Procéder à une remédiation

Lorsqu'une action malveillante survient sur votre parc, SES Evolution permet de la détecter et/ou de la bloquer, mais également d'effectuer une remédiation sur les postes de travail concernés. La remédiation est un ensemble d'actions permettant de limiter l'impact des attaques et de réparer les éventuels dommages.

EXEMPLES

Une règle d'audit SES Evolution surveille certaines arborescences de la base de registre pour détecter l'ajout ou modification de clés ou valeurs. En effet, certains programmes malveillants utilisent cette méthode pour persister après le redémarrage du poste de travail. Si une telle action est détectée, un log d'audit est émis, et vous pouvez lancer une remédiation permettant de supprimer ou modifier automatiquement les clés de registre suspectes sur les postes de travail concernés.
Un ransomware a eu le temps de chiffrer quelques fichiers avant d'être bloqué par SES Evolution. La remédiation permet de récupérer automatiquement la version non chiffrée de ces fichiers à partir d'un cliché instantané Windows. Voir Gérer une attaque par ransomware.
Après une attaque par ransomware bloquée par SES Evolution, certains programmes peuvent subsister sur le poste de travail et faciliter une nouvelle attaque, par exemple un cheval de Troie d'accès à distance (RAT). Vous pouvez détecter ces programmes grâce à une analyse IoC, puis les supprimer automatiquement grâce à la remédiation.

Dans la console d'administration de SES Evolution, la remédiation s'effectue à partir des logs agents. En fonction du type de log agent, SES Evolution propose différentes actions de remédiation.

Vous devez disposer du droit Remédiation-Modifier pour effectuer une remédiation. Voir Gérer les utilisateurs de la console d'administration SES Evolution.

Créer une tâche de remédiation

Choisissez le menu Agent logs et identifiez le log correspondant à l'action malveillante sur laquelle vous souhaitez faire une remédiation. Par exemple, une attaque par ransomware génère le log "Le processus nom_processus a tenté d'effectuer une attaque par ransomware". Tous les logs agents peuvent faire l'objet d'une remédiation, sauf ceux dont l'attribut est Interne, Auto-protection, ou Remédiation.
Sélectionnez le log ou le groupe de logs concerné et cliquez sur Tâches > Créer une tâche de remédiation. La fenêtre des tâches s'affiche. Elle liste les actions de remédiation possibles pour le type de logs sélectionné, ainsi que la ressource concernée. Les actions sont regroupées par agent.
Saisissez un Nom pour votre tâche de remédiation.
Utilisez les filtres pour visualiser uniquement un certain Type d'actions, ou les actions concernant un certain Groupe d'agents.
Cochez les actions que vous souhaitez effectuer. Selon le type de log sélectionné, les actions peuvent être :
- Interrompre un processus, en incluant ou non ses processus enfants,
- Supprimer un fichier,
- Supprimer une clé de registre,
- Supprimer ou modifier une valeur de registre,
- Récupérer les fichiers chiffrés par un ransomware, avec visualisation des 10 premiers fichiers chiffrés,
- Exécuter un script Powershell.
Certaines actions peuvent comporter une pastille orange. Cela signifie qu'elles concernent un des répertoires système critiques suivants et qu'elles peuvent donc avoir un impact sur le poste de travail :
- C:\Windows\System32
- C:\Windows\SysWOW64
- C:\Windows\Microsoft.NET
- C:\Windows\WinSxS
- C:\Program Files
- C:\Program Files (x86)
- C:\ProgramData\Stormshield
Si les actions proposées ne sont pas suffisantes, vous pouvez exécuter un script Powershell personnalisé pendant la tâche de remédiation.
EXEMPLE
Dans le premier exemple décrit ci-dessus concernant l'ajout malveillant de clés, la sélection de toutes les clés à supprimer peut être assez rébarbative si elles sont très nombreuses et qu'elles concernent plusieurs agents. Il peut être intéressant de créer un script qui supprimera automatiquement toutes les clés sans que vous ayez à les sélectionner.
Pour ajouter un script Powershell :
1. Cliquez sur Actions script Powershell > Ajouter à tous les agents.
  La fenêtre Ajouter une action script Powershell s'affiche.
2. À droite du champ Script, cliquez sur + pour ajouter le script à exécuter.
3. Dans le champ Arguments, spécifiez si besoin les arguments à ajouter lors de l'exécution du script.
4. Si vous souhaitez que le script soit exécuté sur tous les agents concernés lors de la tâche de remédiation, sélectionnez la case Cocher l'action sur tous les agents. Dans le cas contraire, la ligne est ajoutée dans la liste des actions mais n'est pas cochée.
5. Sélectionnez un script existant, et cliquez sur le bouton pour le visualiser, ou sur pour importer une nouvelle version du script.
Cliquez sur Démarrer la remédiation.
Le panneau des Tâches s'affiche et vous pouvez surveiller la progression de la tâche de remédiation.

Cliquez sur la flèche à gauche de la tâche pour afficher sa progression sur chaque agent concerné.

Les différents états possibles pour une tâche de remédiation sont les suivants :

État	Description
Non démarrée	La tâche a été lancée mais elle n'a pas encore démarré.
En cours	La tâche est en cours d'exécution.
Terminé	L'action de remédiation a été effectuée avec succès.
Erreur	Une erreur s'est produite lors de la tâche de remédiation. Un message indique la raison. Par exemple, la ressource est verrouillée, les droits sont insuffisants pour supprimer un fichier, l'agent n'est pas connecté, etc.
Partiel	Dans le cas d'une remédiation suite à une attaque par ransomware, la totalité des fichiers n'a pas pu être récupérée. Dans le cas d'une suppression de processus, au moins un processus n'a pas pu être supprimé.
Annulé	La tâche à été annulée par l'utilisateur lors de son exécution.