Nouvelles fonctionnalités et améliorations de SES Evolution 2.3.1

Protection du parc renforcée

Intégration de l'outil d'analyse Yara

SES Evolution intègre désormais l'outil d'analyse Yara. Il se base sur des règles permettant de détecter des schémas binaires ou textuels dans des fichiers ou des processus en cours d'exécution. Grâce à cette reconnaissance de schémas connus, les menaces ou attaques visant des postes de travail sont identifiées. L'administrateur peut ainsi mettre en place des actions de remédiation.

Les analyses Yara peuvent être déclenchées lorsqu'une règle de sécurité détecte ou bloque un comportement inhabituel. Mais vous pouvez également déclencher des analyses Yara manuellement, à tout moment, pour surveiller un ou plusieurs agents à la demande. Vous avez également la possibilité de planifier ces analyses par groupe d'agents, à intervalles réguliers et pendant une durée définie.

Yara est un outil libre et vous pouvez vous aider de la documentation Yara en libre accès sur Internet pour concevoir les règles. En fonction de l'actualité, Stormshield proposera également des règles Yara afin de détecter les nouvelles menaces potentielles.

En savoir plus

Ressources Stormshield

Mises à jour automatiques des politiques et jeux de règles

Lorsque vous installez une nouvelle version de SES Evolution, elle contient les versions les plus récentes des politiques de sécurité intégrées et des jeux de règles intégrés. Cependant Stormshield peut publier une mise à jour de l'une de ces ressources indépendamment d'une version afin de réagir rapidement face aux nouvelles menaces ou aux évolutions des produits tiers. Vous pouvez désormais accéder facilement à ces mises à jour depuis la console et choisir de les installer automatiquement. Le nouveau panneau de téléchargement des ressources est accessible par l'icône .

Les ressources sont par défaut disponibles sur le serveur public Stormshield. Vous pouvez également paramétrer un serveur local de votre choix si vous travaillez dans un environnement déconnecté du réseau Internet.

Des descriptions détaillent les changements apportés dans les nouvelles versions des politiques et jeux de règles. Ces descriptions sont disponibles en français et en anglais uniquement.

En savoir plus

Nouvelles protections

Protection Usurpation de processus parent (Parent PID Spoofing)

La nouvelle protection contre l'usurpation de processus parent est disponible dans l'onglet Menaces d'un jeu de règles de protection. Elle empêche le démarrage de programmes qu'un attaquant déclarerait comme enfants de processus existants arbitrairement choisis.

Nouveaux jeux de règles partagés II 901

Les jeux de règles suivants ont été ajoutés dans les jeux partagés dans la console d'administration. Ils permettent de protéger les systèmes d'informations sensibles, conformément à l'Instruction Interministérielle française n° 901, élaborée par l'ANSSI. Ces cinq jeux sont des modèles. Pour les utiliser, vous devez les adapter à votre environnement en les dupliquant dans vos politiques.

II901 - Modèle de durcissement des applications courantes
II901 - Modèle de durcissement des périphériques courants
II901 - Modèle de durcissement des programmes utilisant des services réseau
II901 - Modèle de durcissement des programmes offrant des services réseau
II901 - Modèle de durcissement pour stations blanches USB

De plus, les nouveaux jeux de règles partagés suivants peuvent être téléchargés depuis votre espace personnel MyStormshield ou sur le serveur public Stormshield :

Protection contre l'utilisation malveillante des LOLBIN

Ce jeu de protection empêche les attaquants d'utiliser certains binaires Microsoft de type LOLBIN de façon malveillante.

Blocage des applications malveillantes connues Ce jeu de protection bloque le démarrage des applications malveillantes connues, identifiées par hash ou certificat.
Surveillance des pilotes malveillants ou vulnérables Ce jeu d'audit alerte lorsqu'un pilote malveillant ou vulnérable est chargé.

En savoir plus

Modification des jeux de règles existants

Des jeux de règles intégrés existants ont été modifiés. SES Evolution 2.3.2 inclut les jeux de règles v2.3.2.2208a.

Pour connaître les détails de ces modifications, reportez-vous au document Notes de version des jeux de règles Stormshield dans le menu Téléchargements de votre espace personnel Mystormshield.

Consultez les Préconisations pour connaître nos recommandations concernant la mise en œuvre des politiques de sécurité.

Surveillance de l'activité

Regroupement des logs similaires

Lorsque des événements similaires se produisent sur un ou plusieurs agents, les logs générés s'affichent désormais de façon groupée dans le menu Logs agents de la console d'administration. Ceci permet de réduire considérablement le nombre de lignes de logs à consulter en cas de besoin, tout en distinguant facilement les logs groupés des logs isolés. De nombreux détails sont affichés dans les regroupements de logs, tels que les dates et heures des premiers et derniers logs.

Vous pouvez également ajouter des exceptions sur l'ensemble des logs d'un regroupement en une seule action.

En savoir plus

Liens de recherche Google et VirusTotal depuis les logs agents

Dans les détails d'un log émis par un agent, accessibles depuis le menu Logs agents de la console d'administration, deux nouveaux liens permettent de vérifier le caractère malveillant de chaque processus impliqué sur le moteur de recherche Google ou sur le site VirusTotal.

En savoir plus

Nouvelles informations dans les logs système

Les logs système indiquent désormais toutes les modifications concernant les groupes d'agents et les gestionnaires d'agents faites dans la console d'administration.

Versions de Microsoft Windows compatibles

Nouvelles compatibilités

SES Evolution supporte désormais les systèmes d'exploitation Windows Server Core 2012 R2, 2016, 2019 et 2022 pour tous ses composants sauf la console d'administration.

Politiques de sécurité

Activation du mode "Détection" sur les politiques et jeux de règles

SES Evolution propose un mode "Détection" pour les politiques de sécurité et jeux de règles. Lorsque ce mode est activé, les agents ne bloquent pas les opérations mais émettent des logs indiquant quelles opérations auraient été bloquées par une règle. Ainsi vous pouvez tester facilement des politiques de sécurité ou des jeux de règles sur un parc avant de les mettre en production et sans bloquer les utilisateurs, afin de vérifier les impacts des restrictions et de procéder à des ajustements.

Vous pouvez activer le mode "Détection" sur une politique complète dans les paramètres d'un groupe d'agents, ou bien sur un jeu de règles à l'unité dans une politique.

En savoir plus

Périphériques

Filtrage des périphériques USB au démarrage du poste de travail

Les règles de sécurité permettant de contrôler l'usage des périphériques USB s'appliquent désormais dès le démarrage du poste de travail, avant l'ouverture de la session Windows.

En savoir plus

Console d'administration

Aide contextuelle

La documentation de la solution SES Evolution est désormais accessible de façon contextuelle depuis les panneaux de la console d'administration.

Versions des jeux de règles et protections avancées

Lorsqu'une politique utilise des jeux de règles ou des protections avancées qui ne sont pas dans leur version la plus récente, un nouvel indicateur visuel s'affiche dans la console. Un bouton sur la ligne d'un jeu de règles concerné permet de mettre à jour le jeu facilement.

En savoir plus

Utilisation du tableau de bord

Vous pouvez désormais naviguer depuis le tableau de bord vers les panneaux de la console grâce à plusieurs liens répartis sur les graphes, icônes et textes du tableau de bord.

En savoir plus

Copier-coller de règles

Il est possible de copier et coller des règles entre jeux de même type (audit ou protection) et entre politiques.

Duplication d'un groupe d'agents

Dans la console d'administration, vous pouvez dupliquer un groupe d'agents existant pour créer un nouveau groupe. Le groupe dupliqué conserve tous les paramètres du groupe d'origine mais ne contient pas d'agent.