Le Blog Technique

Crowdstrike EDR – Scan de machines cibles

par Christophe Jourdan | 12 Déc 2022 | Crowdstrike, Sécurité

L’EDR Crowdstrike integre bien sur une fonction de scan de machines cibles, a la demande ou planifiés.

Aller sur le lien Endpoint security/On-demand scans

Cliquer Create a scan

Sélectionner Now ou In the future pour planifier un scan

Laisser coché l’option «Limit how long this scan runs» pour limiter la durée du scan. NB : La durée de 2 heures par défaut pourra être adapté au vu de la durée observée en moyenne dans le résultat final du/des scans.

Sélectionner une ou plusieurs et/ou des groupes de machines (la selection dans le champs affiche automatiquement les éléments)

Inscrire un ou plusieurs chemin a scanner (1 par ligne)

Inscrire éventuellement un ou plusieurs chemin a exclure

Le champ «Exclusions to test against above pattern» peut être utilisé pour tester les exclusions.

Dans l’exemple ci-dessus, on veut scanner le lecteur D:\, en excluant tout le contenu (*) de D:\App1

(la coche et la couleur du test effectué valide le fait que la syntaxe de l’exclusion est correcte. Au contraire, par exemple ne sera pas exclu)

Le bouton peut être utilisé pour charger une liste d’exclusion en respectant une ligne par exclusion.

Renseigner une description explicite

Laisser par défaut la niveau de détection et de prévention a Moderate

Pour information la description des niveau de détection est la suivante :

Level	Description
Disabled	Disable all detections or preventions.
Cautious	Detect or prevent only when our machine learning system has high confidence that something is malicious.
Moderate	Detect or prevent when our machine learning system has moderate confidence that something is malicious. We recommend this setting for most use cases. This setting also detects and prevents activity that would be detected or prevented by Cautious.
Aggressive	Detect or prevent when our machine learning system has low confidence that something is malicious. This setting also detects and prevents activity that would be detected or prevented by Moderate and Cautious.
Extra Aggressive	Detect or prevent when our machine learning system has the lowest confidence that something is malicious. This setting also detects and prevents activity that would be detected or prevented by Aggressive, Moderate, and Cautious.

Selectionner un niveau maximum de consommation CPU a utiliser (par defaut Low up to 25%)

Décocher Show notifications to end user si vous ne voulez pas que l’utilisateur connecté sur la machine reçoive une notification de Scan (le paramètre Pause duration permet d’autoriser l’utilisateur connecté à reporter le scan pour une durée donnée)

Cliquer Create Scan

Le scan apparait dans la liste et passez en état Completed lorsque le scan est fini.

Un clic sur le scan permet d’avoir le détail

Cliquer sur See full details pour afficher les détails complets

Dans notre exemple, la machine cible est bien dans les «Hosts without detection»

Le lien permet d’accéder si besoin a des éléments de diagnostique/remédiation, dans le cas d’une machine ou des détections ont été remontées :

Intune : Supprimer l’icône et l’application de Teams Chat intégré à Windows 11

par Seifeddine Zaier | 5 Déc 2022 | Intune, Windows 11

Pour supprimer l’icône et l’application de Teams Chat intégré à Windows 11 sur les appareils gérés par Intune, nous avons décidé de créer des packages de script dans Intune Proactive remediations, cela nous permettra d’exécuter des scripts de détection et de correction en utilisant le compte de l’utilisateur connecté, ce qui est un prérequis.

En outre, cette méthode offre la possibilité de filtrer uniquement les appareils Windows 11 dans les affectations, ce qui n’est pas disponible dans les scripts Intune.

Ci-dessous les packages de scripts de « Proactive remediations » MEM Intune que nous avons créé pour supprimer l’icône et l’application de Teams Chat (built-in) :

1. Package de script de suppression de l’icône Chat

1.1. Contenu du script de Détection

#Script detects the new Microsoft Teams consumer app Chat Icon on Windows 11.
$RegValue = Get-ItemProperty -path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced' -name "TaskbarMn" | Select TaskbarMn
if ($RegValue.TaskbarMn -eq "0") {
       Write-Host "Chat Icon not found"
       exit 0
} Else {
       Write-Host "Chat Icon found"
       Exit 1
}

1.2. Contenu du script de Remédiation

#Script removes the new Microsoft Teams consumer app Chat Icon on Windows 11.
#Icon is removed because this app can only be used with personal Microsoft accounts
try{
    Set-ItemProperty -path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced' -name "TaskbarMn" -value "00000000"
       Write-Host "Microsoft Teams Chat Icon successfully removed"
}
catch{
    Write-Error "Error removing Chat Icon"
}

2. Package de script de suppression de l’application MS Teams

2.1. Contenu du script de Détection

#Script detects the new Microsoft Teams consumer app on Windows 11.
if ($null -eq (Get-AppxPackage -Name MicrosoftTeams)) {
       Write-Host "Microsoft Teams client not found"
       exit 0
} Else {
       Write-Host "Microsoft Teams client found"
       Exit 1
}

2.2. Contenu du script de Remédiation

#Script removes the new Microsoft Teams consumer app on Windows 11.
#App is removed because this app can only be used with personal Microsoft accounts 
try{
    Get-AppxPackage -Name MicrosoftTeams | Remove-AppxPackage -ErrorAction stop
    Write-Host "Microsoft Teams app successfully removed"
}
catch{
    Write-Error "Error removing Microsoft Teams app"
}

Une fois créés, ces packages de scripts Proactive remediations, peuvent être déployés sur le groupe d’appareils Windows 11.

Power BI – Dax – Exemple d’utilisation de OR (II) dans un Filtre

par Christophe Jourdan | 28 Nov 2022 | PowerBI

Problématique: Nous voulons a travers une requete Dax compter un nombre de machines possedant une application ‘MyApp’ dans une table nommée MY_HOSTS_AND_APPS

Mais une partie des machines n’a pas cette info renseignée dans la colonne [AppName]. Cette info est inscrite sous la forme d’un texte libre dans une autre colonne [HostUsage]

Il est possible dans ce cas d’utiliser un OR (preferer l’alias ‘||’) dans la clause FILTER.

On compte donc (DISTINCTCOUNT), les HostName où [AppName] est égale a « MyApp » ou bien (||) la chaine « MyApp » est presente dans [HostUsage] (SEARCH)

WithMyApp = 
VAR Result = CALCULATE(
    DISTINCTCOUNT(MY_HOSTS_AND_APPS[HostName]),
        FILTER(MY_HOSTS_AND_APPS,MY_HOSTS_AND_APPS[AppName]="MyApp"
        ||
        SEARCH("MyApp",MY_HOSTS_AND_APPS[HostUsage],1,0)
        )               
)
RETURN(
    IF (Result=BLANK(),0,Result))

Toutes les astuces #tech des collaborateurs de PI Services.

Retrouvez les articles à la une

Crowdstrike EDR – Scan de machines cibles

Intune : Supprimer l’icône et l’application de Teams Chat intégré à Windows 11

Power BI – Dax – Exemple d’utilisation de OR (II) dans un Filtre

Derniers articles

Erreur MSExchange Autodiscover_Event ID 1

Exchange Hybride_Configuration TLS pour les connecteurs de réception

Erreur Setup /PrepareSchema dans un environnement existant d’Exchange hybride

Exchange 2013/2016 – Configuration de plusieurs répertoires virtuels OWA/ECP

Microsoft Exchange – les OUs ne s’affichent pas lors de la création d’une nouvelle BAL depuis l’EAC

Catégories

Archives

Auteurs/Autrices