Quelle que soit la quantité d'information qu'un outil de sécurité d'entreprise collecte sur un endpoint, il finit le plus souvent par seulement rapporter. Lors d'un incident, l'équipe IT décroche le téléphone, appelle l'utilisateur, lui demande d'éteindre l'appareil. Des heures passent, l'attaquant est encore sur le réseau.
Le même problème existe en opération distribuée. Lorsqu'une nouvelle politique doit être appliquée à tout l'inventaire d'appareils, les outils classiques poussent un fichier, espèrent que l'utilisateur redémarre, et n'apprennent que des jours plus tard sur quel appareil le travail est terminé.
Cet écart est le gouffre entre surveillance passive et gestion active. Les capacités d'action à distance de l'ETM comblent ce gouffre : une commande est transmise à l'appareil via un canal sécurisé à travers l'agent, le résultat revient en direct, une piste d'audit est conservée.
TR7 ETM fonctionne via un seul agent, de la surveillance à la gestion de l'appareil ; l'action est toujours sous politique et audit.
L'opérateur ou l'analyste SOC exécute une requête structurée pour interroger l'état actuel de l'inventaire : « sur quels appareils tel logiciel est-il installé ? », « qui se connecte à telle IP ? », « sur quel appareil l'Endpoint Detection and Response (EDR) a-t-il redémarré dans les 5 dernières minutes ? ». La réponse est collectée en quelques secondes.
L'opérateur autorisé peut transmettre une commande à des appareils précis ou à tout l'inventaire d'appareils : redémarrer un service, installer un patch logiciel, modifier une configuration, récupérer un fichier, déposer un fichier. Toutes les actions sont enregistrées dans la piste d'audit.
Lors d'un incident ou d'une détection à haut risque, l'appareil peut être détaché du réseau — l'accès internet est bloqué, seul le canal de gestion ETM reste ouvert. La marge de mouvement latéral de l'attaquant est fermée ; l'appareil continue d'être examiné à distance.
Pour chaque commande, l'identité de l'utilisateur autorisé, le motif de l'action et la sélection de la cible sont audités. Une chaîne d'approbation peut être définie pour les actions à haut risque ; la demande d'un opérateur peut ne pas être appliquée sans l'approbation d'un autre opérateur.
L'action à distance est la couche de gestion active de l'ETM pour les équipes incident response, opération et compliance.
Avec un langage de requête structuré, des milliers d'appareils sont interrogés en une seule fois. Des requêtes du type « sur quels appareils le chiffrement du disque est-il désactivé ? », « quels appareils utilisent le pilote de telle version ? », « y a-t-il des appareils où un nouveau compte admin a été créé dans les 24 dernières heures ? » reçoivent une réponse en quelques secondes.
Avec l'approbation de l'opérateur, un script prédéfini ou une commande système contrôlée peut être exécuté sur l'appareil. Des opérations routinières comme le redémarrage de service, la collecte de logs, l'application d'un correctif temporaire, une modification de registre/plist se font à distance.
Les paquets de patch, les fichiers de configuration ou les fichiers de log/dump nécessaires pour la forensique peuvent être déposés sur l'appareil et récupérés. Tout transfert se fait via le canal sécurisé de l'ETM ; il n'est pas nécessaire d'établir un partage de fichiers direct.
L'analyste SOC ou l'automatisation de politique peut terminer un processus précis sur un seul appareil ou sur l'ensemble de l'inventaire d'appareils. La propagation d'un logiciel suspect, l'exécution d'un service inattendu ou la prévention d'un processus à forte consommation de ressources sont possibles instantanément.
Un appareil peut être isolé du réseau en raison d'un incident, d'une alerte Endpoint Detection and Response (EDR) ou d'une violation de politique. Pendant l'isolation, l'accès internet, les ressources réseau internes et les connexions de service sont bloqués ; seul le canal de gestion ETM reste ouvert. Le SOC continue d'examiner l'appareil à distance.
Une nouvelle règle de pare-feu, une nouvelle confiance de certificat ou une politique d'audit modifiée est transmise depuis une seule définition centrale à tout l'inventaire d'appareils. L'état d'application sur chaque appareil est surveillé en direct ; les applications échouées peuvent être réessayées automatiquement ou rapportées à l'opérateur.
Les appareils sur lesquels une action s'applique peuvent être sélectionnés selon des critères dynamiques plutôt que des groupes statiques. Des résultats de requête en direct comme « tous les appareils Linux », « les appareils de l'équipe finance », « les appareils où une non-conformité a été détectée dans la dernière heure » se transforment directement en liste cible.
Pour les actions à haut risque — suppression de fichiers sur l'ensemble de l'inventaire d'appareils, redémarrage d'un service cœur, isolation réseau — une chaîne d'approbation double ou multiple peut être définie. La demande d'un opérateur n'est pas appliquée sans l'approbation d'un autre opérateur autorisé.
Après l'envoi de la commande, la réponse de chaque appareil est affichée en direct : réussi, échoué, hors ligne, en attente. L'opérateur voit en quelques secondes sur quel appareil le travail est terminé ; pour les travaux non aboutis, une nouvelle tentative ou une intervention manuelle est orientée.
Qui, quand, à quel appareil, quelle commande, pour quel motif a été envoyée — chaque action est écrite dans la piste d'audit. La sortie de la commande et la réponse de l'appareil sont conservées de manière corrélée. L'enregistrement d'audit peut être transmis au SIEM et utilisé comme preuve dans les processus d'audit.
L'action à distance s'intègre aux flux de travail quotidiens des équipes de sécurité et d'opération — y compris la palette de commandes, l'automatisation, l'audit et le reporting.
On peut définir quel opérateur peut appliquer quelles actions à quel groupe d'appareils. L'analyste SOC peut accéder aux actions d'incident response ; l'opérateur IT peut accéder aux actions de patch et de configuration ; les opérateurs limités ne peuvent exécuter que des requêtes.
Les actions fréquemment répétées peuvent être enregistrées comme playbook : « quand l'agent Endpoint Detection and Response (EDR) s'arrête → isoler l'appareil + notifier le SOC + récupérer le dump des logs des 24 dernières heures ». Un playbook peut être lié comme déclencheur aux événements ETM.
Pour un appareil hors ligne au moment de la commande, l'action est mise en file d'attente. Lorsque l'appareil se reconnecte, les commandes en attente sont appliquées automatiquement ; le résultat est rapporté à l'opérateur. Le temps d'attente dans la file peut être limité par la politique.
Les actions sont réparties par niveau de risque selon leur surface d'impact. Les requêtes à faible risque peuvent être exécutées par un seul opérateur ; une seconde approbation est requise pour les actions groupées à haut risque. Les niveaux de risque sont configurables avec la politique de l'entreprise.
Chaque enregistrement d'audit d'action à distance peut être transmis au SIEM. Les équipes compliance peuvent utiliser les actions ETM pour le reporting réglementaire ; c'est critique notamment dans les secteurs financier et de la santé pour l'audit des interventions internes.
L'architecture d'envoi de commande, de sélection de cible et de collecte de résultat prend en charge l'application d'une commande à des dizaines de milliers d'appareils en une seule fois. Le temps de réponse par appareil est indépendant du pipeline parallèle.
Lorsque l'analyste SOC reçoit une alerte Endpoint Detection and Response (EDR), il détache l'appareil affecté du réseau d'un seul clic. La marge de mouvement latéral de l'attaquant se ferme ; l'appareil reste ouvert pour la forensique à distance. Les processus manuels par téléphone et les retards de plusieurs heures disparaissent.
Lorsqu'un nouveau CVE est divulgué, l'équipe IT exécute le playbook de patch ; les appareils affectés sont trouvés par requête en direct, le fichier de patch est transmis, l'état d'installation est rapporté. Un travail manuel de plusieurs heures se réduit à quelques minutes.
Pour l'investigation, un fichier de log, un memory dump ou un snapshot de configuration est récupéré à distance de l'appareil. Sans que l'appareil quitte les mains de l'utilisateur, sans perturber son flux de travail, le matériel d'investigation arrive via le canal sécurisé.
Pendant l'audit, des questions comme « le chiffrement du disque est-il actif sur tous les appareils ? » ou « l'agent Endpoint Detection and Response (EDR) fonctionne-t-il sur tous les appareils ? » reçoivent une réponse en quelques secondes. Une chaîne de preuves en direct est présentée au lieu de rapports d'inventaire manuels.
Voyons l'ETM Action à distance en direct dans votre propre environnement — planifions une session d'installation incluant la conception de playbook.