Gérer la mise en quarantaine de fichiers

Lorsqu'une action malveillante survient dans votre parc, SES Evolution permet de détecter les fichiers suspects et de les placer dans une zone de quarantaine le temps de les analyser. Les fichiers mis en quarantaine ne peuvent plus être exécutés, ni causer aucun dommage au poste de travail. Si après analyse, les fichiers s'avèrent inoffensifs, vous pouvez les restaurer à leur emplacement d'origine.

Vous pouvez établir une liste de dossiers à exclure. Les fichiers qu'ils contiennent seront protégés contre la quarantaine.

Les mises en quarantaine et les restaurations sont journalisées dans les logs Agents.

Vous devez disposer du droit Remédiation-Modifier pour mettre en quarantaine et restaurer des fichiers.

  1. Choisissez le menu Réponses > Quarantaine, et cliquez sur l'onglet Paramètres.
    Dans la section Exclusions prédéfinies, certains dossiers système sont exclus par défaut car il ne serait pas judicieux que leur contenu soit mis en quarantaine. Les dossiers sont affichés sous forme de variables EsaRoots.

  2. Cliquez sur le bouton Modifier dans le bandeau supérieur.

  3. Dans la section Exclusions personnalisées, saisissez le chemin du dossier dont vous souhaitez protéger le contenu. Les caractères génériques ne sont pas autorisés.

  4. Activez l'option Récursif si la protection doit s'étendre au contenu des sous-dossiers.

  5. Dans le champ Propriétaire, sélectionnez si besoin l'un des groupes Windows propriétaire des fichiers, ou saisissez un SID spécifique.

  6. Cliquez sur le bouton pour valider la ligne.

  7. Ajoutez autant de chemins que nécessaire et cliquez sur Enregistrer.

Vous pouvez désactiver temporairement les exclusions en décochant les cases à gauche des lignes.

La mise en quarantaine de fichiers peut s'effectuer :

Les fichiers situés sur un partage réseau ne seront pas mis en quarantaine.

Lors d'une mise en quarantaine, les fichiers sont déplacés dans le dossier local de l'agent : C:\ProgramData\Stormshield\SES Evolution\Agent\Quarantine. L'accès à ce dossier n'est pas autorisé, même pour les administrateurs, et les fichiers qu'il contient sont chiffrés.

  1. Choisissez le menu Réponses > Quarantaine et l'onglet Général pour afficher la liste des fichiers en quarantaine.
  2. Si besoin, utilisez les filtres État de la quarantaine et Groupe d'agents pour réduire la liste. Les états possibles sont En quarantaine et En attente de restauration.
  3. Sélectionnez un fichier dans la liste pour afficher dans le panneau de droite des informations sur ce fichier et l'agent concerné.

Si après analyse, vous considérez que le fichier est inoffensif et que c'est un faux-positif, vous devez :

  • Ajouter une exception sur le log et déployer les changements sur tous les agents, afin que le fichier ne soit plus détecté comme malveillant,

  • Le restaurer à son emplacement d'origine. Il sera restauré à l'identique, avec les mêmes ACL et les mêmes flux de données alternatifs.

Pour restaurer le fichier :

  1. Choisissez le menu Réponses > Quarantaine et l'onglet Général.

  2. Faites un clic droit sur le fichier à restaurer et choisissez Restaurer la sélection.
    La fenêtre Restaurer les fichiers en quarantaine s'affiche. Tous les fichiers en quarantaine ayant le même hash sont listés et sélectionnés pour la restauration.

  3. Activez l'option Écraser le fichier existant si le même fichier est déjà présent dans l'emplacement d'origine et que vous souhaitez le remplacer.

  4. Si besoin, utilisez le champ de recherche ou les filtres État de la quarantaine et Groupe d'agents pour réduire la liste. Les états possibles sont En quarantaine et En attente de restauration.
  5. Si besoin, décochez les fichiers que vous souhaitez garder en quarantaine. Tous les fichiers ayant le même hash seront systématiquement restaurés en même temps à leur emplacement respectif.
  6. Cliquez sur Restaurer.
    Une tâche de restauration est créée et les fichiers passent dans l'état En attente de restauration. Ensuite, les fichiers sont déplacés de l'espace de quarantaine vers leur emplacement d'origine. Ils disparaissent alors du panneau Quarantaine.

Les fichiers sont conservés dans l'espace de quarantaine pendant 40 jours, puis ils sont supprimés automatiquement. De plus, si l'espace de quarantaine dépasse un volume de 1 Go, les fichiers les plus anciens sont supprimés automatiquement pour laisser la place aux nouveaux.

Vous pouvez aussi choisir de retirer manuellement des fichiers du panneau Quarantaine. Dans ce cas, les fichiers ne sont plus affichés, mais ils sont conservés sur le disque dans l'espace de quarantaine. Ils feront ensuite l'objet d'une suppression automatique après 40 jours ou si la taille de 1 Go est dépassée.

  1. Choisissez le menu Réponses > Quarantaine et l'onglet Général.
  2. Faites un clic droit sur le fichier à supprimer et choisissez Supprimer la sélection.
  3. Confirmez la suppression.
    Le fichier ne s'affiche plus dans la liste.

Les fichiers mis en quarantaine sont supprimés automatiquement lors de la désinstallation de l'Agent SES Evolution.