Aperçu
À propos du service
ESET LiveGuard Advanced est un service payant proposé par ESET. Son objectif est d'ajouter une couche de protection spécialement conçue pour atténuer les nouvelles menaces.
Changement du nom du service
Le 23 mars 2022, ESET Dynamic Threat Defense a été renommé ESET LiveGuard Advanced. Dans les produits ESET pour les entreprises, vous pouvez également le voir sous le nom d'ESET LiveGuard. Les deux noms font référence au même service.
Fonctionnement
Les échantillons suspects qui ne sont pas encore confirmés comme étant malveillants et qui peuvent potentiellement transporter des logiciels malveillants sont automatiquement envoyés dans le cloud ESET. Les échantillons soumis sont exécutés dans un sandbox et évalués par des moteurs avancés de détection des logiciels malveillants. Les échantillons malveillants et les courriers indésirables suspects sont envoyés à ESET LiveGrid®. Les pièces jointes aux e-mails sont gérées séparément et peuvent être envoyées à ESET LiveGuard Advanced. Les administrateurs ou les utilisateurs peuvent définir la portée des fichiers envoyés, ainsi que la période de rétention du fichier dans le cloud ESET. Par défaut, les documents et les fichiers PDF comportant du contenu actif (macros, javascript) ne sont pas envoyés. Consultez une description détaillée du fonctionnement des couches de détection.
Dans la section Fichiers envoyés de la console de gestion à distance, les administrateurs peuvent consulter un rapport succinct sur le comportement de l’échantillon observé pour chacun des fichiers envoyés. Si un fichier est malveillant, il est bloqué en tant qu'objet suspect pour tous les utilisateurs participant à ESET LiveGrid®. S'il est évalué comment étant suspect, il est bloqué sur tous les ordinateurs de l’entreprise de l’utilisateur, selon le seuil de sensibilité.
Les fichiers peuvent êtes soumis manuellement ou automatiquement selon la configuration des politiques. Dans la console web ESET PROTECT Web Console, l’utilisateur peut soumettre des fichiers. exe signalés à partir d'ordinateurs clients.
Architecture
Produits de sécurité ESET et console de gestion
Dès qu'un échantillon est téléchargé dans ESET LiveGuard Advanced pour analyse, les métadonnées de cet échantillon sont téléchargées dans la console de gestion, si le client peut s'y connecter. L'administrateur de la console obtient ainsi la liste des échantillons téléchargées dans le cloud ESET.
Produits de sécurité ESET et ESET LiveGuard Advanced
Lorsqu'un produit de sécurité ESET configuré et activé décide qu'un échantillon doit être analysé, il le télécharge dans ESET LiveGuard Advanced. Une fois l'échantillon analysé par ESET LiveGuard Advanced, les résultats sont envoyés à tous les ordinateurs de la société (ou client MSP) et aussi à toutes les sociétés ayant déjà soumis ce fichier. Le produit de sécurité exécute ensuite l'action adéquate en fonction de la politique mise en place. Dans les version 7.2 et ultérieures des produits endpoint et serveur ESET, vous pouvez sélectionner une action à exécuter sur les fichiers suspects téléchargés par les navigateurs et les clients de messagerie.
ESET signe tous les paquets transférés afin de limiter le risque d’attaque. Lorsque vous utilisez une connexion HTTP dans le réseau interne, le produit vérifie toujours si la connexion est mise à niveau vers HTTPS derrière un proxy. Si le proxy n'est pas configuré correctement, la connexion HTTPS est également utilisée dans le réseau interne.
Consoles de gestion ESET et ESET LiveGuard Advanced
ESET LiveGuard Advanced Est disponible dans les consoles de gestion sur site et cloud (ESET PROTECT On-Prem, ESET PROTECT). Lorsqu'ESET LiveGuard Advanced reçoit un échantillon du produit de sécurité ESET, le service informe automatiquement la console de gestion sur l'état de l'analyse. Une fois l'analyse terminée, les résultats sont transférés à la console de gestion.
Terminaux itinérants et ESET LiveGuard Advanced
Un terminal itinérant est un client doté d'un produit de sécurité ESET qui est utilisé en dehors de votre société sans connexion à ESET PROTECT On-Prem. Il s'agit généralement d'un ordinateur utilisé à domicile ou pendant un déplacement professionnel sans VPN. Un client itinérant tire pleinement parti d'ESET LiveGuard Advanced. Il n'informe toutefois pas ESET PROTECT On-Prem à propos des échantillons soumis pour analyse. Lorsque le client revient dans votre périmètre et se connecte à ESET PROTECT On-Prem, les métadonnées du client sont synchronisées et la liste des fichiers soumis est mise à jour. D'autres clients du réseau peuvent recevoir des mises à jour issues des menaces détectées pendant l'itinérance d'un client, même avant sa synchronisation avec ESET PROTECT On-Prem.
ESET Cloud Office Security et ESET LiveGuard Advanced
ESET LiveGuard Advanced analyse les fichiers soumis en exécutant le code suspect dans un environnement isolé afin d'évaluer son comportement. ESET Cloud Office Security soumet à ESET LiveGuard Advanced des pièces jointes à des e-mails et des fichiers suspects provenant de Microsoft Exchange Online, OneDrive, de groupes d'équipes et de sites SharePoint pour analyse. ESET Cloud Office Security ne nécessite pas ou ne charge pas de données sur une console de gestion ESET. Les informations sur les dossiers soumis et leurs résultats sont présentes dans ESET Cloud Office Security.
Base de données globale
ESET LiveGuard Advanced utilise deux centres de données Azure (aux États-Unis et en Europe) pour stocker les hachages des fichiers et les résultats de leur analyse. Les centres de données donnent des résultats plus rapides pour les fichiers déjà analysés. Le siège d'ESET (situé en Slovaquie) stocke tous les fichiers soumis et effectue l'analyse. Les données de chaque client (entreprise) sont stockées séparément dans une base de données globale. ESET redirige les connexions des utilisateurs vers le centre de données le plus proche.
Il est vivement recommandé d'utiliser un proxy pour les réponses de mise en cache des serveurs ESET, tout particulièrement pour les utilisateurs disposant d'un grand nombre de machines clientes (des centaines ou plus), car l'utilisation d'un proxy peut diminuer le trafic réseau. Vous pouvez exclure des processus et des dossiers sélectionnés pour réduire le nombre de fichiers soumis et accroître les performances globales. |