Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

4. Administration

 4.4 Gestion des alertes

System Center Configuration Manager dispose de mécanismes permettant de connaître l’état de santé de l’ordinateur et des différents services de protection Forefront. Parmi ceux-ci, on retrouve des lignes de base permettant de détecter l’état en fonction de différentes requêtes WMI. Ces lignes de bases rapportent par exemple au serveur les différentes menaces détectées. L’intrusion d’un virus ou d’un logiciel malveillant peut causer des dégâts graves sur l’ensemble du parc en très peu de temps.

Ainsi, Forefront EndPoint Protection 2010 offre un système d’alertes que vous pouvez configurer pour alerter les administrateurs du parc informatique. Vous verrez dans cette partie comment configurer le système d’alerte.

 4.4.1 Paramétrage du système d’envoi d’email

Commençons par le paramétrage du système d’envoi d’email. Pour cela, ouvrez la console d’administration et déroulez Site Database => Computer Management => Forefront EndPoint Protection => Alerts. Cliquez droit sur le nœud Alerts et sélectionnez « E-Mail Settings ».

La fenêtre de paramétrage s’ouvre. Cochez la case « E-mail alert notification ». Entrez ensuite le serveur SMTP, le port, la méthode d’authentification, et l’adresse e-mail d’expédition.

 

Cliquez ensuite sur « Test and Close… » et entrez l’adresse email que vous souhaitez utiliser pour tester le système d’envoi :

 


Un message d’information s’affiche et un email a été envoyé sur l’adresse indiqué pour vérifier que le système fonctionne :

 

 4.4.2 Configuration des alertes

Après avoir configuré le système d’envoi d’emails, nous allons pouvoir configurer les quatre types d’alertes disponibles.
La première alerte correspond à l’alerte épidémique. Celle-ci envoi un email lorsqu’un même logiciel malveillant est détecté sur un nombre d’ordinateurs spécifiés. Dans le nœud « Malware Outbreak Alert » de la partie Forefront EndPoint Protection => Alerts, sélectionnez l’alerte correspondante.

 

Cochez « Enable alert » pour activer l’alerte. Entrez le seuil du nombre d’ordinateurs utilisés pour déclencher l’alerte. Ajoutez aussi les adresses email qui recevront les alertes par email.

 

La seconde alerte est « Malware Detection Alert ». Celle-ci envoi un email lorsqu’un logiciel malveillant est détecté sur un ordinateur membre de la collection cible de l’alerte.
Cliquez droit sur le nœud Malware Detection Alerts et sélectionnez « New Malware Detection Alert… ». Vous pouvez ensuite sélectionner la collection cible de l’alerte ou encore le niveau de détection en fonction du niveau de gravité de l’alerte. Entrez aussi les adresses email des collaborateurs qui recevront les alertes.

 

L’alerte « Repeated Malware Detection Alert” permet l’envoi d’email lorsqu’un même logiciel malveillant est détecté sur les postes de travail d’une collection dans un intervalle de temps donné.
Cliquez droit sur le nœud Malware Detection Alerts et sélectionnez « New Repeated Malware Detection Alert… ». Vous pouvez ensuite sélectionner le nombre de fois qu’un logiciel malveillant est détecté (4, 8, 16, 32 fois) ainsi que l’intervalle de temps (4 heures, 24 heures, 1 semaine) dans lequel ils sont détectés. Entrez aussi les adresses email des collaborateurs qui recevront les alertes.

 

Enfin l’alerte « Multiple Malware Detection Alert” permet l’envoi d’email lorsque plusieurs types de logiciels malveillants sont détectés sur un même postes de travail dans un intervalle de temps donné.
Cliquez droit sur le nœud Multiple Detection Alerts et sélectionnez « New Multiple Malware Detection Alert… ». Vous devez sélectionner la collection qui sera cible de l’alerte. Vous pouvez ensuite sélectionner le nombre de logiciels malveillants différents détectés (4, 8, 16, 32 logiciels malveillants) ainsi que l’intervalle de temps (4 heures, 24 heures, 1 semaine) dans lequel ils sont détectés. Entrez aussi les adresses email des collaborateurs qui recevront les alertes.

 

Lorsqu’une menace est détectée, une alerte est levée et vous recevez un email comme suit :

 

L’ensemble de ces alertes vous permettent d’être tenu informé en cas d’épidémie ainsi être réactif plus rapidement face aux différentes menaces.

 

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

Facebook Like