autorisé.

Statistiques du Contrôle des applications sur l’activité des processus pour obtenir et enregistrer les informations sur l’activité de tous les processus dont le lancement est bloqué par le Contrôle des applications. Si vous choisissez cette option, les applications seront enregistrées dans le répertoire seulement après la création des profils dont les paramètres bloqueront le lancement des applications et l’assignation de ces profils aux postes du réseau antivirus.

La case Statistiques du Contrôle des applications sur l’activité des processus peut augmenter considérablement la charge de la collecte des statistiques sur tout le réseau antivirus.

7.Cliquez sur Enregistrer.

8.Redémarrez le Serveur.

9.Après le redémarrage, le Serveur commencera à enregistrer, selon les paramètres spécifiés, les statistiques de lancement des applications envoyées depuis tous les postes avec le Contrôle des applications installée.

Consultation des statistiques

Pour voir les événements enregistres sur les postes par le composant Contrôle des applications

1.Sélectionnez un poste ou un groupe dans la liste hiérarchique.

2.Dans le menu de gestion, sélectionnez l’élément Événements du Contrôle des applications dans la rubrique Statistiques.

3.La fenêtre s’ouvre affichant la liste des applications dont le lancement a été autorisé ou interdit sur les postes sélectionnés.

4.Les statistiques pour les 24 heures s’affichent par défaut. Pour consulter les informations relatives à une période déterminée, indiquez dans la liste déroulante une période arbitraire par rapport à la date courante ou choisissez depuis la barre d’outils une plage de dates nécessaire. Pour spécifier une plage de dates, saisissez les dates nécessaires ou cliquez sur les icônes du calendrier contre les champs des dates. Pour charger des données, cliquez sur Actualiser. Les tableaux statistiques seront chargés. Vous trouverez la description des colonnes du tableau ci-dessous.

Description des colonnes du tableau Événements du Contrôle des applications

Nom de la colonne

Description

Identificateur

Identificateur du poste

Poste

Nom du poste

Adresse du poste

Adresse du poste

Identificateur de sécurité

Identificateur de sécurité du compte utilisateur

Utilisateur

Utilisateur du poste de travail

Type d’événement

Type de l’événement lancé sur le poste

Action appliquée

Action appliquée à l’application lancée sur le poste

Critère de l’analyse fonctionnelle

Critère selon lequel l’application est autorisée ou bloquée

Masque de l’analyse fonctionnelle

Paramètre du critère de l’analyse fonctionnelle qui détermine si l’application est autorisée à se lancer ou pas

ID du profil

Identificateur du profil

Nom du profil

Nom du profil

ID de la règle

Identificateur de la règle

Nom de la règle

Nom de la règle

Mode de fonctionnement

Mode de fonctionnement de la règle

Chemin vers le fichier de processus

Localisation du fichier de processus

Processus

Processus autorisé à se lancer sur le poste ou bloqué

Bulletin avec le hash du processus

Bulletin contenant le hash du fichier du processus lancé

Chemin du fichier de script

Localisation du fichier de script

Script

Fichier du script

Bulletin avec le hash du script

Bulletin contenant le hash de fichier du script lancé

Apparition de l’événement

Date et heure de l’apparition de l’événement

Notification de l’événement

Date et heure de notification de l’événement

Hash de fichier (SHA-256)

Valeur du hash de fichier par l’agorithme SHA-256

Description du fichier

Description du fichier

Éditeur

Éditeur du fichier

Éditeur du certificat

Centre de certification qui a délivré le certificat

Hash de certificat (SHA-1)

Valeur du hash de certificat par l’algorithme SHA-1

Date de début du certificat

Date de début du certificat

Date de fin du certificat

Date de fin du certificat

Les paramètres du filtre ne sont pas permanents. Leur présence ou l’absence dépend des données reçues pendant la période spécifiée. Un paramètre disparait du filtre si les données lui correspondant n’ont pas été reçues pendant la période spécifiée.

5.Afin de sauvegarder un tableau de statistiques pour l’imprimer ou le traiter plus tard, cliquez sur le bouton :

Sauvegarder les données dans un fichier CSV,

Sauvegarder les données dans un fichier HTML,

Sauvegarder les données dans un fichier XML,

Sauvegarder les données dans un fichier PDF.

S’il y a un profil ou une règle en mode test lancé sur les postes assignés, les applications sont analysées conformément au schéma de fonctionnement du Contrôle des applications du début à la fin. Les statistiques vont contenir les cas de concordance de l’application à tous les critères suivants : les paramètres de l’analyse fonctionnelle, les règles et le groupe d’applications de confiance. Ainsi, une application peut avoir plusieurs enregistrements dans la colonne Règle appliquée qui indiquent que l’application est autorisée selon un critère et/ou elle bloquée selon un autre critère.

Création de règles

Pour créer une nouvelle règle à partir des statistiques des événements du Contrôle des applications

1.Dans la section Statistiques → Événements du Contrôle des applications, sélectionnez la ligne portant sur une tentative du lancement de l’application pour laquelle vous voulez créer une règle contrôlant le lancement.

2.Quand vous cliquez sur une ligne du tableau, une fenêtre contenant les informations sur l’événement sélectionné s’ouvre.

3.Cliquez sur le bouton Créer une règle.

4.Une fenêtre de création d’une nouvelle règle s’ouvre. Spécifiez les paramètres suivants :

a)Dans la liste déroulante Nom de profil, sélectionnez un profil du Contrôle des applications dans lequel la règle sera créée.

b)Dans le champ Nom de règle, spécifiez un nom pour la règle créée.

c)Dans la section Type de règle, sélectionnez le type de la règle créée : une règle de blocage ou une règle d’autorisation.

d)Pour l’option Mode de fonctionnement, sélectionnez un mode dans lequel la règle créée fonctionnera (cela correspond à la case Faire basculer la règle en mode test lors de la création de la règle depuis le profil) :
Si vous voulez tester la règle, sélectionnez le mode Test. Les applications sur les postes ne seront pas bloquées, pourtant l’activité sera journalisée comme si les paramètres étaient activés. Les résultats de lancements et de blocages d’applications en mode test s’afficheront dans la section Événements du Contrôle des applications.
En mode Actif, la règle fonctionnera en mode actif avec le blocage des applications sur les postes conformément aux paramètres de règle spécifiés (voir aussi les modes de fonctionnement des profils).

e)Dans la section Bloquer le lancement des applications selon les critères suivants/Autoriser le lancement des applications selon les critères suivants (en fonction du type de règle sélectionnée à l’étape 4c), les champs seront automatiquement remplis conformément à l’application sur laquelle la règle est basée. Si nécessaire, vous pouvez modifier les valeurs des paramètres.

5.Cliquez sur Enregistrer. La règle sera créée dans le profil spécifié du Contrôle des applications.