Produits concernés :
- VMware Carbon Black Cloud Standard
- VMware Carbon Black Cloud Advanced
- VMware Carbon Black Cloud Enterprise
Versions concernées :
- Capteur Windows 3.9 ou version ultérieure
Systèmes d’exploitation concernés :
Règles de pare-feu basées sur l’hôte
Une règle de pare-feu est composée d’une action et d’un objet. Les actions disponibles sont les suivantes:
- Permettre: Autorise le trafic réseau
- Bloquer : Bloque le trafic réseau
- Bloc et alerte: Bloque le trafic réseau et envoie une alerte à la page Alertes
Les règles de pare-feu sont basées sur l’évaluation des types d’objets suivants:
- Local (ordinateur client)
- Distant (ordinateur qui communique avec l’ordinateur client)
Remarque : L’hôte local est toujours l’ordinateur client équipé d’un capteur. L’hôte distant est n’importe quel ordinateur ou périphérique avec lequel il communique. Cette expression de la relation hôte est indépendante de la direction du trafic.
- Plages d’adresses IP et de sous-réseaux
- Plages de ports ou de ports
- Protocole (TCP, UDP, ICMP)
- Direction (entrante et sortante)
- Application, déterminée par le chemin d’accès au fichier
Les règles de pare-feu peuvent être combinées dans ce que l’on appelle un groupe de règles de pare-feu. Un groupe de règles de pare-feu est un ensemble logique de règles de pare-feu qui simplifie la gestion de plusieurs règles individuelles dans un seul groupe ayant un objectif partagé (par exemple, plusieurs règles pour contrôler l’accès aux serveurs FTP).
Les groupes de règles et les règles sont définis dans les règles, et les règles sont attribuées aux ressources.
Priorité aux règles
Lors de la création et de l’application de règles, gardez à l’esprit l’ordre de priorité suivant:
- Les règles de contournement sont prioritaires sur toutes les autres règles. Pour cette raison, les règles de pare-feu basées sur l’hôte ont une priorité inférieure à celle des règles de contournement.
- Les règles de pare-feu basées sur l’hôte ont une priorité plus élevée que les règles d’autorisation définies sur Autoriser ou Autoriser & Log.
Remarque : Une règle de contournement des autorisations au niveau du processus contourne non seulement le processus spécifié par la règle, mais contourne également l’un de ses processus enfants.
Les conditions de capteur existantes peuvent avoir un impact sur l’application des règles. Par exemple, le capteur peut être en mode contournement ou en quarantaine, ou les applications peuvent être bloquées. Le pare-feu basé sur l’hôte Carbon Black Cloud conserve l’action prévue de la règle, comme spécifié par l’utilisateur, bien que la règle puisse prendre une action réelle différente lorsqu’elle est appliquée en fonction de l’état du capteur.
Par exemple :
| Mode capteur |
Action de pare-feu basée sur l’hôte prévue |
Règle d’autorisation ou de blocage et d’isolation prévue |
Action réelle |
Résumé |
| Quarantaine |
Tout |
Tout |
Bloqué |
Les règles de bloc de quarantaine remplacent les règles et autorisations de pare-feu basées sur l’hôte. |
| Contourner |
Tout |
Tout |
Autoriser |
Étant donné que le capteur est en mode de contournement, la règle de pare-feu basée sur l’hôte est inefficace. |
| Actif |
Tout |
Contournement au niveau du processus |
Autoriser |
Les processus contournés et leurs descendants ne sont pas bloqués par les règles de pare-feu basées sur l’hôte. |
| Actif |
Bloqué |
Autoriser, autoriser et consigner |
Bloqué |
Les règles de pare-feu basées sur l’hôte sont prioritaires sur les règles d’autorisation sans contournement. |
| Actif |
Autoriser |
Bloqué |
Bloqué |
Le pare-feu basé sur l’hôte permettant une connexion n’empêche pas l’application d’une règle de blocage et d’isolation du réseau. |
Utilisation du pare-feu basé sur l’hôte Carbon Black Cloud
Cette section fournit un aperçu général de la création et de l’exécution des règles de pare-feu.
- Sélectionnez une stratégie à laquelle ajouter des règles de pare-feu.
- Définissez la règle par défaut (Allow all ou Block all).
- Créez un groupe de règles et renseignez-le avec des règles de pare-feu.
- Affichez, créez et modifiez les groupes de règles et les règles, si nécessaire.
- Basculez le pare-feu basé sur l’hôte sur Activé dans l’onglet Capteur.
- Testez les règles.
Remarque : Vous ne pouvez tester une règle que lorsque son état est défini sur Désactivé.
- Passez en revue le résultat des règles. Les données de règle de test s’affichent sur la page Enquêter.
- Modifiez les règles si nécessaire et testez à nouveau jusqu’à ce que les règles s’exécutent comme prévu.
- Arrêtez les règles de test qui sont vérifiées pour s’exécuter comme prévu et définissez leur état sur Activé.
- Si vous l’avez désactivé lors des modifications, basculez le pare-feu basé sur l’hôte sur Activé dans l’onglet Capteur .
- Afficher les événements et alertes liés au pare-feu sur les pages Enquêter et Alertes, respectivement.
- Continuez à modifier les règles si nécessaire. Association de groupes de règles classés (classés) à des règles de sécurité; Les groupes de règles peuvent être réutilisés sur l’ensemble des règles de sécurité.
- Les règles sont évaluées par ordre de priorité défini par l’utilisateur.
- Possibilité de tester les règles avant leur application.
- Nombre de comportements bloqués par une règle de pare-feu basée sur l’hôte.
- Visibilité sur la posture de sécurité des ressources via les pages Alertes et Enquêter de la console Carbon Black Cloud.
Remarque : Le module complémentaire de pare-feu basé sur l’hôte Carbon Black Cloud nécessite le capteur Windows v3.9 et versions ultérieures.
Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.