Configurer des actions déclenchées par les règles

Lorsqu'une opération effectuée sur un agent SES Evolution est bloquée par une règle de protection, un log est émis, dont vous pouvez déterminer la gravité et la destination.

Si vous le souhaitez, l'émission de ce log peut déclencher des actions sur les agents concernés. Il existe différentstypes d'actions :

  • Afficher une notification sur l'agent. Celle-ci s'affichera en bas à droite de l'écran, indiquant qu'une opération interdite a été bloquée par une règle de protection.
  • Exécuter des scripts personnalisés.
  • Exécuter une analyse YARA. Pour plus d'informations, reportez-vous à la section Réaliser des analyses Yara sur les agents SES Evolution.
    Cette action est disponible uniquement pour les règles dont les logs contiennent des processus ou des fichiers. Par exemple, les règles WI-FI et ARP Spoofing ne sont pas concernées.

EXEMPLE
Cette fonctionnalité peut être utile pour déclencher une analyse antivirale à l'émission du log, ou encore le déplacement d'un fichier malveillant dans un dossier particulier. Le déclenchement d'une analyse YARA permet par exemple d'identifier un malware.

  1. Dans l'onglet Politiques, sélectionnez votre politique de sécurité, puis le jeu de règles. La page générale du jeu de règles s'affiche.
  2. Cliquez sur l'onglet correspondant à la règle que vous souhaitez modifier.
  3. Si vous êtes en lecture seule, cliquez sur le bouton Modifier dans le bandeau supérieur.
  4. Dans le bandeau en haut de la règle, cliquez sur l'icône Icône Action sur émission de logs. La fenêtre Action sur émission de logs s'affiche.
  5. Si vous le souhaitez, activez l'envoi d'une notification sur l'agent à chaque émission d'un log par cette règle. Cette fonctionnalité n'est disponible que pour les règles en mode Protection. Fenêtre Action sur émission de logs avec notification activée
  6. Si vous souhaitez exécuter un script à chaque émission d'un log par cette règle, cliquez sur Ajouter une action.
    1. Dans la fenêtre Exécuter un script personnalisé, saisissez un nom pour l'action.
      1. À droite du champ Script, cliquez sur + pour ajouter le script à exécuter.
      2. Dans le champ Arguments, spécifiez les arguments à ajouter lors de l'exécution du script.
      3. Dans la liste Contexte d'exécution, privilégiez Service local car il s'agit d'un compte disposant de privilèges limités. Ne choisissez les comptes Session interactive et Système que si cela est strictement indispensable.
  7.  

    Notamment il n'est pas possible de lancer un script en session interactive sur un serveur avec plusieurs utilisateurs connectés à distance.
    Tous les scripts déclarés dans SES Evolution s'affichent dans la liste Script. Sélectionnez un script existant, et cliquez sur le bouton pour le visualiser, ou sur pour importer une nouvelle version du script.

  1. Si vous souhaitez exécuter une analyse YARA à chaque émission d'un log par cette règle, cliquez sur Ajouter une unité d'analyse.
    1. Cliquez sur une ou plusieurs unités d'analyse pour les sélectionner, puis fermez cette fenêtre.
    2. Dans la fenêtre Action sur émission de logs, cliquez sur Paramètres des logs pour déterminer le niveau de gravité et la destination des logs émis par les règles YARA.
    3. Si besoin, sélectionnez Interrompre les processus détectés, pour supprimer des agents les processus malveillants identifiés lors de l'analyse YARA.
      Si la règle appartient à un jeu de règles d'audit ou si la règle est en mode passif, les processus ne seront pas interrompus même si ce paramètre est activé.
  2. Cliquez sur Valider.