Isoler des ordinateurs du réseau

En cas d'attaque ou de soupçon d'attaque sur le parc, il est possible d'isoler du réseau les ordinateurs concernés. L'isolation permet de couper les connexions entrantes et sortantes immédiatement et d'éviter la propagation d'une éventuelle attaque au reste du parc ou l'exfiltration de données vers les serveurs de l'attaquant.

Pendant la mise en isolation des ordinateurs, la communication entre les agents et les gestionnaires d'agents est maintenue afin que vous puissiez procéder par exemple à des opérations d'analyse et de remédiation si nécessaire. Lorsque l'intervention est terminée, vous pouvez arrêter l'isolation des ordinateurs et rétablir ainsi les connexions.

Depuis la console d'administration SES Evolution, vous pouvez :

  • Isoler des ordinateurs,

  • Suivre les ordinateurs isolés,

  • Exécuter des tâches d'analyse Yara ou IoC et des tâches de remédiation sur les postes isolés,

  • Arrêter l'isolation des ordinateurs.

Les demandes d'isolation et d'arrêt d'isolation sont journalisées dans les logs Système et les logs Agents.

La fonctionnalité d'isolation est utilisable si les conditions suivantes sont toutes réunies :

  • L'isolation des ordinateurs est possible à partir de la version 2.5.3 des agents SES Evolution.

NOTE
Si vous demandez l'isolation d'un ensemble d'agents comportant des versions logicielles différentes, seuls les agents éligibles sont isolés, c'est-à-dire en version 2.5.3 minimum.

  • L'agent SES Evolution doit pouvoir communiquer avec son gestionnaire d'agents pour prendre en compte les demandes d'isolation et d'arrêt d'isolation. Un agent déconnecté du gestionnaire d'agents ne peut pas appliquer la demande.

  • La fonctionnalité Réseaux doit être activée dans les paramètres des groupes d'agents.

  • Vous devez disposer du droit Remédiation-Modifier pour isoler des ordinateurs, arrêter leur isolation et pour modifier la liste des connexions autorisées pendant l'isolation.

    Avec le droit Groupes d'agents - Afficher, vous pouvez consulter l'état d'isolation des ordinateurs dans le panneau des groupes d'agents.

L'isolation des ordinateurs est possible quelle que soit la politique de sécurité appliquée aux agents.

La fonctionnalité est accessible depuis deux panneaux de la console :

  • Dans le panneau Agents, depuis la vue Tous les agents ou depuis la vue d'un groupe d'agents, sélectionnez un ou plusieurs agents dans la liste et cliquez sur le bouton Isoler les ordinateurs en haut du panneau.

  • Dans le panneau Logs agents, vous pouvez isoler un ou plusieurs ordinateurs directement depuis un log ou un groupe de logs si vous détectez un événement suspect. Sélectionnez un ou plusieurs logs puis cliquez sur le bouton Actions > Réponse > Isoler l'ordinateur en haut du panneau.

La fenêtre suivante s'affiche alors afin de créer la tâche d'isolation :  

Les agents sélectionnés lors de la demande d'isolation s'affichent dans la liste. Vous pouvez filtrer l'affichage.

  1. Entrez un commentaire.

  2. Vérifiez la sélection d'agents à isoler. Si votre sélection d'agents comprend des agents installés sur des postes de type serveurs, assurez-vous que vous souhaitez bien isoler ces postes. Les services applicatifs installés sur ces postes ne seront plus accessibles (serveur web ou de messagerie, serveur de fichiers, etc.).

  3. Cliquez sur Isoler.
    Le panneau de suivi de l'isolation s'affiche (menu Réponses > Isolation). Pour plus d'informations, reportez-vous à la section Suivre et analyser les ordinateurs isolés.

Dès que l'agent réceptionne une demande d'isolation :

  • Les connexions TCP et UDP déjà ouvertes vers l'extérieur de l'ordinateur sont coupées. Vous pouvez cependant autoriser le maintien de certaines connexions. Pour plus d'informations, reportez-vous à la section Autoriser des connexions réseau pendant l'isolation.

  • Les nouvelles connexions entrantes et sortantes ne sont plus possibles, exceptées les connexions nécessaires à la communication avec les gestionnaires d'agents (port TCP 17000) et les connexions autorisées. Pour plus d'informations, reportez-vous à la section Autoriser des connexions réseau pendant l'isolation.

Vous pouvez éteindre un ordinateur isolé, son état d'isolation est maintenu au redémarrage.

NOTE
Vous pouvez déplacer un agent isolé d'un groupe d'agents à un autre. Il conserve son état d'isolation.
A l'inverse, un agent isolé perd automatiquement son état d'isolation dans les cas suivants :
- Si vous demandez un retour de l'agent à une version antérieure à la version 2.5.3,
- Si vous désactivez la fonctionnalité Réseaux dans les paramètres du groupe d'agents.

Le tableau de bord et le panneau Isolation permettent de suivre les agents isolés.

Sur le tableau de bord, le diagramme Agents isolés permet de connaître le nombre d'agents isolés du réseau et leur état d'isolation : Isolé, En attente d'isolation, En attente d'arrêt d'isolation. Pour plus d'informations, reportez-vous à la section Vérifier l'état des agents.

Depuis le panneau Réponses > Isolation, les actions suivantes sont disponibles :

Par défaut, l'isolation bloque l'ensemble des connexions réseau de l'ordinateur sur les protocoles TCP et UDP, exceptées les requêtes DNS et DHCP sur le port 17000 afin de permettre la communication avec les gestionnaires d'agents SES Evolution.

L'onglet Paramètres du panneau Isolation vous permet d'autoriser d'autres connexions pendant l'isolation, en définissant des règles d'exception.

Pour ajouter des règles :

  1. Cliquez sur Modifier dans le bandeau supérieur.

  2. Cliquez sur Ajouter une connexion réseau autorisée.

  3. Dans la fenêtre qui s'affiche, entrez une description.

  4. Indiquez le chemin ou SID de l'application à autoriser.

  5. Complétez les paramètres suivants et cliquez sur OK.
    La règle est créée. Elle s'applique à tous les agents, quel que soit le groupe d'agents auquel ils appartiennent.

  6. Cliquez sur Enregistrer dans le bandeau supérieur.

  7. Déployez l'environnement depuis le menu Sécurité > Déploiement.

Toutes les modifications effectuées dans cet onglet sont journalisées dans les logs Système.

Cette liste d'exceptions est prioritaire sur les règles réseau de la politique de sécurité. Elle n'est pas prioritaire sur les règles réseau d'autoprotection de l'agent.

N'importe quel administrateur possédant les droits nécessaires peut mettre un terme à l'isolation d'un ordinateur même si un autre administrateur était à l'initiative de l'isolation.

Dès que l'agent réceptionne la demande d'arrêt d'isolation, les connexions TCP et UDP sont rétablies.

Pour arrêter l'isolation d'un ordinateur, rendez-vous dans le panneau Isolation, onglet Général :

  1. Sur la ligne d'un agent ou sur une sélection d'agents, faites un clic droit > Arrêter l'isolation pour la sélection,

  2. Entrez un commentaire,

  3. Vérifiez la sélection d'agents,

  4. Cliquez sur Arrêter l'isolation.

Mode Maintenance

  • Un agent en mode Maintenance peut réceptionner des demandes d'isolation ou d'arrêt d'isolation.

  • Vous pouvez activer le mode Maintenance de l'agent sur un ordinateur en cours d'isolation. L'ordinateur conserve son état d'isolation.

Pour plus d'informations sur le mode Maintenance, reportez-vous à la section Activer le mode Maintenance.

Arrêt de l'agent

Lorsqu'un ordinateur est isolé et que vous demandez un arrêt de l'agent via un challenge :

  • Les connexions réseau sont de nouveau autorisées,

  • L'agent est toujours vu comme isolé dans la console d'administration, et les connexions réseau seront de nouveau coupées à la fin du challenge.

Lorsqu'un arrêt de l'agent via challenge est en cours et que vous réalisez une demande d'isolation de l'agent :

  • La demande d'isolation est prise en compte, mais elle ne sera effective que lorsque le challenge aura pris fin.

Pour plus d'informations sur l'arrêt de l'agent, reportez-vous à la section Arrêter un agent.

Suppression automatique des agents

Le paramétrage de suppression automatique des agents déconnectés s'applique également aux agents isolés. Par défaut, un agent est supprimé après 30 jours consécutifs de déconnexion.

Pour plus d'informations, reportez-vous à la section Surveiller les agents en temps réel.

Désinstallation des agents

Vous pouvez désinstaller un agent isolé. Dans ce cas, s'il est connecté à son gestionnaire d'agents, la console d'administration ne le considère plus comme isolé du réseau.

S'il est déconnecté de son gestionnaire d'agents au moment de la désinstallation, la console d'administration le considère toujours comme isolé. Il sera supprimé automatiquement par le mécanisme de suppression automatique des agents déconnectés.

Démarrage en mode sans échec

Les connexions réseau ne sont pas coupées lorsqu'un ordinateur isolé est redémarré en mode sans échec avec réseau.

Ordinateur déconnecté du réseau de la société

Lorsqu'un ordinateur ne se trouve plus sur le réseau interne de la société, dans le cas d'un utilisateur nomade par exemple, il ne peut pas recevoir une demande d'isolation ou d'arrêt d'isolation. La demande est prise en compte lors de sa reconnexion au réseau.

Accès temporaire au web

L'accès temporaire au web est moins prioritaire que l'isolation du réseau.

Lorsque vous réalisez une demande d'isolation d'un ordinateur bénéficiant d'un accès temporaire au web :

  • L'accès temporaire est coupé et l'ordinateur est isolé,

  • L'accès temporaire reprend à l'arrêt de l'isolation, avec le temps restant avant l'isolation si vous ne redémarrez pas l'ordinateur pendant son isolation,

  • L'accès temporaire ne reprend pas à l'arrêt de l'isolation si vous redémarrez l'ordinateur pendant son isolation.

Pour plus d'informations sur l'accès temporaire au web, reportez-vous à la section Autoriser l'accès temporaire au web.