Procéder à une remédiation

Lorsqu'une action malveillante survient sur votre parc, SES Evolution permet de la détecter et/ou de la bloquer, mais également d'effectuer une remédiation sur les postes de travail concernés. La remédiation est un ensemble d'actions permettant de limiter l'impact des attaques et de réparer les éventuels dommages.

EXEMPLES

  • Une règle d'audit SES Evolution surveille certaines arborescences de la base de registre pour détecter l'ajout ou modification de clés ou valeurs. En effet, certains programmes malveillants utilisent cette méthode pour persister après le redémarrage du poste de travail. Si une telle action est détectée, un log d'audit est émis, et vous pouvez lancer une remédiation permettant de supprimer ou modifier automatiquement les clés de registre suspectes sur les postes de travail concernés.
  • Un ransomware a eu le temps de chiffrer quelques fichiers avant d'être bloqué par SES Evolution. La remédiation permet de récupérer automatiquement la version non chiffrée de ces fichiers à partir d'un cliché instantané Windows. Voir Gérer une attaque par ransomware.
  • Après une attaque par ransomware bloquée par SES Evolution, certains programmes peuvent subsister sur le poste de travail et faciliter une nouvelle attaque, par exemple un cheval de Troie d'accès à distance (RAT). Vous pouvez détecter ces programmes grâce à une analyse IoC, puis les supprimer automatiquement grâce à la remédiation.

Dans la console d'administration de SES Evolution, la remédiation s'effectue à partir des logs agents. En fonction du type de log agent, SES Evolution propose différentes actions de remédiation.

Vous devez disposer du droit Remédiation-Modifier pour effectuer une remédiation. Voir Gérer les utilisateurs de la console d'administration SES Evolution.