1 - Vue d'ensemble
Les actions à distance permettent des interventions depuis la console directement, via des outils embarqués, permettant par exemple d'isoler un Endpoint, éteindre un Endpoint, tuer un processus malveillant....
2 - Procéder aux actions a distance de Nucleon
Sur la fenêtre de configuration d’un Endpoint, ci-dessous les informations sont affichées sur chaque Endpoint
- Informations générales sur l'Endpoint,
- Historique des actions réalisé sur l'Endpoint,
- Derniers évènements liées au déclenchement des règles Zéro Trust au niveau de l'Endpoint en question,
- Métriques (consommation CPU, RAM...) lié à l'Endpoint,
Il est également possible d'effectuer des opérations à distance comme indiqué ci-dessous :
Lorsqu’une " Remote action " est demandée, elle sera exécutée la prochaine fois quand l’agent soit en contacte avec le serveur, l’action passe alors en mode « processing » puis en mode « done » une fois l’action est terminée.
A noter que les événements suivants se réalisent:
- Un mail de notification de type « endpoint » est envoyé à chaque étape de chaque action,
- Les «remote actions» sont supprimées automatiquement après trente jours.
3- Les actions à distance disponible
Au niveau de la plateforme Nucleon, on a accès à un ensemble d'action à distance, à savoir:
- Download file : télécharge un fichier sur la machine distante, le chemin doit être spécifié,
- Delete file : supprime un fichier sur la machine distante, le chemin doit être spécifié,
- Dump process memory : extrait la mémoire d’un processus, le nom du processus doit être spécifié (wildcard « * » utilisable) ou un PID. La demande est exécutée sur chaque processus correspondant au filtre demandé,
- Kill process : termine un processus, le nom du processus doit être spécifié (wildcard « * » utilisable) ou un PID. La demande est exécutée sur chaque processus correspondant au filtre demandé,
- Isolate host : Active ou désactive l’accès réseau. L’option « network monitoring » doit être active sur la politique. Cette option permet d’empêcher un mouvement latéral si une attaque se produit,
- Shutdown host : Eteint ou redémarre la machine,
- Export registry key : crée un export des registres à partir de la clé spécifiée, toutes les clés sous-jacentes sont exportées,
- System information file : crée un rapport d’information système basé sur « msinfo32 »,
- Export event viewer : exporte tous fichiers evtx de l’observateur d’événement,
- List scheduled tasks : crée un fichier CSV des tâches planifiées présentes sur la machine,
- Download Nucleon logs : télécharge les logs de l’agent,
- Restart Nucleon agent : redémarre l’agent Nucleon,
- Reset cache : remise à zéro du cache de l’agent, utiliser à la demande du support.
4- Exemple d'isolation à distance d'un Endpoint
Il est possible d’ajouter plusieurs actions à la suite en cliquant sur le plus:
Cet article a-t-il été utile ?
C'est super !
Merci pour votre commentaire
Désolé ! Nous n'avons pas pu vous être utile
Merci pour votre commentaire
Commentaires envoyés
Nous apprécions vos efforts et nous allons corriger l'article