Réaliser des analyses Yara sur les agents SES Evolution

SES Evolution permet d'effectuer des opérations d'analyse sur les agents, en particulier des analyses Yara. Yara est un outil qui aide notamment à l'identification et la classification de malwares via des règles. Grâce aux règles Yara, vous pouvez détecter des schémas binaires ou textuels dans les fichiers ou les processus en cours d'exécution sur les agents SES Evolution. Concrètement, l'intégration d'analyses Yara dans SES Evolution permet de nommer un malware bloqué par SES Evolution, de l'identifier sur d'autres postes de travail et éventuellement de mettre fin au processus identifié.

ATTENTION
Bien queSES Evolution soit conçu pour limiter l'impact sur les postes de travail, une analyse Yara peut affecter les performances des agents analysés. L'impact dépend du nombre de règles et de leur nature.

Afin de réaliser des analyses Yara dans SES Evolution vous devez d'abord importer ces règles au sein d'unités d'analyse. L'analyse peut ensuite être exécutée sur les agents de trois façons différentes comme décrit dans l'exemple de scénario ci-dessous.

EXEMPLE
Un fichier malveillant Facture.doc est envoyé par e-mail à tous les collaborateurs de votre entreprise. Certains le téléchargent et l'ouvrent. A son ouverture, le fichier exécute un processus sur le poste de travail, qui effectue des actions malveillantes. Par l'exécution d'analyses Yara, l'administrateur de la sécurité peut :
  • Identifier si le processus bloqué par la règle Protect-Office apps-Part 7 du jeu Socle de protection est malveillant. Pour cela, il configure la règle pour que son application déclenche une analyse Yara. Voir Déclencher une analyse sur l'émission d'un log dans une règle.
  • Détecter et interrompre le processus malveillant sur les groupes d'agents ne bénéficiant pas de la protection de cette politique. Pour cela, il exécute une analyse à la demande sur les groupes d'agents concernés. Voir Exécuter une analyse Yara à la demande.
  • Vérifier quotidiennement la présence du fichier Facture.doc sur les postes de travail pour pouvoir être alerté. Pour cela il configure une analyse planifiée. Voir Planifier une analyse Yara.