Création d’une stratégie d’enregistreur

Pour que Symantec EDR applique des règles de la stratégie de l’enregistreur, exécutez Symantec Endpoint Protection (SEP) 14.3 RU1 ou une version ultérieure. Si vos terminaux exécutent SEP 14.3 ou 14.3 MP1, assurez-vous que l’agent SEP utilise Endpoint Detection and Response Engine 4.3 ou une version ultérieure. Vous pouvez trouver la version du moteur dans la console SEP, sur la page
Help > Troubleshooting > Versions
(Aide > Dépannage > Versions).
Les règles de la stratégie de l’enregistreur définissent les acteurs/processus qu’il est nécessaire de surveiller, d’enregistrer dans l’enregistreur d’activité de terminal et d’envoyer à Symantec EDR.   Vous pouvez également choisir de ne pas surveiller un acteur/événement de processus, car vous savez qu’il est inoffensif.
Les règles de la stratégie de l’enregistreur présentent les avantages suivants :
Vous pouvez configurer jusqu’à 200 règles de
Désactivation de la surveillance
. Le nombre total maximal de tous les autres types de règles (Ne pas enregistrer, Enregistrer sans envoyer, Enregistrer et envoyer) est de 100 règles. Les autres types de règles peuvent être dans n’importe quelle combinaison. Toutefois, il ne doit pas y avoir plus de 100 règles combinées.
Lorsque vous créez une nouvelle règle, ouvrez la vue Event Summary (Récapitulatif des événements) dans une autre page du navigateur. Les procédures suivantes indiquent les champs de la vue Event Summary (Récapitulatif des événements) que vous pouvez copier/coller dans les champs de règles. Utilisation de la vue Events Summary (Récapitulatif des événements)
Les règles de politique d'enregistreur ne sont pas prises en charge pour les clients Mac.
Les créations ou modifications de règles de stratégie de l’enregistreur sont consignées dans le journal d’audit de Symantec EDR.
  1. Cliquez sur
    Policies
    (Stratégies) et sélectionnez l’onglet
    Recorder
    (Enregistreur).
  2. Sélectionnez le type de règle que vous voulez créer.
    Ne pas enregistrer
    Surveille les processus de votre choix.
    Les événements ne sont pas stockés sur le terminal ni envoyés à Symantec EDR.
    Enregistrer sans envoyer
    Surveille les processus de votre choix.
    Les événements sont stockés sur le terminal en temps quasi réel, mais ne sont pas envoyés à Symantec EDR.
    Enregistrer et envoyer
    Surveille les processus de votre choix.
    Les événements sont stockés sur le terminal. De plus, les types d’événement que vous avez sélectionnés sur la page
    Endpoint Activity Recorder Configuration
    (Configuration de l’enregistreur d’activité de terminal) sont soumis à Symantec EDR en temps réel.
    Désactiver la surveillance
    Désactive la surveillance, l’enregistrement et l’envoi à Symantec EDR de tous les événements de l’acteur de votre choix.
    Si vous sélectionnez cette option, vous pouvez configurer uniquement
    Actor type (Type d’acteur)
    et
    Actor (Acteur)
    pour tous les événements.
    Cette option équivaut à ajouter l’acteur à la liste verte. Par conséquent, configurez cette option uniquement pour les acteurs dont vous êtes certain qu’ils soient sûrs et qui n’ont pas besoin d’être surveillés.
  3. Sélectionnez le
    type d’événement
    pour lequel vous souhaitez créer une règle.
    Le paramètre par défaut est pour
    All Events
    (Tous les événements). Pour sélectionner un événement spécifique, cliquez sur la liste déroulante
    Event Type (Type d’événement)
    et sélectionnez l’événement.
  4. Spécifiez le
    type d’acteur
    (SHA256 ou chemin d’accès).
  5. Dans le champ
    Actor
    (Acteur), spécifiez les éléments suivants en fonction du
    type d’acteur
    que vous avez sélectionné :
    Type d’acteur
    Valeur
    SHA256
    Saisissez la valeur de hachage SHA256.
    event_actor.file.sha2
    Chemin d'accès au fichier
    Saisissez un chemin d’accès complet. Vous pouvez modifier cette valeur à l’aide de caractères génériques et d’expressions régulières.¹
    event_actor.file.path
  6. Dans le champ
    Actor Command Line
    (Ligne de commande de l’acteur), saisissez la ligne de commande qui a été utilisée pour lancer le processus.
    event_actor.cmd_line
    Vous pouvez modifier cette valeur à l’aide de caractères génériques et d’expressions régulières.¹
  7. Cliquez sur le menu déroulant
    Operation
    (Opération) pour sélectionner l’opération pour laquelle vous souhaitez créer la règle.
    Les valeurs que vous pouvez sélectionner varient en fonction du
    type d’événement
    que vous avez sélectionné.
    Type d’événement
    Description
    Tous les événements
    Non disponible
    8001 – Activité de processus
    • Tous
    • Lancés
    • Terminés
    • Injectés
    8002 – Activité de module
    • Tous
    • Chargés
    • Non chargés
    8003 – Activité de fichier
    • Tous
    • Créés
    • Supprimés
    • Ouverts
    • Renommés
    • Modifiés
    • Définir les attributs
    • Définir la sécurité
    • Chiffrés
    • Non chiffrés
    8004 – Activité de répertoire
    • Tous
    • Créés
    • Supprimés
    • Ouverts
    • Renommés
    • Modifiés
    • Définir les attributs
    • Définir la sécurité
    • Chiffrés
    • Non chiffrés
    8005 – Activité de clé de registre
    • Tous
    • Créer une clé
    • Supprimer une clé
    • Clé ouverte
    • Renommer une clé
    • Définir le descripteur de sécurité de la clé
    • Clé de restauration
    8006 – Activité de valeur de registre
    • Tous
    • Définir
    • Supprimer
    8007 – Activité réseau
    • Tous
    • Connecter
    • Déconnecter
    • Statique
    8009 – Activité de noyau
    • Tous
    • Créer
    8015 – Activité ETW
    Non disponible
    8016 – Activité AMSI
    Non disponible
  8. Si vous avez sélectionné l’événement 8015 – Activité ETW, l’option
    Target type
    (Type de cible) s’affiche. Sélectionnez l’une des options suivantes :
    • ID de l’événement de référence (ref_event)
    • Fonction source (monitor_source.facility)
  9. Dans le champ
    Target
    (Cible), saisissez la cible du processus.
    Vous pouvez utiliser des caractères génériques et des expressions régulières.¹
    Type d’événement
    Champ d’affichage du récapitulatif des événements
    Tous les événements
    Non disponible
    8001 – Activité de processus
    process.file.path
    process.file.sha2
    8002 – Activité de module
    file.path
    file.sha2
    8003 – Activité de fichier
    file.path
    file.sha2
    8004 – Activité de répertoire
    directory.path
    8005 – Activité de clé de registre
    reg_key.path
    8006 – Activité de valeur de registre
    reg_value.name
    8007 – Activité réseau
    conn.dst_ip
    8009 – Activité de noyau
    kernel.name
    8015 – Activité ETW
    monitor_source.facility
    ref_event,
    8018 – Activité AMSI
    ressource
  10. Dans le champ
    Target Command Line
    (Ligne de commande de la cible), saisissez la ligne de commande utilisée pour la cible.
    Ce champ est uniquement disponible pour l’événement 8001 – Activité de processus (process.cmd_line).
    Vous pouvez modifier cette valeur à l’aide de caractères génériques et d’expressions régulières.¹
  11. Vous pouvez, si vous le souhaitez, saisir un commentaire dans la case
    Comment
    (Commentaire).
  12. Cliquez sur
    Save (Enregistrer)
    .
    Symantec EDR affecte la règle à toutes les connexions de contrôleur SEPM existantes auxquelles la
    stratégie de règle de l’enregistreur d’activité de terminal
    est activée.
  13. Le cas échéant, affectez la priorité de la règle.
¹ Les chaînes d’expressions régulières doivent être entourées d’une barre oblique (/) de début et de fin. Les chemins doivent également être échappés lorsqu'ils sont définis entre des indicateurs d'expression régulière (/c:\\windows.*/) et lors de la définition d'une entrée de caractère générique (c:\windows*). Notez que le séparateur de chemin n'est pas échappé.