L’EDR Crowdstrike integre bien sur une fonction de scan de machines cibles, a la demande ou planifiés.
![](/image.axd?picture=/CHJOU/Crowdstrike EDR - Scan de machines cibles/Image1.png)
Aller sur le lien Endpoint security/On-demand scans
![](/image.axd?picture=/CHJOU/Crowdstrike EDR - Scan de machines cibles/Image2.png)
Cliquer Create a scan
![](/image.axd?picture=/CHJOU/Crowdstrike EDR - Scan de machines cibles/Image3.png)
![](/image.axd?picture=/CHJOU/Crowdstrike EDR - Scan de machines cibles/Image4.png)
Sélectionner Now ou In the future pour planifier un scan
Laisser coché l’option «Limit how long this scan runs» pour limiter la durée du scan. NB : La durée de 2 heures par défaut pourra être adapté au vu de la durée observée en moyenne dans le résultat final du/des scans.
![](/image.axd?picture=/CHJOU/Crowdstrike EDR - Scan de machines cibles/Image5.png)
Sélectionner une ou plusieurs et/ou des groupes de machines (la selection dans le champs affiche automatiquement les éléments)
![](/image.axd?picture=/CHJOU/Crowdstrike EDR - Scan de machines cibles/Image6.png)
Inscrire un ou plusieurs chemin a scanner (1 par ligne)
Inscrire éventuellement un ou plusieurs chemin a exclure
Le champ «Exclusions to test against above pattern» peut être utilisé pour tester les exclusions.
Dans l’exemple ci-dessus, on veut scanner le lecteur D:\, en excluant tout le contenu (*) de D:\App1
(la coche et la couleur du test effectué
valide le fait que la syntaxe de l’exclusion est correcte. Au contraire, par exemple
ne sera pas exclu)
Le bouton
peut être utilisé pour charger une liste d’exclusion en respectant une ligne par exclusion.
![](/image.axd?picture=/CHJOU/Crowdstrike EDR - Scan de machines cibles/Image10.png)
Renseigner une description explicite
![](/image.axd?picture=/CHJOU/Crowdstrike EDR - Scan de machines cibles/Image11.png)
Laisser par défaut la niveau de détection et de prévention a Moderate
Pour information la description des niveau de détection est la suivante :
Level
|
Description
|
Disabled
|
Disable all detections or preventions.
|
Cautious
|
Detect or prevent only when our machine learning system has high confidence that something is malicious.
|
Moderate
|
Detect or prevent when our machine learning system has moderate confidence that something is malicious. We recommend this setting for most use cases. This setting also detects and prevents activity that would be detected or prevented by Cautious.
|
Aggressive
|
Detect or prevent when our machine learning system has low confidence that something is malicious. This setting also detects and prevents activity that would be detected or prevented by Moderate and Cautious.
|
Extra Aggressive
|
Detect or prevent when our machine learning system has the lowest confidence that something is malicious. This setting also detects and prevents activity that would be detected or prevented by Aggressive, Moderate, and Cautious.
|
![](/image.axd?picture=/CHJOU/Crowdstrike EDR - Scan de machines cibles/Image12.png)
Selectionner un niveau maximum de consommation CPU a utiliser (par defaut Low up to 25%)
![](/image.axd?picture=/CHJOU/Crowdstrike EDR - Scan de machines cibles/Image13.png)
Décocher Show notifications to end user si vous ne voulez pas que l’utilisateur connecté sur la machine reçoive une notification de Scan (le paramètre Pause duration permet d’autoriser l’utilisateur connecté à reporter le scan pour une durée donnée)
![](/image.axd?picture=/CHJOU/Crowdstrike EDR - Scan de machines cibles/Image14.png)
Cliquer Create Scan
![](/image.axd?picture=/CHJOU/Crowdstrike EDR - Scan de machines cibles/Image15.png)
![](/image.axd?picture=/CHJOU/Crowdstrike EDR - Scan de machines cibles/Image16.png)
Le scan apparait dans la liste et passez en état Completed lorsque le scan est fini.
Un clic sur le scan permet d’avoir le détail
![](/image.axd?picture=/CHJOU/Crowdstrike EDR - Scan de machines cibles/Image17.png)
![](/image.axd?picture=/CHJOU/Crowdstrike EDR - Scan de machines cibles/Image18.png)
Cliquer sur See full details pour afficher les détails complets
![](/image.axd?picture=/CHJOU/Crowdstrike EDR - Scan de machines cibles/Image19.png)
![](/image.axd?picture=/CHJOU/Crowdstrike EDR - Scan de machines cibles/Image20.png)
Dans notre exemple, la machine cible est bien dans les «Hosts without detection»
Le lien
permet d’accéder si besoin a des éléments de diagnostique/remédiation, dans le cas d’une machine ou des détections ont été remontées :
![](/image.axd?picture=/CHJOU/Crowdstrike EDR - Scan de machines cibles/Image22.png)