Créer des analyses planifiées

Les analyses planifiées permettent d'exécuter automatiquement des analyses Yara sur les agents à intervalles réguliers. Pour plus d'informations, reportez-vous à la section Réaliser des analyses Yara sur les agents SES Evolution.

Pour planifier des analyses, vous devez avoir créé au préalable des unités d'analyse. Pour plus d'informations, reportez-vous à la section Créer des unités d'analyse Yara .

  1. Dans l'onglet Politiques d'un groupe d'agents, rendez-vous dans la section Analyses planifiées et cliquez sur Ajouter une analyse planifiée > Ajouter une analyse planifiée Yara.
  2. Dans la fenêtre Programmer une analyse, saisissez un nom pour l'analyse.
  3. Cliquez sur Ajouter une unité d'analyse et sélectionnez les unités d'analyse que vous souhaitez inclure dans votre analyse Yara.

  4. Cliquez sur Paramètres des logs pour déterminer le niveau de gravité et la destination des logs SES Evolution émis lors de l'analyse Yara.

  5. Dans la zone Paramètres de l'analyse des fichiers, choisissez Analyse par défaut pour exécuter une analyse récursive du dossier \\.\EsaRoots\SystemDrive et exclure les dossiers \\.\EsaRoots\SystemRoot, \\.\EsaRoots\ProgramFiles et \\.\EsaRoots\ProgramFilesX86, sinon choisissez Analyse personnalisée :
    • Analyser le fichier image des processus en cours d'exécution : Vérifie si le fichier .exe des processus contient le schéma Yara recherché. Permet également d'arrêter sur les agents les processus malveillants identifiés lors de l'analyse Yara et/ou d'exclure de l'analyse les processus exécutés par les comptes Windows Administrateur et/ou Système.
    • Fichiers et dossiers inclus : Exécute l'analyse sur les fichiers et dossiers indiqués avec ou sans récursivité.
    • Fichiers et dossiers exclus : Exclut de l'analyse les fichiers et dossiers indiqués avec ou sans récursivité. Cliquez sur l'icône + pour ajouter un chemin supplémentaire.
  6. Dans la zone Paramètres de l'analyse des processus, choisissez Analyse par défaut pour exécuter une analyse de la mémoire de tous les processus en cours d'exécution sur le poste de travail, sinon choisissez Analyse personnalisée :
    • Interrompre le processus détecté : Arrête les processus malveillants identifiés lors de l'analyse Yara.
    • Exclure les processus exécutés par : Exclut de l'analyse les processus exécutés avec les niveaux d'intégrité indiqués (Administrateur et/ou Système).
    • Répertoire des processus exclus : Exclut de l'analyse les processus dont les exécutables se trouvent dans les répertoires indiqués. Cliquez sur l'icône + pour ajouter un chemin supplémentaire.
      Vous pouvez également exporter les paramètres d'analyse au format JSON et les réimporter pour d'autres tâches.
  1. Remplissez les informations de planification :
    • Période pendant laquelle l'analyse planifiée sera active,
    • Fréquence à laquelle l'analyse planifiée sera exécutée,
    • Heure de démarrage de l'analyse. Si l'agent est arrêté à l'heure indiquée, l'analyse s'effectuera dès que possible à son redémarrage
  2. Saisissez une description de votre analyse planifiée si besoin.
  3. Vous pouvez également importer tous les paramètres d'une analyse planifiée qui a été préalablement exportée au format JSON.
  4. Cliquez sur Valider.
  5. Pour déployer l'analyse planifiée sur tous les agents du groupe afin qu'ils l'appliquent, choisissez le menu Environnement et cliquez sur le bouton Déployer.

  6. Consultez les logs de l'agent pour vérifier que les analyses se sont bien effectuées. Vous pouvez aussi Consulter l'utilisation des analyses Yara.