Controlling storage on USB devices

This protection makes it possible to control access to files stored on USB storage devices (external hard disks, USB keys, etc.).

Rules may cover devices filtered by vendor ID or product ID, or devices known to SES Evolution with a trust level.

If overall access to USB devices is blocked, files on USB mass storage devices cannot be accessed even when a rule specifically applying to these devices allows it. To monitor overall access, refer to the section Controlling access to USB devices.

For more information on trust levels, refer to the section Managing USB storage devices.

The left side of a rule covers files that may be found on USB devices, while the right side covers the devices themselves.

To create rules that regulate access to files on USB storage devices:

  1. Select the Security > Policies menu and click on your policy.
  2. Select a rule set.
  3. Click on the Devices > USB storage tab.
  4. If you are in read-only mode, click on Edit in the upper banner.
  5. Click on Add > Rule (USB storage device). A new line is displayed.
  6. In the left side of the rule, click on to add file identifiers. Files can be identified by a path or an alternate data stream. Generic characters are allowed in this field.
  7. Click on Apply to add the ID.
  8. For each type of operation, select the default behavior that applies to the devices when files match the rule: allow or block (protection rule).
    You can also:
    • Skip behavior to ignore the subrule if the behavior is detected and move on to the next behavior.
    • Skip rule set to ignore all the rules contained in this rule set and evaluate the next rule set.
  9. To exclude specific devices from the default behavior, click on + Add specific behavior:
    1. Add one or several device IDs. Devices can either be identified by their vendor or product IDs, or the trust level that SES Evolution assigned to the device.
      • To find out the vendor or product IDs, or the serial numbers of devices, look up the Windows device manager when the device in question is plugged in or use the dedicated utilities.
      • For more information on trust levels, refer to the section Managing USB storage devices.
    2. Select the behavior for these IDs.
  1. Dans le bandeau supérieur de la règle, vous pouvez :
    • Si besoin, réagencer l'ordre des règles en cliquant sur icône pour réordonner les règles au survol de la règle. Chaque règle affiche dans le bandeau son numéro de rang.
    • Désactiver la règle. Pour plus d'informations, reportez-vous à la section Disabling security rules.
    • Indiquer l'intention de la règle, selon des catégories pré-définies :
      liste déroulante Intention de la règle

      • Unclassified : règle non classifiée.

      • Nominal : règle passante se conformant au comportement nominal des applications.

      • Protect : règle bloquante avec un niveau de gravité élevé du log.

      • Protect silent : règle bloquante avec un niveau de gravité en dessous des seuils de logs affichés par défaut sur l'agent et sur la console. Permet de protéger des accès à des ressources estimées sensibles, même s'ils sont effectués par des programmes sans intention malveillante. Ces programmes pouvant être nombreux, une règle avec une gravité de logs trop élevée pourrait déclencher une génération massive de logs.

      • Detect : règle d'audit ou règle passive, sans blocage.

      • Context : règle participant à la construction d'un graphe d'attaque.

      • Syslog : règle déclenchant des logs exclusivement envoyés à un serveur Syslog.

      • Watch : règle permettant de surveiller des comportements afin d'affiner la politique de sécurité ou de mieux connaître les événements techniques se produisant sur le parc.

      La sélection d'une de ces catégories n'a pas d'influence sur le paramétrage de la règle. Elles permettent simplement à l'administrateur de classifier ses règles de sécurité selon leur objectif et de les trier en utilisant le filtre dédié Intention de la règle. L'intention de la règle est également affichée dans les détails des logs.
    • Saisir une description pour expliquer l'objectif de la règle.
    • Choisir de rendre la règle passive. Une règle passive agit comme une règle classique mais ne bloque pas véritablement les actions. L'agent émet uniquement des logs indiquant quelles actions auraient été bloquées par la règle.
      Utilisez ce mode pour tester de nouvelles règles de restriction, en connaître les impacts, et procéder à des ajustements avant de désactiver le mode Règle passive. Pour plus d'informations sur les tests de règles et de politiques, reportez-vous à la section Testing security policies.
    • Indiquer si la règle doit générer un contexte lorsqu'elle s'applique. Par défaut, si la règle émet des logs de niveau Urgence ou Alerte, elle génère un contexte, mais vous pouvez désactiver cette fonctionnalité. En cas de génération massive de logs similaires, le contexte n'est pas généré. Pour plus d'informations sur la génération massive de logs, reportez-vous à la section Monitoring SES Evolution agent activity.
    • Ajouter un commentaire.
    • Sélectionner les paramètres des logs qui seront émis par cette règle.
    • Spécifier si une action doit être effectuée lors de l'émission d'un log pour cette règle. Vous pouvez demander qu'un script soit exécuté et/ou qu'une analyse Yara ou IoC soit déclenchée. Vous pouvez également demander qu'une notification soit affichée sur l'agent, à condition qu'elle soit associée à un log bloquant et de niveau Alerte ou Urgence.
    • Supprimer la règle.
  2. Dépliez la partie Classification dans les logs pour indiquer l'intention de l'attaque soupçonnée lorsque la règle s'applique et les tags permettant d'associer la règle au référentiel de MITRE. Ces informations sont ensuite visibles dans les logs générés par la règle. Pour plus d'informations, reportez-vous à la section Classifying attacks according to the MITRE repository.
  3. Cliquez sur Enregistrer en haut à droite pour enregistrer vos modifications.