Configuration d'Symantec EDR pour utiliser le sandboxing cloud ou le sandboxing sur site

HOWTO129233

Last Updated February 06, 2019

Symantec Endpoint Detection and Response peut envoyer des fichiers vers un service de sandboxing afin d'exploser un malware potentiel dans un environnement virtuel pour observer son comportement. L'option de sandboxing par défaut est Cynic, le système de détonation de malware dans le cloud de Symantec. Mais vous pouvez également configurer Symantec EDR pour envoyer des fichiers suspects ou inconnus à une appliance de sandbox sur site. Symantec EDR prend en charge Symantec Malware Analysis 4.2 ou version ultérieure et Symantec Content Analysis 2.2 ou version ultérieure pour le sandboxing sur site.

Vous pouvez configurer le sandboxing appliance par appliance Symantec EDR. Chaque appliance Symantec EDR peut utiliser des paramètres de sandboxing différents. Ainsi, certaines appliances Symantec EDR peuvent utiliser le sandboxing dans le cloud tandis que d'autres peuvent utiliser une appliance sur site.

Cette option est également utile si vous disposez de plusieurs appliances Symantec EDR à différents emplacements. Chacune peut utiliser une technologie d'analyse antimalware différente pour les appliances sur site afin de conserver les fichiers en local. Par exemple, supposez que vous disposez d'une appliance Symantec EDR à Los Angeles et d'une autre à Londres. Vous pouvez configurer chacune d'entre elles pour envoyer des fichiers uniquement à votre solution de sandboxing locale à Los Angeles et Londres, respectivement.

Configuration du sandboxing cloud | Configuration du sandboxing de l'appliance sur site

Configuration du sandboxing cloud

Le service cloud Cynic est l'option par défaut. Vous devez uniquement configurer ce paramètre si vous souhaitez rétablir le paramètre de service cloud Cynic à partir d'une appliance sur site.

Pour configurer Symantec EDR pour utiliser le sandboxing cloud

Effectuez l'une des opérations suivantes :
- Dans la EDR cloud console, cliquez sur Settings (Paramètres). Sous Environment (Environnement), sélectionnez une appliance, puis cliquez sur Appliances.
- Dans la EDR appliance console, cliquez sur Settings > Appliances (Paramètres > Appliances).
Effectuez l'une des opérations suivantes :
- Cliquez sur Edit Default Appliance (Modifier l'appliance par défaut) pour modifier les paramètres par défaut pour l'appliance Symantec EDR.
- Dans la liste Appliances, cliquez sur l'appliance que vous voulez modifier.
Faites défiler vers le bas jusqu'à Sandboxing et cliquez sur Edit Sandboxing Settings (Modifier les paramètres de sandboxing).
Cliquez sur le menu déroulant Service (Service) et sélectionnez Symantec Cynic (cloud-based sandboxing) (Symantec Cynic (sandboxing dans le cloud).
Cliquez sur Save (Enregistrer).

Se reporter à Modification de l'emplacement géographique où vous envoyez des fichiers pour le sandboxing dans le cloud.

Configuration du sandboxing de l'appliance sur site

Pour configurer Symantec EDR afin qu'il utilise une appliance Malware Analysis ou Content Analysis de Symantec pour le sandboxing

Effectuez l'une des opérations suivantes :
- Dans la EDR cloud console, cliquez sur Settings (Paramètres). Sous Environment (Environnement), sélectionnez une appliance, puis cliquez sur Appliances.
- Dans la EDR appliance console, cliquez sur Settings > Appliances (Paramètres > Appliances).

Effectuez l'une des opérations suivantes :

Pour l'appliance par défaut	Cliquez sur Edit Default Appliance (Modifier les paramètres par défaut de l'appliance).
Pour une appliance dans la liste Appliances	Dans la liste Appliances, cliquez sur l'appliance que vous voulez modifier. Ensuite, faites défiler vers le bas jusqu'à Sandboxing et désélectionnez Use default (Utiliser le paramètre par défaut).

Cliquez sur Edit Sandboxing Settings (Modifier les paramètres de sandboxing).
Cliquez sur le menu déroulant Service (Service) et sélectionnez Symantec Content Analysis (on-premises sandboxing) (Symantec Content Analysis (sandboxing sur site).

Configurez les paramètres suivants pour votre appliance sandbox :

Serveur	Saisissez le nom de domaine complet, le nom de domaine ou l'adresse IP de votre appliance sandbox Symantec.
Port	Saisissez le numéro de port de votre appliance sandbox.
User (Utilisateur)	Malware Analysis : Saisissez le nom d'un utilisateur disposant des droits d'accès au serveur Malware Analysis. Content Analysis : Saisissez le texte suivant : `apiuser`
Jeton	Ce jeton prouve au serveur sandbox qu'Symantec EDR a votre autorisation pour analyser les fichiers. Pour générer le jeton Malware Analysis : Connectez-vous à l'appliance Malware Analysis et cliquez sur System Settings > Users (Paramètres système > Utilisateurs). Dans l'onglet List Users (Répertorier les utilisateurs), sélectionnez un utilisateur. Sous Add New API Key (Ajouter une nouvelle clé d'API), saisissez une étiquette de clé d'API. Par exemple : Clé Symantec EDR. Cliquez sur la liste déroulante API Key Access Level (Niveau d'accès de clé d'API) et sélectionnez analyst (analyste). Sélectionnez Add New Key (Ajouter une nouvelle clé). Dans la fenêtre API Key Created (Clé d'API créée), copiez la clé d'API. Vous ne pourrez plus accéder à cette clé une fois la fenêtre fermée. Cliquez sur Close window (Fermer la fenêtre). Dans la EDR appliance console ou la EDR cloud console, copiez la clé générée dans le champ Malware Analysis Token (Jeton Malware Anaysis). Pour générer un jeton Content Analysis : Vous devez configurer le sandboxing intégré sur l'appliance Content Analysis avant de pouvoir obtenir un jeton. Consultez le guide d'administration de Symantec Content Analysis pour obtenir des instructions. Connectez-vous à l'appliance Content Analysis via la ligne de commande. À l'invite de commande, saisissez `enable` (activer). Cette commande fournit davantage de commandes d'administration CLI et l'invite de commande devient : CAS# À l'invite de ligne de commande, saisissez le texte suivant : ma-actions api-key create analyst Une clé d'API est renvoyée. Copiez la clé d'API et collez-la dans le champ Malware Analysis Token (Jeton Malware Analysis) de la EDR appliance console ou de la EDR cloud console. Vous ne pouvez plus accéder à cette clé après la fermeture de la fenêtre de l'interface de ligne de commande.

Vous pouvez également sélectionner Use Network Proxy (Utiliser le proxy réseau) pour accéder à l'appliance de sandbox via le proxy réseau Symantec EDR.
Se reporter à Configuration des informations proxy de réseau.
Si vous le souhaitez, vous pouvez sécuriser les communications entre Symantec EDR et l'appliance de sandbox. L'utilisation d'un certificat de serveur empêche l'espionnage ou les interférences malveillantes. Effectuez les opérations suivantes :
- Obtenez un certificat de votre appliance de sandbox et enregistrez-le dans un emplacement auquel vous pouvez accéder depuis la EDR appliance console.
  Un certificat obtenu à partir de l'appliance de sandbox doit contenir une chaîne de certificats et pas uniquement le certificat feuille. Symantec EDR peut également accepter un certificat auto-signé à partir du serveur de sandbox.
- Dans la EDR appliance console ou la EDR cloud console, dans la boîte de dialogue Edit Sandboxing Settings (Modifier les paramètres de sandboxing), sélectionnez Validate Server Certificate (Valider le certificat de serveur).
- Recherchez et sélectionnez le certificat.
Cliquez sur Save (Enregistrer).
Se reporter à Interprétation des résultats de sandboxing de Symantec Malware Analysis.