Gérer les tâches de remédiation

Deux permissions distinctes permettent de gérer les accès à la fonctionnalité de remédiation. La permission Remédiation (avancée) - Modifier permet d'effectuer toutes les actions de remédiation, dont l'exécution de scripts Powershell.

Sachant que l'exécution de scripts Powershell est une action très sensible, n'accordez cette permission qu'à un très petit nombre de personnes de confiance.

Pour les autres personnes susceptibles d'effectuer des actions de remédiation sans exécution de scripts, accordez-leur la permission Remédiation - Modifier.

Voir Gérer les utilisateurs de la console d'administration SES Evolution.

1. Choisissez le menu Environnement > Logs agents et identifiez le log correspondant à l'action malveillante sur laquelle vous souhaitez faire une remédiation. Par exemple, une attaque par ransomware génère le log "Le processus nom_processus a tenté d'effectuer une attaque par ransomware". Tous les logs agents peuvent faire l'objet d'une remédiation, sauf ceux dont l'attribut est Interne, Auto-protection, ou Remédiation. Pour plus d'informations, reportez-vous à la section Visualiser et gérer les logs des agents dans la console d'administration.
2. Sélectionnez le log ou le groupe de logs concerné et cliquez sur Tâches > Créer une tâche de remédiation. La fenêtre des tâches s'affiche. Elle liste les actions de remédiation possibles pour le type de logs sélectionné, ainsi que la ressource concernée. Les actions sont regroupées par agent.
3. Saisissez un Nom pour votre tâche de remédiation.
4. Utilisez les filtres pour visualiser uniquement un certain Type d'actions, ou les actions concernant un certain Groupe d'agents.
5. Cochez les actions que vous souhaitez effectuer. Selon le type de log sélectionné, les actions peuvent être :

   • Interrompre un processus, en incluant ou non ses processus enfants,

   • Retirer un fichier (mise en quarantaine ou suppression),

   • Supprimer une clé de registre,

   • Supprimer ou modifier une valeur de registre,

   • Récupérer les fichiers chiffrés par un ransomware, avec visualisation des 10 premiers fichiers chiffrés,

   • Exécuter un script Powershell.

   Certaines actions peuvent comporter une pastille orange. Cela signifie qu'elles concernent un des répertoires système critiques suivants et qu'elles peuvent donc avoir un impact sur le poste de travail :

   • C:\Windows\System32

   • C:\Windows\SysWOW64

   • C:\Windows\Microsoft.NET

   • C:\Windows\WinSxS

   • C:\Program Files

   • C:\Program Files (x86)

   • C:\ProgramData\Stormshield

6. Si les actions proposées ne sont pas suffisantes et que vous disposez de la permission Remédiation (avancée) - Modifier, vous pouvez exécuter un script Powershell personnalisé pendant la tâche de remédiation.

   EXEMPLE
   Si un programme malveillant a ajouté des clés de registre pour persister après le redémarrage du poste de travail, vous pouvez vouloir les supprimer. Or, la sélection de toutes les clés à supprimer peut être assez rébarbative si elles sont très nombreuses et qu'elles concernent plusieurs agents. Il peut être intéressant de créer un script qui supprimera automatiquement toutes les clés sans que vous ayez à les sélectionner.

   Pour ajouter un script Powershell :

   1. Cliquez sur Actions script Powershell > Ajouter à tous les agents.
      La fenêtre Ajouter une action script Powershell s'affiche.
   2. À droite du champ Script, cliquez sur + pour ajouter le script à exécuter.
   3. Dans le champ Arguments, spécifiez si besoin les arguments à ajouter lors de l'exécution du script.
   4. Si vous souhaitez que le script soit exécuté sur tous les agents concernés lors de la tâche de remédiation, sélectionnez la case Cocher l'action sur tous les agents. Dans le cas contraire, la ligne est ajoutée dans la liste des actions mais n'est pas cochée.
   5. Sélectionnez un script existant, et cliquez sur le bouton pour le visualiser, ou sur pour importer une nouvelle version du script.
7. Cliquez sur Démarrer la remédiation.
   Le panneau des Tâches s'affiche et vous pouvez surveiller la progression de la tâche de remédiation.
8. Cliquez sur la flèche à gauche de la tâche pour afficher sa progression sur chaque agent concerné.

   Les différents états possibles pour une tâche de remédiation sont les suivants :

   État	Description
   Non démarrée	La tâche a été lancée mais elle n'a pas encore démarré.
   En cours	La tâche est en cours d'exécution.
   Terminé	L'action de remédiation a été effectuée avec succès.
   Erreur	Une erreur s'est produite lors de la tâche de remédiation. Un message indique la raison. Par exemple, la ressource est verrouillée, les droits sont insuffisants pour supprimer un fichier, l'agent n'est pas connecté, etc.
   Partiel	Dans le cas d'une remédiation suite à une attaque par ransomware, la totalité des fichiers n'a pas pu être récupérée. Dans le cas d'une suppression de processus, au moins un processus n'a pas pu être supprimé.
   Annulé	La tâche à été annulée par l'utilisateur lors de son exécution.

9. Si vous avez choisi de mettre des fichiers en quarantaine, ceux-ci s'affichent dans le panneau Réponses > Quarantaine. Pour plus d'informations, reportez-vous à la section Gérer la mise en quarantaine de fichiers.

Utilisez les filtres Statut, Type, Créateur, ou Groupe d'agents pour n'afficher que les tâches qui vous intéressent.

Cliquez sur Détails pour plus d'informations sur les actions de remédiation réalisées et le résultat.

Vous pouvez également effectuer les actions suivantes sur les tâches ou sous-tâches de remédiation :

• Annuler une tâche en cours,

• Naviguer vers les logs agents correspondant à cette tâche,

• Relancer une tâche,

• Retirer une tâche du panneau des tâches,

• Exporter le fichier de résultat au format CSV.