Tableau : Liste de contrôle avant installation répertorie les actions à réaliser, ainsi que les informations nécessaires avant de pouvoir installer une appliance virtuelle ou physique.

Tableau : Liste de contrôle avant installation

Action/élément

Description

Vérifiez la configuration requise.

Vous pouvez installer Symantec Endpoint Detection and Response comme appliance physique ou appliance virtuelle. Des appliances virtuelles ou physiques peuvent coexister sur un même réseau d'entreprise.

Se reporter à Configuration requise pour l'installation de l'appliance physique.

Se reporter à Configuration requise pour l'installation d'une appliance virtuelle.

Pour la configuration initiale, il vous faudra un ordinateur équipé d'un port Ethernet et ayant accès, via un navigateur Web, aux éléments suivants :

  • Le réseau de ports de gestion.

  • L'IDRAC (appliance physique uniquement).

L'ordinateur utilisé pour configurer l'appliance doit avoir accès au réseau de gestion relié au périphérique Symantec EDR. Par exemple, en se connectant à un commutateur ou un routeur. Si vous installez une appliance physique, l'ordinateur doit également avoir l'accès réseau à l'iDRAC.

Ouvrez les ports requis sur le pare-feu et les autres périphériques réseau.

Assurez-vous que les ports nécessaires sont ouverts sur votre pare-feu et les autres périphériques réseau afin d'autoriser l'ensemble du trafic vers ou à partir de l'appliance Symantec EDR. Par exemple, HTTP 80 et HTTPS 443.

Se reporter à Ports du pare-feu requis.

Ayez les câbles Ethernet (jusqu'à quatre câbles normaux et deux câbles croisés) à disposition.

Le nombre et les types de câbles dépendent de votre configuration réseau et du nombre de ports réseau local et WAN disponibles sur l'appliance.

Vous pouvez avoir besoin de câbles croisés pour un déploiement inline.

Vous n'avez pas besoin de câbles croisés si un périphérique ou les deux (commutateur, pare-feu) ont été connectés au port WAN et si le port LAN dispose de la fonction automatique MDI/MDI-X.

Se reporter à Meilleur emplacement de l'appliance dans votre réseau.

Téléchargez les fichiers d'image virtuelle (appliance virtuelle uniquement)

Téléchargez les fichiers d'image virtuelle à partir de https://fileconnect.symantec.com/ dans un répertoire unique à partir duquel vous pouvez accéder depuis votre application VMware.

Choisissez l'adresse IP, le masque de sous-réseau, l'adresse de la passerelle et le mot de passe pour l'iDRAC.

Appliance physique uniquement.

Le contrôleur d'accès distant intégré (iDRAC) de l'appliance physique fournit un accès à l'appliance via la console. Bien qu'intégré, l'iDRAC est un périphérique distinct qui requiert sa propre adresse réseau pour fonctionner. Le mot de passe est requis pour accéder à l'interface basée sur navigateur de l'iDRAC.

Choisissez un mot de passe administrateur pour Symantec EDR.

Spécifiez un nouveau mot de passe sécurisé pour l'utilisateur administrateur à saisir lors du démarrage de bootstrap. Ce rôle d'administrateur et son mot de passe sont destinés à la console système. Par exemple, pour l'accès via la console afin d'utiliser le bootstrap et l'interface de ligne de commande.

Remarque :

Il n'existe aucun mécanisme de récupération pour ces données de compte. Assurez-vous de sauvegarder ces informations pour une utilisation ultérieure.

Choisissez la configuration opérationnelle (rôle) :

  • All-in-one (Tout-en-un)

  • Management platform (Plate-forme de gestion)

  • Network scanner (Analyseur de réseau)

Si une appliance est installée, elle fonctionne en mode tout-en-un. L'appliance remplit toutes les fonctions système, y compris le l'analyse du trafic réseau. Dans ce rôle, il ne peut y avoir d'analyseurs de réseau supplémentaires pointant vers cette appliance.

Si plusieurs appliances sont installées, une appliance peut servir de plate-forme de gestion et toutes les autres appliances peuvent servir d'analyseurs. La plate-forme de gestion héberge la EDR appliance console, centralise les fonctions de gestion, stocke tous les incidents de détection et les fichiers condamnés et communique les mesures administratives. Les appliances d'analyse surveillent le trafic et détectent les incidents.

Vous spécifiez la configuration opérationnelle lors du bootstrap.

Se reporter à À propos des rôles opérationnels, modes opérationnels et connexions réseau.

Se reporter à Workflow d'installation.

Se reporter à À propos des configurations réseau et des connexions de port.

Choisissez le mode opérationnel et connectez les câbles pour le mode opérationnel désiré pour une appliance tout-en-un ou analyseur réseau.

Les modes opérationnels sont les suivants :

  • Tap

    Le mode Tap surveille le trafic en temps réel. Le mode Tap requiert un périphérique TAP dédié ou un port SPAN sur un commutateur.

  • Inline Block (Blocage inline)

    Le mode Inline Block (Blocage inline) bloque les fichiers et trafics malveillants en temps réel.

  • Inline Monitor (Surveillance inline)

    Le mode Inline Monitor (Surveillance inline) détecte les fichiers et trafics malveillants en temps réel, mais ne les bloque pas.

Remarque :

Le mode de contournement n'étant pas disponible pour les appliances virtuelles, les modes Inline Block (Blocage intégré) et Inline Monitor (Surveillance intégrée) ne sont donc pas recommandés. Si l'appliance a un problème, l'activité réseau peut être interrompue.

Puisque la configuration de câblage réseau est différente pour les modes inline et le mode tap, choisissez le mode avant de configurer l'appliance physique Symantec EDR. Vous devez également décider du mode avant de mapper les adaptateurs virtuels aux adaptateurs physiques pour une appliance virtuelle.

Une fois le câblage terminé, vous activez l'analyse dans la EDR appliance console pour chaque analyseur de réseau ou appareil tout-en-un. (Les périphériques de plates-formes de gestion n'effectuent pas d'analyse.) Vous devez vous assurer que la configuration de câble ou le mappage d'adaptateur virtuel est compatible avec le mode opérationnel choisi.

Se reporter à À propos des rôles opérationnels, modes opérationnels et connexions réseau.

Se reporter à Meilleur emplacement de l'appliance dans votre réseau.

Choisissez les paramètres réseau de l'appliance.

Spécifiez une adresse IPv4 pour chacun des paramètres suivants.

  • Static IP address for the management port (Adresse IP statique pour le port de gestion)

  • Network mask (Masque de réseau)

  • Gateway IP address (Adresse IP de passerelle)

  • Primary name server (Serveur de noms principal)

  • (Facultatif) Secondary name server (Serveur de noms secondaire)

  • Static routes (Itinéraires statiques), selon votre configuration réseau

  • NTP server (Serveur NTP)

  • Serveur Active Directory

Pour chaque appliance, vous avez besoin d'une ou plusieurs adresses IP statiques (et masque de sous-réseau associé, passerelle par défaut et adresses DNS pour chaque adresse IP). Cette condition dépend de votre configuration :

  • Une adresse IP statique pour le port de gestion est requise pour une plate-forme de gestion qui fonctionne en mode Tap/Span. Une adresse IP statique est également requise pour un périphérique d'analyseur de réseau ou tout-en-un qui fonctionne en mode Tap/Span.

  • Deux adresses IP statiques sont requises pour le mode Inline Block (Blocage intégré) ou Inline Monitor (Surveillance intégrée) : un pour le port de gestion et un pour l'interface intégrée.

  • Trois adresses IP statiques sont requises pour le mode Inline Block (Blocage intégré) ou Inline Monitor (Surveillance intégrée) du Symantec EDR 8880 si vous utilisez les deux paires réseau local/WAN.

Puisque le port de gestion héberge la EDR appliance console pour les appareils tout-en-un ou de plate-forme de gestion, les adresses IP de port de gestion doivent figurer sur un réseau qui est accessible aux administrateurs utilisant la EDR appliance console. Le port de gestion est utilisé pour toute communication réseau autre que le trafic surveillé par Symantec EDR. Le port de gestion doit être sur un réseau de gestion sécurisé qui ne dessert pas des clients protégés. En mode Inline Block (Blocage intégré) ou Inline Monitor (Surveillance intégrée), le port de gestion doit être sur un sous-réseau différent de l'interface intégrée.

Si l'appliance fonctionne en mode Inline Block (Blocage inline), configurez les itinéraires statiques pour fournir des pages de blocage aux terminaux client lorsque des sites Web ou des fichiers sont bloqués. Selon la topologie de votre réseau, vous devrez également configurer les itinéraires statiques vers le réseau sur lequel des ordinateurs de gestion sont connectés, afin de permettre à ces ordinateurs d'accéder à EDR appliance console.

Une heure précise est vitale au fonctionnement correct de Symantec EDR. En définissant le serveur NTP, l'appliance peut indiquer un horaire de détection précis, le cas échéant. Un serveur NTP est également nécessaire pour la corrélation Synapse.

Se reporter à Exécution du bootstrap pour configurer l'appliance.

Choisissez un nom descriptif pour l'hôte.

Spécifiez le nom d'hôte descriptif lors du bootstrap. Le nom d'hôte descriptif que vous choisissez s'affiche dans la EDR appliance console, sous Settings > Appliances (Paramètres > Appliances), et vous permet d'identifier plus facilement les appliances dans la liste.

EDR appliance console est accessible via l'adresse IP de gestion, et non via le nom d'hôte de la plate-forme de gestion. Le nom descriptif de l'hôte est différent de celui du serveur DNS.

Choisissez un mot de passe pour chiffrer le canal de communication entre la plate-forme de gestion et l'analyseur de réseau.

Afin de garantir le transfert sécurisé des données entre la plate-forme de gestion et ses analyseurs, spécifiez un mot de passe pour le canal de communication. La plate-forme de gestion et tous ses analyseurs doivent avoir le même mot de passe. Pour des raisons de sécurité, ce mot de passe doit être différent du mot de passe administrateur par défaut.

Assurez-vous que le fichier de licence est accessible.

Assurez-vous que vous pouvez explorer et sélectionner le fichier de licence de Symantec depuis l'ordinateur que vous utilisez pour exécuter l'assistant d'installation. Un fichier de licence valide est requis pour l'installation.

Choisissez un nom d'utilisateur, un mot de passe, un nom d'affichage et une adresse électronique pour l'utilisateur administratif EDR appliance console initial.

Un nom d'utilisateur et un mot de passe pour un compte administratif de la EDR appliance console permettent de fournir un accès à la EDR appliance console. L'adresse électronique est requise pour pouvoir recevoir les communications et les rapports. L'utilisateur initial peut créer d'autres utilisateurs, y compris d'autres administrateurs.

Créez un compte sur un serveur de messagerie compatible avec le protocole SMTP pour envoyer les notifications et les rapports de Symantec EDR aux administrateurs et au personnel responsable de la sécurité.

Le serveur utilise ce compte pour envoyer par courrier électronique des notifications, des rapports et de nouveaux mots de passe aux utilisateurs de EDR appliance console ainsi qu'à d'autres destinataires. Vous pouvez saisir les informations de compte dans l'assistant d'installation ou choisir de saisir ces informations plus tard dans la EDR appliance console.

Ayez à portée de main les informations de configuration supplémentaires à saisir dans la EDR appliance console.

L'assistant d'installation est complet pour une appliance de plate-forme de gestion ou tout-en-un. L'assistant s'affiche une fois que vous avez créé le premier compte administrateur. Après l'exécution de l'assistant de configuration, une boîte de dialogue vous invite à vous connecter à l'aide de ce nouveau compte administrateur.

En tant qu'administrateur, vous saisissez des informations supplémentaires ultérieurement dans la EDR appliance console. La configuration supplémentaire inclut les étapes suivantes :

  • Chargement ou téléchargement d'un certificat SSL pour la EDR appliance console.

  • Configuration d'un serveur Syslog.

  • Recherche et téléchargement des mises à jour de la plate-forme de gestion.

  • Création de comptes EDR appliance console supplémentaires.

  • Configuration des sauvegardes de la plate-forme de gestion.

  • Configurez des connexions à SEP et Email Security.cloud, si vous souhaitez intégrer Symantec EDR à ces produits.

Ayez les informations relatives au proxy à disposition.

Symantec EDR utilise deux types de proxys :

  • Un proxy réseau pour accéder au réseau externe

  • Un proxy d'entreprise sur le port de gestion dans l'environnement d'entreprise

Si vous utilisez des proxys, chaque appliance Symantec EDR doit avoir les adresses IP des proxys existants.

Ayez la liste des sous-réseaux internes à disposition.

Vous spécifiez vos sous-réseaux internes dans la EDR appliance console après avoir exécuté l'assistant d'installation.
Legacy ID: v97176511_v128921691

Merci pour vos commentaires. Faites-nous savoir ci-dessous si vous avez d'autres commentaires. (connexion requise)

    © 1995-2019 Symantec Corporation