Créer des analyses IoC planifiées
Les analyses planifiées permettent d'exécuter automatiquement des analyses IoC sur les postes des utilisateurs à intervalles réguliers. Pour plus d'informations, reportez-vous à la section Rechercher des indicateurs de compromission .
Pour planifier des analyses, vous devez avoir créé au préalable des unités d'analyse. Pour plus d'informations, reportez-vous à la section Créer des unités d'analyse IoC.
- Dans l'onglet Tâches planifiées d'un groupe d'agents, rendez-vous dans la section Analyses planifiées et cliquez sur Programmer une analyse planifiée > Programmer une analyse planifiée IoC.
- Dans la fenêtre Programmer une analyse, saisissez un nom pour l'analyse.
-
Cliquez sur Ajouter des unités d'analyse et sélectionnez les unités d'analyse que vous souhaitez inclure dans votre analyse IoC. Cliquez sur Suivant.
-
Cliquez sur Paramètres des logs pour déterminer le niveau de gravité et la destination des logs SES Evolution émis lors de l'analyse IoC.
L'affichage des zones suivantes dépend du type des indicateurs dans les unités d'analyse sélectionnées à l'étape précédente. - Pour les indicateurs de type Texte, vous pouvez désactiver l'analyse IoC dans les fichiers, dans les processus ou bien dans les journaux d'événements en décochant les cases Recherche textuelle.
- Dans la zone Paramètres de l'analyse de fichiers, choisissez Analyse par défaut pour exécuter une analyse récursive du dossier \\.\EsaRoots\SystemDrive et exclure les dossiers \\.\EsaRoots\SystemRoot, \\.\EsaRoots\ProgramFiles et \\.\EsaRoots\ProgramFilesX86, sinon choisissez Analyse personnalisée :
- Analyser le fichier image des processus en cours d'exécution : Vérifie si le fichier .exe des processus contient les indicateurs recherchés. Permet également d'arrêter sur les agents les processus malveillants identifiés lors de l'analyse IoC et/ou d'exclure de l'analyse les processus exécutés par les comptes Windows Administrateur et/ou Système.
- Extensions de fichiers : Limite l'analyse aux types d'extensions indiqués.
- Fichiers et dossiers inclus : Exécute l'analyse sur les fichiers et dossiers indiqués avec ou sans récursivité.
- Fichiers et dossiers exclus : Exclut de l'analyse les fichiers et dossiers indiqués avec ou sans récursivité. Cliquez sur l'icône + pour ajouter un chemin supplémentaire.
- Dans la zone Paramètres de l'analyse de processus, choisissez Analyse par défaut pour exécuter une analyse de la mémoire de tous les processus en cours d'exécution sur le poste de travail, sinon choisissez Analyse personnalisée :
- Interrompre le processus détecté : Arrête les processus malveillants identifiés lors de l'analyse IoC.
- Exclure les processus exécutés par : Exclut de l'analyse les processus exécutés avec les niveaux d'intégrité indiqués (Administrateur et/ou Système).
- Répertoire des processus exclus : Exclut de l'analyse les processus dont les exécutables se trouvent dans les répertoires indiqués. Cliquez sur l'icône + pour ajouter un chemin supplémentaire.
-
Dans la zone Journaux d'événements, sélectionnez les types de journaux à analyser et leur ancienneté.
-
Dans la zone Paramètre de requête DNS, indiquez l'ancienneté des requêtes DNS à analyser.
- Remplissez ensuite les informations de planification :
- Période pendant laquelle l'analyse planifiée sera active,
- Fréquence à laquelle l'analyse planifiée sera exécutée,
- Heure de démarrage de l'analyse. Si l'agent est arrêté à l'heure indiquée, l'analyse s'effectuera dès que possible à son redémarrage
- Vous pouvez également importer tous les paramètres d'une analyse planifiée qui a été préalablement exportée au format JSON.
- Cliquez sur OK.
-
Pour déployer l'analyse planifiée sur tous les agents du groupe afin qu'ils l'appliquent, choisissez le menu Sécurité > Déploiement et cliquez sur le bouton Déployer.
- Consultez les logs de l'agent pour vérifier que les analyses se sont bien effectuées. Vous pouvez aussi Consulter l'utilisation des analyses IoC.