Contrôler l'accès au volume

Cette protection permet d'empêcher une application de contourner les vérifications de sécurité du système de fichiers du disque système et d'accéder directement au volume en raw.

Dans les règles, vous avez la possibilité d'autoriser ou d'empêcher les applications de votre choix à accéder au volume en raw.

En mode liste blanche, une seule règle peut suffire pour autoriser l'accès pour certaines applications et le bloquer pour toutes les autres. Si vous souhaitez sélectionner des paramètres de logs différents, vous devez alors créer plusieurs règles. Dans ce cas, activez le comportement par défaut "Bloquer" dans la dernière règle seulement.

EXEMPLE
Exemple de règle interdisant l'accès au volume à toutes les applications sauf aux applications légitimes :

Vous devez au préalable avoir créé un identifiant d'applications pour les applications autorisées ou non à accéder au volume en raw. Pour plus d'informations, reportez-vous à la section Créer des identifiants d'applications.

  1. Choisissez le menu Politiques et cliquez sur votre politique.
  2. Sélectionnez un jeu de règles.
  3. Cliquez sur l'onglet Ressources ACL > Volume.
  4. Si vous êtes en lecture seule, cliquez sur le bouton Modifier dans le bandeau supérieur.
  5. Cliquez sur Ajouter une règle (Volume). Une nouvelle ligne s'affiche.
  6. Dans le champ Accès de la zone Comportement par défaut, choisissez le comportement qui s'applique à toutes les applications susceptibles d’accéder au volume en raw, pour une règle de protection :
    • Autoriser pour autoriser par défaut l'accès au volume,
    • Bloquer pour bloquer par défaut l'accès au volume,
    • Bloquer et interrompre pour bloquer par défaut l'accès au volume et arrêter le processus à l'origine de l'action.
  7. Cliquez sur l'icône + Ajouter un comportement spécifique et choisissez la ou les ressources à exclure du comportement par défaut. Dans le champ Accès associé, choisissez si vous souhaitez que l'accès au volume soit autorisé ou bloqué. Vous pouvez aussi choisir de le bloquer et d'arrêter le processus à l'origine de l'action.
  1. Dans le bandeau supérieur de la règle, vous pouvez :
    • Choisir de rendre la règle passive. Une règle passive agit comme une règle classique mais ne bloque pas véritablement les actions. L'agent émet uniquement des logs indiquant quelles actions auraient été bloquées par la règle.
      Utilisez ce mode pour tester de nouvelles règles de restriction, en connaître les impacts, et procéder à des ajustements avant de désactiver le mode Règle passive. Pour plus d'informations sur les tests de règles et de politiques, reportez-vous à la section Tester une politique de sécurité.
    • Indiquer si la règle doit générer un incident lorsqu'elle s'applique.
    • Sélectionner les paramètres des logs qui seront émis par cette règle.
    • Spécifier si une action doit être effectuée lors de l'émission d'un log pour cette règle. Vous pouvez demander qu'une notification soit affichée sur l'agent et/ou qu'un script soit exécuté.
    • Saisir une description pour expliquer l'objectif de la règle.
  2. Chaque règle affiche sur sa gauche son numéro de rang. Si besoin, réagencez l'ordre de vos règles en cliquant sur les flèches en dessous et au-dessus du numéro.
  3. Cliquez sur Enregistrer en haut à droite pour enregistrer vos modifications.