Surveillance des événements

La surveillance des événements fournit une approche plus générique de la protection contre les logiciels non autorisés et les attaques de programmes malveillants. Elle surveille les zones du système pour certains événements, permettant aux administrateurs de gérer les programmes qui déclenchent ces événements. Utilisez la surveillance des événements si vous avez des exigences de protection du système spécifiques différentes de la protection fournie par le blocage du comportement des programmes malveillants.

Le tableau suivant répertorie les événements du système surveillés.

Tableau 1. Événements du système surveillés
Événements	Description
Fichier système dupliqué	De nombreux programmes malveillants créent des copies d'eux-mêmes ou d'autres programmes malveillants à l'aide de noms de fichiers utilisés par les fichiers système Windows. Cette opération vise généralement à remplacer les fichiers système, à éviter la détection ou à décourager les utilisateurs de supprimer les fichiers malveillants.
Modification du fichier d'hôtes	Le fichier d'hôtes fait correspondre les noms de domaines aux adresses IP. De nombreux programmes malveillants modifient le fichier Hosts de telle sorte que le navigateur Web soit redirigé vers des sites Web infectés, inexistants ou contrefaits.
Comportement suspect	Un comportement suspect peut être une action spécifique ou une série d'actions rarement effectuées par des programmes légitimes. Les programmes présentant un comportement suspect doivent être utilisés avec prudence.
Nouveau plug-in Internet Explorer	Les spywares/graywares installent souvent des plug-ins Internet Explorer indésirables tels que des barres d'outils et des Browser Helper Objects.
Modification des paramètres d'Internet Explorer	De nombreux virus/programmes malveillants modifient les paramètres d'Internet Explorer, notamment la page d'accueil, les sites Web de confiance, les paramètres de serveur proxy et les extensions de menu.
Modification de la stratégie de sécurité	Les modifications de la stratégie de sécurité Windows peuvent permettre à des applications indésirables de s'exécuter ou de modifier les paramètres système.
Injection de la bibliothèque de programmes	De nombreux programmes malveillants configurent Windows pour que toutes les applications chargent automatiquement une bibliothèque de programmes (DLL). Les routines malveillantes de la DLL peuvent ainsi s'exécuter à chaque fois qu'une application démarre.
Modification du shell	De nombreux programmes malveillants modifient les paramètres du shell Windows de manière à s'associer eux-mêmes à certains types de fichiers. Cette routine leur permet de se lancer automatiquement si les utilisateurs ouvrent les fichiers associés dans l'Explorateur Windows. La modification des paramètres du shell Windows peut aussi permettre à des programmes malveillants de suivre les programmes utilisés et de s'exécuter conjointement avec les applications légitimes.
Nouveau service	Les services Windows sont des processus dotés de fonctions spéciales qui s'exécutent généralement en continu à l'arrière plan, avec un accès administratif total. Les programmes malveillants s'installent parfois sous forme de services pour rester cachés.
Modification de fichiers système	Certains fichiers système de Windows déterminent le comportement du système et notamment les paramètres relatifs aux programmes de démarrage et aux économiseurs d'écran. De nombreux programmes malveillants modifient les fichiers système de manière à s'exécuter automatiquement au démarrage et contrôler le comportement du système.
Modification de la stratégie de pare-feu	La stratégie de pare-feu Windows détermine quelles applications ont accès au réseau, quels ports sont ouverts à la communication et quelles adresses IP peuvent communiquer avec l'ordinateur. De nombreux programmes malveillants modifient la stratégie de manière à s'octroyer à eux-mêmes l'accès au réseau et à Internet.
Modification de processus système	De nombreux programmes malveillants effectuent diverses actions sur les processus intégrés à Windows Ces actions peuvent consister à interrompre ou modifier des processus en cours d'exécution.
Nouveau programme de démarrage	En règle générale, les applications malveillantes ajoutent ou modifient les entrées du démarrage automatique dans le registre Windows pour se lancer automatiquement à chaque démarrage de l'ordinateur.

Lorsque la surveillance des événements détecte un événement du système surveillé, elle exécute l'action configurée pour l'événement.

Le tableau suivant répertorie les éventuelles mesures que les administrateurs peuvent prendre sur les événements du système surveillés.

Tableau 2. Actions sur les événements du système surveillés
Action	Description
Évaluer	OfficeScan autorise toujours les programmes associés à un événement, mais enregistre cette action dans les journaux pour évaluation. Il s'agit de l'action par défaut pour tous les événements du système surveillés. Remarque : Cette option n'est pas prise en charge pour l'injection de bibliothèques de programmes sur les systèmes 64 bits.
Autoriser	OfficeScan autorise toujours les programmes associés à un événement.
Demander si nécessaire	OfficeScan invite les utilisateurs à autoriser ou refuser les programmes associés à un événement et ajoute les programmes à la liste d'exceptions Si l'utilisateur ne répond pas au cours d'une certaine période, OfficeScan autorise automatiquement l'exécution du programme. La valeur par défaut de la période est 30 secondes. Pour modifier la période, consultez Configuration des paramètres généraux de surveillance des comportements. Remarque : Cette option n'est pas prise en charge pour l'injection de bibliothèques de programmes sur les systèmes 64 bits.
Refuser	OfficeScan bloque toujours les programmes associés à un événement et enregistre cette action dans les journaux. Lorsqu'un programme est bloqué et que les notifications sont activées, OfficeScan affiche une notification sur l'ordinateur OfficeScan. Pour plus de détails sur les notifications, voir Notifications de surveillance des comportements pour les utilisateurs des agents OfficeScan.