Guide d'installation de Symantec Endpoint Detection and Response 4.6 pour l'appliance S550
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance S550
Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance
S550
Table of Contents
Déclaration de copyright.....................................................................................................................4
Configuration requise.......................................................................................................................... 5
Prise en charge des versions de Symantec EDR pour les appliances...................................................................... 5
Configuration requise du navigateur pour la console de l'appliance EDR................................................................5
Configuration requise pour l'intégration de SEP......................................................................................................... 5
Planification pour l'installation...........................................................................................................7
Liste de contrôle de pré-installation pour les appliances physiques........................................................................ 7
Fiche d'installation de l'appliance physique................................................................................................................. 8
À propos des rôles opérationnels, modes opérationnels et connexions réseau................................................... 12
À propos de la sélection d'un analyseur de réseau.................................................................................................. 16
À propos des configurations réseau et des connexions de port............................................................................. 16
Meilleur emplacement de l'appliance dans votre réseau.......................................................................................... 18
Ports du pare-feu requis............................................................................................................................................... 23
Recommandations de proxy......................................................................................................................................... 28
Matrice de prise en charge pour la plate-forme Symantec EDR.............................................................................. 28
Obtention d'un fichier de licence Symantec EDR et installation..............................................................................30
Installation de l'appliance physique................................................................................................ 31
Flux de travaux de l'appliance S550............................................................................................................................ 31
Branchement des câbles sur l'appliance S550........................................................................................................... 32
Mise sous tension de l'appliance S550 et vérification des témoins lumineux........................................................ 34
Configuration d'un terminal série ou d'un logiciel d'émulation de terminal............................................................35
Montage en rack de l'appliance S550.......................................................................................................................... 35
Exécution du bootstrap.....................................................................................................................40
Exécution du bootstrap pour configurer l'appliance................................................................................................. 40
Exécution de l'assistant d'installation............................................................................................. 43
Exécution de l'assistant d'installation......................................................................................................................... 43
Commande status_check.............................................................................................................................................. 44
Tâches post-installation.................................................................................................................... 46
Finalisation des tâches de configuration.................................................................................................................... 46
Test de Symantec EDR pour une surveillance ou un blocage réussis.................................................................... 48
Test du mode de contournement de l'appliance.......................................................................................................48
Accès à la console de l'appliance EDR.......................................................................................................................49
Appendix Materials............................................................................................................................ 51
Appendix A: Ports, connecteurs et indicateurs sur l'appliance....................................................52
À propos des ports, connecteurs et indicateurs des appliances..............................................................................52
2
Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance
S550
Appendix B: Spécifications matérielles........................................................................................... 54
Spécifications de l'appliance Symantec S550.......................................................................................................... 54
Appendix C: Réinstallation de Symantec EDR sur l'appliance S550............................................ 56
Réinstallation de Symantec EDR sur l'appliance S550 à partir d'une clé USB ou d'un DVD...................................56
3
Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance
S550
Déclaration de copyright
Déclaration de copyright
Broadcom, le logo Pulse, Connecting everything et Symantec font partie des marques commerciales de Broadcom.
Copyright © 2021 Broadcom. Tous droits réservés.
Le terme « Broadcom » se rapporte à Broadcom Inc. et/ou à ses filiales. Pour plus d’informations, consultez le site
www.broadcom.com.
Broadcom se réserve le droit d'apporter des modifications sans préavis à tous les produits ou données fournis ici pour
améliorer la fiabilité, le fonctionnement ou la conception. Les informations fournies par Broadcom sont jugées exactes
et fiables. Toutefois, Broadcom n'assume aucune responsabilité découlant de l'application ou de l'utilisation de ces
informations, ni l'application ou l'utilisation d'un produit ou d'un circuit décrit dans le présent document, et ne transmet
aucune licence dans le cadre de ses droits de brevet ou des droits des autres.
4
Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance
S550
Configuration requise
Prise en charge des versions de Symantec EDR pour les appliances
L'appliance Symantec S550 prend en charge la version 4.1 de Symantec EDR et les versions ultérieures.
Les modèles d'appliance suivants prennent en charge Advanced Threat Protection 3.0 et version ultérieure, ainsi que
Symantec EDR 4.0 et versions ultérieures :
• Dell 8880
• Dell 8840
Les appliances Symantec EDR 8880 et 8840 incluent un contrôleur d'accès distant intégré de Dell (iDRAC). Pour utiliser
la console iDRAC, la dernière version de Java Runtime Environment (JRE) doit être installée sur votre client administratif.
Informations sur la garantie pour les appliances Dell
Configuration requise du navigateur pour la console de l'appliance
EDR
La section Configuration du navigateur requise pour la Console de l'appliance EDR répertorie les navigateurs Web
compatibles avec la Console de l'appliance EDR. JavaScript doit être activé sur le navigateur et les cookies doivent être
acceptés. La résolution minimum pour afficher Console de l'appliance EDR est de 1280x1024.
Table 1: Configuration requise de navigateur pour le Console de l'appliance EDR;
Navigateur Version
Mozilla Firefox 86.0 ou version ultérieure (64 bits)
Google Chrome 88.0.4324.190 ou version ultérieure (64 bits)
Microsoft Edge 88.0.705.81 ou version ultérieure (64 bits)
NOTE
Les navigateurs non répertoriés ci-dessus ne sont pas pris en charge.
Configuration requise pour l'intégration de SEP
Symantec Endpoint ProtectionConfiguration requise pour la version
Symantec Endpoint Detection and Responsepeut s’intégrer à Symantec™ Endpoint Protection pour améliorer les
informations sur les événements et fournir des fonctionnalités Endpoint Communications Channel (ECC). Symantec EDR
a certaines exigences de version reposant sur divers composants de SEP.
La version minimale de SEPM est la version 12.1 RU6 ou une version ultérieure. Symantec EDR peut se connecter à
plusieurs sites SEP avec une connexion par site SEP, jusqu’à un total de dix connexions aux hôtes SEPM.
Symantec EDR peut gérer les terminaux qui exécutent SEP 12.1 RU6 MP3 ou une version ultérieure avec la
fonctionnalité ECC complète. Cependant, les clients doivent exécuter SEP 14 ou une version ultérieure pour tirer profit de
la fonctionnalité de ECC 2.0.
Les terminaux client qui exécutent des versions antérieures à SEP 12.1 RU5 ne sont pas pris en charge. Certaines
fonctionnalités sont limitée pour les clients exécutent des versions 12.1 RU5 et 12.1 RU6 MP3 deSEP. La documentation
Symantec EDR décrit toutes les limites de fonctionnalité selon la version du client SEP.
5
Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance
S550
Versions du client SEP et fonctions Symantec EDR prises en charge
Exigences de la base de données du collecteur de journaux Synapse
SEPM 14.3 RU1 ou ultérieur utilise Microsoft SQL Express comme base de données pour la collecte de journaux.
Symantec EDR peut accéder à la base de données sans configuration système requise pour l’hôte.
SEPM 14.3 MP1 ou une version antérieure prend en charge la base de données MS SQL Server ou une base de
données intégrée. Lorsque SEPM utilise une base de données intégrée, Symantec EDR utilise un collecteur de journaux
sur l’hôte SEPM. Ce collecteur de journaux exige que l'hôte SEPM s'exécute sur l'un des systèmes d'exploitation
suivants :
• Windows 7 (64 bits uniquement)
• Windows 8 (64 bits uniquement)
• Windows Server 2008
• Windows Server 2012
• Windows Server 2012 R2 ou ultérieur (recommandé)
Reportez-vous à la documentation Symantec Endpoint Protection pour connaître la configuration système SEPM requise.
Workflow : intégration de Symantec EDR à Symantec Endpoint Protection
Installation du collecteur de journaux Synapse
6
Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance
S550
Planification pour l'installation
Liste de contrôle de pré-installation pour les appliances physiques
La section Liste de contrôle de pré-installation répertorie les actions à réaliser, ainsi que les informations nécessaires
avant de pouvoir installer une appliance physique.
Table 2: Liste de contrôle de pré-installation
Action/élément Description
Outils de collecte. Ayez les éléments suivants à disposition :
• Tournevis cruciforme n° 2
• Clé de 8 mm (ou clé à molette)
• Matériel de montage spécifique au rack
d'équipement (reportez-vous au guide de votre
rack d'équipement pour plus d'informations)
• Marqueur (facultatif)
• Ascenseur mécanique (facultatif)
• Kit de glissière
Assurez-vous que votre environnement dispose des ressources requises. Prise en charge des versions de Symantec EDR
pour les appliances
Matrice de prise en charge de plate-forme
Symantec EDR
Pour la configuration initiale, il vous faudra un ordinateur équipé d'un port L'ordinateur utilisé pour configurer l'appliance
Ethernet et ayant accès, via un navigateur web, aux éléments suivants : doit avoir accès au réseau de gestion relié au
• Le réseau de ports de gestion. périphérique Symantec EDR. Par exemple, en se
• L'IDRAC (appliance physique uniquement). connectant à un commutateur ou un routeur. Si
vous installez une appliance physique, l'ordinateur
doit également avoir l'accès réseau à l'iDRAC.
Installez un terminal de série local sur l'appliance. Pour exécuter le bootstrap, vous aurez besoin d'un
terminal de série (ordinateur). Cet ordinateur peut
être un serveur interne spécialisé et autonome ou
un serveur Windows qui exécute PuTTY. Cela peut
être pratique s'il fournit l'accès distant via RDP ou
HTTP. Cet ordinateur doit également être local sur
l'appliance.
Cette étape est uniquement requise si vous
installez une appliance S550.
Configuration d'un terminal série ou d'un logiciel
d'émulation de terminal
7
Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance
S550
Action/élément Description
Ayez les câbles Ethernet (jusqu'à quatre câbles normaux et deux câbles croisés) Le nombre et les types de câbles dépendent de
à disposition. votre configuration réseau et du nombre de ports
LAN et WAN disponibles sur l'appliance. Par
exemple, pour permettre aux interfaces Ethernet de
négocier 1 000 Mbit/s, des câbles CAT5e ou CAT6
sont requis.
Vous pouvez avoir besoin de câbles croisés pour
un déploiement inline.
Vous n'avez pas besoin de câbles croisés si un
périphérique ou les deux (commutateur, pare-feu)
ont été connectés au port WAN et si le port LAN
dispose de la fonction automatique MDI/MDI-X.
Meilleur emplacement de l'appliance dans votre
réseau
Ouvrez les ports requis sur le pare-feu et les autres périphériques réseau. Assurez-vous que les ports nécessaires
sont ouverts sur votre pare-feu et les autres
périphériques réseau afin d'autoriser l'ensemble du
trafic vers ou à partir de l'appliance Symantec EDR.
Par exemple, HTTP 80 et HTTPS 443.
Ports du pare-feu requis
Décidez du rôle et du mode opérationnels. Les rôles de configuration opérationnelle sont les
suivants :
• All-in-one (Tout-en-un)
• Plate-forme de gestion
• Network scanner (Analyseur de réseau)
À propos des rôles opérationnels, modes
opérationnels et connexions réseau
À propos des configurations réseau et des
connexions de port
Obtenez le fichier de licence et assurez-vous qu'il est accessible. Assurez-vous que vous pouvez explorer et
sélectionner le fichier de licence de Symantec
depuis l'ordinateur que vous utilisez pour exécuter
l'assistant d'installation.
Obtention d'un fichier de licence Symantec EDR et
installation
Complétez la fiche d'installation. Prenez toutes les décisions dont vous aurez besoin
pour l'installation avant de commencer. Avec ces
informations à portée de main, vous êtes sûr que
le processus d'installation s'exécute facilement et
rapidement.
Fiche d'installation de l'appliance physique
Fiche d'installation de l'appliance physique
Symantec EDR vous recommande de terminer la fiche d'installation complètement avant de commencer l'installation.
Fournissez cette liste de contrôle aux administrateurs qui effectueront les tâches d'installation. Vous devez également en
conserver une copie pour référence à des fins d'archivage et de sauvegarde.
8Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance
S550
Table 3: Configuration de l’iDRAC (installation de l’appliance Dell uniquement)
Configuration Description Valeur à saisir
Choisissez l'adresse IP, le Le contrôleur d'accès distant intégré (iDRAC) Adresse IP :
masque de sous-réseau, de l'appliance physique fournit un accès à ________.________.________.________
l'adresse de la passerelle l'appliance via la console. Bien qu'intégré, Masque de sous-réseau :
et le mot de passe pour l'iDRAC est un périphérique distinct qui _________________________________
l'iDRAC. requiert sa propre adresse réseau pour Adresse de la passerelle :
fonctionner. Le mot de passe est requis pour
________.________.________.________
accéder à l'interface basée sur navigateur de
Mot de passe :
l'iDRAC.
Fournissez ces informations à l'administrateur installant
l'appliance à l'aide d'une méthode sécurisée.
Assurez-vous que le mot de passe est conservé dans un
emplacement sécurisé à des fins d'archivage.
Configuration de l'iDRAC (appliance 8880 uniquement)
Configuration de l'iDRAC à l'aide d'un écran, d'un clavier et d'une souris facultative
Table 4: Configuration d'un terminal série ou d'un logiciel d'émulation de terminal (appliance S550 uniquement)
Configuration Description Valeur à saisir
Configurez le logiciel Vous devez configurer le programme de • Débit en bauds : 9 600 bps
d'émulation de terminal. terminal pour pouvoir exécuter le bootstrap. • Parité : aucune
• Contrôle de flux : aucun
• Bits de données : 8
• Bits d'arrêt : 1
Configuration d'un terminal série ou d'un logiciel d'émulation de terminal
Table 5: Configuration de l’amorçage (toutes les appliances physiques)
Configuration Description Valeur à saisir
New password: (Nouveau Nouveau mot de passe sécurisé pour la Fournissez ces informations à l'administrateur installant
mot de passe :) console. Ce mot de passe remplace le mot de l'appliance à l'aide d'une méthode sécurisée.
passe par défaut, symantec. Assurez-vous que le mot de passe est conservé dans un
emplacement sécurisé à des fins d'archivage.
Weak password (Mot de Note: Un mot de passe qui est semblable
passe faible) à un mot du dictionnaire, trop court ou
pas assez complexe est moins sécurisé. ________ Oui
Try another [y/n]? (En
essayer un autre [o/n] ?) Symantec EDR vous demande de confirmer à ________ Non
l'aide d'un mot de passe faible.
Re-enter new password: Confirmez le nouveau mot de passe. Fournissez ces informations à l'administrateur installant
(Entrez le nouveau mot de l'appliance à l'aide d'une méthode sécurisée.
passe à nouveau :) Assurez-vous que le mot de passe est conservé dans un
emplacement sécurisé à des fins d'archivage.
9Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance
S550
Configuration Description Valeur à saisir
Select one of the Spécifiez le rôle de l'appliance.
following appliance roles: À propos des rôles opérationnels, modes
1 = Management opérationnels et connexions réseau
platform ..., 2 = Network
scanner ..., 3 = All-in- _______ 1 - Plate-forme de gestion
one ... []? (Sélectionnez _______ 2 - Analyseur réseau
l'un des rôles d'appliance _______ 3 - Tout-en-un
suivants : 1 = Plate-
forme de gestion ..., 2 =
Analyseur réseau ..., 3 =
Tout-en-un ... [] ?)
Configure the Adresse IP statique pour le port de gestion.
management port. IPv4 Pour une plate-forme de gestion ou une
address []: (Configurez le appliance tout-en-un, cette adresse IP sert ________.________.________.________
port de gestion. Adresse à accéder à la Console de l'appliance EDR
IPv4 [] :) depuis un navigateur.
IPv4 Netmask []: (Masque Saisissez le masque de réseau pour l'adresse
________.________.________.________
de réseau IPv4 [] :) Ipv4 du port de gestion.
Gateway []: (Passerelle Saisissez l'adresse IP pour la passerelle
[] :) (commutateur ou routeur) à laquelle
________.________.________.________
l'appliance accédera pour communiquer avec
le reste de votre réseau.
Name server (IPv4) []: Adresse IP d'un serveur de noms que
(Serveur de noms (IPv4) l'appliance peut utiliser pour résoudre les ________.________.________.________
[] :) adresses IP.
Configure another Oui pour ajouter un serveur de noms ________ Oui
nameserver? [y/n] supplémentaire ou Non pour utiliser un ________.________.________.________
(Configurer un autre seul serveur de noms. Si oui, indiquez le ________ Non
serveur de noms ? [o/n]) adresse IP d'un deuxième serveur de noms.
Rôle d'analyseur de réseau Adresse IP du port de gestion de l'appliance
uniquement : de plate-forme de gestion qui contrôlera cet
IP address of the analyseur.
________.________.________.________
Management Platform:
(Adresse IP de la plate-
forme de gestion :)
Rôles de plate-forme de Mot de passe sécurisé pour chiffrer les Fournissez ces informations à l'administrateur installant
gestion ou d'analyseur de communications entre la plate-forme de l'appliance à l'aide d'une méthode sécurisée.
réseau uniquement : gestion et tous ses analyseurs de réseau. Assurez-vous que le mot de passe est conservé dans un
Communication Channel Ce mot de passe doit être le même pour la emplacement sécurisé à des fins d'archivage.
password: (Mot de plate-forme de gestion et tous les analyseurs
passe du canal de de réseau. Il doit être différent du mot de
communication :) passe de console de gestion. Les lettres, les
nombres, les points, les soulignements et
les traits d'union sont autorisés et le mot de
passe peut contenir jusqu'à 50 caractères.
Rôles de plate-forme de Confirmez le mot de passe. Fournissez ces informations à l'administrateur installant
gestion ou d'analyseur de l'appliance à l'aide d'une méthode sécurisée.
réseau uniquement : Re- Assurez-vous que le mot de passe est conservé dans un
enter Communication emplacement sécurisé à des fins d'archivage.
Channel password:
(Ressaisir le mot de
passe du canal de
communication)
10Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance
S550
Configuration Description Valeur à saisir
Configure IPv4 static Oui pour configurer un itinéraire statique
routes? [y/n] (Configurer IPv4 ou non pour ignorer cette étape de
des itinéraires statiques configuration.
________ Oui
IPv4 ? [o/n]) Des itinéraires statiques peuvent être requis.
________ Non
Par exemple, utilisez les itinéraires statiques
pour connecter un analyseur de réseau à sa
plate-forme de gestion.
Destination (CIDR Si vous choisissez de configurer les itinéraires
allowed): (Destination statiques IPv4, indiquez l'adresse IP de
________.________.________.________
(CIDR autorisé) :) destination et l'adresse IP de passerelle.
Gateway: (Passerelle :)
Add another route? [y/n] Oui pour configurer un itinéraire statique IPv4 ________ Oui (jusqu'à trois pris en charge)
(Ajouter un autre itinéraire ? supplémentaire. Non pour passer à l'invite ________.________.________.________
[o/n]) suivante. ________.________.________.________
Vous pouvez configurer jusqu'à 3 itinéraires ________.________.________.________
statiques IPv4 dans le bootstrap. Vous ________ Non
pouvez configurer des itinéraires statiques
supplémentaires dans la Console de
l'appliance EDR.
What do you want to call Nom pour identifier ce système dans Console
this device? (Comment de l'appliance EDR. Les lettres, les nombres,
voulez-vous appeler ce les espaces, les points et les traits d'union __________________________________
périphérique ?) sont autorisés et le nom peut contenir jusqu'à
50 caractères.
Set NTP server [] (Définir Adresse IP ou nom de domaine complet du
le serveur NTP) serveur NTP.
En définissant un serveur NTP, l'appliance ________.________.________.________
peut indiquer un horaire de détection précis, le
cas échéant.
Exécution du bootstrap pour configurer l'appliance
Table 6: Assistant d'installation
Configuration Description Valeur à saisir
Accédez à Console de Il s'agit de l'adresse IP statique pour le port
l'appliance EDR. de gestion qui a été spécifié pendant le ________.________.________.________
bootstrap.
Upload License (Charger Pour que le périphérique Symantec EDR
une licence) soit fonctionnel, vous devez d'abord charger
une licence. Vous ne pouvez pas utiliser Emplacement de la licence Symantec EDR :
Symantec EDR après l'installation initiale ______________________________________
sans charger de licence. Il n'existe aucune
période de grâce.
SMTP Settings Symantec vous recommande vivement de spécifier les paramètres SMTP dans l'assistant d'installation.
(Paramètres SMTP) Cela vous permet de récupérer un mot de passe perdu. Autrement, vous pouvez cocher la case Skip
adding SMTP server configuration (Ignorer l'ajout de la configuration du serveur SMTP) et
spécifier les paramètres plus tard dans Console de l'appliance EDR.
SMTP Server (Serveur Nom de domaine complet et numéro de port
________.________.________.________
SMTP) et Port du serveur de messagerie sécurisé.
11Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance
S550
Configuration Description Valeur à saisir
Appliance Email (Courrier Adresse électronique à partir de laquelle les
électronique d'appliance) alertes, telles qu'une notification d'expiration ___________________@_____________._____
de licence, sont envoyées.
Authorize (Autoriser) Si votre serveur de messagerie nécessite Nom d'utilisateur :
une connexion sécurisée pour recevoir des _______________________________
messages, saisissez un nom d'utilisateur et Mot de passe :
un mot de passe que Symantec EDR peut Fournissez ces informations à l'administrateur installant
utiliser pour s'authentifier auprès du serveur l'appliance à l'aide d'une méthode sécurisée.
de messagerie. Assurez-vous que le mot de passe est conservé dans un
emplacement sécurisé à des fins d'archivage.
Create an Administrative Il s'agit des informations d'authentification pour le compte administrateur initial. Cette identification est
account (Créer un nécessaire pour finaliser l'assistant d'installation.
compte administratif) L'administrateur peut créer des comptes utilisateur supplémentaires, y compris des comptes
administrateur supplémentaires.
Nom de connexion Nom de connexion de l'administrateur initial _______________________________
Display name (Nom Nom d'affichage initial de l'administrateur tel
d'affichage) qu'il apparaît dans Console de l'appliance _______________________________
EDR.
Adresse électronique de Adresse électronique de l'administrateur
____________________@____________._____
l'utilisateur initial pour les notifications.
Exécution de l'assistant d'installation
Fiche d'installation terminée par :
Nom : _______________________________________ Date : _________________________
Fourni à :
Administrateur EDR : _____________________________ Date : _________________________
Liste de contrôle de pré-installation pour les appliances physiques
À propos des rôles opérationnels, modes opérationnels et connexions
réseau
Vous configurez chaque appliance pour Symantec EDR avec un rôle et un mode opérationnels. Ces rôles déterminent la
connexion du périphérique à votre réseau et la façon dont il protège votre réseau et signale des menaces.
Rôles opérationnels | Modes opérationnels et connexions réseau
Rôles opérationnels
12Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance
S550
Vous pouvez déployer l'appliance en tant que plate-forme de gestion, analyseur de réseau ou appareil tout-en-un. Vous
assignez le rôle opérationnel lorsque vous exécutez le bootstrap sur l'appliance. Ces rôles ont la fonctionnalité suivante :
Plate-forme de gestion Si plusieurs appliances sont installées, l'une d'entre elles doit être déployée dans le rôle Management
platform (Plate-forme de gestion).
Une plate-forme de gestion héberge la Console de l'appliance EDR et affiche les incidents et les terminaux
vulnérables pour tous les analyseurs connectés. La plate-forme de gestion présente une vue complète des
activités malveillantes sur votre réseau. La plate-forme de gestion centralise également les fonctions de
configuration, de gestion et de rapport.
La plate-forme de gestion n'analyse pas le trafic réseau.
Network scanner Si plusieurs appliances sont installées, tous les périphériques à l'exception de la plate-forme de gestion
(Analyseur de réseau) doivent être déployés comme analyseurs de réseau. Chaque analyseur de réseau peut surveiller le trafic
sur un réseau différent et envoyer ses données d'incidents à la plate-forme de gestion. Selon le mode
opérationnel, l'analyseur peut aussi bloquer le trafic malveillant en temps réel.
Un analyseur réseau ne dispose pas de la Console de l'appliance EDR. Vous devez configurer et gérer
l'analyseur de réseau à partir de la plate-forme de gestion. Les données sur les incidents sont consolidées
avec celles d'autres analyseurs de réseau et signalées à partir de la plate-forme de gestion. Au fur et à
mesure que le réseau s'étend, des analyseurs supplémentaires peuvent être installés et connectés à la
plate-forme de gestion pour protéger les nouveaux réseaux.
All-in-one (Tout-en-un) Si une seule appliance est installée, elle doit être déployée en mode tout-en-un. Un périphérique tout-en-
un remplit à la fois les fonctions de plate-forme de gestion et d'analyseur de réseau.
NOTE
Un périphérique tout-en-un ne peut pas faire office de plate-forme de gestion pour des analyseurs de réseau.
Seule une appliance à laquelle est affecté le rôle de plate-forme de gestion peut gérer un analyseur de réseau.
Les rôles que vous choisissez dépendent du débit du trafic réseau. Pour de petites et moyennes installations, vous devez
avoir une appliance s'exécutant dans le rôle tout-en-un. Pour les plus grandes installations, installez plusieurs appliances,
avec l'une d'entre elles ayant le rôle de plate-forme de gestion et les appliances restantes opérant en tant qu'analyseurs
de réseau.
Exécution du bootstrap pour configurer l'appliance
Pour modifier le rôle opérationnel d'une appliance après l'installation initiale, vous devez réinstaller le logiciel de
l'appliance.
Modes opérationnels et connexions réseau
Le mode opérationnel contrôle le traitement de votre trafic réseau. Il affecte également la connexion physique de
l'appliance à votre réseau.
Les modes opérationnels et les connexions réseau de Symantec EDR décrivent les modes de Symantec EDR disponibles
pour les appliances et les connexions réseau requises pour chaque rôle. Vous devez assigner une adresse IP statique à
chaque connexion réseau de Symantec EDR.
13Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance
S550
Table 7: Modes opérationnels et connexions réseau de Symantec EDR
Mode Description Connexions réseau requises
Inline Block En mode Inline Block (Blocage inline), le trafic réseau traverse 1 gestion
(Blocage inline) l'appliance entre les terminaux client et Internet. Tous les 2 WAN
téléchargements de fichier, sites Web consultés et trafics 2 LAN
considérés malveillants sont bloqués. Seul le mode Inline Block (Modèle 8880 seulement : 2 réseaux WAN et 2
(Blocage inline) assure la protection en temps réel contre les réseaux locaux)
menaces.
L'appliance virtuelle possède une interface inline en mode Inline
Block (Blocage inline).
Le modèle ATP 8880 possède deux interfaces Inline en mode
Inline Block (Blocage inline).
Note: Le mode Inline Block (Blocage inline) n'est pas
recommandé pour les appliances virtuelles car le mode de
contournement n'est pas disponible pour un déploiement virtuel.
Inline Monitor En mode Inline Monitor (Surveillance inline), le trafic réseau 1 gestion
(Surveillance inline) traverse l'appliance entre les terminaux client et Internet. Les 2 WAN
fichiers, sites Web et trafics malveillants sont consignés pour 2 LAN
une meilleure visibilité mais ne sont pas bloqués. Toutes les 1 WAN
menaces détectées en mode Inline Monitor (Surveillance inline) 1 réseau local
doivent être atténuées manuellement.
(Modèle 8880 seulement : 2 réseaux WAN et 2
Le mode Inline Monitor (Surveillance inline) est souvent utilisé réseaux locaux)
en tant que test des performances système et pour analyser
le comportement potentiels du blocage (à partir des rapports)
avant la mise en œuvre du blocage. Les connexions physiques
pour les modes Inline Block (Blocage inline) et Inline Monitor
(Surveillance inline) sont identiques, ainsi aucun recâblage n'est
nécessaire lorsque vous basculez entre ces modes.
L'appliance physique possède deux interfaces inline en mode
Inline Monitor (Surveillance inline).
L'appliance virtuelle possède une interface inline en mode Inline
Monitor (Surveillance inline).
Note: Le mode Inline Monitor (Surveillance inline) n'est pas
recommandé pour les appliances virtuelles car le mode de
contournement n'est pas disponible pour un déploiement virtuel.
14Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance
S550
Mode Description Connexions réseau requises
Contournement Une appliance physique configurée pour le mode Inline Identique aux modes Inline Block (Blocage
(sécurité de mode bascule automatiquement dans le mode de contournement inline) et Inline Monitor (Surveillance inline)
inline) si elle ne peut pas fonctionner. Elle bascule également dans
le mode de contournement si elle est désactivée. En mode
de contournement, le trafic Internet continue à traverser les
ports LAN et WAN, mais aucun blocage ni surveillance ne se
produisent. Les opérations normales reprennent lorsque vous
redémarrez l'appliance ou réactivez l'analyse.
Les cartes réseau de Symantec EDR fonctionnent soit dans
leur mode standard de carte d'interface réseau (aucune
transition entre les ports réseau local et WAN), soit dans le
mode contournement (en assurant la transition entre les ports
réseau local et WAN) selon ces circonstances :
• Installé hors de la zone :
Mode standard de carte d'interface réseau (NIC)
• Configuré pour le déploiement inline :
Mode de contournement
• Configuré pour le déploiement en mode Tap :
Mode standard de carte d'interface réseau (NIC)
• Mis en image (paramètres d'usine réinitialisés) après les
déploiements précédents :
Mode standard de carte d'interface réseau (NIC)
Le mode de contournement n'est pas disponible pour les
appliances virtuelles. Si une appliance virtuelle ne peut pas
fonctionner ou est désactivée, des communications réseau
sont interrompues. C'est pourquoi les modes Inline Block
(Blocage inline) et Inline Monitor (Surveillance inline) ne sont
pas recommandés pour des appliances virtuelles.
Tap En mode Tap, l'appliance se connecte à un port Tap ou Span 1 gestion
sur un commutateur. L'appliance supervise une copie du 1 connexion de contrôle pour chaque réseau
trafic entre les terminaux clients et Internet, si bien que la surveillé
surveillance et la consignation des incidents n'affectent pas les
performances du réseau. Puisque les moteurs de surveillance
et de consignation fonctionnent à différents intervalles, il peut se
produire un léger retard dans la détection des incidents. Toutes
les menaces doivent être atténuées manuellement.
L'appliance peut surveiller jusqu'à quatre ports de contrôle sur
des réseaux distincts en mode Tap.
L'appliance virtuelle peut surveiller jusqu'à deux ports de
contrôle sur des réseaux distincts en mode Tap.
Le modèle 8880 peut surveiller jusqu'à quatre ports de contrôle
sur des réseaux distincts en mode Tap. Le modèle 8840 peut
surveiller jusqu'à deux ports de contrôle sur des réseaux
distincts en mode Tap.
Plate-forme de En mode plate-forme de gestion, toutes les communications 1 gestion
gestion et la gestion transitent par le port de gestion. Dans la mesure
où une appliance de plate-forme de gestion n'assure pas
d'analyse, seule la connexion de gestion est requise.
Vous choisissez le mode de fonctionnement d'un appareil tout-en-un ou d'un analyseur réseau depuis la Console de
l'appliance EDR. Une plate-forme de gestion fonctionne automatiquement en mode plate-forme de gestion.
Configuration des paramètres d'interface réseau et activation de l'analyse
À propos des configurations réseau et des connexions de port
15Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance
S550
Meilleur emplacement de l'appliance dans votre réseau
Application par Symantec EDR des politiques de liste d'interdictions en fonction de votre mode opérationnel
À propos de la sélection d'un analyseur de réseau
Les facteurs suivants déterminent le nombre d'analyseurs de réseau recommandés.
Matériel VS virtuel Prenez cette décision en fonction de votre infrastructure actuelle. Les utilisateurs utilisant
beaucoup VMware préféreront sûrement utiliser des appliances virtuelles. Les utilisateurs avec
peu ou pas d'équipements VMware devraient utiliser l'appliance matérielle.
Les solutions matérielles disposent de cartes d'interface réseau de contournement. De ce
fait, en cas d'échec, Symantec EDR continue à passer le trafic lors du déploiement inline. Par
conséquent, l'infrastructure matérielle est recommandée pour les déploiements inline.
Pour plus d'informations, consultez le Guide d'installation de votre plate-forme respective
(appliance physique ou virtuelle).
Bande passante disponible Les solutions matérielles ont un débit plus élevé que les solutions virtuelles.
10 Go par port.
R220 et R330 ont un débit de 1 Gbits/s dans leur carte d'interface réseau unique. R720 et R730
ont deux cartes d'interface réseau qui peuvent atteindre 1 Gbits/s chacune.
Pour plus d'informations, consultez le Guide de dimensionnement Symantec Endpoint Detection
and Response.
Nombre total de terminaux dans Tandis que chaque déploiement varie, l'appliance physique a une capacité d'environ
l'entreprise 25 000 connexions simultanées. Ces nombres s'appliquent au mode inline. En mode Tap, le
matériel peut prendre en charge environ deux fois le nombre de connexions du mode inline.
Les VM peuvent traiter 2 000 connexions simultanées.
Tandis que chaque déploiement varie, R220 et R330 ont une capacité d'environ
10 000 connexions simultanées. R720 et R730 peuvent prendre en charge 25 000 connexions
simultanées. Ces nombres s'appliquent au mode inline. En mode Tap, le matériel peut prendre en
charge environ deux fois le nombre de connexions du mode inline.
Fonctionnalités Symantec EDR Si le déploiement utilise principalement l'analyse réseau, un déploiement de plate-forme de
gestion et d'analyseur distinct permet d'augmenter la capacité d'analyse. Dans ce cas, l'appliance
physique a plus de capacité de stockage et convient à la plate-forme de gestion. Le nombre
d'analyseurs dépend du nombre de points d'entrée et de sortie dans le réseau et de la quantité de
trafic sur ces points.
Un déploiement tout-en-un doit pouvoir gérer tout le trafic pour la croissance prévue de la
société pour la durée de vie de l'appliance. Si le déploiement fonctionne principalement comme
Symantec EDR: Terminal, sélectionnez un déploiement tout-en-un.
À propos des configurations réseau et des connexions de port
Le tableau suivant décrit les méthodes de connexion de Symantec Endpoint Detection and Response à votre réseau.
NOTE
Les connexions de port varient selon le modèle d'appliance, la version et le rôle.
16Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance
S550
Connexions prises en charge par le rôle de l'appliance
Configuration réseau Description Connexion de gestion à Connexion WAN à Connexion LAN à
mode Span/Tap de port Cette configuration Port sur votre Connectez Monitor1 Non utilisé
simple surveille le trafic entre commutateur LAN à la prise ou au port
les terminaux et Internet, de réseau de votre
mais ne bloque pas les commutateur LAN qui est
transferts de fichiers ou défini en mode Span
les sites web. Le trafic lié
à Internet est copié sur
le port du commutateur à
l'aide de la mise en miroir
de port qui est configurée
sur le commutateur lui-
même.
Cette configuration utilise
deux ports de contrôle
et une connexion de
gestion. Cette installation
est facile et est utile
comme premier test de
Symantec EDR.
Port Span/Tap avec Cette configuration utilise Port sur votre Connectez Monitor1 Connectez Monitor2
plusieurs ports de deux ports de contrôle commutateur LAN à la prise ou au port à la prise ou au port
contrôle et une connexion de de réseau de votre de réseau de votre
gestion. Les ports de commutateur LAN qui est commutateur LAN qui est
contrôle supplémentaires défini en mode Span défini en mode Span
permettent à la même
appliance de se
connecter à plusieurs
commutateurs de
différents sous-réseaux.
Cette configuration ne
bloque pas les transferts
de fichiers ou les sites
Web.
En ligne simple Vous pouvez bloquer des Port sur votre Port LAN du pare-feu Port sur votre
transferts de fichiers et commutateur LAN Internet commutateur LAN
des sites Web à l'aide de
cette configuration.
La configuration
intégrée requiert plus
de connexions réseau
que le port Span/
Tap. Idéalement, il est
conseillé de déployer
Symantec EDR inline
entre le client et le pare-
feu. Si voSi vous utilisez
un proxy, connectez
l'appliance &; entre le
client et le proxy.us
utilisez un proxy,
vous devez connecter
l'appliance entre le client
et le proxy.
17Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance
S550
Configuration réseau Description Connexion de gestion à Connexion WAN à Connexion LAN à
Intégré avec deux pare- Vous pouvez connecter Port sur votre Port LAN du pare-feu Port sur votre
feux, deux proxys et deux deux appliances à deux commutateur LAN Internet commutateur LAN
appliances pare-feux dans le cadre
d'un environnement
à haute disponibilité.
Vous pouvez configurer
les pare-feux dans le
basculement actif/actif ou
le basculement actif/en
attente. Configurez les
appliances de manière
identique, à l'exception
des paramètres réseau.
Les deux appliances
doivent être connectées
à la même plate-forme de
gestion.
Plate-forme de gestion En configuration plate- Port sur votre Non utilisé Non utilisé
forme de gestion, une commutateur LAN
appliance est configurée
pour gérer d'autres
appliances. Cette
appliance n'analyse
pas, elle requiert donc
seulement une connexion
de gestion.
Meilleur emplacement de l'appliance dans votre réseau
Meilleur emplacement de l'appliance dans votre réseau
Votre appliance doit être placée selon qu'elle constitue une plate-forme de gestion, un analyseur de réseau ou un
périphérique tout-en-un. L'appliance de Symantec Endpoint Detection and Response doit pouvoir effectuer les tâches
suivantes selon son rôle :
• Analyse tout le trafic réseau entrant et sortant de l'organisation
• Détermine la source et l'emplacement de tout le trafic
• Détecte les terminaux client de connexion internes
• Agit en tant que proxy de réseau pour des terminaux clients (si elle s'intègre à Symantec Endpoint Protection
Manager)
• A un impact minime sur les performances du réseau
Si votre architecture inclut une zone démilitarisée (DMZ) et que vous intégrez Symantec EDR à Symantec Endpoint
Protection, ne placez pas ce qui suit dans la zone DMZ :
• Appliance de plate-forme de gestion
• Appliance tout-en-un
• SEP
Déployer l'appliance entre un proxy et le pare-feu empêche Symantec EDR de détecter l'adresse IP du terminal client
source. Par conséquent, dans ce scénario, vous devez activer le champ d'en-tête X-Forwarded-For:. Vous aurez peut-
être besoin également de configurer votre pare-feu pour éliminer le champ d'en-tête X-Forwarded-For:.
Spécification du trafic que le proxy examine
18Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance
S550
Symantec EDR n'analyse pas le trafic entre les ordinateurs internes, sauf lorsque l'un de ces ordinateurs est un serveur
proxy. Le trafic interne qui est conduit vers un serveur proxy est analysé parce qu'il s'agit d'un trafic réseau sortant.
Si vous voulez que Symantec EDR accède à Internet via un serveur proxy, vous devez traiter l'appliance en tant
que périphérique approuvé et désactiver l'authentification. Symantec EDR ne prend pas en charge le transfert des
informations d'authentification de base au proxy. Symantec EDR prend en charge l'authentification par mot de passe
simple ou de base au proxy.
Vous pouvez utiliser le port de gestion pour n'importe lequel des éléments suivants :
• Pour accéder à la Console de l'appliance EDR.
• Pour la communication avec les serveurs de Symantec (par exemple, LiveUpdate, sandboxing basé sur le cloud,
Insight, télémétrie, etc..).
• Pour faciliter la communication avec SEPM et les terminaux client pour le proxy de terminal client.
Le réseau de gestion ne doit pas être ouvert sur Internet dans sa globalité. Si vous devez accéder au réseau de gestion
depuis l'extérieur, un VPN ou une connexion de bureau à distance de courte durée est recommandé.
En mode Intégré, le port de gestion doit être sur un sous-réseau différent de l'interface intégrée.
Les schémas suivants affichent des exemples de configurations réseau.
NOTE
Vous pouvez utiliser l'appliance ATP 8840 ou 8880 dans n'importe laquelle de ces configurations.
Des câbles croisés peuvent être nécessaires pour le déploiement intégré si les périphériques connectés aux ports WAN
et LAN ne disposent pas de la configuration automatique MDI/MDI-X.
19Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance
S550
20Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance
S550
21Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance
S550
22Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance
S550
À propos des configurations réseau et des connexions de port
Connexions prises en charge par le rôle de l'appliance
Flux de travaux d'installation d'une appliance physique
Workflow d'installation d'une appliance virtuelle
Ports du pare-feu requis
Selon la configuration de votre réseau, il est peut être nécessaire d'ouvrir certains ports sur votre pare-feu et de modifier
les règles de ce dernier. Ces modifications vous permettent d'autoriser certaines URL qui sont essentielles au bon
fonctionnement de Symantec Endpoint Detection and Response.
23Guide d'installation de Symantec™ Endpoint Detection and Response 4.6 pour l'appliance
S550
Les adresse Web et IP Symantec EDR répertorient les adresses Web et IP auxquelles Symantec EDR doit accéder.
Table 8: Adresses web et IP Symantec EDR
Adresses web/adresse IP Protocole Port Description
• remotetunnel1.edrc.symantec.com HTTPS 443 Autorise l'accès à distance du support de
• remotetunnel2.edrc.symantec.com Symantec à l'appliance Symantec EDR.
• remotetunnel3.edrc.symantec.com
• remotetunnel4.edrc.symantec.com
• remotetunnel5.edrc.symantec.com
https://api-gateway.symantec.com TCP 443 Accède au service Targeted Attack Analytics
de Symantec.
licensing.dmas.symantec.com TCP 443 Utilisé pour obtenir la licence Cynic.
api.us.dmas.symantec.com TCP 443 Utilisé pour effectuer des requêtes auprès des
api.eu.dmas.symantec.com serveurs Cynic aux Etats-Unis et au Royaume-
Uni (obligatoire).
liveupdate.symantec.com TCP 80 Utilisé pour rechercher et télécharger des
définitions pour les technologies de détection
de Symantec.
ratings-wrs.symantec.com TCP 443 Utilisé pour questionner le serveur Norton Safe
Web pour identifier des sites Web malveillants.
stnd-avpg.crsi.symantec.com TCP 443 Utilisé pour envoyer la télémétrie de détection
stnd-ipsg.crsi.symantec.com à Symantec.
register.brightmail.com TCP 443 Utilisé pour enregistrer l'appliance.
swupdate.brightmail.com TCP 443 Utilisé pour rechercher et télécharger de
nouvelles versions de Symantec EDR.
shasta-rrs.symantec.com TCP 443 Utilisé pour effectuer des recherches de
shasta-mrs.symantec.com réputation pour les fichiers exécutables
Windows et les fichiers d'installation APK.
datafeedapi.symanteccloud.com TCP 443 Utilisé pour télécharger Email Security.cloud et
EDR : événements itinérants.
stats.norton.com TCP 443 Lorsque la télémétrie est configuré, utilisé
pour envoyer la télémétrie de statistiques à
Symantec.
Console de l'appliance EDR TCP 443 (entrant) ou dans Accès à l'API publique de Symantec EDR.
la plage de 1024 à
9997
https://sso1.edrc.symantec.com TCP 443 Utilisé pour l'authentification unique.
Les ports et paramètres Symantec EDR décrivent les ports utilisés par Symantec EDR pour les communications, les
mises à jour de contenu et les interactions avec des services de détection Symantec.cloud.
24Vous pouvez aussi lire
