Surveiller l'activité des agents SES Evolution

La solution SES Evolution fournit une vue précise de l'activité des agents SES Evolution via différents types de logs classés par niveaux de gravité.

Les logs contiennent notamment l’heure d’un événement, l'agent sur lequel il s'est produit, l’identité du processus qui a fait l’action, et en cas de blocage, des informations sur le blocage.

Différents types de logs

Les agents SES Evolution génèrent plusieurs types de logs :

Les logs d'événements sont des logs simples auxquels aucun contexte n’est attaché. Ils fournissent par exemple des informations sur le blocage d’actions utilisateurs interdites par les politiques de sécurité, permettent d'auditer certaines opérations, etc. Les événements peuvent être de plusieurs types :

Événements de protection	Émis en cas de blocage ou d'audit d'une opération par une règle de sécurité. Par exemple, le processus illegimate_process.exe a tenté de lancer le processus abused_process.exe.
Événements d'autoprotection	Émis en cas d'événements suspects sur le système Windows non liés à une règle de sécurité. Par exemple, l'utilisateur a tenté de supprimer un fichier protégé.
Événements de fonctionnement	Émis en cas d'événements liés au fonctionnement global de SES Evolution. Par exemple, l'agent a appliqué une nouvelle politique.
Événements externes	Émis en cas d'événements liés aux règles d'audit de type Transfert d'événements externes et OSSEC.
Événements Windows Defender	Émis en cas de remontée d'événements Windows liés à la fonctionnalité Protection contre les virus et les menaces. Ces logs ne sont affichés que si la politique de sécurité contient le jeu de règles Stormshield - Transfert des événements de Windows Defender.

Les logs d'alerte indiquent qu'une attaque s'est produite. Ils sont accompagnés d’un contexte permettant d'analyser ce qui a conduit à l’action malveillante.
Les logs de contexte sont enregistrés en continu sur les agents et représentent un audit global des actions effectuées sur un poste de travail. Ils ne sont pas conservés et sont transmis uniquement lorsqu’une alerte est détectée. Ils fournissent des informations sur les activités sur le poste juste avant et après l’attaque.

Consultez les logs des agents sur la console d'administration et sur l'interface de l'agent. Ils seront aussi visibles sur le serveur Syslog si vous l'avez configuré.

Selon que vous souhaitez effectuer des modifications ou uniquement visualiser le panneau Logs agents, vous devez disposer du droit Logs agents-Modifier ou Logs agents-Afficher.

Vous pouvez configurer quels niveaux de logs sont envoyés vers la console, l'agent et le serveur Syslog. Pour plus d'informations, reportez-vous aux sections Configurer la transmission des logs émis par les agents et Configurer la gestion des logs.

L'agent dispose d'un mécanisme de protection contre la génération massive de logs.

Lorsqu'il détecte un certain nombre de logs strictement identiques ou similaires sur une courte période, il arrête de générer les logs similaires suivants et les comptabilise. De plus, il ne génère pas de contexte même si la règle de sécurité associée au log est configurée pour. Les protections restent cependant actives et les autres logs sont toujours générés.

Il émet alors un log spécifique signalant la détection de la génération massive d'un log. Lorsque la génération de logs repasse en dessous d'un certain seuil, il émet un autre log pour signaler la fin de la génération des logs similaires. Selon le paramétrage d'affichage des logs, ces deux logs peuvent s'afficher sur l'interface de l'agent et dans la console d'administration.

Dans la console d'administration, depuis les logs signalant le début et la fin de la génération massive d'un log, vous pouvez accéder au log à l'origine du déclenchement de la protection. Si nécessaire, créez une exception sur ce log ou bien adaptez vos politiques de sécurité afin d'éviter la répétition du phénomène. Pour créer une exception, consultez la section Ajouter des exceptions sur les logs.