Drivelock EDR | Configurateur d'événements

DriveLock EDR

Endpoint Detection and Response

(EDR) vous permet de surveiller et de configurer tous les événements liés à DriveLock et à ses modules. La fonctionnalité de base comprend la transmission des événements DriveLock et la capacité de répondre à ces événements. Avant de pouvoir auditer les opérations DriveLock, vous devez activer le transfert des événements DriveLock. Les événements peuvent être enregistrés dans un journal des événements Windows, envoyés par SNMP ou par email (SMTP), ou copiés dans la base de données centrale DriveLock.

Les événements peuvent être analysés dans DriveLock Operations Center (DOC) grâce à ses capacités de tri, de filtrage et de regroupement flexibles, puissantes et faciles à utiliser. Vous pouvez également surveiller les événements DriveLock à l’aide d’un outil de consolidation des journaux d’événements tel que Splunk.

drivelock-edr

Pour permettre un traitement ou une analyse optimal et efficace des événements, DriveLock recommande de réduire le volume des événements et de se limiter aux événements pertinents.

La présentation suivante devrait aider à ajuster la transition d’événements pour s’adapter aux meilleures pratiques, et à améliorer et optimiser l’analyse d’événements.

Catalog RecoveryPlus

Evénements Drivelock EDR

Les événements DriveLock EDR sont essentiellement regroupés par modules. Que vous activiez ou non un événement à signaler, celui-ci n’est collecté que si vous disposez également d’une licence pour cela.

En plus des événements spécifiques au module, il existe les “Événements d’agent général”. Ce groupe fournit des informations sur le statut de l’agent en général, et pas nécessairement sur la sécurité des événements spécifiques comme des informations sur un flux de données.

Événements généraux

Dans ce groupe, il y a plusieurs événements qui se produisent très fréquemment et qui sont en outre fournis via le keep-alive des agents. Il s’agit notamment des éléments suivants :
Événements spécifiques au module

En outre, il existe divers événements spécifiques au module qui se produisent également extrêmement fréquemment, et qui ne doivent être utilisés que dans certaines situations.

ID de l'événement

117

191

238

298

Description

Message de licence

DES sélectionné

Fonction de contrôle à distance appelée 

CSP appliqué

Commentaires

Inclus dans le statut d’agent

Audite chaque fois qu’un DES est sélectionné

Audite chaque action à distance

Audite chaque fois qu’une stratégie est chargée. Le plus l’événement pertinent est 299, ce qui indique qu’une politique nouvelle ou une mise à jour est appliquée. En cas de 299, vous avez aussi un 298. L’événement 299 indique qu’un changement s’appliquera à l’agent, ce que le 298 ne signifie pas nécessairement.

ID de l'événement

259

474

753

649

Description

Mode FIPS activé

Processus démarré

DLL chargée

Commentaires

Informations inutiles pour la plupart des clients

Audite chaque démarrage d’application autorisé

Audite chaque fin de processus

Processus arrêté

Audite chaque accès à une DLL autorisée

1. A partir du DOC ou du DMC, ouvrez votre politique DriveLock.
2. Développez EDR, et sélectionnez “DriveLock events”.
Query Informatique
3. Si vous n’affichez pas tous les événements dans cette vue, faites un clic droit sur DriveLock Events à gauche, sélectionnez  View, puis sélectionnez “With subfolders” ; cela peut prendre un moment pour que la liste s’affiche.
Query Informatique
4. Vous pouvez ensuite rechercher les ID d’événements individuels en tapant le numéro d’ID spécifique au-dessus de la colonne.
Query Informatique

5. Double-cliquez sur l’événement pour l’ouvrir, décochez la case DriveLock Enterprise Service, puis appuyez sur OK.

Query Informatique

La dernière étape consiste à enregistrer et publier votre politique.

Ces étapes devraient réduire le nombre global d’événements de manière significative. Cela aide à améliorer l’analyse et à se concentrer sur les événements pertinents. La recherche et le filtrage dans l’espace de travail de l’événement ou l’affichage du widget est amélioré.

Réduire les événements d'accès aux fichiers Drivelock EDR

Pour éviter que vous puissiez voir 5 à 10 événements pour un seul accès à un fichier, les événements suivants peuvent être configurés pour supprimer les événements en double.
Query Informatique

Par défaut : suppression des événements en double = non configuré

Query Informatique

Personnalisation : suppression des événements en double = activée

Query Informatique

Retrouvez ci-dessous une liste d’événements où l’ option “supprimer les événements en double” peut être activée :

ID de l'événement

218
219
256
385

Description

Fichier consulté
Extension de fichier bloquée
Contenu du fichier modifié (ressource réseau)
Contenu du fichier modifié (ressource réseau)
Support techniquescreen tag