Connaître les protections avancées
Stormshield fournit également un ensemble de protections avancées contre certains types de menaces, nativement intégrées à la console d'administration.
Les protections avancées permettent de détecter et bloquer des comportements malveillants sur les agents SES Evolution. Elles sont basées sur une analyse heuristique qui peut être mise à jour sans nécessiter la mise à jour logicielle de SES Evolution.
Pour voir les protections avancées dans la console :
- Choisissez le menu Sécurité > Politiques.
- Cliquez sur Voir les protections avancées en haut à droite du panneau d'accueil des politiques.
Pour mettre en œuvre les protections avancées, reportez-vous à la section Configurer la protection contre les menaces.
Les protections avancées possèdent des numéros de version et peuvent être mises à jour par Stormshield lorsque cela est nécessaire. En cas de mise à jour, vous pourrez alors les réimporter dans le panneau Protections avancées. Toutes les versions précédentes d'une protection restent disponibles dans la console d'administration.
Protection avancée Sigma
Le format Sigma est un langage standard unifié pour décrire des règles de détection d'incidents basées sur des logs. Vous pouvez importer des règles Sigma dans SES Evolution via l'API ou via des scripts. Pour plus d'informations, reportez-vous à la section Importer des règles de sécurité Sigma.
| Type de jeu de règles | Protection passive (pas de blocage) |
| Niveau de log | Dépend de la règle importée |
| Génération d'un contexte | Non |
ARP Spoofing
Cette protection permet de surveiller l'interception, la modification ou l'arrêt du trafic réseau par des attaques ARP spoofing. L'évaluation de la table ARP est effectuée toutes les 5 minutes.
| Type de jeu de règles | Audit |
| Niveau de log | Par défaut, Alerte |
| Génération d'un contexte | Au choix (Oui par défaut) |
Usurpation de processus parent (Parent PID Spoofing)
Cette protection empêche le démarrage de programmes qu'un attaquant déclarerait comme enfants de processus existants arbitrairement choisis afin de dissimuler les processus malveillants aux analystes de la sécurité.
| Type de jeu de règles | Protection |
| Niveau de log | Par défaut, Critique |
| Génération d'un contexte | Au choix (Oui par défaut) |
Persistance via WMI
Cette protection empêche des programmes malveillants de persister sur la machine en utilisant WMI (Windows Management Instrumentation).
Elle s'appuie sur les données du journal d'événements Microsoft-Windows-WMI-Activity/Operational. Sous Windows 7 et Server 2008, vous devez disposer de la mise à jour Windows KB3191566 pour que ce journal soit présent.
| Type de jeu de règles | Protection |
| Niveau de log | Par défaut, Alerte |
| Génération d'un contexte | Systématique |
Ticket Kerberos
Cette protection empêche de récupérer en mémoire les tickets Kerberos qui pourraient être utilisés ultérieurement pour mener une attaque Pass-the-Ticket.
| Type de jeu de règles | Protection |
| Niveau de log | Par défaut, Alerte |
| Génération d'un contexte | Systématique |
Découverte de l'environnement
Cette protection empêche l'utilisation d'outils Windows pour collecter des informations sur la machine et le système afin de conduire des opérations malveillantes.
| Type de jeu de règles | Protection |
| Niveau de log | Par défaut, Alerte |
| Génération d'un contexte | Systématique |
Utilisations malveillantes de Certutil
Cette protection protège contre les utilisations malveillantes du programme Windows Certutil, permettant de gérer les certificats. Elle peut générer quelques faux-positifs car elle a besoin d'ouvrir en lecture des fichiers manipulés par Certutil. Si ces fichiers ne sont pas accessibles par manque de droits, l'action sur les certificats est considérée comme malveillante, même si elle est légitime.
| Type de jeu de règles | Protection |
| Niveau de log | Par défaut, Alerte |
| Génération d'un contexte | Systématique |
Ransomware
Cette protection surveille les modifications et chiffrements de fichiers. Si un certain nombre d'événements de ce type se produit dans un intervalle de trois secondes, elle stoppe le processus responsable. La protection facilite aussi la récupération des données chiffrées par le ransomware en permettant :
- d'identifier les fichiers modifiés par le ransomware,
- de restaurer les fichiers identifiés en s'appuyant sur les clichés instantanés Windows.
| Type de jeu de règles | Protection |
| Niveau de log | Par défaut, Alerte |
| Génération d'un contexte | Systématique |