Créer des analyses Yara planifiées
Les analyses planifiées permettent d'exécuter automatiquement des analyses Yara sur les postes des utilisateurs à intervalles réguliers. Pour plus d'informations, reportez-vous à la section Réaliser des analyses Yara.
Pour planifier des analyses, vous devez avoir créé au préalable des unités d'analyse. Pour plus d'informations, reportez-vous à la section Créer des unités d'analyse Yara .
- Dans l'onglet Tâches planifiées d'un groupe d'agents, rendez-vous dans la section Analyses planifiées et cliquez sur Programmer une analyse planifiée > Programmer une analyse planifiée Yara.
- Dans la fenêtre Programmer une analyse, saisissez un nom pour l'analyse.
-
Cliquez sur Ajouter des unités d'analyse et sélectionnez les unités d'analyse que vous souhaitez inclure dans votre analyse Yara. Cliquez sur Suivant.
-
Cliquez sur Paramètres des logs pour déterminer le niveau de gravité et la destination des logs SES Evolution émis lors de l'analyse Yara.
- Dans la zone Paramètres de l'analyse de fichiers, choisissez Analyse par défaut pour exécuter une analyse récursive du dossier \\.\EsaRoots\SystemDrive et exclure les dossiers \\.\EsaRoots\SystemRoot, \\.\EsaRoots\ProgramFiles et \\.\EsaRoots\ProgramFilesX86, sinon choisissez Analyse personnalisée :
- Analyser le fichier image des processus en cours d'exécution : Vérifie si le fichier .exe des processus contient le schéma Yara recherché. Permet également d'arrêter sur les agents les processus malveillants identifiés lors de l'analyse Yara et/ou d'exclure de l'analyse les processus exécutés par les comptes Windows Administrateur et/ou Système.
- Extensions de fichiers : Limite l'analyse aux types d'extensions indiqués.
- Fichiers et dossiers inclus : Exécute l'analyse sur les fichiers et dossiers indiqués avec ou sans récursivité.
- Fichiers et dossiers exclus : Exclut de l'analyse les fichiers et dossiers indiqués avec ou sans récursivité. Cliquez sur l'icône + pour ajouter un chemin supplémentaire.
- Dans la zone Paramètres de l'analyse de processus, choisissez Analyse par défaut pour exécuter une analyse de la mémoire de tous les processus en cours d'exécution sur le poste de travail, sinon choisissez Analyse personnalisée :
- Interrompre le processus détecté : Arrête les processus malveillants identifiés lors de l'analyse Yara.
- Exclure les processus exécutés par : Exclut de l'analyse les processus exécutés avec les niveaux d'intégrité indiqués (Administrateur et/ou Système).
- Répertoire des processus exclus : Exclut de l'analyse les processus dont les exécutables se trouvent dans les répertoires indiqués. Cliquez sur l'icône + pour ajouter un chemin supplémentaire.
Vous pouvez également exporter les paramètres d'analyse au format JSON et les réimporter pour d'autres tâches.
- Remplissez ensuite les informations de planification :
- Période pendant laquelle l'analyse planifiée sera active,
- Fréquence à laquelle l'analyse planifiée sera exécutée,
- Heure de démarrage de l'analyse. Si l'agent est arrêté à l'heure indiquée, l'analyse s'effectuera dès que possible à son redémarrage
- Vous pouvez également importer tous les paramètres d'une analyse planifiée qui a été préalablement exportée au format JSON.
- Cliquez sur OK.
-
Pour déployer l'analyse planifiée sur tous les agents du groupe afin qu'ils l'appliquent, choisissez le menu Sécurité > Déploiement et cliquez sur le bouton Déployer.
- Consultez les logs de l'agent pour vérifier que les analyses se sont bien effectuées. Vous pouvez aussi Consulter l'utilisation des analyses Yara.