Rechercher des indicateurs de compromission

Les analyses IoC (Indicators of Compromise) permettent de mesurer l'ampleur d'un incident ou d'une attaque sur un poste de travail en recherchant des indicateurs de compromission. Ces indicateurs peuvent être par exemple des signatures de malware, des adresses IP particulières, des hashes de fichiers malveillants, des adresses URL ou des textes suspects. Ils peuvent être notamment recherchés dans des requêtes DNS, des objets nommés Windows ou des journaux d'événements par exemple.

Les indicateurs peuvent éventuellement révéler les outils utilisés et les auteurs de l'attaque.

Afin de rechercher des indicateurs sur les postes des utilisateurs, vous devez d'abord importer des listes d'indicateurs au sein d'unités d'analyse dans SES Evolution. L'analyse peut ensuite être déclenchée automatiquement lorsqu'une règle de sécurité détecte ou bloque un comportement inhabituel et émet un log. Afin de protéger les postes de potentielles attaques, vous pouvez également la planifier pour qu'elle s'exécute régulièrement et pendant une durée définie ou bien l'exécuter à la demande.

Les logs remontés par les analyses IoC permettent ensuite d'effectuer des actions de remédiation afin de supprimer les outils malveillants détectés. Pour plus d'informations, reportez-vous à la section Gérer les tâches de remédiation.

ATTENTION
Bien que SES Evolution soit conçu pour limiter l'impact sur les postes de travail, une analyse IoC peut affecter les performances des agents analysés. L'impact dépend du nombre d'indicateurs IoC et de leur type. Pour plus d'informations, reportez-vous à la section Choisir la priorité des analyses Yara et IoC.