Exécuter une analyse IoC à la demande
Vous pouvez exécuter une analyse IoC de façon ponctuelle selon vos besoins. Pour cela, vous devez créer une tâche d'analyse IoC.
-
Choisissez le menu Réponses > Tâches manuelles et cliquez sur Créer une tâche.
-
Sélectionnez Analyse IoC.
Vous pouvez aussi ouvrir le panneau des tâches via les Logs agents en sélectionnant un log et en cliquant sur Tâches > Créer une tâche d'analyse IoC. -
Donnez un nom à votre tâche.
-
Cliquez sur Ajouter des unités d'analyse et sélectionnez les unités d'analyse que vous souhaitez inclure dans votre analyse IoC. Cliquez sur Suivant.
-
Cliquez sur Paramètres des logs pour déterminer le niveau de gravité et la destination des logs SES Evolution émis lors de l'analyse IoC.
- Pour les indicateurs de type Texte, vous pouvez désactiver l'analyse IoC dans les fichiers, dans les processus ou bien dans les journaux d'événements en décochant les cases Recherche textuelle.
- Dans la zone Paramètres de l'analyse de fichiers, choisissez Analyse par défaut pour exécuter une analyse récursive du dossier \\.\EsaRoots\SystemDrive et exclure les dossiers \\.\EsaRoots\SystemRoot, \\.\EsaRoots\ProgramFiles et \\.\EsaRoots\ProgramFilesX86, sinon choisissez Analyse personnalisée :
- Analyser le fichier image des processus en cours d'exécution : Vérifie si le fichier .exe des processus contient les indicateurs recherchés. Permet également d'arrêter sur les agents les processus malveillants identifiés lors de l'analyse IoC et/ou d'exclure de l'analyse les processus exécutés par les comptes Windows Administrateur et/ou Système.
- Extensions de fichiers : Limite l'analyse aux types d'extensions indiqués.
- Fichiers et dossiers inclus : Exécute l'analyse sur les fichiers et dossiers indiqués avec ou sans récursivité.
- Fichiers et dossiers exclus : Exclut de l'analyse les fichiers et dossiers indiqués avec ou sans récursivité. Cliquez sur l'icône + pour ajouter un chemin supplémentaire.
- Dans la zone Paramètres de l'analyse de processus, choisissez Analyse par défaut pour exécuter une analyse de la mémoire de tous les processus en cours d'exécution sur le poste de travail, sinon choisissez Analyse personnalisée :
- Interrompre le processus détecté : Arrête les processus malveillants identifiés lors de l'analyse IoC.
- Exclure les processus exécutés par : Exclut de l'analyse les processus exécutés avec les niveaux d'intégrité indiqués (Administrateur et/ou Système).
- Répertoire des processus exclus : Exclut de l'analyse les processus dont les exécutables se trouvent dans les répertoires indiqués. Cliquez sur l'icône + pour ajouter un chemin supplémentaire.
-
Dans la zone Journaux d'événements, sélectionnez les types de journaux à analyser et leur ancienneté.
-
Dans la zone Paramètre de requête DNS, indiquez l'ancienneté des requêtes DNS à analyser.
-
Cliquez sur Suivant et cochez tous les agents sur lesquels vous souhaitez exécuter l'analyse IoC. Si besoin, utilisez les filtres pour afficher seulement les agents répondant à certains critères.
- Cliquez sur Exécuter la tâche.
La tâche s'affiche dans le panneau principal des tâches. - Sur chaque tâche, cliquez sur les icônes suivantes pour effectuer des actions :
Affiche dans le panneau des logs agents les logs correspondant à cette tâche. Retire de la liste les tâches. Annule la tâche en cours d'exécution sur les agents. Relance la tâche en modifiant certains paramètres. Vous pouvez également Supprimer les tâches terminées du panneau des tâches.
- Cliquez sur la flèche à gauche de la tâche pour afficher le détail des unités d'analyse qui la composent.
Cliquez sur Annuler la sélection pour annuler une unité d'analyse en cours d'exécution.