Comprendre les jeux de règles intégrés

Stormshield fournit une série de jeu de règles intégrés à la console. Certains sont déjà contenus dans les politiques de sécurité intégrées. Vous pouvez également les utiliser dans vos propres politiques personnalisées. Pour plus d'informations, reportez-vous à la section Créer une politique de sécurité.

Pour visualiser les jeux de règles SES Evolution intégrés, choisissez le menu Politiques et cliquez sur le lien Voir les jeux de règles partagés. Les jeux intégrés sont ceux qui sont précédés du préfixe Stormshield - .

D'autres jeux de règles fournis par Stormshield ne sont pas intégrés à la console et sont disponibles pour téléchargement sur votre espace personnel MyStormshield ou sur le serveur de téléchargement Stormshield.

Les jeux de règles sont régulièrement mis à jour. Vous trouverez les Notes de version de ces jeux sur votre espace client Mystormshield ainsi que sur le panneau de téléchargement des mises à jour.

De plus, de nouveaux jeux de règles sont régulièrement mis à disposition sur le serveur de mise à jour Stormshield et également publiés sur l'espace Téléchargements de Mystormshield.

L'ordre des jeux de règles dans une politique est important. Pour plus d'informations, reportez-vous à la section Ordonner les jeux de règles et les règles dans une politique.

Les jeux de règles intégrés ne peuvent être ni modifiés, ni supprimés.

  • Les jeux de règles de protection disponibles sont les suivants :
    Le jeu de règles ...Permet de ...
    Prévention des fuites d'informations

    Protéger le parc contre le vol d'informations sensibles par une liste définie de logiciels.

    Protection du BackendProtéger le backend de SES Evolution.
    Protection du Gestionnaire d'agentsProtéger le gestionnaire d'agents de SES Evolution.
    Protection de la Console d'administrationProtéger la console d'administration de SES Evolution.

    Socle de protections

    		Protéger le parc contre toute activité malveillante.
    Protections avancéesDétecter et/ou bloquer des menaces grâce à une analyse heuristique intégrée. Par opposition aux protections réagissant à la présence d'un événement unitaire fort, les protections avancées réagissent à la présence de plusieurs événements faibles mais qui combinés représentent une menace.
    Points d'accès Wi-Fi sécurisésLimiter la connexion des postes de travail aux seuls points d'accès sécurisés.
    Protection anti-ransomware

    Protéger le parc contre les attaques par ransomware. Le jeu inclut :

    • Des règles qui détectent le chiffrement illégitime de fichiers et bloquent ce type d'attaque,
    • Des règles qui protègent les clichés instantanés de volumes afin de pouvoir récupérer les fichiers qui auraient été chiffrés avant le blocage de l'attaque. Pour plus d'informations, reportez-vous à la section Gérer une attaque par ransomware.
    Durcissement des applications courantesEmpêcher les applications courantes de réaliser des opérations potentiellement dangereuses, telles que l'enregistrement de frappes, la pose de hooks ou l'accès aux processus.
    Durcissement des accès au réseauBloquer les applications pouvant engendrer du trafic réseau non souhaité. C'est le cas par exemple des applications de télémétrie ou des applications autres que Microsoft générant du trafic réseau "Zero-configuration networking".

    II901 (cinq jeux)

    Protéger les systèmes d'informations sensibles, conformément à l'Instruction Interministérielle française n° 901, élaborée par l'ANSSI. Ces cinq jeux de règles sont des modèles. Pour les utiliser, vous devez les adapter à votre environnement en les dupliquant dans vos politiques de sécurité.

    Protection contre l'utilisation malveillante des LOLBIN (à télécharger depuis Télécharger les mises à jour Stormshield)Empêcher un attaquant d'utiliser certains binaires Microsoft de type LOLBIN de façon malveillante pour télécharger des charges malveillantes, exécuter des fichiers ou créer des accès permanents pour les attaquants.

    Blocage des applications malveillantes connues (à télécharger depuis Télécharger les mises à jour Stormshield)

    		Bloquer le démarrage des applications malveillantes connues, identifiées par hash ou certificat.
  • Les jeux de règles d'audit disponibles sont les suivants :
    Le jeu de règles ...Permet de ...
    Audits pour contextes d'attaqueSurveiller les événements se produisant sur un parc. S'il est placé avant les jeux de règles de protection, il permet de surveiller tous les événements. S'il est placé après, il permet de surveiller les événements qui ne sont pas repérés par les règles de protection.
    Il est indispensable pour l'analyse du contexte des attaques via les incidents.
    Transfert des événements de Windows Defender

    Remonter dans SES Evolution les événements Windows liés à la fonctionnalité Protection contre les virus et les menaces. Le journal d'événements analysé est : Microsoft \ Windows \ Windows Defender \ Operational.

    SES Evolution attribue son propre niveau de gravité à ces événements, différent du niveau de gravité Windows.
    Sur l'interface de l'agent, seul l'administrateur peut consulter ces événements.

    Surveillance des pilotes malveillants ou vulnérables (à télécharger depuisTélécharger les mises à jour Stormshield)Être alerté lorsqu'un pilote malveillant ou vulnérable est chargé.