Configuration de l'enregistreur de l'activité du terminal client

L’enregistreur d’activité de terminal définit les stratégies globales qui s’appliquent à tous les groupes gérés par ce
SEPM
. Cependant, les politiques ne s'appliquent pas à ces groupes que vous excluez de la politique. Lorsque des terminaux sont ajoutés ou déplacés entre les sous-groupes, ils héritent de la politique de groupe. Des commandes
ECC
sont appliquées uniquement aux terminaux inscrits dans les groupes inclus.
Les terminaux gérés doivent exécuter
Symantec Endpoint Protection
 14.0 RU1 ou une version ultérieure. Si l’enregistreur d’activité de terminal n’est pas pris en charge par votre version de
SEPM
, un message d’erreur s’affiche sur la page
SEP
Endpoint Activity Recorder Configuration
(Configuration de l’enregistreur d’activité de terminal).
  1. Effectuez l'une des tâches suivantes :
    Configuration initiale de la connexion
    SEPM
    à l'aide de l'assistant d'installation
    Passez à l'étape 2.
    Modification d'une connexion
    SEPM
    existante
    1. Cliquez sur
      Settings > Global
      (Paramètres > Global).
    2. Faites défiler jusqu'à
      Endpoint Detection and Response, SEP Policies, and Endpoint Activity Recorder
      (Endpoint Detection and Response, politiques SEP et enregistreur d'activité de terminal).
    3. Cliquez sur le menu d'actions (trois point verticaux) à droite de la connexion
      SEPM
      que vous souhaitez mettre à jour.
    4. Cliquez sur
      Recorder Configuration
      (Configuration de l'enregistreur).
  2. Sélectionnez
    Activer l'enregistreur d'activité de terminal
    pour activer l'enregistreur d'activité de terminal sur les clients gérés par ce
    SEPM
    .
    En cochant cette option, vous activez la fonctionnalité d'enregistrement des activités pour tous les processus sur le terminal. De plus, cette option active la méthode de sélection des événements à envoyer à
    Symantec EDR
    en temps réel.
    Une fois que vous avez configuré le contrôleur SEPM, un bouton radio
    Recorder
    (Enregistreur) s’affiche dans la section
    Endpoint Communication Channel, SEP Policies, and Endpoint Activity Recorder
    (Canal de communication du terminal, politiques SEP et enregistreur d’activité de terminal).   Vous pouvez activer ou désactiver cette option pour activer ou désactiver l’enregistreur d’activité de terminal sans avoir à modifier les paramètres.
  3. Si vous activez l'enregistreur d'activité de terminal, spécifiez la quantité maximale d'espace disque (en Mo ou Go) sur le terminal client pour stocker les données enregistrées.
    La taille minimale est de 250 Mo ; la taille maximale est de 20 Go. La valeur par défaut est 1 Go.
    Ce paramètre configure l'espace à allouer pour la conservation des événements
    ECC
    sur le terminal client avant leur purge. La durée exacte dépend de l’activité du terminal client, mais la moyenne est de 1 Go tous les sept jours d’événements. Le rapport exact dépend de l'activité du terminal client.
  4. Effectuez l'une des tâches suivantes :
    Pour envoyer les événements de terminal à
    Symantec EDR
    en temps quasi réel
    Sélectionnez
    Send events in near real time
    (Envoyer les événements en temps quasi réel).
    Pour les terminaux Windows, SEP peut envoyer jusqu'à 1 000 événements toutes les 5 minutes. Les événements pour les clients Mac sont envoyés à un rythme un peu plus lent. La sélection de cette option peut entraîner des demandes imprévisibles et lourdes sur les ressources. Si vous disposez d’un grand nombre de terminaux, nous vous recommandons d’utiliser l’autre option pour limiter le délai d’envoi des événements de terminal à
    Symantec EDR
    . Pour plus d’informations, reportez-vous au
    Guide de dimensionnement de Symantec Endpoint Detection and Response
    .
    Pour limiter l'envoi des événements de terminal à
    Symantec EDR
    Les clients envoient les données à
    Symantec EDR
    en fonction d'un intervalle de temps minimale et de la taille maximale de lot.
    1. Configurez la fréquence maximale (en minutes ou heures) à laquelle les lots d'événements sont envoyés à
      Symantec EDR
      .
      La valeur maximale est 24 heures.
    2. Spécifiez la taille maximale de lot.
      La valeur minimale est 1 événement ; la valeur maximale est 100 événements.
    Attendez-vous à ce qu'un client moyen envoie environ 2 événements par minute. Moins de 10 événements toutes les 5 minutes peut entraîner l’accumulation des événements sur les clients. A ce titre, il est possible que vous ne receviez pas d’informations importantes sur l’événement dans un délai raisonnable. Une valeur supérieure (plus de 15 événements pour 5 minutes) augmente la charge sur votre appliance
    Symantec EDR
    lors des pics de performances. Assurez-vous que votre système n’est pas entièrement chargé si vous augmentez la taille du lot de manière significative.
  5. Cochez la case
    Enable Netstat Event Recording
    (Activer l'enregistrement des événements Netstat) pour que
    SEP
    enregistre les événements de connexion de protocole pour les protocoles spécifiés dans la liste
    Protocols to record
    (Protocoles à enregistrer).
    Cette option n'est pas prise en charge pour les terminaux Mac.
  6. Symantec EDR
    fournit une liste par défaut de protocoles. Ajoutez ou supprimez des protocoles selon les besoins dans la liste
    Protocols to record
    (Protocoles à enregistrer).
    Cette option n'est pas prise en charge pour les terminaux Mac.
    Cliquez sur le lien suivant pour consulter la liste des protocoles pris en charge et par défaut.
    Vous pouvez ajouter de nouveaux protocoles que seul le client
    SEP
    comprend (client IDS (CIDS), composant compatible LiveUpdate).
    Symantec EDR
    émet un avertissement. Cependant, cela vous permet d'ajouter le protocole pour permettre l'enregistrement CIDS des nouveaux protocoles et leur chargement vers
    Symantec EDR
    .
    Symantec EDR
    n’a pas besoin d’identifier les nouveaux protocoles pour les traiter correctement pour le téléchargement (par exemple, vidage complet) et la recherche.
  7. Cochez la case
    Enable File Open Event Recording
    (Activer l’enregistrement d’événements d’ouverture de fichier) pour enregistrer chaque fois qu’un processus utilisateur ou système tente de lire un fichier non exécutable.
    La sélection de cette option peut entraîner l’enregistrement d’un grand nombre d’événements. Créez des règles d’enregistreur pour limiter la détection de ces types d’événements sur votre système de fichiers.
    Cette option n'est pas prise en charge pour les terminaux Mac.
  8. Cochez les cases pour les types d'événements que vous souhaitez envoyer à
    Symantec EDR
    .
    Cette option n'est pas prise en charge pour les terminaux Mac.
    Modifications du point de chargement
    Ce type d'événement inclut tous les événements associés à la fonctionnalité de maintien de la persistance sur un terminal. Ce type d'événement comprend entre autres les clés de registre de démarrage, les services, les tâches planifiées, etc.
    Suspicious system activity (Activité système suspecte)
    Cet événement est composé de règles avancées, telles que l'utilisation du port de protocole suspect par les processus système, les fichiers système qui sont lancés dans des emplacements inattendus, etc.
    Détections heuristiques
    Ce type d'événement est composé de règles qui correspondent à une séquence d'événements souvent observée dans les activités malveillantes.
    Activité de l’AMSI (AntiMalware Scan Interface)
    Ce type d’événement inclut les événements impliquant des applications et des services qui s’intègrent aux produits anti-programmes malveillants.
    Vos terminaux doivent exécuter SEP 14.3 RU1 ou une version ultérieure pour transmettre cet événement à Symantec EDR.
    Activité d'Event Tracing for Windows (ETW)
    Ce type d’événement inclut les événements associés à l’utilitaire de suivi au niveau du noyau qui vous permet de journaliser les événements de noyau ou définis par l’application.
    Vos terminaux doivent exécuter SEP 14.3 RU1 ou une version ultérieure pour transmettre cet événement à Symantec EDR.
    Process launch activity (Activité de lancement de processus)
    Envoie tous les événements de lancement de processus avec la relation parent/enfant, ainsi que la ligne de commande, à
    Symantec EDR
    . Utilie pour identifier les éléments exécutés dans votre environnement, les arguments de ligne de commande utilisés et sous quel contexte utilisateur. Lorsque les événements utiles du processus de lancement représentent 49 %, des événements envoyés à
    Symantec EDR
    .
    Activité de fin du processus.
    Ce type d'événement est moins utile que les événements de lancement de processus, mais il indique si un processus est toujours en cours d'exécution. Cette catégorie représente 49 % de tous les événements envoyés à
    Symantec EDR
    . Si vous devez réduire la charge, démarrez en désactivant en premier cette catégorie.
    Sélectionnez
    Process launch activity
    (Activités de lancement de processus) si vous voulez être en mesure de consulter les événements de processus de lignage sur la page de détails des incidents.
    Conseil :
    la limitation des événements envoyés à
    Symantec EDR
    peut améliorer les performances du système. Toutefois, le compromis est que vous courrez le risque qu'une menace potentielle ne soit pas détectée.
  9. Si vous avez activé l'enregistreur d'activité de terminal client, cliquez sur
    Suivant
    pour configurer des exclusions et des exceptions de politique dans l'Assistant. Sinon, cliquez sur
    Save
    (Enregistrer).