Nouvelles fonctionnalités et améliorations de SES Evolution 2.7.1
Avertissement
ATTENTION
Pour pouvoir mettre à jour SES Evolution vers la version 2.7.1, vous devez d'abord faire une mise à jour des composants backoffice vers la version 2.6.
Protection du parc
Nouveaux jeux de règles intégrés
Depuis la version 2506a des politiques de sécurité, les jeux de règles partagés suivants ont été ajoutés.
| Protection contre le contournement des EDR |
Ce jeu de règles permet de détecter les attaques cherchant à désactiver les modules de détection des EDR. |
| Protections contre les menaces ciblées |
Ce jeu de règles bloque des menaces de manière générique grâce à des protections intégrées au produit. |
Détection de comportements malveillants par des règles Sigma
Le format Sigma est un langage standard unifié pour décrire des règles de détection d'incidents basées sur des logs. Les règles collaboratives Sigma permettent notamment de créer et partager des règles de détection normalisées, et utilisables quel que soit le SIEM ou le système.
Stormshield a développé deux scripts d'import qui permettent d'envoyer des règles Sigma à l'API SES Evolution, de les convertir en règles SES Evolution, et de les déployer sur les agents. Les comportements malveillants identifiés par les règles Sigma sont détectés et génèrent des logs.
Pour activer les règles Sigma dans SES Evolution, utilisez le nouveau jeu de règles Stormshield - Protection Sigma ou la Protection avancée Sigma dans votre politique de sécurité.
Assistant à la création d'exceptions
Un nouvel assistant facilite la création et la gestion de règles d'exceptions personnalisées à partir de logs que vous considérez comme des faux positifs. L'assistant permet de :
-
Sélectionner un ou plusieurs logs pour la création de règles d'exceptions,
-
Choisir le jeu de règles qui accueillera les règles d'exceptions,
-
Visualiser et si besoin modifier les règles d'exceptions qui seront créées par SES Evolution,
-
Supprimer les règles que vous ne souhaitez pas créer.
Protection contre le détournement de flux d'exécution (Execution flow hijacking)
Pour éviter les faux-positifs dus à cette protection, vous pouvez désormais la paramétrer plus finement en déclarant des exécutables ou DLL (appelants) et/ou des fonctions qui pourront être autorisés ou bloqués.
Mise à jour globale de tous les jeux de règles d'un politique
Vous pouvez désormais mettre à jour simultanément tous les jeux de règles d'une politique vers la version la plus élevée. L'opération peut s'appliquer sur tous les jeux ou uniquement sur les jeux intégrés Stormshield.
Suppression de dossier lors de la remédiation
Une nouvelle action de remédiation, Retirer le dossier, est désormais proposée à partir d'un log de création ou modification d'un dossier.
Protections contre les menaces
Les protections intégrées contre les menaces permettent désormais de définir plusieurs règles pour chaque menace.
Jeux de règles d'exceptions
Il est désormais possible de créer manuellement des jeux de règles d'exceptions ou de transformer un jeu de règles de protection existant en jeu de règles d'exceptions.
Agents SES Evolution
Informations sur l'état de l'agent
Les agents SES Evolution sont désormais capables d'exposer leur état au système d'exploitation via une classe WMI. Cette fonctionnalité permet à des applications tierces, par exemple des systèmes de conformité des postes de travail, de prendre en compte l'état des agents SES Evolution pour appliquer des politiques de sécurité. Les informations disponibles sont les suivantes :
-
Version logicielle de l'agent SES Evolution,
-
État de fonctionnement,
-
Nom et version de la politique de sécurité appliquée,
-
Nom du groupe de l'agent,
-
État du mode Maintenance (actif/inactif),
-
Date et heure de dernière connexion au gestionnaire d'agents.
En tant qu'administrateur, exécutez l'une des commandes Powershell suivantes pour récupérer ces informations :
-
Get-CimInstance -Namespace ROOT\Stormshield\SES -ClassName SES_GeneralInformation
-
Get-WmiObject -Namespace ROOT\Stormshield\SES -ClassName SES_GeneralInformation
Vous devez disposer de Powershell version 3 ou supérieure pour pouvoir utiliser ces commandes.
Communication des agents en HTTPS
Les agents SES Evolution communiquent désormais avec le backoffice en HTTPS sur le port 443. Si vous disposez d'agents SES Evolution en versions 2.6 et inférieures, vous pouvez activer le paramètre Activer l'ancien protocole de communication. Il permet à ces agents de communiquer avec le backoffice en TCP sur le port 17000.
Console d'administration
Partage des informations sur les événements de sécurité
Afin de faciliter l'analyse des événements de sécurité SES Evolution, vous pouvez désormais partager des informations sur les logs avec vos collaborateurs. Le partage est fait sous forme d'un lien qui est ensuite collé par le collaborateur dans sa console d'administration. Les éléments partagés sont les logs ou groupes de logs, les graphiques d'attaque, et le filtrage de logs agents.
Import d'une version LTSB pour les agents SES Evolution
Dans le panneau Agents, vous pouvez désormais importer et diffuser une version LTSB de SES Evolution aux agents sur des postes qui disposent de systèmes d'exploitation non supportés en standard. Pour plus d'informations, reportez-vous au document Cycle de vie produits SES Evolution.
Pour obtenir de l'aide pour installer une version LTSB de l'agent, contactez le Technical Assistance Center Stormshield.
Gestion multi-utilisateurs des politiques et jeux de règles
Plusieurs utilisateurs peuvent désormais modifier en parallèle des politiques et jeux de règles.
Par exemple, pendant que l'utilisateur 1 modifie la politique A, l'utilisateur 2 ne peut pas la modifier, mais il peut modifier la politique B et les jeux de règles contenus dans la politique A.
Le même comportement s'applique aux groupes d'agents, aux unités d'analyse Yara ou IoC, et aux groupes de gestionnaires d'agents.
Suppression des logs depuis le panneau Logs agents
Dans le panneau Logs agents, le nouveau menu Actions > Supprimer les événements permet de supprimer des événements et tous les logs qu'ils contiennent. Vous pouvez choisir de supprimer soit les événements sélectionnés, affichés, ou filtrés.
Critères de suppression des logs
L'assistant de suppression automatique ou manuelle de logs propose désormais les critères suivants pour filtrer les logs à supprimer :
-
Applications cible ou source,
-
Catégories de logs,
-
Types d'événements.
Suppression des agents déconnectés
Référence support : STORM-97
La valeur par défaut du paramètre agent Suppression automatique après n jours est désormais de 180 jours (6 mois) et non plus de 30 jours. Les agents sont donc supprimés du panneau Agents après 6 mois sans connexion au gestionnaire d'agents.
Confiance des périphériques
Référence support : STORM-4156
Le paramètre agent Autoriser l'identification d'un périphérique permet désormais de choisir le niveau de confiance 0 ou 1 à accorder à un périphérique USB branché sur un poste de travail.
Liens de recherche sur une adresse IP dans les logs agents
Dans les détails d'un log émis par un agent, deux nouveaux liens permettent de vérifier la réputation de l'adresse IP distante sur les sites VirusTotal et Stormshield IP Reputation.
Copie d'informations dans les logs agents
Dans le panneau principal des Logs agents, vous pouvez désormais sélectionner les informations suivantes afin de les copier : Dates, Agent, Nom d'hôte, Nom d'utilisateur, Adresse IP et Message.
Backoffice
Par défaut, le champ "Syslog hostname" dans l'entête de la trame syslog est défini avec le nom de l'agent SES Evolution. Cela impacte les performances du serveur Syslog si les agents sont très nombreux.
Vous pouvez désormais modifier le contenu de l'entête dans la base de données et choisir le nom du gestionnaire d'agents relayeur du log. Ce paramètre n'est pas disponible dans la console d'administration et peut être modifié via un script. Pour plus d'informations, reportez-vous à l'article de la Base de connaissances.
Centre d'installation
Suppression du mode Démonstration
Le Centre d'installation ne propose plus d'installer SES Evolution en mode démonstration.
Installation de consoles d'administration supplémentaires
Le Centre d'installation permet désormais à un administrateur non enregistré dans SES Evolution d'installer une console d'administration supplémentaire. Pour cela, l'administrateur doit fournir la clé d'installation présente dans le menu Backoffice > Système > Général.