Tester une politique de sécurité
Nous vous recommandons de tester vos politiques de sécurité avant de les déployer et de les mettre en œuvre sur votre parc.
Tester une politique permet de vérifier les impacts des restrictions d'utilisation imposées par la politique et de procéder à des ajustements des règles de protection avant de les mettre en production.
Les fonctionnalités mode "Détection" et "règle passive" permettent de tester une politique sur un parc sans bloquer l'utilisation des postes de travail et de façon totalement transparente pour les utilisateurs. Lorsque ces fonctionnalités sont activées, les agents SES Evolution ne bloquent pas les opérations mais émettent des logs indiquant quelles opérations auraient été bloquées par une règle.
Tester une politique est utile dans les cas suivants :
-
Lorsque vous installez SES Evolution pour la première fois sur un ensemble de machines. Dans ce cas, tester une politique permet par exemple de savoir si des applications nécessaires à vos utilisateurs seraient bloquées et donc de créer les exceptions adéquates. Le test est transparent pour les utilisateurs et ils peuvent toujours utiliser leurs applications habituelles.
-
Lorsque vous agrandissez votre parc de machines à protéger. Vous créez alors un nouveau groupe d'agents par exemple, et testez la politique déjà en vigueur sur les autres groupes. Vous pouvez ainsi vérifier que la politique est adaptée au nouveau groupe avant de la mettre en œuvre, et l'ajuster si nécessaire.
-
Vous avez besoin d'ajouter un nouveau jeu de règles de protection à l'une de vos politiques de sécurité. Testez d'abord le jeu pour vérifier qu'il ne bloque pas d'applications légitimes avant de le mettre en production.
Vous pouvez tester une politique de sécurité sur un parc à différents niveaux :
-
la politique complète, avec le mode "Détection", dans la configuration des groupes d'agents,
-
un jeu de règles de protection complet, avec le mode "Détection", dans la configuration d'une politique,
-
une règle en particulier avec le mode "règle passive", dans la configuration de la règle elle-même.
Tester une politique de sécurité entière affectée à un groupe d'agents
Vous pouvez activer le mode "Détection" dans la configuration d'un groupe d'agents. Le paramétrage s'applique sur toutes les politiques affectées au groupe (politique principale et éventuelles politiques conditionnelles).
Activer le mode "Détection" sur une politique entière signifie que toutes les règles de tous les jeux de règles de protection passeront en mode "règle passive" et les règles contre les menaces passeront en état "Détecter seulement".
Pour tester les politiques affectées à un groupe d'agents :
-
Dans le menu Environnement > Agents, sélectionnez un groupe d'agents.
-
Dans l'onglet Politiques, activez l'option Passer les politiques en mode Détection.
-
Déployez l'environnement.
Ce paramétrage dans la configuration du groupe d'agents est prioritaire sur le paramétrage sur les jeux de règles. Par conséquent si le mode "Détection" est activé pour un groupe d'agents, les actions seront détectées mais pas bloquées même si le jeu de règles est en mode actif dans la politique.
Pour plus d'informations sur la configuration des groupes d'agents, reportez-vous à la section Créer et configurer les groupes d'agents.
Tester un jeu de règles de protection
Vous pouvez tester un jeu de règles de protection avant de le mettre en production, qu'il soit privé ou partagé. Pour tester un jeu, vous devez activer le mode "Détection" du jeu dans la politique concernée. Dans le cas d'un jeu de règles partagé, l'activation du mode "Détection" n'est pas répercutée sur les autres politiques qui utiliseraient le même jeu.
Pour activer le mode "Détection" d'un jeu :
-
Dans le menu Sécurité > Politiques, sélectionnez la politique concernée.
-
Cliquez sur le bouton Modifier dans le bandeau supérieur.
-
Sur la ligne du jeu de règles à tester, cliquez sur la flèche à droite de l'icône bouclier .
-
Sélectionnez l'icône pour passer le jeu en mode "Détection".
Ce paramétrage s'applique à tous les groupes d'agents qui utilisent cette politique.
Vous pouvez aussi complètement désactiver un jeu de règles avec l'interrupteur à gauche de la règle. Dans ce cas, le jeu n'est pas déployé sur l'agent.
Pour plus d'informations sur les jeux de règles, reportez-vous à la section Comprendre la différence entre les jeux de règles de protection et les jeux de règles d'audit.
Tester une règle
Pour connaître les impacts d'une règle de sécurité sans appliquer de blocage, activez le mode "Règle passive" dans les options du bandeau supérieur de la règle.
De la même façon, pour connaître les impacts d'une règle contre les menaces sans appliquer de blocage, sélectionnez l'état "Détecter seulement" dans la configuration de la règle.
Pour obtenir des détails sur ces options et état, consultez les sections sur les différents types de règles sous Configurer la protection contre les menaces et Définir les règles de contrôle d'accès.