Controlling access to files
This protection mode makes it possible to control specific applications’ access to files. These files are identified in rules by a path, alternate data stream, owner and/or volume type.
EXAMPLE
You can protect all your Microsoft Office files and other sensitive files so that they can be modified only by legitimate applications such as Windows Explorer, Office suite, Windows tools, etc. Other applications will be granted read-only access to these files.
An application identifier must be created beforehand for applications that are allowed to access files and for those that you want to block. For more information, refer to the section Creating application identifiers.
- Select the Security > Policies menu and click on your policy.
- Select a rule set.
- Click on the ACL resources > File tab.
- If you are in read-only mode, click on Edit in the upper banner.
- Click on Add > Rule (Files).
A new line is displayed. - Click on in the area on the left to show the window where IDs of restricted access files are created.
- And/or -
Click on the icon to display the window for creating the identifier of the file(s) you wish to exclude from access control. - Enter the ID name.
- Enter a file, path or extension. The generic characters "?" and "*" are allowed in this field.
Full paths beginning with a letter (i.e., E:\Data\Backup) are not supported if the Volume type is remote or removable.
Stormshield strongly recommends the use of EsaRoots path roots provided by SES Evolution instead of drive letters (i.e., C:\...). In fact, these letters may differ from one workstation to another.NOTE
You can enter a path that contains the letter of a local hard disk or SSD drive in this field. However, if users change the letter of the drive or add one, you must restart the workstation or modify the policy that the agent applies so that the drive can be detected. - Choose the type of volume on which the file or file type is located.
- You can specify the Windows account that owns the files in advanced settings, provided that these files are located on a local volume. You can also manually enter a Security ID (SID) to indicate a personal Windows account. This option makes it possible to allow or prevent access to files hosted on certain accounts.
- You can also specify an alternate data stream. A file’s alternate data stream contains metadata and makes it possible to find out the origin of the file. For example, by specifying the alternate data stream "zone.identifier", rules can be created for files originating from the Internet. The alternate data stream can also be an attack vector by harboring malicious code. The generic characters "?" and "*" are allowed in this field.
- Click on OK to close the ID creation window. Scroll over the name of the ID to see a summary of the settings.
- In the Default behavior field, select a behavior from among those available for this type of rule: :
- Autoriser pour autoriser par défaut l'action,
- Bloquer pour bloquer par défaut l'action,
- Bloquer et interrompre pour bloquer par défaut l'action et arrêter le processus à l'origine de l'action.
- Bloquer, interrompre et mettre en quarantaine pour bloquer par défaut l'action, arrêter le processus à l'origine de l'action, et mettre en quarantaine les fichiers suspects. Pour plus d'informations, reportez-vous à la section Managing file quarantine.
- Demander pour que l'utilisateur soit consulté.
- Ne pas évaluer le comportement pour ignorer la sous-règle si le comportement est détecté et passer au comportement suivant.
- Ne pas évaluer la règle pour ignorer la règle contenue dans ce jeu de règles et évaluer la règle suivante.
- Ne pas évaluer le groupe de règles pour ignorer les règles contenues dans le groupe de règles et évaluer le groupe de règles ou la règle suivants.
- Ne pas évaluer le jeu de règles pour ignorer toutes les règles contenues dans ce jeu de règles et évaluer le jeu de règles suivant.
- Click on + Add specific behavior and choose the resource(s) that you want to exclude from the default behavior. Select the behavior for each case.
EXAMPLE
Block the ability to modify or delete Office files and other sensitive files by default. Allow these actions only for legitimate applications.
-
Dans le bandeau supérieur de la règle, vous pouvez :
- Si besoin, réagencer l'ordre des règles en cliquant sur au survol de la règle. Chaque règle affiche dans le bandeau son numéro de rang.
- Désactiver la règle. Pour plus d'informations, reportez-vous à la section Disabling security rules.
- Indiquer l'intention de la règle, selon des catégories pré-définies :
Unclassified : règle non classifiée.
Nominal : règle passante se conformant au comportement nominal des applications.
Protect : règle bloquante avec un niveau de gravité élevé du log.
Protect silent : règle bloquante avec un niveau de gravité en dessous des seuils de logs affichés par défaut sur l'agent et sur la console. Permet de protéger des accès à des ressources estimées sensibles, même s'ils sont effectués par des programmes sans intention malveillante. Ces programmes pouvant être nombreux, une règle avec une gravité de logs trop élevée pourrait déclencher une génération massive de logs.
Detect : règle d'audit ou règle passive, sans blocage.
Context : règle participant à la construction d'un graphe d'attaque.
Syslog : règle déclenchant des logs exclusivement envoyés à un serveur Syslog.
Watch : règle permettant de surveiller des comportements afin d'affiner la politique de sécurité ou de mieux connaître les événements techniques se produisant sur le parc.
- Saisir une description pour expliquer l'objectif de la règle.
- Choisir de rendre la règle passive. Une règle passive agit comme une règle classique mais ne bloque pas véritablement les actions. L'agent émet uniquement des logs indiquant quelles actions auraient été bloquées par la règle.
Utilisez ce mode pour tester de nouvelles règles de restriction, en connaître les impacts, et procéder à des ajustements avant de désactiver le mode Règle passive. Pour plus d'informations sur les tests de règles et de politiques, reportez-vous à la section Testing security policies. - Indiquer si la règle doit générer un contexte lorsqu'elle s'applique. Par défaut, si la règle émet des logs de niveau Urgence ou Alerte, elle génère un contexte, mais vous pouvez désactiver cette fonctionnalité. En cas de génération massive de logs similaires, le contexte n'est pas généré. Pour plus d'informations sur la génération massive de logs, reportez-vous à la section Monitoring SES Evolution agent activity.
- Ajouter un commentaire.
- Sélectionner les paramètres des logs qui seront émis par cette règle.
- Spécifier si une action doit être effectuée lors de l'émission d'un log pour cette règle. Vous pouvez demander qu'un script soit exécuté et/ou qu'une analyse Yara ou IoC soit déclenchée. Vous pouvez également demander qu'une notification soit affichée sur l'agent, à condition qu'elle soit associée à un log bloquant et de niveau Alerte ou Urgence.
- Supprimer la règle.
- Dépliez la partie Classification dans les logs pour indiquer l'intention de l'attaque soupçonnée lorsque la règle s'applique et les tags permettant d'associer la règle au référentiel de MITRE. Ces informations sont ensuite visibles dans les logs générés par la règle. Pour plus d'informations, reportez-vous à la section Classifying attacks according to the MITRE repository.
- Cliquez sur Enregistrer en haut à droite pour enregistrer vos modifications.