Want to create interactive content? It’s easy in Genially!

Get started free

Configuration

Formation HarfangLab

Created on September 18, 2023

Start designing with a free template

Discover more than 1500 professional designs like these:

Microcourse: Key Skills for University

Microcourse: Learn English

Sketchbook Presentation

Business Results Presentation

Colorful Presentation

Quick Quiz Universe

Match Your Brand

Explore all templates

Transcript

Déploiement

Configurer sa détection
5 minutes
Sauvegarder sa configuration

Cliquez sur le menu vous permettant d'importer/exporter votre détection

Avec l'onglet "Configuration" sous le menu "Administration", vous pouvez configurer certains éléments de votre stratégie de détection.

Il vous est possible d'exporter la configuration au format .yaml et de la réimporter dans l'EDR Harfanglab dans le cas d'une éventuelle perte de données.

IOC

Ici, il est possible de paramétrer la remontée des détections IOC.

Vous pouvez choisir, lors d'un Scan IOC, de scanner les binaires signés par Microsoft et/ou les binaires signés par des tiers.

Sidewatch

Cet insert vous permet de définir un niveau d'alerte par défaut pour les événements générés par le moteur Sidewatch. Pour rappel, Sidewatch est utile pour le détournement de DLL.

Ransomguard

Cet encart permet de donner un niveau d'alerte par défaut pour les évènements de type Ransomguard. Le moteur crée des fichiers "canaris" sur votre endpoint, ce qui va lui permettre de garder un oeil sur un.e possible chiffrement/suppression/modification de données et donc de déclencher une alerte pour vous en avertir.

Les noms des canaris créés peuvent être les suivants : ransomguard.docx ou ransomguard.xlsx sur Windows, ou .ransomguard.xxx sur Linux. Ceux-ci peuvent se trouver à plusieurs endroits du poste (/path/ ou path/). Leur taille ne dépassera pas 2MB.

Déploiement de règles de détection

Cliquez sur l'encart rouge

Il est possible de définir le statut d'une nouvelle règle par défaut (stable ou experimental). Si le statut est experimental, seuls les analystes autorisés pourront voir les alertes générées par ces règles, le temps que celles-ci soient affinées.

Threats

Cet encart vous permet de : - Appliquer le statut choisi d'une "Threat" à tous ses "Security Events". - Créer une nouvelle "Threat" lorsqu'un évènement est ajouté à une threat déjà fermée. - Créer une nouvelle "Threat" si un évènement de sécurité est ajouté à une "Threat" avec le statut de faux positif.

Déploiement

Configurer sa détection

Bravo !

N'oubliez pas de nous partager vos impressions grâce à la section commentaires sur votre droite !