Surveiller l'activité des agents SES Evolution
La solution SES Evolution fournit une vue précise de l'activité des agents SES Evolution via différents types de logs classés par niveaux de gravité.
Les logs contiennent notamment l’heure d’un événement, l'agent sur lequel il s'est produit, l’identité du processus qui a fait l’action, et en cas de blocage, des informations sur le blocage.
Pré-requis
Aucun nom de fichier court au format MS-DOS 8.3 ne doit apparaître dans les logs SES Evolution. La génération par Windows de noms courts doit être désactivée sur tous les agents SES Evolution.
- Pour désactiver les noms courts, attribuez la valeur 1 à la clé de registre NtfsDisable8dot3NameCreation dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem.
Différents types de logs
Les agents SES Evolution génèrent plusieurs types de logs :
- Les logs d'événements sont des logs simples auxquels aucun contexte n’est attaché. Ils fournissent par exemple des informations sur le blocage d’actions utilisateurs interdites par les politiques de sécurité, permettent d'auditer certaines opérations, etc. Les événements peuvent être de plusieurs types :
- Les logs d'alerte indiquent qu'une attaque s'est produite. Ils sont accompagnés d’un contexte permettant d'analyser ce qui a conduit à l’action malveillante.
- Les logs de contexte sont enregistrés en continu sur les agents et représentent un audit global des actions effectuées sur un poste de travail. Ils ne sont pas conservés et sont transmis uniquement lorsqu’une alerte est détectée. Ils fournissent des informations sur les activités sur le poste juste avant et après l’attaque.
|
Événements de protection |
Émis en cas de blocage ou d'audit d'une opération par une règle de sécurité. Par exemple, le processus illegimate_process.exe a tenté de lancer le processus abused_process.exe. |
| Événements d'autoprotection | Émis en cas d'événements suspects sur le système Windows non liés à une règle de sécurité. Par exemple, l'utilisateur a tenté de supprimer un fichier protégé. |
| Événements de fonctionnement | Émis en cas d'événements liés au fonctionnement global de SES Evolution. Par exemple, l'agent a appliqué une nouvelle politique. |
| Événements externes | Émis en cas d'événements liés aux règles d'audit de type Transfert d'événements externes et OSSEC. |
| Événements Windows Defender | Émis en cas de remontée d'événements Windows liés à la fonctionnalité Protection contre les virus et les menaces. Ces logs ne sont affichés que si la politique de sécurité contient le jeu de règles Stormshield - Transfert des événements de Windows Defender. |
Consultez les logs des agents sur la console d'administration et sur l'interface de l'agent. Ils seront aussi visibles sur le serveur Syslog si vous l'avez configuré.
Selon que vous souhaitez effectuer des modifications ou uniquement visualiser le panneau Logs agents, vous devez disposer du droit Logs agents-Modifier ou Logs agents-Afficher.
Vous pouvez configurer quels niveaux de logs sont envoyés vers la console, l'agent et le serveur Syslog. Pour plus d'informations, reportez-vous aux sections Configurer la transmission des logs émis par les agents et Configurer la gestion des logs.