Drivelock EDR | Configurateur d'événements
DriveLock EDR
Endpoint Detection and Response
(EDR) vous permet de surveiller et de configurer tous les événements liés à DriveLock et à ses modules. La fonctionnalité de base comprend la transmission des événements DriveLock et la capacité de répondre à ces événements. Avant de pouvoir auditer les opérations DriveLock, vous devez activer le transfert des événements DriveLock. Les événements peuvent être enregistrés dans un journal des événements Windows, envoyés par SNMP ou par email (SMTP), ou copiés dans la base de données centrale DriveLock.
Les événements peuvent être analysés dans DriveLock Operations Center (DOC) grâce à ses capacités de tri, de filtrage et de regroupement flexibles, puissantes et faciles à utiliser. Vous pouvez également surveiller les événements DriveLock à l’aide d’un outil de consolidation des journaux d’événements tel que Splunk.
Pour permettre un traitement ou une analyse optimal et efficace des événements, DriveLock recommande de réduire le volume des événements et de se limiter aux événements pertinents.
La présentation suivante devrait aider à ajuster la transition d’événements pour s’adapter aux meilleures pratiques, et à améliorer et optimiser l’analyse d’événements.
Evénements Drivelock EDR
Les événements DriveLock EDR sont essentiellement regroupés par modules. Que vous activiez ou non un événement à signaler, celui-ci n’est collecté que si vous disposez également d’une licence pour cela.
En plus des événements spécifiques au module, il existe les « Événements d’agent général ». Ce groupe fournit des informations sur le statut de l’agent en général, et pas nécessairement sur la sécurité des événements spécifiques comme des informations sur un flux de données.
Événements généraux
Événements spécifiques au module
En outre, il existe divers événements spécifiques au module
qui se produisent également extrêmement fréquemment,
et qui ne doivent être utilisés que dans certaines situations.
ID de l'événement
117
191
238
298
Description
Message de licence
DES sélectionné
Fonction de contrôle à distance appelée
CSP appliqué
Commentaires
Inclus dans le statut d’agent
Audite chaque fois qu’un DES est sélectionné
Audite chaque action à distance
Audite chaque fois qu’une stratégie est chargée. Le plus l’événement pertinent est 299, ce qui indique qu’une politique nouvelle ou une mise à jour est appliquée. En cas de 299, vous avez aussi un 298. L’événement 299 indique qu’un changement s’appliquera à l’agent, ce que le 298 ne signifie pas nécessairement.
ID de l'événement
259
474
753
649
Description
Mode FIPS activé
Processus démarré
DLL chargée
Commentaires
Informations inutiles pour la plupart des clients
Audite chaque démarrage d’application autorisé
Audite chaque fin de processus
Processus arrêté
Audite chaque accès à une DLL autorisée
5. Double-cliquez sur l’événement pour l’ouvrir, décochez la case DriveLock Enterprise Service, puis appuyez sur OK.
La dernière étape consiste à enregistrer et publier votre politique.
Réduire les événements d'accès aux fichiers Drivelock EDR
Par défaut : suppression des événements en double = non configuré
Personnalisation : suppression des événements en double = activée
