Mise à jour 2024-06-19 : La fonctionnalité Comportement accepté sera activée à l'échelle mondiale à partir du 26 juin 2024. Veuillez consulter la section ci-dessous "Comportement accepté après le 26 juin 2024"pour plus d'informations
Avec l'introduction du comportement accepté, il est désormais possible de créer des règles de suppression qui peuvent accepter le comportement d'un utilisateur ou d'un processus. Cela peut aider considérablement à faire taire les BCD pour un comportement attendu.
C'est ce que demandent de nombreux partenaires et clients, car WithSecure crée une solution EDR adaptée à de nombreux environnements différents, ce qui signifie qu'il peut y avoir des cas d'utilisation de détection spécifiques où, en raison de votre environnement, vous souhaitez " autoriser " ou accepter un comportement. Par exemple, vous pouvez utiliser un logiciel appelé " ABC " et vous pouvez être sûr que le processus " XYZ " est légitime et vous souhaitez donc supprimer la détection afin qu'un BCD similaire ne soit pas généré.
Pendant un certain temps, nous avons accepté des demandes ad hoc d'autorisation d'inscription, mais nous avons maintenant créé un assistant dans Elements Security Center qui vous permet d'établir vous-même les règles de suppression.
Comment fonctionne le comportement accepté ?
Un "Broad Context Detection" (BCD) est un ensemble de détections qui mettent en évidence un comportement malveillant ou suspect. Chaque BCD comporte une ou plusieurs "détections clés". Une "détection clé" est une détection autonome qui, à elle seule, produirait une nouvelle BCD. Afin d'éviter que des BCD similaires ne se reproduisent, chaque détection clé d'une BCD doit être supprimée. Une règle de suppression est créée par détection de clé.
Le comportement accepté est requis si les circonstances spécifiques de votre organisation signifient qu'une détection doit être supprimée. Les utilisateurs de Elements doivent être prudents lorsqu'ils suppriment des détections, afin de s'assurer qu'ils ne suppriment pas trop largement et qu'ils ne réduisent pas au silence un comportement qui, bien que courant, pourrait également faire partie d'une attaque légitime.
Quelles sont les limites de la première version ?
- Nous allons permettre un "comportement accepté" pour un petit groupe de partenaires dans un premier tempsLa Commission européenne a mis en place un système d'alerte rapide pour recueillir des informations en retour et améliorer les mécanismes de suppression.
- Lors du lancement, cette fonction sera disponible pour les BCD comportant jusqu'à 5 détections de clés. Nous nous efforçons de la rendre accessible à toutes les BCD, en réduisant le nombre total de détections clés sans supprimer aucune information unique de la BCD.
- Dans certains cas, des règles identiques sont créées en raison de la répétition de la détection des clés avec les mêmes paramètres.
Comment savoir si vous supprimez trop de BCD ?
Lorsque vous appliquez une règle de suppression, tout nouveau BCD créé sera automatiquement fermé avec la résolution "Comportement accepté automatiquement". Pour vous donner une indication du nombre de BCD qui sont réduits au silence, le moteur de détection génère au maximum un nouveau BCD toutes les 24 heures par règle de suppressionSi les critères de suppression sont remplis, une nouvelle BCD est générée. Après 24 heures, un nouveau BCD sera généré si la règle de suppression est déclenchée. WithSecure recommande aux partenaires d'examiner régulièrement les BCD supprimés pour s'assurer que l'activité malveillante n'est pas supprimée.
Remarque : le comportement accepté est nécessaire dans les cas où des BCD causant des faux positifs récurrents ont des empreintes digitales BCD similaires mais non identiques. Si un BCD a été clôturé avec la mention "faux positif", les BCD identiques, avec une empreinte digitale identique, sont automatiquement clôturés avec la résolution "Auto-faux positif".
Comment faire taire un BCD ?
La première étape serait de trouver un BCD que vous voulez faire taire.
Lorsque l'enquête est terminée, que son statut est fermé et que la résolution est "Comportement accepté", une fenêtre contextuelle vous demande si vous souhaitez créer une "règle de suppression".
Cliquez sur oui pour accéder à l'assistant de règle de suppression et choisir les points de terminaison à affecter.
Il existe 7 paramètres différents qui peuvent être utilisés pour la suppression du BCD. Les paramètres sont pré-remplis avec les données collectées par le BCD. Ces paramètres de suppression sont expliqués ci-dessous.
WithSecure a imposé l'utilisation d'au moins deux paramètres pour chaque détection de clé, afin de minimiser la "portée acceptée".
Les paramètres activés par défaut sont accompagnés d'une icône verte indiquant que le paramètre sera utilisé dans la règle. Cliquez sur "Afficher plus" pour afficher d'autres paramètres. Ceux-ci seront désactivés par défaut, c'est-à-dire les paramètres qui ne sont pas utilisés dans la règle existante. Vous pouvez choisir de les désactiver ou de les activer en désactivant le paramètre. La plupart des paramètres sont pré-remplis à partir des informations contenues dans le BCD.
Pour les BCD comportant plusieurs détections de touches, il y aura un accordéon et un ensemble de paramètres pour chaque détection de touche. Chaque détection de clé dans un BCD doit être supprimée par une règle, afin de rendre le BCD silencieux.
Le tableau ci-dessous présente les paramètres qui peuvent être utilisés
Comportement accepté Paramètre | Exemple | Description |
|---|
exe_path | c:\path\admin\support_service.exe | Cela supprimera la combinaison de la détection de la clé et de l'exécutable nommé. |
nom_exe | support_service.exe | Cela supprimera cette combinaison de détection de clé et de processus. |
cmdl | "c:\windows\system32\net localgroup group_name /add /domain | L'option supprimera l'exécutable uniquement si les arguments exacts correspondent à la détection de cette clé... |
parent_exe_path | c:\path\admin\support.exe | Cela supprimera cette combinaison de détection de clé et de parent. Attention à la suppression d'un processus parent uniquement. Il est recommandé de l'utiliser avec un autre paramètre non parent. |
nom_du_parent | support.exe | Cela supprimera cette combinaison de détection de clé et de parent. |
parent_cmdl | c:\windows\system32\net localgroup group_name /add /domain | Cela supprimera la détection de la clé créée par tout processus créé à partir de la correspondance exacte de cette ligne de commande parentale. WithSecure recommande d'utiliser ce paramètre en plus des paramètres enfants. Accepter le comportement du parent seul (sans autres paramètres) signifie que la portée de la suppression est beaucoup plus large, potentiellement dangereuse. |
nom d'utilisateur | john_doe | Cette option supprime la détection de la clé et la combinaison du nom d'utilisateur. Tout processus qui aurait déclenché la détection de clé sera réduit au silence pour le nom d'utilisateur donné. WithSecure conseille vivement d'utiliser cette option en même temps que d'autres paramètres. |
Quels opérateurs puis-je utiliser lors de la configuration des paramètres dans une détection de clé ?
Les règles de suppression permettent de définir deux opérateurs : "Equals", qui s'applique à tous les paramètres lorsque leur longueur est inférieure à 1024 caractères, et "Contains", qui s'applique à tous les paramètres.
L'inscription autorisée prend-elle effet immédiatement ?
Vous pouvez vérifier les règles de suppression dans la zone Actions automatisées, voir l'onglet "Règles de suppression".
Vous pouvez cliquer sur la règle, puis sur le nombre de BCD qui ont été réduits au silence, ce qui vous amènera à la vue BCD, où les BCD correspondants qui ont été réduits au silence par cette règle seront répertoriés.
Nous ne fermerons pas les BCD préexistants lorsqu'une nouvelle règle sera mise en œuvre. Tout nouveau BCD créé après la mise en œuvre de la règle sera fermé avec la résolution "Comportement auto accepté".
NOTE : Nos partenaires/clients seront en mesure de créer une règle de suppression pour les BCD nouvellement créés une fois que la fonctionnalité sera disponible.
Pourquoi ne puis-je pas voir les règles qui correspondent à mes demandes d'autorisation existantes ?
L'équipe de détection et de réponse (DRT) de WithSecure a mis en place une liste d'autorisations à un niveau différent dans le moteur de détection de WithSecure, ce qui signifie que les BCD ne sont pas créés pour la liste d'autorisations réalisée par la DRT. Par conséquent, les règles ne sont pas disponibles dans la vue "Règles de suppression".
Que fait WithSecure pour réduire le nombre de faux positifs ?
Nous travaillons actuellement à l'amélioration de la qualité de la détection en augmentant notre ratio de vrais positifs par rapport au nombre total d'incidents signalés. La solution comporte trois volets, dont les résultats prometteurs d'une simulation suggèrent que les volumes de BCD pourraient être réduits de 40 %.
Les trois parties détaillées ci-dessous permettront de réduire le nombre de BCD de niveau moyen, élevé et grave, avec une évaluation plus précise du risque ;
- Amélioration des mécanismes de suppression du bruit - Nous sommes en train de revoir notre mécanisme afin de supprimer les détections qui proviennent d'un comportement habituel.
- Algorithme amélioré de notation du risque BCD - Nous mettons en œuvre un nouvel algorithme qui calculera le score de risque d'un BCD sur la base de la distribution des sévérités parmi les détections contenues dans le BCD et en utilisant les données passées et présentes pour améliorer la précision de la notation.
- Intégration du modèle ML de clustering BCD - Ce modèle regroupera les incidents en fonction de leur similitude avec d'autres incidents qui ont déjà été évalués en tant que PF ou confirmés par les clients et les partenaires.
Qui peut modifier les règles de suppression ?
Si vous êtes un utilisateur en lecture seule, vous ne devez pas être autorisé à ajouter ou à modifier des règles.
Si vous êtes un utilisateur disposant d'un accès complet à une entreprise, vous pouvez.. ;
- Créer des règles
- Modifier les règles créées pour votre entreprise.
Si vous êtes un partenaire de Full Access, vous devriez être en mesure de.. :
- Créer des règles
- Modifier les règles créées au niveau du partenaire par vous-même ou vos collègues.
- Modifiez les règles créées par vos clients dans les entreprises que vous gérez.
Les règles sont-elles spécifiques à l'entreprise ?
Oui, actuellement, une règle ne peut s'appliquer qu'à une seule entreprise. Nous avons reçu des commentaires selon lesquels les partenaires souhaiteraient que les règles s'appliquent à plusieurs entreprises, et nous avons donc ajouté ce point à notre feuille de route.
Qui est responsable de la validation des règles de suppression ?
Le partenaire doit s'assurer que ses analystes et ses utilisateurs finaux comprennent et sont en mesure de configurer et de gérer les règles de suppression. Le partenaire doit accepter qu'ils comprennent que des règles trop suppressives peuvent entraîner des compromis manqués car les BCD sont cachés. Nous recommandons donc au partenaire/à l'utilisateur final de revoir régulièrement les règles et leur efficacité.
Codes de résolution nouveau
- Comportement accepté - L'incident a été clôturé et n'est plus surveillé. La détection a été confirmée comme un comportement acceptable.
- Comportement accepté automatiquement - L'incident a été clôturé automatiquement en tant que comportement accepté sur la base des règles de suppression existantes.
Remarque : la fermeture d'une BCD en tant que comportement accepté ne réduit pas au silence les BCD similaires, une règle doit être créée.
Comportement accepté après le 26 juin 2024
À partir du 26 juin 2024, "Accepted Behavior" sera disponible à l'échelle mondiale pour tous les clients.
Il sera possible de créer des règles de suppression qui acceptent le comportement d'un utilisateur ou d'un processus. Cette fonctionnalité permet de réduire au silence les "détections de contexte large" (BCD) pour un comportement attendu. Les partenaires et les clients qui utilisent la solution WithSecure's EDR peuvent utiliser cette fonctionnalité pour autoriser un comportement spécifique dans leurs environnements. Par exemple, si vous faites confiance à un processus appelé "XYZ" associé au logiciel "ABC", vous pouvez supprimer les BCD similaires pour éviter les alertes inutiles.
L'option Comportement accepté permet de supprimer les détections de clés au sein d'une BCD. Chaque BCD contient une ou plusieurs détections clés qui mettent en évidence un comportement suspect. Les organisations peuvent créer des règles de suppression en fonction de leurs circonstances spécifiques. Toutefois, les utilisateurs doivent veiller à ne pas procéder à une suppression trop large, car les comportements légitimes pourraient également être affectés.
Les limites de cette version comprennent l'activation du "comportement accepté" sur les BCD avec jusqu'à 5 détections de clés. Nous nous pencherons bientôt sur les cas où des règles identiques sont créées en raison de détections de clés répétées.
En outre, un partenaire peut créer une règle de suppression qui s'applique à toutes les entreprises qu'il gère. Pour l'instant, la règle ne peut s'appliquer qu'à une seule organisation ou à toutes les organisations qu'ils gèrent. Nous espérons pouvoir offrir un contrôle plus fin à l'avenir.