Actions à distance

Modified on Tue, 17 Oct 2023 at 05:42 PM

1 - Vue d'ensemble 


    Les actions à distance permettent des interventions depuis la console directement, via des outils embarqués, permettant par exemple d'isoler un Endpoint, éteindre un Endpoint, tuer un processus malveillant....


2 - Procéder aux actions a distance de Nucleon


    Sur la fenêtre de configuration d’un Endpoint, ci-dessous les informations sont affichées sur chaque Endpoint

  • Informations générales sur l'Endpoint,
  • Historique des actions réalisé sur l'Endpoint,
  • Derniers évènements liées au déclenchement des règles Zéro Trust au niveau de l'Endpoint en question,
  • Métriques (consommation CPU, RAM...) lié à l'Endpoint,

Il est également possible d'effectuer des opérations à distance comme indiqué ci-dessous :



    Lorsqu’une " Remote action " est demandée, elle sera exécutée la prochaine fois quand l’agent soit en contacte avec le serveur, l’action passe alors en mode « processing » puis en mode « done » une fois l’action est terminée. 


A noter que les événements suivants se réalisent:

  • Un mail de notification de type « endpoint » est envoyé à chaque étape de chaque action,
  • Les «remote actions» sont supprimées automatiquement après trente jours.


3- Les actions à distance disponible

   

    Au niveau de la plateforme Nucleon, on a accès à un ensemble d'action à distance, à savoir:

  • Download file : télécharge un fichier sur la machine distante, le chemin doit être spécifié,
  • Delete file : supprime un fichier sur la machine distante, le chemin doit être spécifié,
  • Dump process memory : extrait la mémoire d’un processus, le nom du processus doit être spécifié (wildcard « * » utilisable) ou un PID. La demande est exécutée sur chaque processus correspondant au filtre demandé,
  • Kill process : termine un processus, le nom du processus doit être spécifié (wildcard « * » utilisable) ou un PID. La demande est exécutée sur chaque processus correspondant au filtre demandé,
  • Isolate host : Active ou désactive l’accès réseau. L’option « network monitoring » doit être active sur la politique. Cette option permet d’empêcher un mouvement latéral si une attaque se produit,
  • Shutdown host : Eteint ou redémarre la machine,
  • Export registry key : crée un export des registres à partir de la clé spécifiée, toutes les clés sous-jacentes sont exportées,
  • System information file : crée un rapport d’information système basé sur « msinfo32 »,
  • Export event viewer : exporte tous fichiers evtx de l’observateur d’événement,
  • List scheduled tasks : crée un fichier CSV des tâches planifiées présentes sur la machine,
  • Download Nucleon logs : télécharge les logs de l’agent,
  • Restart Nucleon agent : redémarre l’agent Nucleon,
  • Reset cache : remise à zéro du cache de l’agent, utiliser à la demande du support.


 

 

4- Exemple d'isolation à distance d'un Endpoint


                                       

   

Il est possible d’ajouter plusieurs actions à la suite en cliquant sur le plus:


 








Was this article helpful?

That’s Great!

Thank you for your feedback

Sorry! We couldn't be helpful

Thank you for your feedback

Let us know how can we improve this article!

Select atleast one of the reasons

Feedback sent

We appreciate your effort and will try to fix the article