Elements EDR fonctionne en installant un capteur léger sur chaque appareil que vous souhaitez surveiller. Ce capteur recueille des données relatives aux événements comportementaux — accès aux fichiers, création de processus, connexions réseau, modifications du registre — et les transmet au serveur central pour analyse.

Avant le déploiement

Afin d’obtenir la meilleure couverture de détection possible, veuillez appliquer ces recommandations sur les appareils cibles avant l’installation :

• Windows : assurez-vous qu’une stratégie d’audit Windows est configurée pour générer des événements dans le journal de sécurité. Veillez également à ce que la journalisation des ScriptBlocks PowerShell ne soit pas désactivée ; sa désactivation limite les capacités de détection.
• Linux : utilisez le noyau 5.10 ou une version plus récente pour bénéficier de performances optimales. Si vous utilisez le noyau 3.16 ou une version antérieure, assurez-vous que le module « auditd » est bien installé et correctement configuré.

Installez le capteur

Elements EDR prend en charge Windows (postes de travail et serveurs), Mac et Linux. Choisissez la méthode la mieux adaptée à votre environnement :

• Invitation par e-mail — adaptée à un petit nombre d’appareils. Accédez à Environnement > Appareils, sélectionnez l’icône représentant trois points à côté de « Appareils », choisissez « Ajouter un nouvel appareil », puis suivez les étapes de l’assistant pour envoyer un lien de téléchargement aux utilisateurs.
• Téléchargez le programme d’installation — adapté aux déploiements à grande échelle. Rendez-vous dans la rubrique « Téléchargements » de la barre latérale, sélectionnez le package correspondant à votre plateforme (EXE ou MSI pour Windows, MPKG pour Mac, DEB/RPM/tar pour Linux), choisissez une clé d’abonnement, puis lancez le téléchargement. La clé est intégrée au programme d’installation.

Une fois le capteur installé, vérifiez qu’il fonctionne en lançant un test de Broad Context Detection. Les utilisateurs lambda n’exécutent pas la commande « whoami », ce qui garantit une détection fiable.

1. Connectez-vous au terminal surveillé sur lequel le capteur est installé.
2. Ouvrez une invite de commande et exécutez la commande suivante : whoami
3. Exécutez la commande « exit » pour fermer l’invite de commande, puis déconnectez-vous du terminal.
4. Dans Elements Security Center, accédez à Événements > Broad Context Detection. La détection devrait s’afficher dans les minutes qui suivent.

Lorsqu’une alerte réelle se produit

Chaque détection affiche un score de niveau de risque, un niveau de confiance et un niveau de gravité afin de vous aider à établir vos priorités. Sélectionnez une détection pour afficher l’arborescence des processus, la vue des journaux et les événements associés. À partir de là, vous pouvez prendre des mesures d’intervention — telles que l’isolation de l’hôte du réseau — ou transmettre le dossier aux experts de WithSecure via la fonctionnalité « Elevate to WithSecure ».

Conseil : pour effectuer des tests avancés à l’aide de PowerShell, veuillez consulter l’annexe A du guide de l’utilisateur d’Elements EDR.