Nouvelles fonctionnalités et améliorations de SES Evolution 2.5.3

Avertissement

ATTENTION
Avant de mettre à jour une version 2.3.x de la solution vers la version 2.5.3, vous devez télécharger et déployer la politique de sécurité 2304a. Pour la télécharger, rendez-vous sur votre espace client MyStormshield ou bien dans le panneau des Mises à jour Stormshield de votre console d'administration.

Protection du parc

Isolation des ordinateurs des utilisateurs

En cas de soupçon d'attaque sur un poste de travail du parc, vous pouvez désormais l'isoler du reste du réseau en coupant ses connexions entrantes et sortantes depuis la console d'administration.

L'isolation d'un poste avec SES Evolution permet d'arrêter rapidement la propagation d'une attaque à l'ensemble du parc si celle-ci est avérée.

Depuis la console d'administration, vous pouvez isoler les ordinateurs, consulter la liste des ordinateurs isolés et arrêter l'isolation.

Mise en quarantaine de fichiers malveillants

Lorsque vous créez une tâche de remédiation en cas d'attaque, vous pouvez désormais choisir de mettre en quarantaine un fichier suspecté d'être malveillant. Le fichier est placé dans un répertoire protégé du poste de travail. Il ne peut plus être exécuté ni causer de dommage le temps que vous l'analysiez. Après analyse, vous choisissez de restaurer le fichier ou de le supprimer.

Vous pouvez établir dans la console d'administration une liste de dossiers à exclure. Les fichiers qu'ils contiennent ne seront jamais mis en quarantaine.

Vous pouvez également paramétrer la mise en quarantaine automatique de fichiers exécutables depuis une règle de protection dans les politiques de sécurité.

Les fichiers mis en quarantaine sont automatiquement supprimés au bout de 40 jours ou lorsque la taille du répertoire atteint 1 Go.

Envoi de notifications par e-mail

En cas d'alerte de sécurité, les administrateurs de SES Evolution peuvent maintenant être alertés par e-mail. Vous êtes ainsi prévenus rapidement lorsque certains événements se produisent sur votre parc, sans avoir à surveiller la console d'administration en permanence. Grâce à des règles de notification, vous pouvez choisir les types de logs qui doivent déclencher l'envoi d'une notification, la fréquence d'envoi et l'adresse e-mail des destinataires.

Envoi de rapports d'activité par e-mail

Vous pouvez configurer l'envoi de rapports par e-mail. Ces rapports fournissent des informations sur l'activité de votre parc en reprenant les indicateurs de sécurité et les indicateurs opérationnels affichés dans le tableau de bord de la console. Ils peuvent par exemple être adressés à des personnes qui ne sont pas administratrices de la solution SES Evolution. Grâce à des règles de notification, vous pouvez paramétrer la fréquence d'envoi de ces rapports ainsi que leur langue (français, anglais, allemand, espagnol).

Protection contre le contournement des moyens de détection des EDR (Endpoint Detection and Response)

Dans l'onglet Menaces des politiques de sécurité, la nouvelle protection Contournement des détections EDR est disponible. Elle protège contre les attaques cherchant à désactiver les modules de détection des EDR.

Protection contre les attaques sans fichier

Dans l'onglet Menaces des politiques de sécurité, la nouvelle protection Attaque sans fichier est disponible. Elle protège contre les attaques qui agissent sans écriture de fichiers malveillants sur les postes de travail.

Nouvelles politiques par défaut

Depuis la version 2307a des politiques de sécurité, la politique par défaut a été découpée en trois niveaux. Il existe donc désormais trois politiques par défaut :

Politique par défaut simplifiée	Elle permet de déployer rapidement et simplement SES Evolution dans un parc en y dédiant peu de ressources humaines et sans avoir à maîtriser finement son administration. Elle est utilisable sans configuration spécifique.
Politique par défaut	Elle constitue un compromis équilibré entre le besoin d'administration et le niveau de sécurité correspondant au besoin de la plupart des sociétés.
Politique par défaut renforcée	Elle renforce au maximum le niveau de sécurité d'un parc au prix de la simplicité d'administration. Il est important de tester avec un groupe pilote avant de déployer cette politique pour profiter de ses possibilités tout en minimisant les faux positifs.

Nouveaux jeux de règles intégrés

Depuis la version 2307a des politiques de sécurité, les deux jeux de règles partagés suivants ont été ajoutés.

Durcissement contre les logiciels portables	Ce jeu bloque tous les exécutables lancés en dehors des dossiers standards d'installation.
Durcissement des dossiers d'installation des logiciels	Ce jeu empêche un attaquant de modifier les fichiers d'un logiciel dans les dossiers d'installation, pour prendre leur place dans le système.

Depuis la version 2310a des politiques de sécurité, les deux jeux de règles partagés suivants ont été ajoutés.

Audit pour la fonctionnalité EDR	Ce jeu permet de faire de la détection de WMI à des fins de recherche d'informations sur les mises à jour installées sur le système d'exploitation utilisé.
Syslog - Modèle d'audit sans lecture pour envoi vers Syslog	Ce jeu est sous forme de modèle. Il permet de capturer tous les événements autres que des lectures fichier et des lectures registre et de les envoyer à une autre solution de sécurité via Syslog.

Modularisation des jeux de règles

Depuis la version 2307a des politiques de sécurité, les jeux de règles suivants ont été découpés pour rendre leur utilisation plus modulaire. Les fonctionnalités peuvent être activées indépendamment, sans impacter les autres jeux de règles :

Le jeu de règle ...	devient ...
Audit pour contextes d’attaques	Trois jeux de règles : Audit pour contextes d’attaques Audit de la protection ARP Spoofing Audit des chargements de pilotes
Prévention des fuites d’informations	Quatre jeux de règles : Prévention des fuites d'informations - Windows Prévention des fuites d'informations - Navigateurs web Prévention des fuites d'informations - Coffres-forts numériques Prévention des fuites d'informations - Outils d’accès à distance

Le jeu de règle ...

devient ...

Audit pour contextes d’attaques

Trois jeux de règles :

Audit pour contextes d’attaques
Audit de la protection ARP Spoofing
Audit des chargements de pilotes

Prévention des fuites d’informations

Quatre jeux de règles :

Prévention des fuites d'informations - Windows
Prévention des fuites d'informations - Navigateurs web
Prévention des fuites d'informations - Coffres-forts numériques
Prévention des fuites d'informations - Outils d’accès à distance

Pour plus d'informations sur les politiques de sécurité et jeux de règles intégrés, consultez les Notes de version du paramétrage de sécurité de SES Evolution sur votre espace client MyStormshield (dans la rubrique Téléchargements, puis dans les Ressources de sécurité de SES Evolution).

API publique de SES Evolution

Stormshield fournit une nouvelle API publique permettant d'administrer SES Evolution via des solutions d'orchestration ( comme des solutions SOAR). En version 2.5.3, l'API publique permet d'utiliser entre autres les fonctionnalités suivantes de SES Evolution :

Interrompre un processus,
Supprimer un fichier, une clé ou une valeur de registre,
Isoler un poste de travail du réseau,
Effectuer des tâches de remédiation en cas d'attaque par ransomware. Les fichiers chiffrés par le ransomware sont alors restaurés dans leur version initiale

Dans la console d'administration SES Evolution, vous pouvez générer les clés API qui sécurisent l'accès aux routes API.

L'API publique de SES Evolution est accompagnée d'une documentation. Pour la consulter, cliquez sur le lien en haut à droite du panneau Clés API dans la console d'administration. Elle contient une description des routes API, la liste des paramètres et des exemples.

La documentation est également disponible sur le site de la Documentation technique Stormshield.

Console d'administration

Nouveau tableau de bord

Le tableau de bord de la console d'administration affiche de nouveaux indicateurs clés décrivant l'état de votre parc. Ils vous permettent de répondre aux besoins de maintien en condition de sécurité et en condition opérationnelle en vous alertant notamment sur les événements de sécurité nécessitant une analyse rapide.

Nouvelle organisation du menu principal

L'affichage des menus de gauche constituant le menu principal de la console a été réorganisé. Ils sont maintenant classés par catégories Environnement, Sécurité, Réponses et Backoffice.

Mise à jour des ressources Stormshield

Lorsque vous utilisez le serveur public Stormshield pour télécharger les mises à jour des ressources dans la console d'administration, vous pouvez maintenant paramétrer et utiliser un serveur proxy pour contacter le serveur Stormshield.

Configuration d'un serveur Syslog

Formatage des messages Syslog

Si vous avez paramétré l'envoi des logs des agents vers un serveur Syslog, vous pouvez maintenant ajouter des "structured data" dans l'en-tête des messages. Un nouveau champ Structured data est disponible dans le menu Gestionnaires d'agents de la console d'administration. Pour connaître le format attendu des données, consultez la RFC 5424.

Indicateurs de fonctionnement des serveurs Syslog

Un nouvel indicateur dans le bandeau supérieur de la console d'administration permet de connaître l'état des serveurs Syslog paramétrés.

Remplacement de la notion d'Incident

La notion d'incident a été remplacée par la notion de contexte. Par défaut, tous les logs de niveau Urgence et Alerte sont désormais accompagnés d'un contexte qui permet d'analyser finement l'environnement des attaques qui se produisent sur les agents et de déterminer la nature, la provenance et le déroulement de celles-ci. Le graphique d'attaque se nomme désormais graphique de contexte.