Ordonner les jeux de règles et les règles dans une politique

Les règles de protection et d'audit sont évaluées par l'agent dans l'ordre des jeux de règles dans la politique et dans l'ordre des règles elles-mêmes à l'intérieur d'un jeu. Si des jeux de règles différents concernent les mêmes ressources, il faut bien veiller à l'ordre des jeux car l'évaluation des règles s'arrête dès lors qu'une règle a été appliquée par l'agent. Ce sont donc les règles du jeu le plus haut placé qui s'appliquent.

Toutes les règles d'une politique, qu'elles fassent partie de jeux privés ou partagés, sont agrégées comme si elles avaient été créées dans une même politique. Si une politique contient deux jeux de règles, l'ensemble des règles du premier jeu sont parcourues, puis l'ensemble des règles du second jeu.

De façon générale, si vous utilisez des jeux d'audit et des jeux de protection au sein d'une même politique, nous vous conseillons de placer les jeux d'audit avant les jeux de protection. Ceci permet de garantir la génération des logs sur les actions que vous souhaitez surveiller. Si vous placez les jeux de protection avant les jeux d'audit et que ceux-ci concernent les mêmes ressources, les règles d'audit ne seront pas évaluées dès lors qu'une règle de protection s'appliquera et aucun log d'audit ne sera produit.

A l'inverse, lorsqu'une règle d'audit s'applique, l'agent poursuit l'évaluation des règles, donc les règles de protection seront bien évaluées.

Dans le cas où vous souhaitez créer une politique comprenant les jeux de règles d'audit et les jeux de règles de protection fournis par Stormshield dans la politique de sécurité par défaut, et des jeux de règles personnalisés adaptés à votre environnement, nous vous conseillons d'ordonner les jeux de la façon suivante :

Ordre Type Jeux de règles Recommandé/Optionnel
1 Audit Audits pour contextes d'attaque Recommandé
2 Audit Transfert des événements Windows Defender Optionnel
3 Audit Votre propre jeu de règles d'audit Optionnel
4 Protection Points d'accès Wi-Fi sécurisés Optionnel
5 Protection Protections avancées Recommandé
6 Protection Protection anti-ransomware Recommandé
7 Protection Votre propre jeu de règles de protection Optionnel
8 Protection Durcissement des applications courantes Optionnel
9 Protection Durcissement des accès au réseau Optionnel
10 Protection Prévention des fuites d'informations Recommandé
11 Protection Socle de protections Recommandé

Survolez un jeu de règles avec votre souris pour afficher les flèches à gauche du jeu et modifier l'ordre.

Pour plus d'informations sur l'ordre des jeux, vous pouvez consulter la section Préconisations des Notes de version SES Evolution.

Au sein d'un même jeu de règles de protection, l'ordre des règles importe également, selon les mêmes principes d'évaluation que dans les jeux de règles. Les règles sont évaluées dans l'ordre et l'évaluation s'arrête dès lors qu'une règle s'applique. Les règles portant sur des ressources spécifiques doivent ainsi être placées avant les règles plus générales. Il en est de même pour les comportements spécifiques au sein d'une règle. Reportez-vous à la section suivante pour plus d'informations sur les comportements spécifiques.