Configurer la protection contre les menaces

Parmi les règles de sécurité fournies par Stormshield, vous pouvez configurer des règles d'audit ou de protection contre les grands types d'attaque qui menacent les postes de travail.

Pour plus d'informations sur les menaces contrées par SES Evolution, reportez-vous à la section Connaître les différentes menaces et leur protection.

Toutes les règles de protection contre les menaces sont désactivées par défaut. Si vous avez plusieurs jeux de règles de protection dans votre politique de sécurité, veillez à ne les activer que dans le jeu ou les jeux dans lesquels vous souhaitez paramétrer la protection contre les menaces et veillez à l'ordre de vos jeux de règles dans la politique. Si vous paramétrez la protection contre les menaces dans un jeu de règles placé dans les premières positions, cette règle peut surcharger et annuler l'effet du paramétrage des protections qui serait défini dans les jeux de règles placés après.

  • Pour les règles d'audit Chargement des pilotes et Intégrité des pilotes, vous devez avoir créé au préalable un identifiant de pilote pour chaque pilote légitime à ne pas surveiller.
    Pour plus d'informations, reportez-vous à la section Créer des identifiants de pilotes.
  • Pour tous les autres types de protections, vous devez avoir créé au préalable un identifiant d'applications pour chaque application à protéger et pour chaque application autorisée à se soustraire à la protection.
    Pour plus d'informations, reportez-vous à la section Créer des identifiants d'applications.
  1. Choisissez le menu Politiques et cliquez sur votre politique.
  2. Sélectionnez le jeu de règles de protection ou d'audit dans lequel vous souhaitez ajouter votre règle.
    La page d'accueil du jeu de règles s'affiche.
  3. Cliquez sur l'onglet Menaces.
  4. Si vous êtes en lecture seule, cliquez sur le bouton Modifier dans le bandeau supérieur.
  5. Activez la règle souhaitée en cliquant sur le bouton à gauche.
  6. Dans le champ État de la zone Comportement par défaut, trois ou quatre états sont disponibles pour chaque protection. Choisissez :
    • Autoriser : SES Evolution ne bloque pas l'action malveillante et ne génère aucun log,
    • Détecter seulement : Tout comme avec le mode Audit, SES Evolution détecte l'action malveillante sans la bloquer, et génère des logs pour l'administrateur. Mais contrairement au mode Audit, cette option arrête l'évaluation des règles suivantes qui ne sont pas parcourues.
    • Bloquer : SES Evolution bloque l'action malveillante et génère des logs pour l'administrateur,
    • Bloquer et interrompre : SES Evolution bloque l'action malveillante et arrête le processus à l'origine de l'action.
      Pour les règles d'audit, les comportements disponibles sont toujours Autoriser qui n'entraîne aucune action, et Audit qui permet de générer un log puis d'évaluer la règle suivante.
  7. Cliquez sur l'icône + Ajouter un comportement spécifique pour ajouter les identifiants des applications pour lesquelles le comportement doit être différent. Par exemple, pour la dissimulation de processus, vous pouvez par défaut activer la protection, et la désactiver spécifiquement pour vos applications internes qui utilisent ce mode de fonctionnement, comme les outils de virtualisation.
  1. Dans le bandeau supérieur de la règle, vous pouvez :
    • Indiquer si la règle doit générer un incident lorsque cela s'applique. Pour certains types de protection, la génération d'incident est automatique car un contexte est forcément nécessaire pour ces cas d'attaques, en plus des logs.Exemple de règle contre la dissimulation de process
    • Sélectionner les paramètres des logs qui seront émis par cette règle.
    • Spécifier si une action doit être effectuée lors de l'émission d'un log pour cette règle.

      NOTE :
      Si vous souhaitez que les logs soient gérés différemment en fonction des applications, vous devez répartir vos règles dans des jeux de règles différents. En effet, un jeu de règles ne peut pas contenir plusieurs règles pour une même menace.

  2. Une fois la première protection configurée, répétez les étapes 5 à 8 pour configurer les autres types de protection.
  3. Cliquez sur Enregistrer en haut à droite pour enregistrer vos modifications.

Les protections avancées sont disponibles sur le même panneau que les règles contre les menaces décrites précédemment. Pour plus d'informations, reportez-vous à la section Connaître les différentes menaces et leur protection.

Pour activer et configurer les protections avancées :

  1. Dans la politique voulue, sélectionnez le jeu de règles de protection ou d'audit dans lequel vous souhaitez ajouter votre règle.
  2. Cliquez sur l'onglet Menaces.
  3. Si vous êtes en lecture seule, cliquez sur le bouton Modifier dans le bandeau supérieur.
  4. Activez la règle souhaitée en cliquant sur le bouton à gauche.
  5. Dans la liste déroulante Version, indiquez quelle version de la protection vous souhaitez exécuter, soit une version en particulier, soit Toujours utiliser la dernière version. Si vous n'utilisez pas la dernière version disponible, l'indicateur s'affiche à droite de la liste déroulante. Il s'affiche également sur le panneau général d'une politique lorsqu'au moins une protection avancée activée n'utilise pas sa dernière version.
  6. Dans le champ État, trois ou quatre états sont disponibles pour chaque protection. Choisissez :
    • Autoriser : SES Evolution ne bloque pas l'action malveillante et ne génère aucun log,
    • Détecter seulement : Tout comme avec le mode Audit, SES Evolution détecte l'action malveillante sans la bloquer, et génère des logs pour l'administrateur. Mais contrairement au mode Audit, cette option arrête l'évaluation des règles suivantes qui ne sont pas parcourues.
    • Bloquer : SES Evolution bloque l'action malveillante et génère des logs pour l'administrateur,
    • Bloquer et interrompre : SES Evolution bloque l'action malveillante et arrête le processus à l'origine de l'action.
  7. Dans le bandeau supérieur de la règle, vous pouvez :
    • Sélectionner la version de la protection. Toutes les versions sont conservées en base de données et restent disponibles dans la console d'administration.
    • Sélectionner les paramètres des logs qui seront émis par cette règle.
    • Spécifier si une action doit être effectuée lors de l'émission d'un log pour cette règle.
  8. Les règles contre les menaces Persistance via WMI, Utilisations malveillantes de Certutil, Découverte de l'environnement, Ransomware et Usurpation de processus parent possèdent des paramètres spécifiques à chacune :
    Persistance via WMI

    Liste de compatibilités : listez ici les consommateurs représentant des événements WMI légitimes et qui ne doivent pas être bloqués par la protection.

    Utilisations malveillantes de Certutil Liste de compatibilités : ajoutez ici des identifiants d'applications qui pourraient utiliser certutil.exe dans des cas légitimes et qui ne doivent pas être bloquées par la protection.
    Découverte de l'environnement
    • Intervalle de temps : indiquez l'intervalle de temps en secondes (minimum cinq secondes) entre la première commande et la dernière commande et après lequel les actions de découverte doivent être ignorées.
    • Liste de compatibilités : ajoutez ici des identifiants d'applications autorisées à lancer des commandes s'apparentant à des actions de découverte et qui ne doivent pas être bloquées par la protection.
    • Seuil de sensibilité : sélectionnez le seuil à partir duquel se déclenche la protection.
    Ransomware
    • Liste de compatibilités : ajoutez ici des identifiants d'applications de chiffrement légitimes qui ne doivent pas être bloquées par la protection, comme par exemple Stormshield Data Security.
    • Seuil de sensibilité : sélectionnez le seuil à partir duquel se déclenche la protection. Avec le niveau Très bas, la protection se déclenche si au moins 20 fichiers ont été chiffrés par un ransomware en moins de 3 secondes. Avec le niveau Bas, c'est à partir de 15 fichiers, et avec le niveau Moyen 10 fichiers.

    Si vous activez cette protection anti ransomware, assurez-vous aussi d'Activer les clichés instantanés Windows pour pouvoir restaurer d'éventuels fichiers perdus.

    Pour plus d'informations sur la procédure de restauration, reportez-vous à la section Gérer une attaque par ransomware.

    Usurpation de processus parent (Parent PID Spoofing)

    Liste de compatibilités : ajoutez ici des identifiants d'applications qui auront le droit de réaliser de l'usurpation de processus parent sans être bloquées par la protection.

  9. Cliquez sur Enregistrer en haut à droite pour enregistrer vos modifications.

NOTE
Si vous souhaitez modifier plus tard la version utilisée d'une protection avancée, un déploiement est nécessaire après la modification.