Service Composer peut identifier les systèmes infectés sur votre réseau à l'aide de solutions antivirus tierces et les mettre en quarantaine pour empêcher des contaminations futures.

Notre exemple de scénario montre comment protéger vos bureaux de bout en bout.

Figure 1. Configuration de Service Composer
workflow
Figure 2. Workflow conditionnel de Service Composer
test

Conditions préalables

Nous sommes conscients que Symantec marque les machines virtuelles infectées avec la balise AntiVirus.virusFound.

Procédure

  1. Installez, enregistrez et déployez la solution anti-malwarede Symantec.
  2. Créez une stratégie de sécurité pour vos bureaux.
    1. Cliquez sur l'onglet Stratégies de sécurité (Security Policies), puis cliquez sur l'icône Ajouter une stratégie de sécurité (Add Security Policy).
    2. Dans Nom (Name), tapez StratégieBureau.
    3. Dans Description, tapez Analyse antivirus pour tous les bureaux.
    4. Modifiez la pondération à 51000. La priorité de la stratégie est définie sur une valeur très élevée afin de s'assurer qu'elle est appliquée avant toutes les autres stratégies.
    5. Cliquez sur Suivant (Next).
    6. Dans la page Ajouter un service Endpoint, cliquez sur ajouter et indiquez les valeurs suivantes.
      Option Valeur
      Action Ne modifiez pas la valeur par défaut
      Type de service (Service Type) Anti Virus
      Nom du service (Service Name) Logiciel anti-malwarede Symantec
      Configuration de service (Service Configuration) Silver
      État (State) Ne modifiez pas la valeur par défaut
      Appliquer (Enforce) Ne modifiez pas la valeur par défaut
      Nom (Name) Desktop AV
      Description Stratégie obligatoire à appliquer sur tous les bureaux
    7. Cliquez sur OK.
    8. N'ajoutez pas de services de pare-feu ou d'introspection réseau, puis cliquez sur Terminer (Finish).
  3. Créez une stratégie de sécurité pour les machines virtuelles infectées.
    1. Cliquez sur l'onglet Stratégies de sécurité (Security Policies), puis cliquez sur l'icône Ajouter une stratégie de sécurité (Add Security Policy).
    2. Dans Nom, tapez StratégieQuarantaine.
    3. Dans Description, tapez Stratégie à appliquer à tous les systèmes infectés..
    4. Ne modifiez pas la pondération par défaut.
    5. Cliquez sur Suivant (Next).
    6. Dans la page Ajouter un service Endpoint, ne faites rien et cliquez sur Suivant (Next).
    7. Dans Pare-feu, ajoutez trois règles : une règle pour bloquer tout le trafic sortant, une deuxième pour bloquer tout le trafic avec des groupes et une dernière pour autoriser le trafic entrant provenant uniquement des outils de correction.
    8. N'ajoutez aucun service d'introspection réseau et cliquez sur Terminer (Finish).
  4. Déplacez StratégieQuarantaine vers le haut du tableau des stratégies de sécurité pour vous assurer qu'elle est appliquée avant toutes les autres stratégies.
    1. Cliquez sur l'icône Gérer la priorité (Manage Priority).
    2. Sélectionnez StratégieQuarantaine, puis cliquez sur l'icône Monter (Move Up).
  5. Créez un groupe de sécurité pour tous les bureaux de votre environnement.
    1. Connectez-vous à vSphere Web Client.
    2. Cliquez sur Mise en réseau et sécurité (Networking & Security), puis cliquez sur Service Composer.
    3. Cliquez sur l'onglet Groupes de sécurité (Security Groups), puis cliquez sur l'icône Ajouter un groupe de sécurité (Add Security Group).
    4. Dans Nom, tapez SecurityGroupBureau.
    5. Dans Description, tapez Tous les bureaux.
    6. Cliquez sur Suivant (Next) dans les pages suivantes.
    7. Vérifiez vos sélections dans la page Prêt à terminer, puis cliquez sur Terminer (Finish).
  6. Créez un groupe de sécurité de quarantaine dans lequel les machines virtuelles infectées doivent être placées.
    1. Cliquez sur l'onglet Groupes de sécurité (Security Groups), puis cliquez sur l'icône Ajouter un groupe de sécurité (Add Security Group).
    2. Dans Nom (Name), tapez SecurityGroupQuarantaine.
    3. Dans Description, tapez Appartenance au groupe dynamique basée sur les machines virtuelles infectées identifiées par l'analyse antivirus.
    4. Dans la page Définir les critères d'appartenance, cliquez sur ajouter et ajoutez les critères suivants.

      quar

    5. Ne faites rien dans la page Sélectionner les objets à inclure ou Sélectionner les objets à exclure, puis cliquez sur Suivant (Next).
    6. Vérifiez vos sélections dans la page Prêt à terminer, puis cliquez sur Terminer (Finish).
  7. Mappez la stratégie StratégieBureau au groupe de sécurité SecurityGroupBureau.
    1. Dans l'onglet Règles de sécurité, vérifiez que la stratégie StratégieBureau est sélectionnée.
    2. Cliquez sur l'icône Appliquer une règle de sécurité (Apply Security Policy) (appliquer), puis sélectionnez le groupe SG_Desktops.
    3. Cliquez sur OK.
      Ce mappage garantit que tous les bureaux (appartenant au SecurityGroupBureau)) sont analysés lorsqu'une analyse antivirus est lancée.
  8. Accédez à la vue de canevas pour vérifier que le SecurityGroupQuarantaine ne comporte encore aucune machine virtuelle.
    1. Cliquez sur l'onglet Sécurité des informations (Information Security).
    2. Vérifiez qu'il n'y a aucune machine virtuelle dans le groupe (vm).
  9. Mappez StratégieQuarantaine sur SecurityGroupQuarantaine.
    Ce mappage garantit qu'aucun trafic n'atteint les systèmes infectés.
  10. Dans la console du logiciel anti-malwarede Symantec, lancez une analyse de votre réseau.
    L'analyse détecte les machines virtuelles infectées et leur attribue la balise de sécurité AntiVirus.virusFound. Les machines virtuelles balisées sont immédiatement ajoutées au SecurityGroupQuarantaine. La StratégieQuarantaine n'autorise aucun trafic en provenance ou à destination des systèmes infectés.