Comprendre la différence entre les jeux de règles de protection et les jeux de règles d'audit

Il existe deux types de jeux de règles : audit et protection.

Selon le jeu de règles auquel appartiennent les règles de sécurité, elles remplissent des objectifs différents. Dans un jeu de règles de protection, les règles permettent de bloquer les attaques sur les postes de travail, de détecter des élévations de privilèges et de gérer les accès aux différentes applications, réseaux, périphériques, etc. Dans un jeu de règles d'audit, elles permettent de générer des logs uniquement à des fins de surveillance de l'activité de votre parc et éventuellement pour reconstituer le contexte d'une attaque.

L'onglet Menaces des jeux de règles ne liste pas exactement les mêmes protections selon qu'il s'agit d'un jeu de protection ou d'un jeu d'audit. Pour plus d'informations, reportez-vous à la section Gérer l'exploitation des vulnérabilités.

De même, la gestion de l'accès temporaire au web et le contrôle de l'activation de la carte Wi-Fi ne sont possibles que dans un jeu de règles de protection.

Dans un jeu de règles de protection, l'agent évalue les règles une par une et dans l'ordre :

  • Si une action est interdite pour une ressource donnée, l'agent émet un log, bloque l'action, et ne parcourt pas les autres règles concernant cette ressource.
  • Si une action est autorisée explicitement pour une ressource donnée, l'agent l'autorise et ne parcourt pas les autres règles concernant cette ressource.
  • Si une ressource n'est pas concernée par une règle, alors l'agent parcourt les règles suivantes.

Utilisez ce mode pour protéger vos postes contre des comportements malveillants, et restreindre les accès pour protéger votre parc contre des comportements dangereux.

Dans les jeux de protection, toutes les règles de contrôle d'accès à des ressources ou des périphériques possèdent un mode Règle passive. Une règle passive agit comme une règle classique mais ne bloque pas véritablement les actions. L'agent émet uniquement des logs indiquant quelles actions auraient été bloquées par la règle.
Utilisez ce mode pour tester de nouvelles règles de restriction, en connaître les impacts, et procéder à des ajustements avant de désactiver le mode Règle passive.

Dans un jeu de règles d'audit, si le comportement Audit est sélectionné pour une action dans une règle, l'agent émet des logs pour indiquer les actions effectuées par des applications. Dans tous les cas, l'agent parcourt toutes les règles suivantes.
Utilisez ce mode pour surveiller l'accès à certaines ressources et envoyer les informations correspondantes à l'administrateur sans bloquer les accès, afin de détecter les comportements anormaux.

Les règles d'audit peuvent également permettre de surveiller l'activité des collaborateurs : les applications qu'ils utilisent le plus ou les versions des applications qu'ils utilisent par exemple.

Pour éviter de multiplier l'émission de logs, créez des règles précises ne couvrant pas un trop large spectre de ressources ou d'applications.

Les règles d'audit peuvent être totalement transparentes dans l'utilisation de la solution SES Evolution si vous choisissez de n'afficher les logs ni sur l'agent, ni sur la console, ou de ne pas les envoyer vers un serveur Syslog. Mais en cas d'attaque, les logs produits et stockés sur l'agent peuvent servir à la reconstitution du contexte. Le contexte d'attaque est visible sous forme de graphique. Pour plus d'informations, reportez-vous à la section Analyser les incidents pour comprendre une attaque.

Dans les règles d'audit, deux comportements sont possibles pour chaque action disponible : Autoriser ou Audit. Le comportement Autoriser signifie que la règle ne déclenche pas d'action. Il peut être utile lorsque vous souhaitez paramétrer un comportement par défaut et un ou des comportements spécifiques dans une règle. Vous sélectionnerez peut-être Audit pour les comportements spécifiques et Autoriser pour le comportement par défaut. Il est également utile lorsque plusieurs actions sont disponibles pour une ressource et que vous ne souhaitez surveiller qu'un type d'action par exemple.