Contrôler la création de processus

Un programme malveillant peut agir en créant des processus lui-même, ou par l'intermédiaire d'une application tierce.

SES Evolution permet de se protéger contre ce type d'attaque.

Vous devez au préalable avoir créé un identifiant d'applications pour les processus à protéger et pour les processus légitimes autorisé à créer d'autres processus. Pour plus d'informations, reportez-vous à la section Créer des identifiants d'applications.

  1. Choisissez le menu Politiques et cliquez sur votre politique.
  2. Sélectionnez un jeu de règles.
  3. Cliquez sur l'onglet Applicatif > Création de processus.
  4. Si vous êtes en lecture seule, cliquez sur le bouton Modifier dans le bandeau supérieur.
  5. Cliquez sur Ajouter une règle (Création de processus).
    Une nouvelle ligne s'affiche.
  6. Cliquez sur l'icône dans la zone des identifiants d'applications et choisissez le ou les processus à protéger.
  7. Dans le champ Création de la zone Comportement par défaut, choisissez pour une règle de protection :
    • Autoriser pour autoriser par défaut la création du processus,
    • Bloquer pour bloquer par défaut la création du processus,
    • Demander pour que par défaut l'utilisateur soit consulté et prenne la décision d'autoriser ou de bloquer la création du processus. Pour que cette option fonctionne, une session interactive doit être ouverte sur le poste de travail physique. Les sessions en Accès bureau à distance par exemple ne le permettent pas.
    • Bloquer et interrompre pour bloquer par défaut la création du processus et arrêter le processus à l'origine de l'action.
  8. Cliquez sur l'icône + Ajouter un comportement spécifique et choisissez le ou les processus à exclure du comportement par défaut. Dans le champ Création associé, choisissez si vous souhaitez que la création du processus soit autorisée, bloquée, que l'administrateur soit consulté ou que la création soit bloquée et le processus réalisant l'action soit arrêté.
  1. Dans le bandeau supérieur de la règle, vous pouvez :
    • Choisir de rendre la règle passive. Une règle passive agit comme une règle classique mais ne bloque pas véritablement les actions. L'agent émet uniquement des logs indiquant quelles actions auraient été bloquées par la règle.
      Utilisez ce mode pour tester de nouvelles règles de restriction, en connaître les impacts, et procéder à des ajustements avant de désactiver le mode Règle passive. Pour plus d'informations sur les tests de règles et de politiques, reportez-vous à la section Tester une politique de sécurité.
    • Indiquer si la règle doit générer un incident lorsqu'elle s'applique.
    • Sélectionner les paramètres des logs qui seront émis par cette règle.
    • Spécifier si une action doit être effectuée lors de l'émission d'un log pour cette règle. Vous pouvez demander qu'une notification soit affichée sur l'agent et/ou qu'un script soit exécuté.
    • Saisir une description pour expliquer l'objectif de la règle.
  2. Chaque règle affiche sur sa gauche son numéro de rang. Si besoin, réagencez l'ordre de vos règles en cliquant sur les flèches en dessous et au-dessus du numéro.
  3. Cliquez sur Enregistrer en haut à droite pour enregistrer vos modifications.

EXEMPLE
Vous pouvez restreindre la création du processus rundll32 aux seules applications Microsoft. Dans ce cas, choisissez rundll32 dans les processus à protéger, sélectionnez Bloquer dans le comportement par défaut, puis autorisez les applications Microsoft dans les comportements spécifiques.