Événements spécifiques au module
En outre, il existe divers événements spécifiques au module
qui se produisent également extrêmement fréquemment,
et qui ne doivent être utilisés que dans certaines situations.
Drivelock EDR | Configurateur d'événements
DriveLock EDR
Endpoint Detection and Response
(EDR) vous permet de surveiller et de configurer tous les événements liés à DriveLock et à ses modules. La fonctionnalité de base comprend la transmission des événements DriveLock et la capacité de répondre à ces événements. Avant de pouvoir auditer les opérations DriveLock, vous devez activer le transfert des événements DriveLock. Les événements peuvent être enregistrés dans un journal des événements Windows, envoyés par SNMP ou par email (SMTP), ou copiés dans la base de données centrale DriveLock.
Les événements peuvent être analysés dans DriveLock Operations Center (DOC) grâce à ses capacités de tri, de filtrage et de regroupement flexibles, puissantes et faciles à utiliser. Vous pouvez également surveiller les événements DriveLock à l’aide d’un outil de consolidation des journaux d’événements tel que Splunk.
Pour permettre un traitement ou une analyse optimal et efficace des événements, DriveLock recommande de réduire le volume des événements et de se limiter aux événements pertinents.
La présentation suivante devrait aider à ajuster la transition d’événements pour s’adapter aux meilleures pratiques, et à améliorer et optimiser l’analyse d’événements.
Evénements Drivelock EDR
Les événements DriveLock EDR sont essentiellement regroupés par modules. Que vous activiez ou non un événement à signaler, celui-ci n’est collecté que si vous disposez également d’une licence pour cela.
En plus des événements spécifiques au module, il existe les « Événements d’agent général ». Ce groupe fournit des informations sur le statut de l’agent en général, et pas nécessairement sur la sécurité des événements spécifiques comme des informations sur un flux de données.
Événements généraux
Dans ce groupe, il y a plusieurs événements qui se produisent très fréquemment et qui sont en outre fournis via le keep-alive des agents. Il s’agit notamment des éléments suivants :
ID de l'événement
117
191
238
298
Description
Message de licence
DES sélectionné
Fonction de contrôle à distance appelée
CSP appliqué
Commentaires
Inclus dans le statut d’agent
Audite chaque fois qu’un DES est sélectionné
Audite chaque action à distance
Audite chaque fois qu’une stratégie est chargée. Le plus l’événement pertinent est 299, ce qui indique qu’une politique nouvelle ou une mise à jour est appliquée. En cas de 299, vous avez aussi un 298. L’événement 299 indique qu’un changement s’appliquera à l’agent, ce que le 298 ne signifie pas nécessairement.
ID de l'événement
259
474
753
649
Description
Mode FIPS activé
Processus démarré
DLL chargée
Commentaires
Informations inutiles pour la plupart des clients
Audite chaque démarrage d’application autorisé
Audite chaque fin de processus
Processus arrêté
Audite chaque accès à une DLL autorisée
1. A partir du DOC ou du DMC, ouvrez votre politique DriveLock.
2. Développez EDR, et sélectionnez « DriveLock events ».
3. Si vous n’affichez pas tous les événements dans cette vue, faites un clic droit sur DriveLock Events à gauche, sélectionnez View, puis sélectionnez « With subfolders » ; cela peut prendre un moment pour que la liste s’affiche.
4. Vous pouvez ensuite rechercher les ID d’événements individuels en tapant le numéro d’ID spécifique au-dessus de la colonne.
5. Double-cliquez sur l’événement pour l’ouvrir, décochez la case DriveLock Enterprise Service, puis appuyez sur OK.
La dernière étape consiste à enregistrer et publier votre politique.
Ces étapes devraient réduire le nombre global d’événements de manière significative. Cela aide à améliorer l’analyse et à se concentrer sur les événements pertinents. La recherche et le filtrage dans l’espace de travail de l’événement ou l’affichage du widget est amélioré.
Réduire les événements d'accès aux fichiers Drivelock EDR
Pour éviter que vous puissiez voir 5 à 10 événements pour un seul accès à un fichier, les événements suivants peuvent être configurés pour supprimer les événements en double.
Par défaut : suppression des événements en double = non configuré
Personnalisation : suppression des événements en double = activée
