Filtrer des applications par arguments de ligne de commande

Dans les identifiants d'applications, vous pouvez indiquer des arguments de ligne de commande en tant que critère d'identifiant.

Ce critère permet d'appliquer des règles différentes à une même application, selon l'usage qui en est fait, et ainsi de mieux maîtriser l'utilisation de certaines applications.

EXEMPLE
Ce type de filtrage permet de bloquer l'exécution de PowerShell uniquement lorsqu'il est exécuté de manière invisible ou lorsque ses arguments de ligne de commande tentent de contourner des politiques d'exécution Windows par exemple. Ces comportements peuvent en effet être l'action d'acteurs malveillants.

Gérer la compatibilité avec les versions des agents

L'utilisation de cette fonctionnalité est possible avec des agents en version 2.2.2 minimum. Si un groupe d'agents de version inférieure à la 2.2.2 applique une politique comprenant des identifiants d'applications utilisant le critère Ligne de commande, des indicateurs sont visibles à différents endroits de la console pour indiquer l'incompatibilité. Pour plus d'informations, reportez-vous à la section Gérer un parc avec des agents de différentes versions .

Pour faire en sorte que votre parc d'agents supporte cette fonctionnalité, les Notes de version SES Evolution indiquent une procédure de mise à jour des politiques de sécurité intégrées et du parc d'agents dans la section Préconisations.

Utiliser le critère Ligne de commande dans un identifiant

Pour créer un identifiant d'applications se basant sur des arguments de ligne de commande :

  1. Dans le menu Sécurité > Politiques, sélectionnez une politique puis un jeu de règles.
  2. Cliquez sur l'onglet Identifiants en haut à droite, puis sur l'onglet Identifiants d'applications.
  3. Cliquez sur Modifier dans le bandeau supérieur puis sur Ajouter un identifiant.

    Un identifiant vide s'affiche en dessous des identifiants existants.
  4. Cliquez sur Modifier en bas à droite.
  5. Dans le champ Nouvel identifiant d'application, entrez un nom d'identifiant, puis une description si nécessaire.
  6. Cliquez sur Icône + et sélectionnez Ligne de commande.
  7. Cliquez à l'extérieur de la fenêtre des critères.
  8. Cliquez sur Modifier.
  9. Entrez un nom et choisissez un mode :
    • Paramètres personnalisés (mode par défaut) : personnalisez les paramètres que la règle doit chercher dans une ligne de commande.
    • Contient au moins un paramètre : la règle s'applique à chaque fois qu'elle trouve des lignes de commande contenant au moins un paramètre.

    • Sans aucun paramètre : la règle s'applique à chaque fois qu'elle trouve des lignes de commande ne contenant pas de paramètre.

  10. Si vous avez choisi le mode Paramètres personnalisés, vous allez créer une ou plusieurs spécifications en sélectionnant des options à gauche et en indiquant des paramètres de ligne de commande dans le champ de droite. Si vous créez plusieurs spécifications, elles sont liées par des "ET" logiques. Cela signifie que la règle utilisant cet identifiant s'applique si toutes les conditions spécifiées sont remplies.
    1. Choisissez parmi les options suivantes :
      Général
      ExclureLa règle s'applique sur toutes les lignes de commande qui ne contiennent pas le ou les paramètres indiqués dans le champ de droite.
      Sensible à la casseLa règle s'applique uniquement lorsqu'elle trouve le ou les paramètres avec la casse indiquée dans le champ de droite.
      CommandeAprès le paramètre indiqué, le reste de la ligne de commande est interprété comme une ligne de commande imbriquée. Une ligne de commande imbriquée est introduite par exemple par le paramètre "-Command" pour PowerShell ou le paramètre "/c" pour cmd.
      Type de paramètre
      StringLe paramètre est une chaîne de caractères.
      Flag

      Le paramètre se trouve dans une option de ligne de commande, commençant par exemple par "/" ou "-".

      Par exemple, pour créer un identifiant correspondant à l'éditeur du Registre exécutant silencieusement un fichier .reg, c'est-à-dire regedit /s en ligne de commande :

      1. Créez un critère Chemin et indiquez *\regedit.exe.

      2. Créez un critère Ligne de commande, sélectionnez les options Flag et Égal à, puis entrez le caractère "s" dans le champ de droite.

      Il n'est pas utile d'entrer les caractères "/" ou "-".

      Notez que le double tiret "--" n'est pas supporté. Par exemple, pour rechercher l'argument "--arg", vous devez cocher le type de paramètre String.

      Vérification
      Égal àLe paramètre doit être identique à la chaîne de caractères indiquée dans le champ de droite.
      Commence parLe paramètre doit commencer par la chaîne de caractères indiquée dans le champ de droite.
      Se termine parLe paramètre doit se terminer par la chaîne de caractères indiquée dans le champ de droite.
      ContientLe paramètre doit contenir la chaîne de caractères indiquée dans le champ de droite.
      Est préfixé parLa valeur reconnue par la règle peut être un préfixe de la chaîne de caractères indiquée dans le champ de droite. Par exemple si vous entrez la chaîne de caractères "version", une correspondance avec les valeurs "v", "ve", "ver", etc. jusqu'à "version" sera reconnue.
      Positionnement (visible à partir de la deuxième spécification)
      AucunIl n'y a pas de critère de positionnement.
      Suivi parLe paramètre recherché suit le paramètre précédent.
      Suivi immédiatement parLe paramètre recherché suit immédiatement le paramètre précédent.
    2. Entrez un ou plusieurs paramètres dans le champ de droite. Dans une même spécification, les paramètres sont liés par des "OU" logiques. Cela signifie que la règle utilisant cet identifiant s'applique si au moins une des conditions spécifiées est remplie.
  11. Lorsque vous avez créé toutes les spécifications, validez la création du critère "Ligne de commande".

  12. Validez la création de l'identifiant.

Cas d'usage

Dans le cadre de la protection anti-ransomware offerte par SES Evolution, ce type de critère permet notamment de définir des règles de type Création de processus sur des applications qui tenteraient entre autre de supprimer les clichés instantanés Windows. Or ces clichés instantanés doivent être protégés afin de récupérer les fichiers qui seraient chiffrés par un ransomware. Pour plus d'informations, reportez-vous à la section Gérer une attaque par ransomware. Ces règles sont incluses dans le jeu de règles intégré Protection anti-ransomware.

EXEMPLE
L'utilisation de l'outil VSSAdmin permettant de gérer les clichés instantanés Windows peut être autorisée sur votre parc sauf lorsqu'il tente par exemple de supprimer un cliché instantané. En effet, cette action pourrait être l’œuvre d'un ransomware.
Dans ce cas, créez un identifiant d'applications en indiquant les valeurs suivantes pour le critère Chemins :
Exemples de chemins pour vssadmin
Puis indiquez les valeurs suivantes pour le critère Ligne de commande :exemple de critères ligne de commande
L'identifiant comprend alors l'entrée suivante :
Exemple d'identifiant avec le critère Ligne de commande
L'identifiant peut être ensuite utilisé dans une règle de type Création de processus bloquant et interrompant l'application VSSAdmin lorsqu'une tentative de suppression d'un cliché instantané Windows est détectée.