Détails de la politique Détection et intervention par défaut

Cette page présente les détails de la politique d'enregistreur d'activité de terminal. Vous pouvez également modifier les paramètres de politique par défaut sur cette page, notamment les paramètres suivants :
  • Activation ou désactivation de l'enregistreur d'activité de terminal par défaut
  • Taille de la base de stockage des données d'événement sur les terminaux ; ce paramètre est d'abord créé pendant la configuration de l'enregistreur d'activité de terminal. Vous pouvez modifier ici la valeur, le cas échéant.
  • Fréquence d'envoi des données d'événement de terminal à EDR ; ce paramètre est d'abord créé pendant la configuration de l'enregistreur d'activité de terminal. Vous pouvez modifier ici la valeur, le cas échéant.
  • Types de données envoyées à EDR
  • Fichiers et chemins d'accès exclus de l'enregistrement
Evénements à envoyer à EDR
Par défaut, les exécutions PowerShell sont automatiquement envoyées à EDR. Vous pouvez également sélectionner les types de données d'événement suivants à envoyer à EDR :
Modifications du point de chargement
Ce type d'événement inclut tous les événements associés à la fonctionnalité de maintien de la persistance sur un terminal. Ce type d'événement comprend entre autres les clés de registre de démarrage, les services, les tâches planifiées, etc.
Suspicious system activity (Activité système suspecte)
Cet événement est composé de règles avancées, telles que l'utilisation du port de protocole suspect par les processus système, les fichiers système qui sont lancés dans des emplacements inattendus, etc.
Détections heuristiques
Ce type d'événement est composé de règles qui correspondent à une séquence d'événements souvent observée dans les activités malveillantes.
Process launch activity (Activité de lancement de processus)
Envoie tous les événements de lancement de processus avec la relation parent-enfant, ainsi que la ligne de commande. Très utiles pour identifier les éléments exécutés dans votre environnement, les arguments de ligne de commande utilisés et sous quel contexte utilisateur. Bien qu'utile, les lancements de processus représentent 49 % des événements envoyés à EDR.
Process terminate activity (Activité de fin du processus)
Ce type d'événement est moins utile que les événements de lancement de processus, mais il indique si un processus est toujours en cours d'exécution. Cette catégorie représente 49 % de l'ensemble des événements envoyés à EDR. Si vous devez réduire la charge, démarrez en désactivant en premier cette catégorie.
Activité de l'Interface d'analyse antilogiciel malveillant (AMSI)
Ce type d’événement inclut les événements impliquant des applications et des services qui s’intègrent aux produits anti-programmes malveillants.
Vos terminaux doivent exécuter SEP 14.3 RU1 ou une version ultérieure pour transmettre cet événement à EDR.
Activité d'Event Tracing for Windows (ETW)
Ce type d’événement inclut les événements associés à l’utilitaire de suivi au niveau du noyau qui vous permet de journaliser les événements de noyau ou définis par l’application.
Vos terminaux doivent exécuter SEP 14.3 RU1 ou une version ultérieure pour transmettre cet événement à EDR.
Vous devez sélectionner
Activité de lancement de processus
pour consulter les événements de
traçabilité de processus
sur la page de détails des
incidents
.
Si vous avez apporté des modifications à la politique, cliquez sur
Enregistrer la politique
.