663
Sophos Central Admin Aide

Sophos Central Admindocs.sophos.com/central/Customer/help/fr-fr/PDF/sc... · 2020-02-03 · Sophos Central Admin 3 Vue générale Le menu principal contient les fonctions auxquelles

  • Upload
    others

  • View
    5

  • Download
    0

Embed Size (px)

Citation preview

  • Sophos Central Admin

    Aide

  • Table des matièresÀ propos de cette Aide............................................................................................................................1Activation de votre licence.......................................................................................................................2Vue générale............................................................................................................................................ 4

    Tableau de bord............................................................................................................................ 4Alertes............................................................................................................................................5Centre d’analyse des menaces...................................................................................................20Journaux et rapports................................................................................................................... 32Utilisateurs/groupes..................................................................................................................... 55Appareils...................................................................................................................................... 67Paramètres généraux.................................................................................................................. 88Protection des appareils............................................................................................................156

    Protection des terminaux..................................................................................................................... 170Tableau de bord........................................................................................................................ 170Journaux et rapports................................................................................................................. 171Utilisateurs/groupes................................................................................................................... 174Ordinateurs................................................................................................................................ 186Groupes d’ordinateurs............................................................................................................... 195Stratégies...................................................................................................................................196Paramètres................................................................................................................................ 221Protection des appareils............................................................................................................263

    Chiffrement........................................................................................................................................... 272Tableau de bord........................................................................................................................ 272Journaux et rapports................................................................................................................. 272Utilisateurs/groupes................................................................................................................... 274Ordinateurs................................................................................................................................ 286Ordinateurs non administrés..................................................................................................... 295Groupes d’ordinateurs............................................................................................................... 295Stratégies...................................................................................................................................296Paramètres................................................................................................................................ 303Protection des appareils............................................................................................................319

    Protection des serveurs....................................................................................................................... 322Tableau de bord........................................................................................................................ 322Journaux et rapports................................................................................................................. 323Serveurs.....................................................................................................................................326Serveurs sur AWS.....................................................................................................................336Stratégies...................................................................................................................................339Paramètres................................................................................................................................ 368Protection des appareils............................................................................................................404

    Sans fil..................................................................................................................................................407Tableau de bord Wireless......................................................................................................... 407Alertes sans fil...........................................................................................................................409Appareils.................................................................................................................................... 410Informations sur l’utilisation....................................................................................................... 411Diagnostics de Sophos Wireless.............................................................................................. 411Points d’accès........................................................................................................................... 419SSID...........................................................................................................................................424Sites........................................................................................................................................... 437Paramètres................................................................................................................................ 439

    Email Gateway..................................................................................................................................... 442Ajouter des boîtes de réception à Email Gateway................................................................... 442Gestion des domaines.............................................................................................................. 443Stratégies et paramètres...........................................................................................................444

    (2020/02/21)

  • Tableau de bord Email Gateway.............................................................................................. 445Rapport d’historique des messages..........................................................................................446Rapport Résumé de la messagerie.......................................................................................... 448Informations sur l’activité Sandstorm........................................................................................ 449Informations Time of Click........................................................................................................ 449Utilisateurs à risque...................................................................................................................450Violations de la stratégie de Prévention des pertes de données..............................................450Utilisateurs/groupes................................................................................................................... 451Boîtes de réception................................................................................................................... 462Messages en quarantaine.........................................................................................................466Stratégies...................................................................................................................................466Paramètres................................................................................................................................ 483Intégration de Sophos Email aux services externes.................................................................509

    Passerelle Web.................................................................................................................................... 537Tableau de bord........................................................................................................................ 537Journaux.................................................................................................................................... 538Rapports.................................................................................................................................... 538Utilisateurs/groupes................................................................................................................... 539Ordinateurs................................................................................................................................ 550Stratégies...................................................................................................................................559Paramètres................................................................................................................................ 566Protection des appareils............................................................................................................589

    Gestion des pare-feu........................................................................................................................... 590Tableau de bord........................................................................................................................ 590Pare-feu..................................................................................................................................... 591Licences Firewall Reporting...................................................................................................... 607Sauvegarder.............................................................................................................................. 611

    Phish Threat......................................................................................................................................... 613Tableau de bord........................................................................................................................ 613Rapports.................................................................................................................................... 614Utilisateurs/groupes................................................................................................................... 616Campagnes................................................................................................................................628Paramètres................................................................................................................................ 637

    Cloud Optix...........................................................................................................................................645Parcourir les produits........................................................................................................................... 646Compte et licence................................................................................................................................ 648

    Informations sur le compte........................................................................................................648Licence.......................................................................................................................................652

    Programmes d’accès anticipé.............................................................................................................. 654Navigateurs Web pris en charge......................................................................................................... 656Langues................................................................................................................................................ 657Aide supplémentaire.............................................................................................................................659Mentions légales.................................................................................................................................. 660

    (2020/02/21)

  • Sophos Central Admin

    1 À propos de cette AideCette Aide vous indique comment utiliser toutes les fonctions de Sophos Central.

    Si vous ne trouvez pas ce que vous recherchez ici, rendez-vous à la section Support de notre siteWeb pour effectuer votre recherche. Vous y trouverez des articles de la base de connaissances oudes forums de discussions sur Sophos Community.

    ConseilVous n’utilisez pas encore Sophos Central ? Inscrivez-vous ici et nous allons vous aider àcommencer.

    Vous pouvez vous connecter avec vos identifiants de connexion Microsoft si votre administrateur lepermet. Cliquez sur Connexion avec Microsoft et saisissez vos identifiants de connexion Microsoft.

    Copyright © Sophos Limited 1

    https://secure2.sophos.com/en-us/support.aspxhttps://central.sophos.com/manage/login

  • Sophos Central Admin

    2 Activation de votre licenceLorsque vous achetez une nouvelle licence, vous devez l’activer.

    Vous faites ceci dans la console Sophos Central (sauf si un Partenaire Sophos se charge del’activation des licences pour vous).

    Lorsque vous achetez une mise à niveau, celle-ci peut être activée automatiquement ou vous devrezpeut-être l’activer.

    Remarquesi vous utilisez une version d’essai de Sophos Central, vous n’avez pas besoin d’activer la licencepour le moment. Vous devrez le faire uniquement si vous décidez d’utiliser une licence payante.

    Pour activer une licence, veuillez procéder comme indiqué ci-dessous.

    RemarqueNous changeons la procédure d’activation de la licence. Les choix proposés à la dernière étape ci-dessous pourraient ne pas encore être disponibles.

    1. Assurez-vous que la clé de licence apparaît bien dans l’annexe de licence que Sophos vous aenvoyé.

    2. Recherchez le nom de votre compte dans le coin supérieur droit de l’interface d’utilisation. Cliquezsur le nom et sélectionnez Licences.

    3. Veuillez à présent utiliser votre clé de licence.

    • Si vous voyez le champ Code d’activation, saisissez votre clé et cliquez sur Appliquer.

    • Si vous voyez le lien Appliquer la clé de licence, cliquez dessus. Saisissez votre clé delicence et cliquez sur Appliquer.

    4. Si votre compte possède déjà des licences pour les fonctionnalités incluses dans la clé, une autreboîte de dialogue peut s’afficher. Ceci vous permet de choisir comment utiliser vos nouvelleslicences.

    • Renouveler active les nouvelles licences lorsque vos licences en cours expirent.

    • Modifier active les nouvelles licences immédiatement. Nous ajusterons les termes de votrelicence afin que toutes vos licences expirent à la même date.

    Cliquez à nouveau sur Appliquer.

    Comment fonctionne l’option « Changer »

    Un client commande 50 licences pour un an. Six mois plus tard, il commande 50 autres licencespour un an.

    Si le client sélectionne Modifier, nous procédons comme suit :

    • Ajouter les nouvelles licences aux anciennes. Le client dispose désormais de 100 licences.

    • Ajouter le temps restant sur les anciennes licences (50 licences x 6 mois = 300) au temps desnouvelles licences (50 licences x 12 mois = 600). Le total est 900 mois.

    • Répartir le temps sur les 100 licences. Chaque licence d’utilisateur est désormais valide pendant9 mois à partir de la date d’application de la clé (et la date d’expiration est ajustée en fonction).

    2 Copyright © Sophos Limited

  • Sophos Central Admin

    Le client dispose de 100 licences qui expireront dans 9 mois à compter de leur activation.

    Dans la majorité des cas, la date d’expiration de votre licence en cours est prolongée mais veuilleztout de même vérifier la nouvelle date d’expiration.

    Copyright © Sophos Limited 3

  • Sophos Central Admin

    3 Vue généraleLe menu principal contient les fonctions auxquelles vous avez accès dans Sophos Central. Ellesfigurent sous la liste des noms de produits, comme par exemple Endpoint Protection.

    Il existe également une vue générale qui regroupe les fonctions de tous vos produits sous licence.

    3.1 Tableau de bordLe Tableau de bord est la page d’accueil de Sophos Central. Il et vous permet d’avoir un aperçurapide sur les informations les plus importantes. Il est composé des sections ci-dessous.

    Alertes les plus récentes

    Alertes les plus récentes affiche les dernières alertes. Les alertes Pour information sont pourinformation uniquement et ne nécessite aucune intervention de votre part.

    Cliquez sur Voir toutes les alertes pour afficher toutes les alertes.

    Appareils et utilisateurs : résumé

    Appareils et utilisateurs : résumé affiche les informations d’utilisation et de protection desutilisateurs ou des appareils protégés. Il indique également le nombre d’utilisateurs ou d’appareilsnon protégés.

    Cliquez sur les différents onglets pour voir les informations sur chaque type d’appareils ou sur lesutilisateurs.

    Cliquez sur Voir le rapport pour ouvrir un rapport détaillé correspondant à l’onglet que vous avezsélectionné.

    Sécurité de la messagerie

    Entrant affiche les informations sur les catégories de messages suivantes :

    • Légitime : Messages classés comme sains et livrés.

    • Violations de la stratégie DLP : Messages ayant violé les stratégie de prévention des pertes dedonnées.

    • Spam : Messages classés comme spam.

    • Menace avancée : Messages classés comme contenant des menaces avancées.

    • Virus : Messages classés comme contenant des virus.

    • Authentification impossible : Messages sur lesquels l’authentification par DMARC, SPF ouDKIM a échoué.

    • Liste de blocage en temps réel : Messages détectés en raison d’une adresse IP d’envoibloquée.

    4 Copyright © Sophos Limited

  • Sophos Central Admin

    • Liste de blocage de l’entreprise : Messages envoyés à partir d’une adresse qui a déjà étéajoutée à la liste de blocage de l’entreprise (autoriser/bloquer le trafic entrant).

    Sortant indique le nombre total de messages électroniques sortants traités par Email Security pourvos boîtes de réception protégées au cours des 30 derniers jours. Il indique également le nombrede messages légitimes traités, le nombre de messages de spam et viraux détectés et le nombre demessages ayant violé les stratégies DLP (prévention des pertes de données).

    Cliquez sur Voir le rapport pour ouvrir le rapport Résumé de la messagerie et consulterles informations sur les messages traités comme indiqué à la section Rapport Résumé de lamessagerie.

    Contrôle du Web

    Contrôle du Web affiche les statistiques de la protection par le Contrôle du Web.

    Les chiffres indiqués correspondent aux menaces bloquées, aux violations de stratégie bloquées etaux avertissements de stratégie. Il y a également un chiffre pour les « avertissements de stratégieayant continué » qui correspond au nombre d’utilisateurs ayant ignoré un avertissement pour serendre sur un site Web.

    Cliquez sur un nombre pour ouvrir un rapport détaillé.

    Résumé des blocages par la passerelle Web

    Résumé des blocages par la passerelle Web affiche les statistiques de la protection par laPasserelle Web (vous voyez cette section uniquement si vous avez une licence Sophos WebGateway).

    Les chiffres indiquent le nombre de malwares et de sites Web bloqués.

    Cliquez sur un nombre pour ouvrir un rapport détaillé.

    Concepts connexesRapport Résumé de la messagerie (page 52)Le rapport Résumé de la messagerie fournit des informations détaillées sur les emails traités parEmail Gateway pour vos boîtes de réception protégées.

    3.2 AlertesLa page Alertes répertorie toutes les alertes nécessitant une intervention de votre part.

    RestrictionCertaines options pourraient ne pas encore être disponibles pour tous les clients.

    Les alertes résolues automatiquement ne sont pas affichées. Vous pouvez voir tous les événementsdans Journaux et rapports > Événements.

    Remarquel’heure à laquelle l’alerte s’est produite n’est pas mise à jour si le même événement survientplusieurs fois.

    Sur la page Alertes, vous pouvez :

    Copyright © Sophos Limited 5

  • Sophos Central Admin

    • Regrouper les alertes.

    • Filtrer les alertes.

    • Intervenir en cas d’alertes.

    • Changer la fréquence des alertes par email.

    Retrouvez plus de renseignements sur les différents types d’alertes dans les autres pages d’aidedans cette section.

    RemarqueSi vous avez Intercept X Advanced with EDR, vous pouvez analyser, bloquer et nettoyer lesmenaces à partir des dossiers Menace.

    Regrouper les alertes

    Vous pouvez regrouper toutes les alertes concernant une menace ou un événement spécifique sousune seule entrée de la liste. De cette manière, les alertes sont plus faciles à gérer.

    Activer le Groupe (coin supérieur droit de la page).

    Le nombre d’alertes pour chaque entrée de groupe apparaît dans la colonne Nombre .

    Pour afficher toutes les alertes dans un groupe, cliquez sur la flèche déroulante sur la droite.

    Filtrer les alertes

    Pour voir les alertes avec une priorité particulière, cliquez sur les symboles Alertes élevées, Alertesmoyennes ou Alertes basses en haut de la page.

    Pour voir les alertes d’un produit ou d’un type de menace spécifique, utilisez les filtres déroulantesau-dessus de la liste des alertes.

    Intervenir en cas d’alertes

    Vous pouvez intervenir en cas d’alertes.

    Pour intervenir sur une alerte, cliquez sur la flèche déroulante à côté de l’alerte pour voir lesinformations la concernant. Dans Actions, cliquez sur le lien d’action (si disponible).

    Si vous consultez des groupes d’alertes, cliquez sur un bouton d’action (si disponible) à côté dugroupe dans la liste.

    RemarqueSi vous voulez autoriser une application que Sophos Deep Learning signale comme malware,vous pouvez le faire à partir de la page Événements mais pas d’ici.

    Les actions suivantes sont disponibles pour les alertes selon le type d’alertes :

    • Marquer comme validé : Cliquez sur cette option pour supprimer l’alerte de la liste. L’alerte nesera plus affichée.

    Cette opération ne résout pas les menaces ni ne supprime les informations sur la menace dugestionnaire de quarantaine sur l’ordinateur ou le serveur.

    6 Copyright © Sophos Limited

  • Sophos Central Admin

    • Marquée comme résolue : Cliquez sur cette option si la menace a déjà été résolue surl’ordinateur ou le serveur. Cette action efface l’alerte de la liste dans Sophos Central et effaceégalement les informations sur la menace du gestionnaire de quarantaine sur l’ordinateur ou leserveur.

    Cette action ne résout pas les menaces.

    Cette action est uniquement disponible sur les ordinateurs ou serveurs Windows.

    • Nettoyer : Cliquez sur cette option pour supprimer un ransomware (crypto-virus) d’un serveur.

    • Réinstaller Endpoint Protection : Cliquez sur cette option pour aller sur la page Protection desappareils à partir de laquelle vous pouvez télécharger le logiciel de l’agent Sophos.

    • Contacter le support : Cliquez pour obtenir de l’aide supplémentaire. Cette action est disponiblelorsque vous avez besoin d’aide, par exemple en cas d’échec de nettoyage d’un malware.

    • Nettoyer la PUA : Cliquez sur cette option pour nettoyer (éliminer) une application potentiellementindésirable ou PUA (Potentially Unwanted Application) qui a été détectée.

    Cette action est uniquement disponible pour les ordinateurs.

    Cette action ne sera pas disponible si la PUA a été détectée dans un partage réseau. En effet,l’agent Sophos Endpoint Protection n’a pas les droits suffisants pour nettoyer les fichiers danscet emplacement. Retrouvez plus de renseignements sur le traitement des PUA.

    • Autoriser la PUA : Cliquez sur cette option pour autoriser l’exécution d’une applicationpotentiellement indésirable (PUA) sur tous les ordinateurs. Vous pouvez utiliser cette option si vousjugez qu’une telle application est utile.

    Cette action est uniquement disponible pour les ordinateurs.

    Changer la fréquence des alertes par email.

    Vous pouvez changer la fréquence à laquelle un type d’alerte est envoyé.

    Cliquez sur le menu déroulant à côté de l’alerte pour voir plus d’informations. Dans Alerte paremail, sélectionnez la fréquence d’envoi de ce type d’alerte.

    Ce paramètre sera ajouté aux Exceptions dans les paramètres des alertes par email. Vous pouvezégalement modifier ce paramètre.

    Concepts connexesTraitement des menaces (page 13)Dossiers Menace (page 21)Les dossiers Menace vous permettent d’analyser et de nettoyer les attaques de malwares.

    Applications autorisées (page 126)Alertes de protection contre les menaces (page 7)Alertes d’installation, de mise à jour et de conformité (page 11)Rapport d’événements (page 33)Configurer les alertes par email (page 119)Vous pouvez gérer la façon dont les administrateurs vont recevoir les alertes par email.

    3.2.1 Alertes de protection contre les menaces

    Retrouvez ci-dessous les différents types d’alertes de protection contre les menaces.

    Copyright © Sophos Limited 7

  • Sophos Central Admin

    Retrouvez plus de renseignements sur une menace et plus de conseils sur la manière de la traiteren cliquant sur son nom dans l’alerte.

    Vous pouvez également vous rendre sur la page Analyse des menaces sur le site Web de Sophos.Sous Parcourir nos analyses des menaces, cliquez sur le lien d’un type de menace, puisrecherchez la menace ou parcourez la liste des éléments les plus récents.

    Vous verrez probablement les malwares dans la liste des Événements détectés sous le nom ML/PE-A. Retrouvez plus de renseignements à ce sujet dans l’article 127331 de la base de connaissances.

    Élevée

    Protection en temps réel désactivée

    La protection en temps réel a été désactivée pendant plus de 2h30 sur un ordinateur. La protectionen temps réel doit être activée en permanence. Le support Sophos vous conseille de la désactiverpendant un court moment si vous devez procéder à un examen approfondi.

    Malware non nettoyé

    Certains malwares détectés n’ont pas pu être supprimés au bout de 24 heures, alors même quela suppression automatique était disponible. Il est probable que le malware ait été détecté lorsd’un contrôle qui ne fournit pas l’élimination automatique. Par exemple, un contrôle à la demandeconfiguré localement. Vous pouvez traiter ce malware de l’une des manières suivantes :

    • Procédez à une opération de suppression centralisée en programmant un contrôle dans lastratégie (qui aura donc l’option de suppression automatique activée).

    • Procédez à une opération de suppression locale en utilisant le Gestionnaire de quarantaine.

    Nettoyage manuel requis

    Certains malwares détectés n’ont pas pu être supprimés automatiquement car la suppressionautomatique est indisponible. Cliquez sur « Description » dans l’alerte pour être redirigé vers lesite Web de Sophos sur lequel vous retrouverez tous les conseils utiles pour supprimer la menace.Veuillez contacter le support Sophos si vous avez besoin d’aide.

    Malware en cours d’exécution non nettoyé

    Un programme s’exécutant sur un ordinateur et affichant un comportement malveillant oususpect n’a pas pu être supprimé. Cliquez sur « Description » dans l’alerte pour obtenir plus derenseignements sur la menace et son traitement. Veuillez contacter le support Sophos si vous avezbesoin d’aide.

    Trafic malveillant détecté

    Du trafic réseau malveillant, s’étant potentiellement dirigé vers un serveur de commande et decontrôle impliqué dans une attaque de botnets ou d’autres malwares a été détecté. Cliquez sur« Description » dans l’alerte pour obtenir plus de renseignements sur la menace et son traitement.Veuillez contacter le support Sophos si vous avez besoin d’aide.

    Infection récurrente

    Un ordinateur a été réinfecté suite à la tentative de suppression d’une menace par Sophos Central.Il est probable que la menace contienne des composants cachés qui n’ont pas été détectés. Uneanalyse approfondie de la menace peut être nécessaire. Veuillez contacter le support Sophos pourobtenir plus d’assistance.

    Ransomware détecté

    Nous avons détecté un ransomware et bloqué son accès au système de fichiers. Si l’ordinateur estune station de travail, les ransomwares sont éliminés automatiquement. Veuillez procéder commesuit :

    8 Copyright © Sophos Limited

    http://www.sophos.com/en-us/threat-center/threat-analyses.aspx

  • Sophos Central Admin

    • Si vous avez toujours besoin d’éliminer une menace : Déplacez temporairement l’ordinateur surun réseau sur lequel il ne représentera pas un risque pour les autres ordinateurs Sur l’ordinateur,exécutez Sophos Clean (si ce programme n’est pas installé, veuillez le télécharger sur notre siteWeb).

    Vous pouvez exécuter Sophos Clean sur un serveur à partir de Sophos Central. Retrouvez plusde renseignements à la section Alertes.

    • Si l’envoi automatique d’échantillon n’est pas activé, veuillez nous envoyer un échantillon duransomware. Nous le classerons et mettrons à jour nos règles. Si celui-ci est malveillant, SophosCentral le bloquera.

    • Allez dans Sophos Central, puis dans Alertes, et marquez l’alerte comme résolue.

    Détection d’une attaque de ransomware sur une machine distante

    Nous avons détecté un ordinateur essayant de chiffrer des fichiers sur d’autres ordinateurs.

    Nous avons bloqué l’accès en écriture de cet ordinateur aux partages réseau. Si l’ordinateur est unestation de travail et que Protéger les fichiers document contre les ransomwares (CryptoGuard)est activé, l’ordinateur est nettoyé automatiquement de tous les ransomwares.

    Veuillez procéder comme suit :

    • Assurez-vous que Protéger les fichiers document contre les ransomwares (CryptoGuard) estactivé dans la stratégie Sophos Central. Ceci fournit plus d’informations.

    • Si l’opération de nettoyage n’est pas automatique : Déplacez l’ordinateur sur un réseau sur lequel ilne représentera pas un risque pour les autres ordinateurs Rendez-vous sur l’ordinateur et exécutezSophos Clean (si ce programme n’est pas installé, veuillez le télécharger sur notre site Web).

    • Allez dans Sophos Central, puis dans Alertes, et marquez l’alerte comme résolue.

    Moyenne

    Application potentiellement indésirable (PUA) détectée

    Le logiciel détecté pourrait être un adware ou tout autre logiciel potentiellement indésirable. Lesapplications potentiellement indésirables sont bloquées par défaut. Vous avez la possibilité de lesautoriser si vous les considérez utiles ou de les supprimer.

    Autoriser les PUA

    Vous pouvez autoriser une PUA de l’une des deux manières suivantes selon que vous vouliezl’autoriser sur tous les ordinateurs ou seulement sur certains d’entre eux :

    • Sur la page Alertes, sélectionnez l’alerte et cliquez sur le bouton Autoriser la PUA dans le coinsupérieur droit de la page. La PUA va être autorisée sur tous les ordinateurs.

    • Ajoutez la PUA aux exclusions de contrôle dans la stratégie de protection contre les malwares. LaPUA va être autorisée uniquement sur les ordinateurs sur lesquels cette stratégie s’applique.

    Supprimer les PUA

    Vous pouvez supprimer une application potentiellement indésirable de l’une des deux façonssuivantes :

    • Sur la page Alertes, sélectionnez l’alerte et cliquez sur le bouton Nettoyer les PUA dans le coinsupérieur droit de la page.

    • Supprimez-la à l’aide du Gestionnaire de quarantaine du logiciel de l’agent sur l’ordinateur affecté.

    Copyright © Sophos Limited 9

  • Sophos Central Admin

    RemarqueL’opération de suppression ne sera pas disponible si la PUA a été détectée dans un partageréseau. En effet, l’agent Sophos n’a pas les droits suffisants pour éliminer les fichiers dans cetemplacement.

    Application potentiellement indésirable non nettoyée

    L’application potentiellement indésirable n’a pas pu être supprimée. Une opération de suppressionmanuelle est nécessaire. Cliquez sur « Description » dans l’alerte pour obtenir plus derenseignements sur l’application et son traitement. Veuillez contacter le support Sophos si vous avezbesoin d’aide.

    Contrôle de l’ordinateur requis pour terminer le nettoyage

    La suppression d’une menace nécessite le contrôle intégral de l’ordinateur. Pour contrôler unordinateur, allez sur la page Ordinateurs et cliquez sur le nom de l’ordinateur pour ouvrir la paged’informations sur celui-ci. Cliquez ensuite sur le bouton Contrôler.

    Le contrôle peut durer quelques instants. Lorsqu’il est terminé, un événement « Contrôle de’Contrôler cet ordinateur’ terminé » et tous les autres événements de suppression réussisapparaissent sur la page Journaux et rapports > Événements. Vous pouvez voir les alertes sur leséchecs de l’opération de nettoyage sur la page Alertes.

    Si l’ordinateur est hors ligne, il sera contrôlé dès qu’il sera remis en ligne. Si le contrôle d’unordinateur est déjà en cours d’exécution, la nouvelle demande de contrôle sera ignorée et le contrôlecommencé auparavant continuera.

    Autrement, vous pouvez exécuter un contrôle local en utilisant le logiciel de l’agent Sophos surl’ordinateur affecté. Utilisez l’option Contrôler de Sophos Endpoint sur un ordinateur Windows, oul’option Contrôler ce Mac de Sophos Anti-Virus sur un Mac.

    Redémarrage requis pour terminer le nettoyage

    La menace a été partiellement supprimée, mais le terminal n’a pas besoin d’être redémarré pourterminer l’opération de suppression.

    Ransomware exécuté à distance détecté

    Nous avons détecté un ransomware s’exécutant sur un ordinateur à distance et essayant de chiffrerdes fichiers sur les partages réseau.

    Nous avons bloqué l’accès en écriture sur les partages réseau provenant de l’adresse IP decet ordinateur distant. Si l’ordinateur avec cette adresse est une station de travail administréepar Sophos Central et que l’option Protéger les fichiers document contre les ransomwares(CryptoGuard) est activée, l’ordinateur est nettoyé automatiquement de tous les ransomwares.

    Veuillez procéder comme suit :

    • Localisez l’ordinateur sur lequel le ransomware est en train de s’exécuter.

    • Si un ordinateur est administré par Sophos Central, assurez-vous que l’option Protéger lesfichiers document contre les ransomwares (CryptoGuard) est activée dans la stratégie.

    • Si l’opération de nettoyage n’est pas automatique : Déplacez l’ordinateur sur un réseau sur lequel ilne représentera pas un risque pour les autres ordinateurs Rendez-vous sur l’ordinateur et exécutezSophos Clean (si ce programme n’est pas installé, veuillez le télécharger sur notre site Web).

    • Allez dans Sophos Central, puis dans Alertes, et marquez l’alerte comme résolue.

    Concepts connexesAlertes (page 5)

    10 Copyright © Sophos Limited

  • Sophos Central Admin

    La page Alertes répertorie toutes les alertes nécessitant une intervention de votre part.

    Information associéeknowledge base article 127331

    3.2.2 Alertes pour le chiffrement des appareils

    Retrouvez ci-dessous les différents types d’alertes pour le chiffrement des appareils :

    Moyenne

    • Appareil non chiffré

    Un volume n’est pas chiffré alors qu’il est supposé l’être. Ceci peut être dû au fait que l’utilisateura retardé le chiffrement lorsque la stratégie a été appliquée.

    • Clé de récupération manquante

    La clé de secours d’un volume chiffré est introuvable dans la base de données Sophos Central.

    • Device Encryption est suspendu

    Si vous n’avez pas suspendu Device Encryption, il se peut que :

    — La clé de récupération ne soit pas encore stockée dans Sophos Central. Assurez-vous que leterminal est connecté à Internet.

    — BitLocker pré-approvisionné n’est pas encore activé. Les utilisateurs doivent définir un codeconfidentiel (PIN), un mot de passe ou une clé USB pour activer BitLocker.

    — Les mises à jour Windows sont en cours d’installation. BitLocker sera automatiquementréactivé au prochain redémarrage.

    3.2.3 Alertes d’installation, de mise à jour et de conformité

    Retrouvez ci-dessous les différents types d’alertes pour les problèmes d’installation des agentsSophos, de mise à jour des agents Sophos ou de conformité aux stratégies :

    Élevée

    Impossible de protéger l’ordinateur ou le serveur

    Un ordinateur a commencé l’installation du logiciel de l’agent mais n’est pas protégé depuisune heure. Le programme d’installation qui a été exécuté sur l’ordinateur affecté fournira plusd’informations sur la raison de cet échec.

    Moyenne

    Ordinateur ou serveur non mis à jour

    Un ordinateur qui n’a pas été mis à jour au cours des dernières 24 heures communique avecSophos Central depuis 6 heures et ne s’est pas mis à jour depuis 2 heures. Généralement, unordinateur tente de se mettre à jour environ 5 minutes après avoir démarré, puis régulièrementtoutes les 60 minutes. En cas d’échec répété de l’application de la stratégie, un problème plus graves’est peut être produit. Dans ce cas de figure, la réinstallation résoudra peut-être le problème.

    Copyright © Sophos Limited 11

    https://community.sophos.com/kb/en-us/127331

  • Sophos Central Admin

    Redémarrage obligatoire

    Le redémarrage d’un ordinateur est nécessaire pour terminer la mise à jour du logiciel de l’agent etcela fait 2 semaines que cet ordinateur n’a pas été redémarré. Parfois, suite à l’installation/mise àjour du logiciel de l’agent, il est nécessaire de redémarrer pour activer toutes les fonctionnalités dela nouvelle version ou de celle mise à jour du logiciel. Même si la mise à jour n’a pas besoin d’êtreeffectuée immédiatement, il est conseillé de l’effectuer le plus tôt possible.

    Non conforme à la stratégie

    Un appareil n’est peut-être pas conforme à la stratégie pour diverses raisons. Par exemple, siles paramètres ont été modifiés sur l’appareil lui-même. Dans ce cas, au bout de deux heuresà un état non conforme, le système déclenche une alerte et essaye de réappliquer la stratégiecorrespondante. Lorsque l’appareil est de nouveau conforme, l’alerte est automatiquement effacée.En cas d’échec répété, un problème plus grave s’est peut être produit. Dans ce cas de figure, laréinstallation résoudra peut-être le problème.

    Périphérique détecté

    Un support ou autre périphérique amovible a été détecté sur l’appareil contrôlé par Sophos Central.

    Détection d’appareil en double

    Un appareil dupliqué a été détecté. Si les appareils ont été clonés à partir d’une image, ils ont lemême numéro d’identifiant. Les numéros d’identifiants en double peuvent entraîner des problèmesd’administration. Les appareils dupliqués sont de nouveau enregistrés sous un nouvel identifiant.

    Retrouvez plus de renseignements dans l’article 132029 de la base de connaissances.

    Remarques :

    • les ordinateurs sous Windows XP/Vista ou Server 2003/2008 ne sont pas détectés en tant quedoublons. Toutefois, s’ils ont le même identifiant que celui exécutant un systèmes d’exploitationpris en charge (par ex ; Windows 10), ils sont détectés comme doublons mais ne sont pas ré-enregistrés.

    • Tous les serveurs Windows sur lesquels Server Lockdown est installé et verrouillé ne sont pas denouveau enregistrés s’ils sont détectés en tant que doublons.

    • Nous ne détectons pas les appareils en double sur les environnements VDI tels que VMwareHorizon, Citrix PVS ou Citrix MCS.

    Information associéeknowledge base article 132029

    3.2.4 Alertes sans fil

    Bénéficiez d’une vue détaillée des alertes sans fil générées par les points d’accès.

    Élevée

    Le point d’accès ne fonctionne pas correctement. : Le point d’accès est surchargé. Il y a tropd’appareils connectés. Assurez-vous que vous avez assez de points d’accès pour couvrir la zone.

    12 Copyright © Sophos Limited

    https://community.sophos.com/kb/en-us/132029

  • Sophos Central Admin

    Moyennes

    Ce point d’accès est hors ligne : Le point d’accès n’a aucune connexion Internet, n’est pas soustension ou a un problème logiciel. Essayez de redémarrer. Le redémarrage peut résoudre lesproblèmes logiciel.

    Ce point d’accès ne diffuse aucun réseau : Le point d’accès n’est pas configuré. Pour configurerle point d’accès, cliquez sur Sophos Wireless > Points d’accès.

    Commande du point d’accès terminée : Le redémarrage est terminé.

    Le redémarrage du point d’accès peut résoudre les alertes suivantes :

    • Impossible de configurer ce point d’accès

    • La mise à jour des points d’accès avec le nouveau firmware a échoué

    Si le problème persiste, veuillez contacter le support Sophos. Le support aura besoin de l’accèsà distance pour analyser le problème. Autorisez l’accès à distance dans Sophos Wireless >Paramètres > Diagnostics > Connexion à distance aux points d’accès du support Sophos.

    Faible

    Le point d’accès va être mis à jour avec le nouveau firmware : La connexion sans fil seradésactivée pendant environ 5 minutes.

    Tous les points d’accès vont être mis à jour avec le nouveau firmware : La connexion sans filsera désactivée pendant environ 5 minutes.

    La mise à jour du point d’accès avec le nouveau firmware a été effectuée avec succès

    Tous les points d’accès ont été mis à jour avec succès

    3.2.5 Traitement des menaces

    Retrouvez plus de conseils sur le traitement des menaces à la section :

    • Traitement des ransomwares.

    • Traitement des Exploits.

    • Traitement d’attaques du navigateur Web.

    • Traitement des malwares détectés par Deep Learning.

    • Traitement des événements de verrouillage d’application.

    • Traitement des faux positifs.

    Retrouvez plus de renseignements sur les malwares aux sections sur les alertes de malwares surAlertes de protection contre les menaces.

    Concepts connexesAlertes (page 5)La page Alertes répertorie toutes les alertes nécessitant une intervention de votre part.

    Traitement des ransomwares (page 14)Traitement des Exploits (page 15)Traitement d’attaques du navigateur Web (page 16)

    Copyright © Sophos Limited 13

  • Sophos Central Admin

    Traitement des malwares détectés par Deep Learning (page 16)Traitement des événements de verrouillage d’application (page 17)Traitement des faux positifs (page 18)Alertes de protection contre les menaces (page 7)

    Traitement des ransomwares

    Découvrez ce qui se passe et quelle procédure suivre en cas de détection d’un ransomware.

    Si vous savez qu’une détection est un faux positif, consultez la section Traitement des faux positifs.

    Que se passe-t-il en cas de détection d’un ransomware ?

    Lorsque nous détectons un ransomware :

    • Nous vérifions qu’il s’agit d’une application légitime comme par exemple un produit de chiffrementde fichiers ou de dossiers. Dans le cas contraire, nous l’empêchons de s’exécuter.

    • Les fichiers sont restaurés à la version à laquelle ils étaient avant la modification.

    • L’utilisateur est averti.

    • Un dossier Menace est créé. Ceci vous permet de décider si vous voulez effectuer d’autresactions.

    • Un contrôle commence pour identifier et nettoyer les autres malwares sur l’appareil.

    • L’état de fonctionnement de l’appareil est au vert.

    Que faire si vous voyez le message « Ransomware détecté »

    Si vous avez toujours besoin de nettoyer une menace, procédez comme suit :

    • Si l’envoi automatique d’échantillon n’est pas activé, veuillez nous envoyer un échantillon duransomware. Nous le classerons et mettrons à jour nos règles. Si celui-ci est malveillant, SophosCentral le bloquera.

    Retrouvez plus de renseignements sur l’envoi d’échantillon dans l’article 11490 de la base deconnaissances.

    • Déplacez temporairement l’ordinateur sur un réseau sur lequel il ne représentera pas un risquepour les autres ordinateurs Sur l’ordinateur, exécutez Sophos Clean (si ce programme n’est pasinstallé, veuillez le télécharger sur notre site Web).

    Vous pouvez exécuter Sophos Clean sur un serveur à partir de Sophos Central. Retrouvez plusde renseignements à la section Alertes.

    • Allez dans Sophos Central, puis dans Alertes, et marquez l’alerte comme résolue.

    Que faire si vous voyez le message « Ransomware exécuté à distancedétecté »

    Nous avons détecté un ransomware s’exécutant sur un ordinateur à distance et essayant de chiffrerdes fichiers sur les partages réseau.

    Nous avons bloqué l’accès en écriture sur les partages réseau provenant de l’adresse IP decet ordinateur distant. Si l’ordinateur avec cette adresse est une station de travail administrée

    14 Copyright © Sophos Limited

  • Sophos Central Admin

    par Sophos Central et que l’option Protéger les fichiers document contre les ransomwares(CryptoGuard) est activée, l’ordinateur est nettoyé automatiquement de tous les ransomwares.

    Veuillez procéder comme suit :

    • Localisez l’ordinateur sur lequel le ransomware est en train de s’exécuter.

    • Si un ordinateur est administré par Sophos Central, assurez-vous que l’option Protéger lesfichiers document contre les ransomwares (CryptoGuard) est activée dans la stratégie.

    • Si l’opération de nettoyage n’est pas automatique : Déplacez l’ordinateur sur un réseau sur lequel ilne représentera pas un risque pour les autres ordinateurs Rendez-vous sur l’ordinateur et exécutezSophos Clean (si ce programme n’est pas installé, veuillez le télécharger sur notre site Web).

    • Allez dans Sophos Central, puis dans Alertes, et marquez l’alerte comme résolue.

    Que faire si vous voyez le message « Détection d’une attaque deransomware sur une machine distante »

    Nous avons détecté un ordinateur essayant de chiffrer des fichiers sur d’autres ordinateurs.

    Nous avons bloqué l’accès en écriture de cet ordinateur aux partages réseau. Si l’ordinateur est unestation de travail et que Protéger les fichiers document contre les ransomwares (CryptoGuard)est activé, l’ordinateur est nettoyé automatiquement de tous les ransomwares.

    Veuillez procéder comme suit :

    • Assurez-vous que Protéger les fichiers document contre les ransomwares (CryptoGuard) estactivé dans la stratégie Sophos Central. Ceci fournit plus d’informations.

    • Si l’opération de nettoyage n’est pas automatique : Déplacez l’ordinateur sur un réseau sur lequel ilne représentera pas un risque pour les autres ordinateurs Rendez-vous sur l’ordinateur et exécutezSophos Clean (si ce programme n’est pas installé, veuillez le télécharger sur notre site Web).

    • Allez dans Sophos Central, puis dans Alertes, et marquez l’alerte comme résolue.

    Concepts connexesTraitement des faux positifs (page 18)Alertes (page 5)La page Alertes répertorie toutes les alertes nécessitant une intervention de votre part.

    Information associéeknowledge base article 11490

    Traitement des Exploits

    Cette section vous indique ce que vous devez faire des Exploits.

    Si vous savez qu’une détection est un faux positif, consultez la section Traitement des faux positifs.

    Que se passe-t-il en cas de détection d’un Exploit ?

    En cas de détection d’un Exploit :

    • L’Exploit est stoppé.

    • L’utilisateur est averti.

    • Un contrôle commence pour nettoyer les menaces.

    Copyright © Sophos Limited 15

    https://community.sophos.com/kb/en-us/11490

  • Sophos Central Admin

    • Un dossier Menace est créé.

    Action à mener

    Allez dans Centre d’analyse des menaces > Dossiers Menace et passez en revue lesinformations sur le dossier pour savoir d’où provient l’attaque, comment elle se propage et quelsprocessus ou fichiers sont affectés.

    Il arrive bien souvent qu’un utilisateur ait téléchargé ou autorisé une application ouvrant l’accèsà une attaque. Pour éviter ce genre de situation, formez vos utilisateurs à la navigation en toutesécurité.

    Concepts connexesTraitement des faux positifs (page 18)

    Traitement d’attaques du navigateur Web

    Que se passe-t-il en cas de détection d’une menace du navigateur Web ?

    En cas de détection d’une attaque :

    • Intercept X avertit l’utilisateur et lui demande de fermer le navigateur.

    • Un contrôle Sophos Clean démarre.

    • Un dossier Menace est créé.

    Action à mener

    Veuillez procéder comme suit :

    • Utilisez le dossier Menace pour identifier l’adresse IP et l’URL associées à l’attaque.

    • Décidez de bloquer cet emplacement dans le pare-feu d’entreprise. (Si l’attaque n’a pas étédétectée par votre protection Web, elle n’est pas classée comme malveillante.)

    • Si l’utilisateur a saisi un mot de passe, demandez lui de le changer.

    • Si l’utilisateur a contacté sa banque, demandez lui de vérifier s’il n’y a aucune activité inhabituellesur son compte.

    Traitement des malwares détectés par Deep Learning

    Deep learning utilise l’apprentissage machine avancé pour détecter les malwares ou PUA sansutiliser de signatures.

    Un malware détecté par Deep Learning apparaît dans les alertes sous le préfixe « ML/ ».

    Les fichiers PE (applications, bibliothèques, fichiers système) qui ont été détectés et mis enquarantaine. Vous pouvez les restaurer et les autoriser s’ils sont sains.

    Que se passe-t-il en cas de détection d’un malware ?

    Lorsque Deep learning identifie un fichier comme étant malveillant, les étapes suivantes ont lieu :

    16 Copyright © Sophos Limited

  • Sophos Central Admin

    • Nous vérifions que le fichier a bien été ajouté à une liste d’applications autorisées. (Cette liste vouspermet d’exclure un fichier de la vérification s’il a été détecté comme un malware incorrectement).

    • Si le fichier n’est pas dans la liste d’autorisation, il est signalé comme malware et mis enquarantaine.

    • Un dossier Menace est créé.

    • Le bon fonctionnement de l’ordinateur est signalé par un signal vert car le malware est enquarantaine.

    Action à mener

    Le malware étant en quarantaine, aucune intervention de votre part n’est nécessaire.

    Toutefois, Deep Learning peut parfois signaler un fichier légitime comme malware (faux positif). Sivous êtes sûr que le fichier est sain, restaurez-le et autorisez son utilisation.

    Pour restaurer et autoriser un fichier, suivez les étapes de la section Autoriser une applicationdétectée.

    Concepts connexesApplications autorisées (page 126)Information associéeAutoriser une application qui a été détectée (page 126)

    Traitement des événements de verrouillage d’application

    La fonction de verrouillage (lockdown) d’application neutralise les attaques qui abusent les fonctionslégitimes des applications usuelles dans le but de lancer une attaque ou de lancer un malware.

    Que se passe-t-il en cas de détection d’une attaque ?

    Lorsqu’une application verrouillée effectue une opération interdite telle que l’installation d’un autrelogiciel ou la modification des paramètres du système, les étapes suivantes ont lieu :

    • Intercept X ferme automatiquement l’application.

    • L’utilisateur est averti.

    • Un contrôle Sophos Clean démarre. Il identifiera tous les autres composants malveillantspotentiels.

    • Un dossier Menace est créé.

    Action à mener

    Veuillez procéder comme suit :

    • Utilisez le dossier Menace pour identifier le fichier ou l’activité qui est l’origine de l’attaque.

    • Confirmez qu’aucune autre action n’est nécessaire.

    Copyright © Sophos Limited 17

  • Sophos Central Admin

    Traitement des faux positifs

    Notre logiciel détecte les menaces qui étaient auparavant inconnues. Toutefois, il peut parfoisidentifier une application comme étant un malware ou signaler la présence d’un Exploit, même sil’application est saine. Il s’agit d’un « faux positif ».

    Lorsqu’un faux positif se produit, vous pouvez empêcher le logiciel de détecter de nouveau l’élémentcomme une menace et (si applicable) restaurer les fichiers qui ont été supprimés.

    Concepts connexesArrêt de la détection d’une application (page 18)Arrêt de la détection d’un Exploit (page 18)Arrêt de la détection d’un ransomware (page 20)

    Arrêt de la détection d’une application

    En cas de détection de fichiers PE (Portable Executable) tels que les applications, les bibliothèqueset les fichiers système, ceux-ci sont mis en quarantaine et peuvent être restaurés.

    Pour autoriser une application détectée et supprimée par Sophos, procédez comme suit.

    • Cette opération autorise l’utilisation de l’application sur tous les ordinateurs et par tous lesutilisateurs.

    • Cette opération autorise l’application à démarrer. Toutefois, nous la contrôlerons pour nous assurerqu’elle ne contient pas de menaces, d’Exploits et qu’elle n’a pas un comportement malveillantlorsqu’elle est exécutée.

    1. Allez sur la page Ordinateurs ou Serveurs selon l’emplacement dans lequel l’application a étédétectée.

    2. Recherchez l’ordinateur sur lequel la détection a eu lieu et cliquez dessus pour voir lesinformations le concernant.

    3. Sur l’onglet Événements, recherchez l’événement de détection et cliquez sur Informations.

    4. Dans la boîte de dialogue Informations sur l’événement, recherchez sous Autoriser cetteapplication.

    5. Sélectionnez la méthode d’autorisation de l’application :

    • Certificat : il s’agit de l’option conseillée. Elle autoriser les autres applications avec le mêmecertificat.

    • SHA-256 : cette option autorise cette version de l’application. Toutefois, si l’application est miseà jour, il se peut qu’elle soit de nouveau détectée.

    • Chemin : cette option autorise l’application à condition qu’elle soit installée au chemin(emplacement) indiqué. Vous pouvez modifier le chemin (maintenant ou ultérieurement) etutiliser des variables si l’application est installée à différents emplacements sur différentsordinateurs.

    6. Cliquez sur Autoriser.

    Arrêt de la détection d’un Exploit

    Si un Exploit est détecté et que vous estimez que cette détection est incorrecte, vous pouvezl’empêcher de se produire de nouveau.

    Ceci sera appliqué à tous vos utilisateurs et ordinateurs.

    18 Copyright © Sophos Limited

  • Sophos Central Admin

    RemarqueCes instructions supposent que vous utilisez des options disponibles dans votre liste desévénements. Autrement, vous pouvez utiliser les paramètres de stratégie ou les paramètresgénéraux. Veuillez également consulter les autres sections sur cette page.

    1. Allez sur la page Ordinateurs ou Serveurs selon l’emplacement dans lequel l’application a étédétectée.

    2. Recherchez l’ordinateur sur lequel la détection a eu lieu et cliquez dessus pour voir lesinformations le concernant.

    3. Sur l’onglet Événements, recherchez l’événement de détection et cliquez sur Infos.

    4. Dans Détails de l’événement, recherchez Ne plus détecter et sélectionnez une option :

    • Exclure cet identifiant de détection de la vérification empêche ce type de détection surcette app.

    • Exclure cette application de la vérification empêche toute vérification à la recherched’Exploits sur cette app.

    Essayez d’exclure d’abord l’identifiant de détection pour plus de précision. Si la même détectionse produit, veuillez exclure l’application.

    5. Cliquez sur Exclure.

    Nous allons ajouter votre exclusion à une liste.

    Les exclusions de l’identifiant de détection vont dans les Exclusions générales. Les exclusionsd’application vont dans Exclusions de la prévention des Exploits.

    Arrêt de la détection d’un Exploit (avec les paramètres de stratégie)

    Vous pouvez arrêter de détecter un Exploit pour l’application sur laquelle il a été détecté.

    Si vous utilisez cette méthode, nous continuerons à vérifier la présence d’autres Exploits quiaffectent cette application.

    1. Dans Stratégies, recherchez la stratégie de Détection des menaces qui s’applique auxordinateurs.

    2. Sous Exclusions du contrôle, cliquez sur Ajouter une exclusion.

    3. Dans la liste déroulante Type d’exclusion, sélectionnez Exploit détecté.

    4. Sélectionnez l’Exploit et cliquez sur Ajouter.

    Vous pouvez également utiliser une stratégie pour arrêter la détection des Exploits pour toutes lesapplications d’un certain type. Dans la stratégie de protection contre les menaces, désactivez laprévention des Exploits (sous « Protection à l’exécution (runtime) ») pour le type d’application.

    RemarqueNous déconseillons la désactivation de la prévention des Exploits.

    Arrêt de la détection des Exploits (avec les paramètres généraux)

    Vous pouvez arrêter de détecter tous les Exploits pour une application.

    Copyright © Sophos Limited 19

  • Sophos Central Admin

    Si vous utilisez cette méthode, nous ne vérifierons pas la présence d’Exploits dans l’applicationmais nous continuerons à vérifier tout signe de comportement de ransomware et la présence demalwares.

    1. Dans Paramètres généraux > Exclusions de la prévention des Exploits.

    2. Cliquez sur Ajouter une exclusion.

    3. Dans la boîte de dialogue qui s’ouvre, sélectionnez Application.

    4. Cliquez sur Ajouter.

    Arrêt de la détection d’un ransomware

    Si un ransomware est détecté et que vous estimez que cette détection est incorrecte, vous pouvezl’empêcher de se produire de nouveau.

    Ceci sera appliqué à tous vos utilisateurs et ordinateurs.

    1. Allez sur la page Ordinateurs ou Serveurs selon l’emplacement dans lequel l’application a étédétectée.

    2. Recherchez l’ordinateur sur lequel la détection a eu lieu et cliquez dessus pour voir lesinformations le concernant.

    3. Sur l’onglet Événements, recherchez l’événement de détection et cliquez sur Infos.

    4. Dans Détails de l’événement, recherchez Ne plus détecter.

    Sélectionnez Exclure cet identifiant de détection de la vérification. Cette opération empêchela détection sur cette app.

    5. Cliquez sur Exclure.

    Nous allons ajouter votre exclusion à une liste des Exclusions générales.

    3.3 Centre d’analyse des menacesLe Tableau de bord vous permet de voir les informations les plus importantes en un clin d’œil.

    Il est composé des sections ci-dessous.

    Dossiers Menaces les plus récents

    Les dossiers Menace vous permettent d’analyser les attaques de malwares. Cliquez sur un dossierpour retrouver l’origine d’une attaque, la manière dont elle s’est propagée et les processus oufichiers affectés.

    Cliquez sur Voir tous les dossiers Menace pour voir tous les dossiers Menace.

    Les dossiers Menace sont uniquement disponibles sur les appareils Windows.

    Recherche de menace

    Cette option est disponible si vous utilisez Intercept X Advanced with EDR ou Intercept X Advancedwith EDR for Server.

    Recherche des menaces potentielles sur votre réseau.

    Vous pouvez rechercher des hachages de fichier SHA-256, noms de fichier, adresses IP, noms dedomaine (complets ou incomplets) ou lignes de commande. Les informations aidant à la recherchefigurent sur d’autres solutions de sécurité ou services de notification des menaces.

    20 Copyright © Sophos Limited

  • Sophos Central Admin

    Les recherches de menace trouvent les :

    • Fichiers exécutables portables (applications, bibliothèques, fichiers système, etc.) douteux ou demauvaise réputation.

    • Les adresses IP ou les domaines ayant été contactés par ces fichiers.

    • Les outils d’administration qui ont été exécutés. Ces outils peuvent être utilisés de manièreincorrecte.

    RemarqueVous pouvez également effectuer une recherche de menace depuis un dossier Menace. Larecherche trouvera plus d’exemples de menaces potentielles identifiées dans ce dossier.

    RemarqueLes recherches de lignes de commande et d’outils d’administration ne sont pas encore disponiblespour tous les clients.

    Recherches de menace les plus récentes

    Cette option est disponible si vous utilisez Intercept X Advanced with EDR ou Intercept X Advancedwith EDR for Server.

    Elle affiche les recherches de menaces effectuées et sauvegardées récemment. Cliquez sur unerecherche pour la relancer, repérer les appareils affectés et prendre les mesures adéquates.

    Cliquez sur Voir toutes les recherches pour voir toutes les recherches.

    Principaux indicateurs de menace

    Les indicateurs de menaces sont des fichiers suspects que Sophos n’a pas bloqué mais que vouspourriez souhaiter analyser.

    La liste des principaux indicateurs de menace affiche les indicateurs de menace les plus importantsavec les informations suivantes :

    • Niveau Suspicion. Il s’agit de la probabilité que le fichier soit malveillant.

    • Le nombre d’appareils affectés.

    Retrouvez une liste complète et procédez à une analyse approfondie en cliquant sur Voir tous lesindicateurs de menace.

    3.3.1 Dossiers Menace

    Les dossiers Menace vous permettent d’analyser et de nettoyer les attaques de malwares.

    Vous pouvez retrouver l’origine d’une attaque, la manière dont elle s’est propagée et les processusou fichiers affectés. Vous renforcez de ce fait votre sécurité.

    Si vous avez une licence Intercept X Advanced with EDR ou Intercept X Advanced with EDR forServer, vous pouvez également faire ce qui suit :

    • Isoler les appareils affectés.

    • Rechercher plus d’exemples sur la menace présente sur votre réseau.

    Copyright © Sophos Limited 21

  • Sophos Central Admin

    • Nettoyer et bloquer la menace.

    Nous vous créons un dossier Menace à chaque fois que vous détectez un malware nécessitant unexamen approfondi.

    RemarqueCette fonctionnalité est uniquement disponible sur les appareils Windows.

    Comment analyser et nettoyer les menaces

    Voici un aperçu sur la manière d’analyser un dossier. Retrouvez plus de renseignements sur toutesles options disponibles à la section Page d’analyse du Dossier Menace.

    Certaines options sont uniquement disponibles si vous utilisez une licence Intercept X Advancedwith EDR ou Intercept X Advanced with EDR for Server.

    1. Cliquez sur Dossiers Menace du menu principal puis sur un dossier.

    La page d’information du dossier s’affiche.

    2. Recherchez le Résumé pour voir d’où l’attaque provient et quels fichiers pourraient être affectés.

    3. Recherchez les Étapes suivantes suggérées. Vous pouvez changer la priorité du dossier et voirles processus à analyser.

    S’il s’agit d’un dossier haute priorité et que vous avez Intercept X Advanced with EDR, vouspouvez cliquer sur Isoler cet appareil. Cette option isole l’appareil affecté du réseau. Vouspouvez toujours administrer l’appareil à partir de Sophos Central.

    RemarqueVous ne voyez pas cette option si l’appareil s’est déjà isolé automatiquement.

    4. Dans l’onglet Analyse, un diagramme montre l’état d’avancement de l’attaque. Retrouvez plus derenseignements sur les éléments en cliquant dessus.

    5. Cliquez sur l’analyse détaillée ou sur un autre processus pour obtenir plus de renseignements.

    6. Pour être sûr de disposer de l’analyse la plus récente de Sophos, cliquez sur Demande derenseignements les plus récents.

    Cette action envoie les fichiers à Sophos pour analyse. Si nous avons des informations sur laréputation ou la prévalence d’un fichier, elles s’afficheront au bout de quelques minutes.

    RestrictionSi vous utilisez Intercept X Advanced with EDR ou Intercept X Advanced with EDR for Server,vous verrez une analyse plus détaillée comme indiqué à la section Dernières informations surles menaces. Vous pouvez aussi approfondir la détection et le nettoyage en suivant les étapesci-dessous.

    7. Cliquez sur Rechercher un élément pour chercher plus d’exemples du fichier sur votre réseau.

    Si la page Résultats de la recherche d’éléments montre d’autres exemples du fichier, cliquezsur Isoler l’appareil sur la même page pour isoler les appareils affectés.

    8. Retournez sur la page d’informations du Dossier Menace et consultez les dernières informations.

    9. Si vous êtes sûr(e) que le ficher est malveillant, cliquez sur Nettoyer et bloquer.

    22 Copyright © Sophos Limited

  • Sophos Central Admin

    L’élément est nettoyé sur tous les appareils où il a été trouvé et bloqué sur tous les appareils.

    10. Si vous êtes sûr(e) d’avoir éradiqué la menace, vous pouvez sortir l’appareil de l’isolement, sinécessaire. Dans Étapes suivantes suggérées, cliquez sur Sortir de l’isolement.

    Si vous avez isolé plusieurs ordinateurs, allez dans Paramètres > Appareils isolés parl’administrateur pour les sortir de l’isolement.

    11. Retournez dans la liste Dossiers Menace détectés, sélectionnez le dossier désiré et cliquez surFermer.

    À propos de la liste de dossiers Menace

    La page Dossiers Menace détectés répertorie tous les dossiers Menaces des 90 derniers jours.

    Elle est divisée en onglets pour les dossiers Menace qui ont été générés comme suit :

    • Généré automatiquement par Sophos

    • Généré par un administrateur Sophos Central

    • Généré par l’équipe Sophos Managed Threat Response (MTR), si vous disposez d’une licenceMTR (non utilisée actuellement)

    Vous pouvez filtrer les dossiers par État ou par Priorité.

    Vous pouvez utiliser la fonction Recherche pour voir les dossiers d’un utilisateur, d’un appareil oud’un nom de menace (par exemple, « Troj/Agent-AJWL ») particulier.

    Pour chaque dossier, la liste indique :

    • État : l’état est Nouveau par défaut. Vous pouvez la modifier lorsque vous consultez le dossier.

    • Heure de création : l’heure et la date de création du dossier.

    • Priorité : une priorité est définie lorsque le dossier est créé. Vous pouvez la modifier lorsque vousconsultez le dossier.

    • Nom : cliquez sur le nom de la menace pour voir les informations sur le dossier.

    • Créé par : L’administrateur Sophos Central qui a généré le Dossier Menace.

    • Utilisateur : l’utilisateur qui a causé l’infection. Cliquez sur le nom de l’utilisateur pour voir lesinformations le concernant.

    • Appareil : l’appareil qui a causé l’infection. Cliquez sur le nom de l’appareil pour voir lesinformations le concernant.

    • Type d’appareil : le type d’appareil, par exemple Ordinateur ou Serveur.

    Vous pouvez cliquer sur toutes les colonnes de votre choix pour trier les dossiers.

    Concepts connexesAlertes (page 5)La page Alertes répertorie toutes les alertes nécessitant une intervention de votre part.

    Page d’analyse du Dossier Menace (page 24)Vous pouvez analyser un dossier Menace en utilisant les outils d’analyse disponibles sur la paged’informations correspondante.

    Stratégie de protection contre les menaces (page 200)

    Copyright © Sophos Limited 23

  • Sophos Central Admin

    La protection contre les menaces assure votre sécurité contre les programmes malveillants, les typesde fichiers et sites Web dangereux et le trafic réseau malveillant.

    Page d’analyse du Dossier Menace

    Vous pouvez analyser un dossier Menace en utilisant les outils d’analyse disponibles sur la paged’informations correspondante.

    Recherchez le dossier Menace sur la page Dossiers Menace détectés. Cliquez sur son nom pourvoir un résumé, les informations sur les artefacts (processus, fichiers, clés) affectés et un diagrammeaffichant la manière dont la menace s’est développée.

    Retrouvez un aperçu sur la procédure à suivre à la section Comment analyser et nettoyer lesmenaces.

    Retrouvez plus de renseignements sur toutes les options disponibles dans les sections de cettepage.

    RemarqueLes options qui s’afficheront dépendront de votre licence et de la gravité de la menace.

    Résumé

    Le Résumé affiche des informations concises sur la menace telles que :

    • Analyse détaillée : la source d’infection sur votre système.

    • Informations éventuellement concernées : fichiers pouvant contenir des données importantes.Vérifiez les pour savoir si les données ont été chiffrées ou volées.

    • Où : nom de l’appareil et de son utilisateur.

    • Date : Heure et date de la détection.

    Étapes suivantes suggérées

    Le volet Étapes suivantes suggérées affiche les informations suivantes :

    Priorité : une priorité est définie automatiquement. Vous pouvez la changer.

    État : l’état est Nouveau par défaut. Vous pouvez la changer.

    RemarqueDès que vous définissez l’état sur En cours, vous ne pouvez plus le réinitialiser sur Nouveau.

    Isoler cet appareil : Cette option est disponible si le dossier est de haute priorité et si vous utilisezIntercept X Advanced with EDR ou Intercept X Advanced with EDR for Server.

    Contrôler l’appareil : utilisez ce lien pour contrôler l’ordinateur affecté à la recherche de menaces.

    Analyse

    L’onglet Analyse affiche la chaîne d’événements de l’infection par le malware.

    Un menu sur la droite de l’onglet vous permet de choisir les informations que vous souhaitez voir :

    24 Copyright © Sophos Limited

  • Sophos Central Admin

    • Afficher le chemin direct : affiche la chaîne des éléments directement impliqués entre la cause del’attaque et l’élément sur lequel l’infection a été détectée (la « balise »).

    • Afficher le graphique complet : affiche la cause de l’attaque, les artefacts affectés (applications,fichiers, clés), le chemin de l’infection (indiqué par des flèches) et comment l’infection s’estproduite. Il s’agit du paramètre par défaut.

    Pour afficher ou masquer les différents types d’artefact, utilisez les cases à cocher au-dessus dudiagramme.

    Retrouvez plus de renseignements sur un élément en cliquant ici. Un volet d’informations s’ouvre surla droite du diagramme.

    Enregistrement d’un dossier

    L’onglet Enregistrement d’un dossier affiche l’historique du dossier Menace, à partir de sa date decréation par Sophos ou par l’administrateur. Vous pouvez publier des commentaires pour enregistrerles actions qui ont été prises et toutes autres informations pertinentes.

    Isoler cet appareil

    Cette option est disponible si vous utilisez Intercept X Advanced with EDR ou Intercept X Advancedwith EDR for Server.

    Dans Étapes suivantes suggérées, vous isolez l’appareil pendant l’analyse des menacespotentielles.

    Vous pouvez toujours administrer l’appareil à partir de Sophos Central. Vous pouvez égalementcontinuer à envoyer à Sophos des fichiers provenant de l’appareil isolé pour analyse.

    Vous pouvez également autoriser les appareils isolés à communiquer avec d’autres appareils dansdes circonstances précises comme indiqué à la section Exclusions du contrôle.

    Vous pouvez sortir l’appareil de l’isolement à tout moment. Vous allez voir l’option Sortir del’isolement sous Étapes suivantes suggérées.

    RemarqueVous ne voyez pas l’option Isoler cet appareil si l’appareil s’est déjà isolé automatiquement.Retrouvez plus de renseignements à la section Isolement de l’appareil.

    Dernières informations sur les menaces

    Un volet d’informations s’affiche lorsque vous cliquez sur un élément affecté par la menace. Siquelqu’un a déjà envoyé le fichier à Sophos, vous obtiendrez les dernières informations sur lamenace.

    Si le fichier n’a pas été envoyé ou que vous souhaitez voir s’il y a des informations plus récentes,cliquez sur Demande de renseignements les plus récents.

    Cette action affiche les informations les plus récentes concernant la réputation et la prévalencemondiales du fichier.

    Si vous utilisez Intercept X Advanced with EDR ou Intercept X Advanced with EDR for Server, vousverrez plus d’informations dans les onglets comme indiqué ci-dessous.

    Informations sur le processus

    Copyright © Sophos Limited 25

  • Sophos Central Admin

    Cet onglet affiche une évaluation de la réputation du fichier et vous dit si une analyse estrecommandée.

    Résumé du rapport

    Vous trouverez dans cet onglet la réputation et la prévalence du fichier. Un résumé des résultatsde notre analyse Machine Learning indiquant si le fichier peut ou non être considéré suspect estégalement disponible.

    Analyse Machine Learning

    Vous trouverez dans cet onglet les résultats complets de l’analyse Machine Learning.

    Recherche

    Cette option est disponible si vous utilisez Intercept X Advanced with EDR ou Intercept X Advancedwith EDR for Server.

    Cliquez sur Recherche pour trouver plus d’exemples de fichiers affectés sur votre réseau.

    Vous pouvez également effectuer des recherches depuis la page Recherches de menace ou levolet Recherche de menace dans le Tableau de bord.

    Nettoyer et bloquer

    Cette option est disponible si vous utilisez Intercept X Advanced with EDR ou Intercept X Advancedwith EDR for Server.

    Si un fichier est suspect, vous pouvez utiliser l’option Nettoyer et bloquer.

    Le fichier (ainsi que ses clés et fichiers associés) est nettoyé sur tous les appareils. Il est égalementajouté à une liste de blocage pour l’empêcher de s’exécuter sur d’autres appareils.

    Liste d’artefacts

    Il s’agit de la liste en dessous du diagramme de l’attaque de malware. Elle affiche toutes lesdonnées affectées (par exemple, les fichiers professionnels, les processus, les clés de registre oules adresses IP).

    Vous pouvez exporter un fichier séparé par virgule (CSV) contenant une liste de toutes les donnéesaffectées en cliquant sur Exporter au format CSV en haut à droite de l’onglet.

    La liste affiche :

    • Nom : Cliquez sur le nom pour obtenir plus de renseignements dans un volet d’informations.

    • Type : type de données telle qu’un fichier professionnel ou une clé de registre.

    • Réputation

    • Heure de journalisation : l’heure et la date d’accès à un processus.

    • Interactions

    Créer un instantané d’analyse

    Vous pouvez créer un « instantané d’analyse » des données à partir de l’appareil.

    26 Copyright © Sophos Limited

  • Sophos Central Admin

    Il récupère les données dans un journal Sophos consignant l’activité de l’appareil et l’enregistre surl’appareil. Vous pouvez également l’enregistrer dans le compartiment Amazon Web Services (AWS)S3 que vous indiquez. Vous pouvez ensuite effectuer votre propre analyse.

    Vous allez avoir besoin d’un convertisseur (fourni par nos soins) pour lire les données (voir lasection Convertir un instantané d’analyse).

    RemarqueVous pouvez choisir la quantité de données que vous souhaitez dans les instantanés etl’emplacement de leur téléchargement. Pour cela, allez dans Paramètres généraux >Instantanés d’analyse. Ces options ne sont pas encore disponibles pour tous les clients.

    Pour créer un instantané :

    1. Dans l’onglet Analyse d’un dossier Menace.

    Vous pouvez également ouvrir l’onglet État sur la page des détails de l’appareil.

    2. Cliquez sur Créer un instantané d’analyse.

    3. Suivez les étapes de la section Télécharger un instantané d’analyse dans un compartiment S3AWS.

    Retrouvez les instantanés que vous avez générés dans %PROGRAMDATA%\Sophos\EndpointDefense\Data\Forensic snapshots\.

    Les instantanés générés à partir des détections se trouvent dans %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\.

    RemarqueVous devez être un administrateur ayant accès au mot de passe de protection antialtérationet exécuter une invite de commande en tant qu’administrateur pour accéder aux instantanésd’analyse enregistrés.

    Concepts connexesDossiers Menace (page 21)Les dossiers Menace vous permettent d’analyser et de nettoyer les attaques de malwares.

    Stratégie de protection contre les menaces (page 200)La protection contre les menaces assure votre sécurité contre les programmes malveillants, les typesde fichiers et sites Web dangereux et le trafic réseau malveillant.

    Résultat de l’analyse Machine Learning (page 28)Vous pouvez envoyer des fichiers à Sophos pour obtenir une analyse Machine Learning détaillée.

    Éléments bloqués (page 127)Recherches de menace (page 29)Vous pouvez rechercher des menaces potentielles sur votre réseau.

    Appareils isolés par l’administrateur (page 133)Instantanés d’analyse (page 134)Les instantanés d’analyse récupèrent les données du journal Sophos consignant l’activité del’ordinateur afin que vous puissiez effectuer votre propre analyse.

    Tâches connexesConvertir un instantané d’analyse (page 135)

    Copyright © Sophos Limited 27

  • Sophos Central Admin

    Utilisez l’outil d'exportation SDR pour convertir des instantanés d’analyse et pouvoir ainsi lancer desrequêtes sur eux.

    Information associéeTélécharger un instantané d’analyse dans un compartiment S3 AWS (page 136)Suivez ces instructions pour télécharger un instantané d’analyse.

    Résultat de l’analyse Machine Learning

    Vous pouvez envoyer des fichiers à Sophos pour obtenir une analyse Machine Learning détaillée.

    Pour envoyer les fichiers à partir des Dossiers Menace, cliquez sur le dossier en question,sélectionnez le ficher et cliquez sur Demande de renseignements les plus récents.

    Vous y trouverez les informations les plus récentes sur une série d’onglets.

    Analyse Machine Learning

    L’onglet Analyse Machine Learning affiche les résultats suivants :

    Attributs

    Nous comparons les attributs de votre fichier avec des millions de fichiers sains et corrompusconnus. Les résultats vous aident à déterminer si votre fichier est sain ou corrompu.

    Similarité du code

    Nous traitons votre fichier avec nos moteurs Machine Learning qui déterminent s’il correspond à unfichier sain ou corrompu. Nous affichons ensuite les correspondances les plus proches.

    Plus il y a de correspondances avec des fichiers corrompus, plus il est suspect.

    La liste affichée ici inclut uniquement les correspondances les plus proches. Toutefois, d’autrescorrespondances influencent aussi le résultat et peuvent affecter le classement de votre fichier.

    Fichier/chemin

    Nous comparons le chemin de votre fichier avec ceux de fichiers de bonne et mauvaise réputation.Si le chemin de votre fichier correspond au chemin de fichiers corrompus, il est fort probable que cefichier soit suspect.

    Les informations (chemin et nom de fichier) utilisées pour la comparaison sont soit celles que vousnous avez fournies, soit celles du dernier client nous ayant envoyé un fichier. Nous masquons toutesles informations confidentielles contenues dans les chemins des clients.

    Propriétés du fichier

    L’onglet Propriétés du fichier affiche les propriétés principales du fichier.

    Composition du fichier

    L’onglet Composition du fichier affiche une liste des certificats, des sections du fichier PE et desimportations PE.

    28 Copyright © Sophos Limited

  • Sophos Central Admin

    3.3.2 Recherches de menace

    Vous pouvez rechercher des menaces potentielles sur votre réseau.

    Cette option est disponible si vous utilisez Intercept X Advanced with EDR ou Intercept X Advancedwith EDR for Server.

    Vous pouvez rechercher des hachages de fichier SHA-256, noms de fichier, adresses IP, noms dedomaine (complets ou incomplets) ou lignes de commande. Les informations aidant à la recherchefigurent sur d’autres solutions de sécurité ou services de notification des menaces.

    Les recherches de menace trouvent les :

    • Fichiers exécutables portables (applications, bibliothèques, fichiers système, etc.) douteux ou demauvaise réputation.

    • Les adresses IP ou les domaines ayant été contactés par ces fichiers.

    • Les outils d’administration qui ont été exécutés. Ces outils peuvent être utilisés de manièreincorrecte.

    RemarqueVous pouvez également effectuer une recherche de menace depuis un dossier Menace. Larecherche trouvera plus d’exemples de menaces potentielles identifiées dans ce dossier.

    RemarqueLes recherches de lignes de commande et d’outils d’administration ne sont pas encore disponiblespour tous les clients.

    Vous pouvez sauvegarder vos recherches de menaces. Vous pouvez relancer les recherches afinde vérifier qu’elles ne se soient pas propagées sur d’autres appareils.

    Nouvelle recherche de menace

    Pour trouver des menaces potentielles :

    1. Dans Nouvelle recherche de menace, saisissez les hachages de fichier SHA-256, les nomsde fichier, les adresses IP, les noms de domaine (complets ou incomplets) ou les lignes decommande.

    2. Cliquez sur Recherche.

    3. Consultez les résultats sur la page Résultats de la recherche de menaces. Depuis cette pagevous pouvez aussi isoler des appareils ou nettoyer des menaces.

    4. Sélectionnez la recherche et cliquez sur Enregistrer la recherche si vous souhaitez la relancerultérieurement.

    Recherches enregistrées

    Vous pouvez relancer les recherches de menace sauvegardées afin de :

    • Voir si la menace potentielle s’est propagée sur d’autres appareils.

    • Vérifier l’état le plus récent de la menace sur chaque appareil.

    Copyright © Sophos Limited 29

  • Sophos Central Admin

    Pour relancer une recherche, cliquez dessus dans la liste Recherches enregistrées.

    Concepts connexesPage d’analyse du Dossier Menace (page 24)Vous pouvez analyser un dossier Menace en utilisant les outils d’analyse disponibles sur la paged’informations correspondante.

    Résultats de la recherche de menace (page 30)Après avoir lancé la recherche, une liste d’appareils s’affiche sur lesquels ont été détectés des fichierssuspects ou des menaces.

    Résultats de la recherche de menace

    Après avoir lancé la recherche, une liste d’appareils s’affiche sur lesquels ont été détectés des fichierssuspects ou des menaces.

    Les recherches de menace sont uniquement disponibles si vous utilisez Intercept X Advanced withEDR ou Intercept X Advanced with EDR for Server.

    Cliquez sur l’option Voir les informations à coté de l’appareil. Une page s’ouvre vous affichantl’historique de chaque élément.

    Sur la page des informations, vous pouvez également effectuer les actions suivantes (selonl’élément détecté) :

    • Isoler l’appareil.

    • Nettoyer et bloquer des applications.

    • Générer un nouveau dossier Menace si besoin ou voir un dossier déjà existant.

    Il est possible d’isoler plusieurs appareils affectés à la fois depuis la page de résultats principale.

    État le plus récent

    La colonne État le plus récent affiche les événements pour les fichiers suspects :

    Découvert : la recherche a découvert le fichier mais n’a détecté aucune menace.

    Détecté : la recherche a détecté une menace dans le fichier.

    Ajouté : le fichier a été ajouté à l’appareil.

    Exécuté : le fichier a été exécuté.

    Réputation mise à jour : Sophos a mis à jour le niveau de réputation du fichier ou un administrateurSophos Central a autorisé ou bloqué le fichier (qui met à jour sa réputation « locale »).

    Chemin mis à jour : le fichier a été déplacé.

    Supprimé : le fichier a été supprimé de l’appareil.

    RemarqueDes informations différentes sont affichées pour les connexions réseau et les outilsd’administration.

    Isoler l’appareil

    Pour isoler l’appareil, sélectionnez-le et cliquez sur Isoler.

    30 Copyright © Sophos Limited

  • Sophos Central Admin

    Vous pouvez autoriser les appareils isolés à communiquer avec d’autres appareils dans descirconstances précises. Vous pouvez le faire dans les stratégies de protection contre les menacesdes terminaux et des serveurs.

    Nettoyage et blocage

    Pour passer en revue, nettoyer et bloquer une menace :

    1. Cliquez sur Voir les informations.

    2. Consultez les détails de la menace.

    Pour traiter une application suspecte :

    a) Si l’appareil n’est pas encore isolé, cliquez sur Isoler.