Nouvelles fonctionnalités et améliorations de SES Evolution 2.3.1
Protection du parc renforcée
Intégration de l'outil d'analyse Yara
SES Evolution intègre désormais l'outil d'analyse Yara. Il se base sur des règles permettant de détecter des schémas binaires ou textuels dans des fichiers ou des processus en cours d'exécution. Grâce à cette reconnaissance de schémas connus, les menaces ou attaques visant des postes de travail sont identifiées. L'administrateur peut ainsi mettre en place des actions de remédiation.
Les analyses Yara peuvent être déclenchées lorsqu'une règle de sécurité détecte ou bloque un comportement inhabituel. Mais vous pouvez également déclencher des analyses Yara manuellement, à tout moment, pour surveiller un ou plusieurs agents à la demande. Vous avez également la possibilité de planifier ces analyses par groupe d'agents, à intervalles réguliers et pendant une durée définie.
Yara est un outil libre et vous pouvez vous aider de la documentation Yara en libre accès sur Internet pour concevoir les règles. En fonction de l'actualité, Stormshield proposera également des règles Yara afin de détecter les nouvelles menaces potentielles.
Ressources Stormshield
Mises à jour automatiques des politiques et jeux de règles
Lorsque vous installez une nouvelle version de SES Evolution, elle contient les versions les plus récentes des politiques de sécurité intégrées et des jeux de règles intégrés. Cependant Stormshield peut publier une mise à jour de l'une de ces ressources indépendamment d'une version afin de réagir rapidement face aux nouvelles menaces ou aux évolutions des produits tiers. Vous pouvez désormais accéder facilement à ces mises à jour depuis la console et choisir de les installer automatiquement. Le nouveau panneau de téléchargement des ressources est accessible par l'icône 
.
Les ressources sont par défaut disponibles sur le serveur public Stormshield. Vous pouvez également paramétrer un serveur local de votre choix si vous travaillez dans un environnement déconnecté du réseau Internet.
Des descriptions détaillent les changements apportés dans les nouvelles versions des politiques et jeux de règles. Ces descriptions sont disponibles en français et en anglais uniquement.
Nouvelles protections
Protection Usurpation de processus parent (Parent PID Spoofing)
La nouvelle protection contre l'usurpation de processus parent est disponible dans l'onglet Menaces d'un jeu de règles de protection. Elle empêche le démarrage de programmes qu'un attaquant déclarerait comme enfants de processus existants arbitrairement choisis.
Nouveaux jeux de règles partagés II 901
Les jeux de règles suivants ont été ajoutés dans les jeux partagés dans la console d'administration. Ils permettent de protéger les systèmes d'informations sensibles, conformément à l'Instruction Interministérielle française n° 901, élaborée par l'ANSSI. Ces cinq jeux sont des modèles. Pour les utiliser, vous devez les adapter à votre environnement en les dupliquant dans vos politiques.
| II901 - Modèle de durcissement des applications courantes |
| II901 - Modèle de durcissement des périphériques courants |
| II901 - Modèle de durcissement des programmes utilisant des services réseau |
| II901 - Modèle de durcissement des programmes offrant des services réseau |
| II901 - Modèle de durcissement pour stations blanches USB |
De plus, les nouveaux jeux de règles partagés suivants peuvent être téléchargés depuis votre espace personnel MyStormshield ou sur le serveur public Stormshield :
| Protection contre l'utilisation malveillante des LOLBIN |
Ce jeu de protection empêche les attaquants d'utiliser certains binaires Microsoft de type LOLBIN de façon malveillante. |
| Blocage des applications malveillantes connues | Ce jeu de protection bloque le démarrage des applications malveillantes connues, identifiées par hash ou certificat. |
| Surveillance des pilotes malveillants ou vulnérables | Ce jeu d'audit alerte lorsqu'un pilote malveillant ou vulnérable est chargé. |
Modification des jeux de règles existants
Des jeux de règles intégrés existants ont été modifiés. SES Evolution 2.3.1 inclut les jeux de règles v2.3.2.2208a.
Pour connaître les détails de ces modifications, reportez-vous au document Notes de version des jeux de règles Stormshield dans le menu Téléchargements de votre espace personnel Mystormshield.
Consultez les Préconisations pour connaître nos recommandations concernant la mise en œuvre des politiques de sécurité.
Surveillance de l'activité
Regroupement des logs similaires
Lorsque des événements similaires se produisent sur un ou plusieurs agents, les logs générés s'affichent désormais de façon groupée dans le menu Logs agents de la console d'administration. Ceci permet de réduire considérablement le nombre de lignes de logs à consulter en cas de besoin, tout en distinguant facilement les logs groupés des logs isolés. De nombreux détails sont affichés dans les regroupements de logs, tels que les dates et heures des premiers et derniers logs.
Vous pouvez également ajouter des exceptions sur l'ensemble des logs d'un regroupement en une seule action.
Liens de recherche Google et VirusTotal depuis les logs agents
Dans les détails d'un log émis par un agent, accessibles depuis le menu Logs agents de la console d'administration, deux nouveaux liens permettent de vérifier le caractère malveillant de chaque processus impliqué sur le moteur de recherche Google ou sur le site VirusTotal.
Nouvelles informations dans les logs système
Les logs système indiquent désormais toutes les modifications concernant les groupes d'agents et les gestionnaires d'agents faites dans la console d'administration.
Versions de Microsoft Windows compatibles
Nouvelles compatibilités
SES Evolution supporte désormais les systèmes d'exploitation Windows Server Core 2012 R2, 2016, 2019 et 2022 pour tous ses composants sauf la console d'administration.
Politiques de sécurité
Activation du mode "Détection" sur les politiques et jeux de règles
SES Evolution propose un mode "Détection" pour les politiques de sécurité et jeux de règles. Lorsque ce mode est activé, les agents ne bloquent pas les opérations mais émettent des logs indiquant quelles opérations auraient été bloquées par une règle. Ainsi vous pouvez tester facilement des politiques de sécurité ou des jeux de règles sur un parc avant de les mettre en production et sans bloquer les utilisateurs, afin de vérifier les impacts des restrictions et de procéder à des ajustements.
Vous pouvez activer le mode "Détection" sur une politique complète dans les paramètres d'un groupe d'agents, ou bien sur un jeu de règles à l'unité dans une politique.
Périphériques
Filtrage des périphériques USB au démarrage du poste de travail
Les règles de sécurité permettant de contrôler l'usage des périphériques USB s'appliquent désormais dès le démarrage du poste de travail, avant l'ouverture de la session Windows.
Console d'administration
Aide contextuelle
La documentation de la solution SES Evolution est désormais accessible de façon contextuelle depuis les panneaux de la console d'administration.
Versions des jeux de règles et protections avancées
Lorsqu'une politique utilise des jeux de règles ou des protections avancées qui ne sont pas dans leur version la plus récente, un nouvel indicateur visuel s'affiche dans la console. Un bouton sur la ligne d'un jeu de règles concerné permet de mettre à jour le jeu facilement.
Utilisation du tableau de bord
Vous pouvez désormais naviguer depuis le tableau de bord vers les panneaux de la console grâce à plusieurs liens répartis sur les graphes, icônes et textes du tableau de bord.
Copier-coller de règles
Il est possible de copier et coller des règles entre jeux de même type (audit ou protection) et entre politiques.
Duplication d'un groupe d'agents
Dans la console d'administration, vous pouvez dupliquer un groupe d'agents existant pour créer un nouveau groupe. Le groupe dupliqué conserve tous les paramètres du groupe d'origine mais ne contient pas d'agent.