1 - Vue d'ensemble

    La fonctionnalité de « Rollback » permet de restaurer des fichiers qui aurait été supprimés ou corrompus.

Tandis que la fonctionnalité de « Remediate » permet de supprimer des fichiers nouvellement créés par un logiciel.

    Les fonctionnalités  « Rollback » et  « Remediate » sont complémentaires et permettent d’annuler l’activité d’une attaque en restaurant les fichiers affectés, et en supprimant les éléments malveillants créés

    Ces fonctionnalités se basent sur l’outil de snapshot « Shadow Copy » de Microsoft, ainsi que les évènements collectés sur la console. Cela se fait en prenant en considération les éléments suivants:

• Système de versionning paramétré sur la politique de sécurité
• Aucun fichier n’est sauvegardé
• Implémentation des snapshots sur la partition directement, l’utilisation disque est gérée par l’OS

2 - Procéder à réaliser le Roll Back et la remédiation

    Deux méthodes d’utilisation :

• Manuelle: création d’une remote action rollback en spécifiant le ou les fichiers à restaurer en spécifiant le chemin et la date la plus proche de la version désirée

• Automatique: depuis une menace, utiliser l’action rapide « Rollback & Remediate », la liste des fichiers à restaurée est créé directement en se basant sur les évènements liés aux processus d’une menace et crée un playbook automatisé d'actions.