PGS

PG Software, distributeur historique des solutions ManageEngine en France, depuis 2004

Support

Support, en france, en français, pour vos projets en avant-vente (PoC) ou en après-vente, dans le cadre de la maintenance applicative (AMS)

Logo PG Software
mardi, 24 juillet 2012 16:20

Gestion des évènements sécurité : alertes temps réel, correctif instantané

Évaluer cet élément
(1 Vote)

logoVous avez sûrement déjà fait face à cette situation où votre réseau IT est attaqué par un virus. Dans une autre situation, certains utilisateurs dans l'entreprise peuvent avoir accès aux sites de streaming qui drainent la bande passante. D'abord, il doit être averti instantanément, Firewall Analyzer fait cela rapidement. Est-ce que les alertes seules suffiront à atténuer les effets de l'attaque ou à rectifier la cause de la perte de bande passante? Non. Vous avez besoin de prendre des mesures rapides et automatiques pour régler la situation. Si vous comptez sur les mesures de résolution manuelles, qui sont par nature lentes, le virus se propagera et ralentira considérablement l'ensemble du réseau ou l'entreprise sera paralysé car la bande passante n'est pas disponible pour l'activité économique critique. En outre, la méthode devra être suffisamment souple pour faire face aux différents scénarios de sécurité mentionnés ci-dessus. Vous espérez peut-être exécuter un programme ou un script pour stopper un processus, bloquer un port, un utilisateur, etc… Firewall Analyzer répond à cette exigence en utilisant une fonctionnalité appelée «Run Script» (programme) qui permet l'assainissement instantané des menaces réseau.

Comment les alertes pare-feu et l’exécution de programmes réduisent les menaces ?

Firewall Analyzer arrive avec sa fonctionnalité d’alertes en temps réel. Il propose 3 méthodes de notifications :

  • E-mail
  • SMS
  • Run Script

Les notifications E-mail et SMS sont faciles à comprendre. Run Script (programme) est une fonctionnalité puissante et flexible. Il vous permet de créer un programme personnalisé qui s’exécute automatiquement lorsqu’une alerte est déclenchée. Assurez-vous que votre programme apporte les correctifs en accord avec les conditions d’alerte définis précédemment.

Configuration de “Run Script” (Programme)

Pour faire la démonstration, nous supposons que vous souhaitiez être avisé de tout processus BitTorrent sur le réseau de vos organisations et qu’il soit stoppé immédiatement.

Créer un programme qui s’exécute afin de stopper tous les processus consommant de la bande passante (pour la demonstration, nous avons créé un fichier nommé bit.exe). Le code utilisé se trouve ci-dessous :

Script utilisé pour bloquer les processus BitTorrent

Dans Firewall Analyzer, créez une alerte avec la configuration suivante :

  • Entrer le nom de profil de votre choix (pour la démo nous l’appellerons « bittorrent-blog »)
  • Sélectionnez un type de profil comme « Alerte normale »
  • Sélectionnez les dispositif(s) (pour la démo, nous avons sélectionné « FGT_TEST2 »)
  • Sélectionnez le critère Match all the following et choisissez “Attaque”, condition choisissez “contains” et tapez le texte « BitTorrent »

 

Dans la partie Seuil

  • Choisissez la Priorité de votre choix (pour la démo, nous avons choisi “Elevée”)
  • Entrer les valeurs pour Alerte tous les 20 évènements générée en 1 minute (pour la démo, nous avons sélectionné « 20 », « 1 »)
  • Choisissez le Propriétaire assigné (pour la démo, nous avons choisi « invité »)
  • Pour Appliquez le seuil à, choisissez « Tous les dispositifs sélectionnés »

 

Dans la partie Notification

  • Décochez Envoyer les notifications une seule fois et ne pas envoyer « aujourd’hui, cette semaine, ce mois-ci, période personnalisée »
  • Sélectionnez l’option Envoyer une notification par e-mail
    • Entrer les adresses mails vers lesquelles la notification sera envoyée dans le champ « Envoyer à ». Séparez par une virgule si plusieurs adresses
    • Entrer l’objet de la notification dans le champ « Objet : ». Utilisez le menu déroulant « Variables de données » et choisissez celles que vous voulez ajouter
    • Optionnel, écrivez un message dans la zone de texte « Note : »
  • Choisissez l’option « Run Script »
  • Dans la partie Location,
    • Cliquez sur le bouton Parcourir et sélectionnez le dossier dans lequel se trouver le fichier à exécuter (pour la démo, bit.exe) vers la machine cliente
    • Cliquez sur le lien Ajouter pour ajouter des arguments (pour la démo $SRC) dans le champ Arguments pour l’exécution du programme
  • Cliquez sur le bouton Sauvegarder le profil pour sauver le profil d’alerte

 

blog-fwa-alert-prof-block-bit

Créer un profil d’alerte

blog-fwa-alerts-block-bit

Alertes générées pour BitTorrent

Détails de l’alerte - BitTorrent

Détails de l’alerte - 2

mailalert

Notification e-mail de l’alerte – BitTorrent

Vous pourriez aussi être intéressé par les discussions autour des profils d’alerte du forum Firewall Analyzer. Le post contient également des profils d’alertes pouvant être importés.

https://forums.manageengine.com/topic/importing-of-alert-profile

Avec une fonctionnalité si puissante, Firewall Analyzer facilite la corrélation d’évènements et la prise décision immédiate pour l’administrateur réseau. Explorez les possibilités !

Lu 6344 fois

Vous avez la possibilité de créer un compte lors du téléchargement d'un produit.

Cache hits : 642 [97%]
Cache misses : 19 [2%]
Cache total : 661
Url added to cache : 928



Misses list
index.php?option=com_k2&Itemid=278&id=98&lang=fr&view=item

index.php?option=com_k2&Itemid=278&id=98&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=459&lang=fr&view=item

index.php?option=com_k2&Itemid=278&id=459&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=382&lang=fr&view=item

index.php?option=com_k2&Itemid=278&id=382&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=353&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=275&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=272&lang=fr&view=item

index.php?option=com_k2&Itemid=278&id=272&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=107&lang=fr&view=item

index.php?option=com_k2&Itemid=278&id=95&lang=fr&view=item

index.php?option=com_mailto&lang=fr&link=ee4479b32f1a666abfe9066759baf9d3e25d2420&template=rt_hadron&tmpl=component

index.php?option=com_content&Itemid=2456&id=1477&lang=fr&view=article

index.php?option=com_blankcomponent&Itemid=1799&lang=fr&view=default

index.php?option=com_blankcomponent&Itemid=1797&lang=fr&view=default

index.php?option=com_blankcomponent&Itemid=2106&lang=fr&view=default

index.php?option=com_acymailing&Itemid=718&lang=fr&layout=modify&tmpl=component&view=user

index.php?option=com_acymailing&Itemid=718&lang=fr&layout=modify&view=user

In memory, waiting to be written : 6
Ram used : 41400