1 - Principe de fonctionnement
La solution Nucleon Security inclus un module de surveillance des actions réalisées sur les périphériques externes. Exécuté au niveau système celui-ci permet de distinguer les actions système d'exécution ou d'action fichier à un contexte spécifiques lié à l'utilisation de périphérique de stockage externe (Removable) ou de partage réseau (Share).
Ainsi l'ensemble des actions effectuées depuis un terminal sur des fichiers peut être non seulement surveillé, mais aussi précisé.
Exemple :
- il est possible d'autoriser la lecture de fichiers préfixé E1_CONFIDENTIEL sur un partage réseau uniquement (évitant les lecture/écriture depuis des disques locaux ou USB et avertissant comme menace en cas de tentative)
- Il est possible d'interdire la moindre exécution d'application sur un périphérique externe comme une clef USB, sauf des outils identifiés explicitement d'administration ou lié à l'usage métier (ex: Microsoft Sysinternals)
Vous avez alors le contrôle non seulement sur une logique d'accès fichiers, mais sur ces logiques appliquées aux différents contextes de positionnement des dits fichiers.
2 - Investigation & Recherche de menace
Vous pouvez explorer et analyser les informations directement depuis le menu hunt que ce soit pour qualifier, identifier ou clarifier une situation.
La vue Hunt vous propose par défaut un filtre sur les signaux faibles.
Complétez la avec un filtre sur le File Device correspondant à Removable ou Share ...
Vous pouvez aussi identifier les évènements liés à un partage réseau sur les autres types d'évènements Execute, Process Access, Read, Write, Delete & rename.
Pour cela
- Utilisez le filtre Target File Path
- Le compléter avec les identifiants de chemin de ressource réseau \\
⚠️ \\ en Expression régulière s'écrit \\\\ avec les échappements
3 - Administration/Exploitation
Pour configurer la protection réseau, rien de bien compliqué, mais plusieurs façon de procéder :
- Via l'assistant depuis un évènement de la vue Hunt
- Via l'assistant depuis un évènement corrélé dans une manace Threat
- Directement dans les règle d'un conteneur Application
Les règles peuvent décrire plusieurs cas de figure parmis les suivants:
- Autoriser un flux légitime d'une application vers une ressource réseau
- Tolérer des flux suspects sporadiques (Signal Faible)
- Interdire un flux illégitime d'une application vers une ressource réseau
- Interdire un flux illégitime pour toutes les applications (IOC, bannissement d'usage...)
Créer un objet système Removable/Share
- Dans la barre de menu de gauche, choisir Application
- Dans l'espace Objects à droite, séléctionnez New Object
- Par défaut la création d'objet est de type système (System)
- Vous pouvez remplir tous les critères qui vous semblent nécessaire pour décrire la ressource visée
⚠️RAPPEL : Il n'y a aucune obligation de remplir l'ensemble des champs. Un objet qui ne contient que peu de détails est dit générique, un objet très détaillé sera dit spécifique. Tout dépendra de l'usage à en faire. Pour vous faire une idée vous pouvez consulter l'objet Système Removable utilisé dans le conteneur de règle applicatif Block USB
⚠️ RAPPEL : Remplir plusieurs "badges" dans un même champ agit comme un OU logique (exemple : *.exe et *.kdbx dans le champ Path fera un objet qui correspondra à l'un comme à l'autre).
⚠️ RAPPEL : Remplir plusieurs champs agit comme un ET logique (exemple : Removable et E1_CONFIDENTIEL* dans le champ Device ainsi que le champ Path ne fera correspondance que lors d'un accès sur périphérique externe préfixé E1_CONFIDENTIEL).
- Vous pouvez cliquer sur Create
- Votre objet est créé et utilisable dans les jeux de règles
Pour une règle d'interdiction à la portée globale
- Dans la barre de menu de gauche, choisir Application
- Prenons le conteneur d'Application Block USB
- Dans cette règle, le contexte est déjà paramétré à tout exécutable (Any) tentant un accès réseau (Network)
- Il suffit de rajouter un Objet réseau ici dans Target
Pour une règle spécifique à une application
- Dans la barre de menu de gauche, choisir Application
- Sélectionnez votre application
- Créez une nouvelle règle
- Ajouter en source votre/vos applications de contexte, et définissez le type d'action sur Network, puis ajouter votre ressource de destination (ici exemple d'un cas keepass).
Was this article helpful?
That’s Great!
Thank you for your feedback
Sorry! We couldn't be helpful
Thank you for your feedback
Feedback sent
We appreciate your effort and will try to fix the article