Symantec Endpoint Detection and Response vous permet de rechercher les artefacts (tels que les fichiers, les processus, les clés de registre et les hachages) qui constituent des indicateurs de compromission (IOC). Il n'existe aucune limite au nombre d'expressions que vous pouvez rechercher, indépendamment du type de recherche effectuée. À l'exception des recherches de terminal, n'importe quel rôle d'utilisateur peut effectuer une recherche et afficher les résultats. Cependant, seuls les utilisateurs ayant le rôle d'administrateur ou de contrôleur peuvent faire des recherches sur des terminaux et effectuer des actions (telles que la suppression d'un fichier). Vous pouvez également sauvegarder et restaurer les données de requête de recherche.
Important : si l'heure de l'ordinateur client est incorrecte pour son fuseau horaire, les requêtes peuvent renvoyer des résultats incomplets à la console. Par exemple, il est actuellement 11h00 du matin et l'ordinateur client est réglé sur 16h00. Pour un résultat optimal, assurez-vous que les ordinateurs client sur lesquels vous effectuez des recherches sont synchronisés avec un serveur de temps (ntp.symantec.com, par). Pour afficher les résultats complets, rallongez le filtre d'intervalle de temps au-delà de l'heure actuelle.
Se reporter à À propos de la sauvegarde et de la restauration des données Symantec EDR.
Tableau : Recherches Symantec EDR décrit les types de recherche que vous pouvez effectuer dans la console.
Tableau : Recherches Symantec EDR
Type de recherche |
Description |
Base de données |
Symantec EDR collecte des informations des détecteurs de réseau, terminal et messagerie électronique et les rassemble dans une base de données. Ce sont les événements et les entités qui ont été consignés dans la base de données et peuvent être ou ne pas être présents sur vos terminaux. Une recherche de base de données est une recherche de cette base de données. Conseil : utilisez la recherche de terminal pour détecter les artefacts qui se trouvent actuellement sur vos terminaux ou sur l'enregistreur d'activité de terminal.
Les types de recherches de base de données que vous pouvez effectuer sont les suivantes :
Événements La recherche d'événements fournit des informations sur les événements qui se sont produits dans votre réseau. (La vue par défaut de cette page est l'équivalent de la Events (Événements) dans Symantec EDR 2.3 ou version ultérieure.) Ce type de recherche est destiné aux intervenants expérimentés effectuant une enquête pour trouver des informations détaillées sur un événement. Ils n'ont pas besoin d'utiliser Symantec EDR pour déterminer si l'événement est suspect, malveillant ou s'il n'est pas dangereux. En revanche, ils sont plus intéressés par les détails concernant l'événement. En plus d'effectuer des recherches sur cette page, les filtres par défaut vous permettent de restreindre aux événements sur lesquels vous souhaitez vous concentrer. Vous ne pouvez pas effectuer des tâches de remédiation, telles que la suppression d'un fichier, depuis cette page. Cependant, vous pouvez cliquer sur les hyperliens pour accéder aux pages de détails de l'entité, où vous pouvez effectuer des actions de remédiation. Se reporter à Recherche d'événements constituant des indicateurs de compromission dans la base de données Symantec EDR.
Entités La recherche d'entités consiste en l'analyse par Symantec EDR des entités de votre organisation qui sont suspectes, malveillantes ou présentent un intérêt particulier. Ce type de recherche s'adresse aux intervenants moins expérimentés qui comptent sur l'analyse d'Symantec EDR pour déterminer quelles entités sont des menaces potentielles. Toutefois, la page de recherche d'entités n'offre pas les détails que vous obtenez dans une page de recherche d'événements. Les filtres par défaut vous permettent de restreindre rapidement les résultats. Si vous disposez de droits d'administrateur ou de contrôleur, vous pouvez effectuer des actions de remédiation depuis cette page. Vous pouvez également cliquer sur les hyperliens pour accéder à la page des détails de l'entité pour plus d'informations. Effectuez des recherches d'entité à l'aide d'un fichier STIX à partir de cet onglet. Se reporter à Recherche des entités dans votre organisation qui peuvent être compromises.
|
Terminal |
Symantec EDR peut effectuer une recherche des événements qui se produisent sur vos terminaux presque en temps réel et peut parcourir l'enregistreur d'activité de terminal pour la recherche d'IOC. Après avoir lancé une recherche, vous pouvez cliquer dessus dans la liste (État de la recherche) pour accéder à la page des détails de la recherche. La page de détails de recherche fournit l'état de la recherche sur les terminaux client. La page affiche également les résultats pour chaque terminal client et sur chaque enregistreur d'activité de terminal. Cliquez sur les hyperliens pour accéder aux pages de détails de l'entité, où vous pouvez afficher plus d'informations et effectuer des actions de remédiation. Se reporter à Détails de la recherche. Si Symantec EDR ne parvient pas à terminer une recherche ou à annuler une recherche, Symantec EDR fait expirer la recherche au bout de 7 jours. Les recherches d'événements d'enregistreur d'activité de terminal requièrent que vous activiez l'enregistreur d'activité de terminal dans Symantec EDR. Cette fonctionnalité nécessite que le terminal client exécute SEP 14.1 RU1 ou versions ultérieures. Les recherches de terminal requièrent une version minimale prise en charge de Symantec Endpoint Protection 12.1 RU5. La version minimum de Symantec Endpoint Protection Manager pour la prise en charge de toutes les fonctionnalités de recherche est 12.1 RU6. Si le client utilise la version 12.1 RU5, les fonctionnalités de recherche suivantes ne sont pas prises en charge.
Se reporter à Recherche d'indicateurs de compromission sur les terminaux SEP.
Remarque : |
Avec EDR 2.0, si vous envoyez une demande de recherche et qu'un client SEP est redémarré avant que la recherche soit terminée, la recherche est interrompue. Avec EOC 1, la recherche reprend au redémarrage. |
Se reporter à Configuration requise pour l'intégration de Symantec EDR aux interfaces de gestion et aux bases de données intégrées de SEP. Se reporter à Message et descriptions des résultats de la recherche de terminal. |
Se reporter à À propos des filtres rapides
Se reporter à Écriture d'expressions de recherche de terminal correctes
Se reporter à Annulation d'une requête de recherche de terminal
Merci pour vos commentaires. Faites-nous savoir ci-dessous si vous avez d'autres commentaires. (connexion requise)