Répondre aux événements de sécurité

Lorsqu'une action malveillante survient sur votre parc ou est suspectée, SES Evolution permet de la détecter et/ou de la bloquer tout en générant un événement de sécurité. Il permet également de répondre à cet événement en effectuant une remédiation sur les postes de travail concernés. La remédiation est un ensemble d'actions permettant de limiter l'impact des attaques et de réparer les éventuels dommages.

EXEMPLES
  • Une règle d'audit SES Evolution surveille certaines arborescences de la base de registre pour détecter l'ajout ou modification de clés ou valeurs. En effet, certains programmes malveillants utilisent cette méthode pour persister après le redémarrage du poste de travail. Si une telle action est détectée, un log d'audit est émis, et vous pouvez lancer une remédiation permettant de supprimer ou modifier automatiquement les clés de registre suspectes sur les postes de travail concernés.
  • Un ransomware a eu le temps de chiffrer quelques fichiers avant d'être bloqué par SES Evolution. La remédiation permet de récupérer automatiquement la version non chiffrée de ces fichiers à partir d'un cliché instantané Windows.
  • Un programme malveillant a été involontairement exécuté par un utilisateur. Il est bloqué et son exécution est interrompue par SES Evolution, mais il peut en plus être mis en quarantaine. Il est ainsi hors d'atteinte de l'utilisateur, et cela vous permet à l'administrateur de l'analyser avant de le supprimer ou le restaurer.
  • Les logs agents signalent un événement suspect sur le poste d'un utilisateur. Vous détectez un danger. Vous pouvez isoler le poste concerné du réseau le temps de mener votre analyse et ainsi vous évitez la propagation d'une éventuelle attaque à tout le parc.
  • Après une attaque par ransomware bloquée par SES Evolution, certains programmes peuvent subsister sur le poste de travail et faciliter une nouvelle attaque, par exemple un cheval de Troie d'accès à distance (RAT). Vous pouvez détecter ces programmes grâce à une analyse IoC, puis les supprimer automatiquement grâce à la remédiation.