search

Règles d'exclusion avec un EDR

La gestion des flux d'application via des règles d'exclusion est une approche spécifique aux solutions antivirus traditionnelles, mais elle ne s'applique pas à un EDR tel que d’un accès administratif à votre plateforme Falcon ITP. Sinon, veuillez vous référer à s'applique à un EDR tel que CrowdStrike ou SentinelOne.

  1. Différence de fonctionnement entre antivirus et EDR

  2. Prévention intelligente et gestion réactive des exclusions

  3. Les exclusions ne doivent pas être définies à l'avance

  4. Conclusion

hashtag
1. Différence de fonctionnement entre antivirus et EDR

  • Antivirus : analyse de manière proactive tous les fichiers inactifs sur le système (qu'ils soient exécutés ou non).

    • Cela génère un grand volume d'analyses et nécessite de nombreuses exclusions pour éviter les faux positifs sur les fichiers inactifs.

  • EDR (CrowdStrike, SentinelOne) : se concentre uniquement sur les fichiers réellement exécutés et sur les comportements dynamiques du système (processus, connexions, actions des utilisateurs, etc.).

    • Aucune analyse continue du disque complet n'est effectuée

    • Les fichiers inactifs ne sont pas analysés (sauf lors d'analyses manuelles)

circle-info

⇒ En pratique, comme un EDR analyse des comportements suspects plutôt que des signatures (ce que fait un antivirus), exclure un dossier de l'analyse est inutile.

⚠️ Au contraire, cela aurait un effet négatif : si un comportement suspect devait se produire dans ce dossier, l'EDR ne pourrait pas le détecter. Cela étant dit, cela reste techniquement possible si la nécessité est validée par notre équipe SOC.

hashtag
2. Prévention intelligente et gestion réactive des exclusions

CrowdStrike intègre un ensemble de mécanismes préventifs pour limiter les faux positifs sans intervention manuelle :

  • Des listes d'exclusions préconfigurées sont appliquées automatiquement lors du déploiement

  • En cas de détection suspecte impliquant une application métier, le programme est :

    • Temporairement bloqué

    • Puis analysé par notre SOC avant toute action définitive

❗ Pour éviter d'éventuelles perturbations indésirables de l'activité, l'isolement complet est effectué uniquement manuellement, soit après analyse par notre équipe SOC, soit par vous.

hashtag
3. Les exclusions ne doivent pas être définies à l'avance

Tenter d'anticiper des exclusions avant toute détection représente un risque majeur :

  • Cela revient à exclure de manière préventive des comportements potentiellement malveillants simplement parce qu'ils sont associés à une application métier connue

  • Résultat : vous risquez de neutraliser les capacités de détection de l'EDR, permettant à certaines attaques de passer inaperçues.

👉 Chez page Stoïk, les exclusions sont traitées uniquement en réponse à une détection réelle, sur la base de l'analyse du SOC.

hashtag
4. Conclusion

Les exclusions dans un EDR sont beaucoup moins nombreuses et sont appliquées uniquement lorsqu'un événement de blocage s'est réellement produit. Il n'est ni nécessaire ni conseillé d'ajouter des règles d'exclusion « préventives » comme on le ferait avec un antivirus traditionnel.

Exemple concret : L'un de nos clients (un acteur national de la distribution) possédait plus de 3 000 postes de travail et plusieurs milliers d'exclusions dans leur solution antivirus précédente. Une fois passés à CrowdStrike : aucune exclusion n'a été requise.

PrécédentConfiguration EDR : MS DefenderSuivantDois-je désinstaller l'antivirus avant la configuration de l'EDR ?

Mis à jour

Ce contenu vous a-t-il été utile ?