Comprendre la différence entre les jeux de règles de protection, d'exceptions, et d'audit

Il existe plusieurs types de jeux de règles : protection, exceptions, et audit.

Selon le jeu de règles auquel appartiennent les règles de sécurité, elles remplissent des objectifs différents.

  • Dans un jeu de règles de protection, les règles permettent de bloquer les attaques sur les postes de travail, de détecter des élévations de privilèges et de gérer les accès aux différentes applications, réseaux, périphériques, etc. 

  • Dans un jeu de règles d'audit, elles permettent de générer des logs uniquement à des fins de surveillance de l'activité de votre parc et éventuellement pour reconstituer le contexte d'une attaque.

  • Un jeu de règles d'exceptions contient uniquement des règles d'exceptions. Celles-ci sont généralement créées à partir des logs que vous considérez comme des faux-positifs. Pour plus d'informations, reportez-vous à la section Ajouter des exceptions sur les logs

L'onglet Menaces des jeux de règles ne liste pas exactement les mêmes protections selon qu'il s'agit d'un jeu de protection/d'exceptions ou d'un jeu d'audit. Pour plus d'informations, reportez-vous à la section Gérer l'exploitation des vulnérabilités.

De même, la gestion de l'accès temporaire au web et le contrôle de l'activation de la carte Wi-Fi ne sont possibles que dans les jeux de règles de protection et d'exceptions.

Dans un jeu de règles de protection ou d'exceptions, l'agent évalue les règles une par une et dans l'ordre :

  • Si une action est interdite pour une ressource donnée, l'agent émet un log, bloque l'action, et ne parcourt pas les autres règles concernant cette ressource.
  • Si une action est autorisée explicitement pour une ressource donnée, l'agent l'autorise et ne parcourt pas les autres règles concernant cette ressource.
  • Si une ressource n'est pas concernée par une règle, alors l'agent parcourt les règles suivantes.

Les jeux de règles de protection , permettent de protéger vos postes contre des comportements malveillants, et de restreindre les accès pour protéger votre parc contre des comportements dangereux.

Les jeux de règles d'exceptions permettent d'ajuster les restrictions pour limiter les faux-positifs.

Dans les jeux de protection et d'exceptions, toutes les règles de contrôle d'accès à des ressources ou des périphériques possèdent un mode Règle passive. Une règle passive agit comme une règle classique mais ne bloque pas véritablement les actions. L'agent émet uniquement des logs indiquant quelles actions auraient été bloquées par la règle.
Utilisez ce mode pour tester de nouvelles règles de restriction, en connaître les impacts, et procéder à des ajustements avant de désactiver le mode Règle passive.

Vous pouvez également tester un jeu de règles complet ou une politique complète avant de les mettre en œuvre sur votre parc de machines. Pour plus d'informations, reportez-vous à la section Tester une politique de sécurité.

Dans un jeu de règles d'audit, si le comportement Audit est sélectionné pour une action dans une règle, l'agent émet des logs pour indiquer les actions effectuées par des applications. Dans tous les cas, l'agent parcourt toutes les règles suivantes.
Utilisez ce mode pour surveiller l'accès à certaines ressources et envoyer les informations correspondantes à l'administrateur sans bloquer les accès, afin de détecter les comportements anormaux.

Les règles d'audit peuvent également permettre de surveiller l'activité des collaborateurs : les applications qu'ils utilisent le plus ou les versions des applications qu'ils utilisent par exemple.

Pour éviter de multiplier l'émission de logs, créez des règles précises ne couvrant pas un trop large spectre de ressources ou d'applications.

Les règles d'audit peuvent être totalement transparentes dans l'utilisation de la solution SES Evolution si vous choisissez de n'afficher les logs ni sur l'agent, ni sur la console, ou de ne pas les envoyer vers un serveur Syslog. Mais en cas d'attaque, les logs produits et stockés sur l'agent peuvent servir à la reconstitution du contexte. Le contexte d'attaque est visible sous forme de graphique. Pour plus d'informations, reportez-vous à la section Analyser les contextes pour comprendre une attaque.

Dans les règles d'audit, deux comportements sont possibles pour chaque action disponible : Autoriser ou Audit. Le comportement Autoriser signifie que la règle ne déclenche pas d'action. Il peut être utile lorsque vous souhaitez paramétrer un comportement par défaut et un ou des comportements spécifiques dans une règle. Vous sélectionnerez peut-être Audit pour les comportements spécifiques et Autoriser pour le comportement par défaut. Il est également utile lorsque plusieurs actions sont disponibles pour une ressource et que vous ne souhaitez surveiller qu'un type d'action par exemple.