Nouvelles fonctionnalités de SES Evolution 2.1

Nouvelles protections

Protections avancées

Des protections avancées permettent de protéger votre parc contre des opérations malveillantes telles que le vol d'informations d'authentification, l'usage malveillant d'outils Windows, l'usage de techniques de persistance, etc.
En savoir plus

Nouvelle politique intégrée : Protection des composants backoffice

Une politique de sécurité intégrée est désormais fournie pour renforcer la sécurité des composants backoffice SES Evolution. Cette politique doit être appliquée aux groupes d'agents contenant les gestionnaires d'agents, backend et console d'administration.
Elle reprend les sécurités de la politique par défaut et apporte plusieurs jeux de règles modulaires, chacun correspondant à un composant backoffice. Elle est constituée des jeux de règles suivants :

  • Audit pour contextes d'attaque,
  • Protection du backend (Nouveau),
  • Protection du gestionnaire d'agents (Nouveau),
  • Protection de la console d'administration (Nouveau),
  • Protections avancées (Nouveau),
  • Socle de protections.


En savoir plus

Modification des politiques existantes

La Politique par défaut a été enrichie avec de nouveaux jeux de règles portant des protections avancées et une protection contre le vol d'informations sensibles.

Elle se compose désormais des jeux de règles suivants :

  • Audit pour contextes d'attaque,
  • Protections avancées (Nouveau),
  • Prévention de fuite d'information (Nouveau),
  • Socle de protections.

Lors d'une mise à jour de SES Evolution 2.0.x vers la version 2.1, consultez les Préconisations pour connaître la marche à suivre concernant la mise à jour des politiques.

Nouveaux jeux de règles intégrés

Les jeux de règles suivants ont été ajoutés :

Protection du backend Protection du serveur applicatif IIS (programmes, paramétrage, injection), de la base de données et du centre d'installation de SES Evolution.
Protection du gestionnaire d'agents Protection du gestionnaire d'agents (programmes, paramétrage, injection) et du centre d'installation de SES Evolution.
Protection de la console d'administration Protection de la console d'administration SES Evolution (programme, paramétrage, injection, keylogging) et du centre d'installation de SES Evolution.
Protections avancées Par opposition aux protections réagissant à la présence d'un événement unitaire fort, les protections avancées réagissent à la présence de plusieurs événements faibles mais qui combinés représentent une menace.
Prévention de fuite d’informations

Protection de certaines applications spécifiques communément utilisées dans les entreprises (navigateurs Web, outils de transfert de fichier, coffres forts, autorité de sécurité Windows et outils de contrôle à distance). Cette protection couvre les accès non autorisés aux fichiers, emplacements registre et tentatives d'enregistrement des frappes clavier pour contrer un vol de données sensibles.

L'autorité de sécurité Windows est également protégée contre les accès inter-processus, ce qui bloque l'extraction de mots de passe Windows. Une attention particulière a été portée aux programmes permettant d'exécuter du code extérieur (moteurs de script, chargeurs de DLL, ...) afin que leurs actions soient systématiquement bloquées. De même, les programmes fournis par défaut avec Windows (LOLBIN) qui permettent indirectement d'accéder à de l'information sont bloqués.
Transfert des événements de Windows Defender Consolidation dans la console d'administration des alertes de sécurité intéressantes émises par Windows Defender sur les postes de travail protégés du parc SES Evolution. Il n'est pas inclus dans les politiques intégrées, et vous devez donc l'ajouter manuellement dans vos politiques.

Modification des jeux de règles existants

Les jeux de règles suivants ont été modifiés :

Audits pour contextes d’attaques
  • Les actions des programmes permettant d'exécuter du code extérieur (moteurs de script, chargeurs de DLL, ...) sont maintenant systématiquement tracées, même s'ils sont signés.
  • La liste des certificats reconnus par le jeu de règles a été enrichie.
  • Le niveau de sévérité des règles a été revu pour qu'aucune ne se trouve en dessous du seuil par défaut du groupe d'agent (niveau Remarque au plus faible).
  • La détection avancée d’ARP Spoofing a été ajoutée dans ce jeu de règles afin de détecter des tentatives d’interception de données "Man In The Middle.
  • Optimisation afin de minimiser son empreinte en termes de performances sur le système sans perdre en qualité d'audit. Cela aura aussi pour rôle de réduire les éventuelles pertes de logs en cas d'activité intensive.
Socle de protections

Ce jeu de règles a été enrichi et durci :

  • Blocage sur les changements de paramétrage du mode sans échec,
  • Protection de la base BCD (Boot Configuration Data),
  • Enrichissement des applications reconnues comme outils de piratage,
  • Blocage de démarrage des moteurs de scripts depuis les navigateurs,
  • Protection des fichiers de configuration système (hosts, services et network) contre les modifications indésirables,
  • Contrôle avec blocage de démarrage de programmes tiers depuis les applications MS-Office,
  • Amélioration de l'heuristique de détection de programmes malveillants de type vol de données basée sur le nom du fichier accédé,
  • Contrôles bloquant le démarrage des services non signés.

Gestion des agents

Groupes d'agents selon les critères Active Directory

Les agents peuvent être placés automatiquement dans un groupe d'agents en fonction des groupes Active Directory ou des unités d'organisation auxquels ils appartiennent. Cette fonctionnalité permet de gagner du temps et de réduire les risques d'erreur lors de la constitution des groupes d'agents.
En savoir plus

Désinstallation des agents

Vous pouvez désormais empêcher l'administrateur local d'un poste de travail de désinstaller l'agent SES Evolution. Dans ce cas, la désinstallation reste possible via un challenge.
En savoir plus

Filtrage des agents

De nouveaux filtres permettent d'afficher la liste des agents en fonction de critères tels que le système d'exploitation, l'état, la politique de sécurité, etc.
En savoir plus

Tableau de bord

Un nouveau diagramme est présent sur le tableau de bord de la console d'administration et affiche le nombre d'agents dans le parc pour chaque version de SES Evolution.
En savoir plus

Base de données

Rétention des logs dans la base de données

La durée de rétention des logs dans la base de données de logs est paramétrable, soit à l'installation de SES Evolution, soit à tout moment via le nouveau menu Système de la console d'administration. Les logs qui atteignent la fin de leur durée de rétention sont supprimés par une tâche s'exécutant régulièrement.
En savoir plus

Version des politiques et jeux de règles

La gestion des versions des politiques et jeux de règles a été améliorée afin d'optimiser l'espace de stockage de la base de données d'administration.
En savoir plus

Périphériques

Dans la console d'administration, la liste des périphériques USB connus (vendeur et produit) a été mise à jour.

Surveillance de l'activité

Suivi d'événements Windows

Les événements Windows de votre choix peuvent être transférés à SES Evolution permettant d'afficher des informations de sécurité concernant votre environnement.
En savoir plus

Enregistrement de l'activité des utilisateurs

L'activité des utilisateurs de la console d'administration SES Evolution est désormais tracée à travers un audit complet des actions effectuées.

En savoir plus

Logs des composants backoffice

Un nouveau menu de la console d'administration, Logs système, affiche l'activité des gestionnaires d'agents, des serveurs backend, et de la console d'administration de SES Evolution.
En savoir plus

Moteur d'analyse OSSEC

Il est maintenant possible d'importer des règles OSSEC dans une politique de sécurité depuis la console d'administration. Cela permet aux agents de s'abonner à des journaux de logs textuels ou à des événements Windows et de les remonter comme des logs SES Evolution dans la base de données de logs ou un SIEM.
En savoir plus

Export vers des serveurs Syslog

L'export des logs est désormais possible vers plusieurs serveurs Syslog et les formats d'export IDMEF et CEF ont été ajoutés pour une meilleure intégration à vos outils.
En savoir plus