Introduction
Pour valider qu'un agent de point final fonctionne comme prévu et pour permettre aux utilisateurs d'expérimenter en toute sécurité la façon dont le point final réagit à une "menace", nous avons inclus plusieurs règles de point final dans l'ensemble de règles par défaut de l'agent.
À l'aide de ces règles, vous pouvez valider la fonctionnalité de la notification, le blocage et les règles de terminaison via l'invite de commande. Ces règles de validation sont pour l'instant limitées aux systèmes Windows et seront étendues à d'autres systèmes à l'avenir.
Ces règles de validation sont conçues pour ne permettre qu'à un seul ARO d'être actif à la fois pour chaque point d'accès. Bien que le point d'accès se comporte comme prévu (blocage, arrêt), l'exécution d'une commande de test supplémentaire ne génère pas de nouvel ARO si un ARO de test de validation de service existant est ouvert ou a été précédemment annulé pour ce point d'accès.
Tests de validation
Le tableau ci-dessous résume les tests de validation qui peuvent être effectués. Les pages suivantes fournissent des détails supplémentaires pour chaque test, y compris des exemples du comportement attendu et de l'ORA qui en résulte.
Validation | Commandement | Résultat |
Notification | cmd.exe /C echo “CovEICARNotify” | La chaîne attendue sera affichée dans la console. Une alerte dans Covalence et un ARO dans le portail seront générés. |
Bloc | cmd.exe /C echo “CovEICARBlock” | La commande sera bloquée et la chaîne attendue ne sera pas transmise à la console. Une alerte dans Covalence et un ARO dans le portail seront générés. |
Bloquer et terminer | cmd.exe /C echo “CovEICARTerminate” | La commande sera bloquée, le processus source sera terminé et la chaîne attendue ne sera pas envoyée à la console. Une alerte dans Covalence et un ARO dans le portail seront générés. |
Test de validation de la notification
À partir de PowerShell ou de l'invite de commandes, exécutez la commande suivante pour générer une alerte Covalence et un BRA dans le portail :
cmd.exe /C echo “CovEICARNotify”
Cette commande renvoie la chaîne "CovEICARNotify" à la console, validant ainsi la règle "notify only". La chaîne renvoyée sera visible dans la console.
L'ARO suivant sera généré en fonction de cette action. Aucun autre ARO de validation de service de point d'extrémité ne sera créé pour ce point d'extrémité tant que l'ARO restera ouvert.
Test de validation du blocage des points finaux
À partir de PowerShell ou de l'invite de commandes, exécutez la commande suivante pour générer une alerte Covalence et un BRA dans le portail :
cmd.exe /C echo “CovEICARBlock”
Cette commande ne pourra pas renvoyer la chaîne "CovEICARBlock" à la console (contrairement au test de validation de la notification).
Cette commande génère également la notification locale suivante pour le point d'extrémité.
L'ARO suivant sera généré en fonction de cette action. Aucun autre ARO de validation de service de point d'extrémité ne sera créé pour ce point d'extrémité tant que l'ARO restera ouvert.
Point final de covalence - bloquer et terminer
À partir de PowerShell ou de l'invite de commandes, exécutez la commande suivante pour générer une alerte Covalence et un BRA dans le portail :
cmd.exe /C echo “CovEICARTerminate”
Cette commande ne pourra pas renvoyer la chaîne "CovEICARTerminate" à la console (contrairement au test de validation de la notification) et mettra fin au processus source.
Cette commande génère également la notification locale suivante pour le point d'extrémité.
L'ARO suivant sera généré sur la base de cette action. Aucun autre ARO de validation du service d'extrémité ne sera créé pour cette extrémité tant que l'ARO initial restera ouvert.
Cet article a-t-il été utile ?
C'est super !
Merci pour votre commentaire
Désolé ! Nous n'avons pas pu vous être utile
Merci pour votre commentaire
Commentaires envoyés
Nous apprécions vos efforts et nous allons corriger l'article