Sophos Central Admin · 2020. 9. 2. · Sophos Central Admin 3 Vue générale Le menu principal contient les fonctions auxquelles vous avez accès dans Sophos Central. Elles figurent

Sophos Central Admin

Aide

Table des matièresÀ propos de cette Aide............................................................................................................................1Activation de votre licence.......................................................................................................................2Vue générale............................................................................................................................................ 3

Tableau de bord............................................................................................................................ 3Alertes............................................................................................................................................4Centre d’analyse des menaces...................................................................................................21Journaux et rapports................................................................................................................... 39Utilisateurs/groupes..................................................................................................................... 64Appareils...................................................................................................................................... 76Paramètres généraux.................................................................................................................. 99Protection des appareils............................................................................................................180

Protection des terminaux..................................................................................................................... 197Tableau de bord........................................................................................................................ 197Journaux et rapports................................................................................................................. 198Utilisateurs/groupes................................................................................................................... 201Ordinateurs................................................................................................................................ 213Groupes d’ordinateurs............................................................................................................... 222Stratégies...................................................................................................................................224Paramètres................................................................................................................................ 250Protection des appareils............................................................................................................290

Chiffrement........................................................................................................................................... 300Tableau de bord........................................................................................................................ 300Journaux et rapports................................................................................................................. 300Utilisateurs/groupes................................................................................................................... 302Ordinateurs................................................................................................................................ 314Ordinateurs non administrés..................................................................................................... 324Groupes d’ordinateurs............................................................................................................... 324Stratégies...................................................................................................................................325Paramètres................................................................................................................................ 331Protection des appareils............................................................................................................349

Protection des serveurs....................................................................................................................... 352Tableau de bord........................................................................................................................ 352Journaux et rapports................................................................................................................. 353Serveurs.....................................................................................................................................356Serveurs sur AWS.....................................................................................................................367Stratégies...................................................................................................................................371Paramètres................................................................................................................................ 404Protection des appareils............................................................................................................442

Sans fil..................................................................................................................................................447Tableau de bord Wireless......................................................................................................... 447Alertes sans fil...........................................................................................................................449Appareils.................................................................................................................................... 450Informations sur l’utilisation....................................................................................................... 451Diagnostics de Sophos Wireless.............................................................................................. 451Points d’accès........................................................................................................................... 460SSID...........................................................................................................................................466Sites........................................................................................................................................... 480Paramètres................................................................................................................................ 483

Email Gateway..................................................................................................................................... 486Ajouter des boîtes de réception à Email Gateway................................................................... 486Paramètres / État des domaines.............................................................................................. 487Stratégies et paramètres...........................................................................................................488

(2020/09/02)

Tableau de bord Email Gateway.............................................................................................. 489Rapport d’historique des messages..........................................................................................490Rapport Résumé de la messagerie.......................................................................................... 492Rapport sur les menaces avancées......................................................................................... 492Informations Time of Click........................................................................................................ 493Utilisateurs à risque...................................................................................................................493Violations de la stratégie de Prévention des pertes de données..............................................494Utilisateurs/groupes................................................................................................................... 495Boîtes de réception................................................................................................................... 506Messages en quarantaine.........................................................................................................509Stratégies...................................................................................................................................510Paramètres................................................................................................................................ 526Intégration de Sophos Email aux services externes.................................................................555

Passerelle Web.................................................................................................................................... 581Tableau de bord........................................................................................................................ 581Journaux.................................................................................................................................... 582Rapports.................................................................................................................................... 582Utilisateurs/groupes................................................................................................................... 583Ordinateurs................................................................................................................................ 594Stratégies...................................................................................................................................604Paramètres................................................................................................................................ 612Protection des appareils............................................................................................................637

Gestion des pare-feu........................................................................................................................... 639Tableau de bord........................................................................................................................ 639Pare-feu..................................................................................................................................... 640Tâches en file d’attente.............................................................................................................663Objets dynamiques....................................................................................................................664Sauvegarder.............................................................................................................................. 666

Phish Threat......................................................................................................................................... 668Tableau de bord........................................................................................................................ 668Rapports.................................................................................................................................... 669Utilisateurs/groupes................................................................................................................... 670Campagnes................................................................................................................................682Paramètres................................................................................................................................ 690

Cloud Optix...........................................................................................................................................705Mobile................................................................................................................................................... 706Essais gratuits...................................................................................................................................... 707

Bandeaux de licence d’essai.................................................................................................... 708Compte et licence................................................................................................................................ 709

Informations sur le compte........................................................................................................709Licence.......................................................................................................................................713

Programmes d’accès anticipé.............................................................................................................. 715Navigateurs Web pris en charge......................................................................................................... 717Langues................................................................................................................................................ 718Aide supplémentaire.............................................................................................................................720Mentions légales.................................................................................................................................. 721

(2020/09/02)


1 À propos de cette AideCette Aide vous indique comment utiliser toutes les fonctions de Sophos Central.

Si vous ne trouvez pas ce que vous recherchez ici, rendez-vous à la section Support de notre siteWeb pour effectuer votre recherche. Vous y trouverez des articles de la base de connaissances oudes forums de discussions sur Sophos Community.

ConseilVous n’utilisez pas encore Sophos Central ? Inscrivez-vous ici et nous allons vous aider àcommencer.

Vous pouvez vous connecter avec vos identifiants de connexion Microsoft si votre administrateur lepermet. Cliquez sur Connexion avec Microsoft et saisissez vos identifiants de connexion Microsoft.

Copyright © Sophos Limited 1

https://secure2.sophos.com/en-us/support.aspxhttps://central.sophos.com/manage/login


2 Activation de votre licenceLorsque vous achetez une nouvelle licence, vous devez l’activer.

Vous faites ceci dans la console Sophos Central (sauf si un Partenaire Sophos se charge del’activation des licences pour vous).

Lorsque vous achetez une mise à niveau, celle-ci peut être activée automatiquement ou vous devrezpeut-être l’activer.

Remarquesi vous utilisez une version d’essai de Sophos Central, vous n’avez pas besoin d’activer la licencepour le moment. Vous devrez le faire uniquement si vous décidez d’utiliser une licence payante.

Pour activer une licence, veuillez procéder comme indiqué ci-dessous.

1. Assurez-vous que la clé de licence apparaît bien dans l’annexe de licence que Sophos vous aenvoyé.

2. Recherchez le nom de votre compte dans le coin supérieur droit de l’interface d’utilisation. Cliquezsur le nom et sélectionnez Licences.

3. Veuillez à présent utiliser votre clé de licence.

• Si vous voyez le champ Code d’activation, saisissez votre clé et cliquez sur Appliquer.

• Si vous voyez le lien Appliquer la clé de licence, cliquez dessus. Saisissez votre clé delicence et cliquez sur Appliquer.

4. Si votre compte possède déjà des licences pour les fonctionnalités incluses dans la clé, une autreboîte de dialogue s’affiche. Ceci vous permet de choisir comment utiliser vos nouvelles licences.

• Renouveler active les nouvelles licences lorsque vos licences en cours expirent.

• Modifier active les nouvelles licences immédiatement. Nous ajusterons les termes de votrelicence afin que toutes vos licences expirent à la même date.

Cliquez à nouveau sur Appliquer.

Comment fonctionne l’option « Changer »

Un client commande 50 licences pour un an. Six mois plus tard, il commande 50 autres licencespour un an.

Si le client sélectionne Modifier, nous procédons comme suit :

• Ajouter les nouvelles licences aux anciennes. Le client dispose désormais de 100 licences.

• Ajouter le temps restant sur les anciennes licences (50 licences x 6 mois = 300) au temps desnouvelles licences (50 licences x 12 mois = 600). Le total est 900 mois.

• Répartir le temps sur les 100 licences. Chaque licence d’utilisateur est désormais valide pendant9 mois à partir de la date d’application de la clé (et la date d’expiration est ajustée en fonction).

Le client dispose de 100 licences qui expireront dans 9 mois à compter de leur activation.

Dans la majorité des cas, la date d’expiration de votre licence en cours est prolongée mais veuilleztout de même vérifier la nouvelle date d’expiration.

2 Copyright © Sophos Limited


3 Vue généraleLe menu principal contient les fonctions auxquelles vous avez accès dans Sophos Central. Ellesfigurent sous la liste des noms de produits, comme par exemple Endpoint Protection.

Il existe également une vue générale qui regroupe les fonctions de tous vos produits sous licence.

3.1 Tableau de bordLe Tableau de bord est la page d’accueil de Sophos Central. Il et vous permet d’avoir un aperçurapide sur les informations les plus importantes. Il est composé des sections ci-dessous.

Alertes les plus récentes

Alertes les plus récentes affiche les dernières alertes. Les alertes Pour information sont pourinformation uniquement et ne nécessite aucune intervention de votre part.

Cliquez sur Voir toutes les alertes pour afficher toutes les alertes.

Appareils et utilisateurs : résumé

Appareils et utilisateurs : résumé affiche les informations d’utilisation et de protection desutilisateurs ou des appareils protégés. Il indique également le nombre d’utilisateurs ou d’appareilsnon protégés.

Cliquez sur les différents onglets pour voir les informations sur chaque type d’appareils ou sur lesutilisateurs.

Cliquez sur Voir le rapport pour ouvrir un rapport détaillé correspondant à l’onglet que vous avezsélectionné.

Email Security

Entrant affiche les informations sur les catégories de messages suivantes :

• Légitime : Messages classés comme sains et livrés.

• Violations de la stratégie DLP : Messages ayant violé les stratégie de prévention des pertes dedonnées.

• Spam : Messages classés comme spam.

• Menace avancée : Messages classés comme contenant des menaces avancées.

• Virus : Messages classés comme contenant des virus.

• Authentification impossible : Messages sur lesquels l’authentification par DMARC, SPF ouDKIM a échoué.

• Liste de blocage en temps réel : Messages détectés en raison d’une adresse IP d’envoibloquée.



• Liste de blocage de l’entreprise : Messages envoyés à partir d’une adresse qui a déjà étéajoutée à la liste de blocage de l’entreprise (autoriser/bloquer le trafic entrant).

Sortant indique le nombre total de messages électroniques sortants traités par Email Security pourvos boîtes de réception protégées au cours des 30 derniers jours. Il indique également le nombrede messages légitimes traités, le nombre de messages de spam et viraux détectés et le nombre demessages ayant violé les stratégies DLP (prévention des pertes de données).

Cliquez sur Voir le rapport pour ouvrir le rapport Résumé de la messagerie et consulterles informations sur les messages traités comme indiqué à la section Rapport Résumé de lamessagerie.

Contrôle du Web

Contrôle du Web affiche les statistiques de la protection par le Contrôle du Web.

Les chiffres indiqués correspondent aux menaces bloquées, aux violations de stratégie bloquées etaux avertissements de stratégie. Il y a également un chiffre pour les « avertissements de stratégieayant continué » qui correspond au nombre d’utilisateurs ayant ignoré un avertissement pour serendre sur un site Web.

Cliquez sur un nombre pour ouvrir un rapport détaillé.

Résumé des blocages par la passerelle Web

Résumé des blocages par la passerelle Web affiche les statistiques de la protection par laPasserelle Web (vous voyez cette section uniquement si vous avez une licence Sophos WebGateway).

Les chiffres indiquent le nombre de malwares et de sites Web bloqués.

Cliquez sur un nombre pour ouvrir un rapport détaillé.

Concepts connexesRapport Résumé de la messagerie (page 61)Le rapport Résumé de la messagerie fournit des informations détaillées sur les emails traités parEmail Gateway pour vos boîtes de réception protégées.

3.2 AlertesLa page Alertes répertorie toutes les alertes nécessitant une intervention de votre part.

RestrictionCertaines options pourraient ne pas encore être disponibles pour tous les clients.

Les alertes résolues automatiquement ne sont pas affichées. Vous pouvez voir tous les événementsdans Journaux et rapports > Événements.

Remarquel’heure à laquelle l’alerte s’est produite n’est pas mise à jour si le même événement survientplusieurs fois.

Sur la page Alertes, vous pouvez :



• Regrouper les alertes.

• Filtrer les alertes.

• Intervenir en cas d’alertes.

• Changer la fréquence des alertes par email.

Retrouvez plus de renseignements sur les différents types d’alertes dans les autres pages d’aidedans cette section.

RemarqueSi vous avez Intercept X Advanced with EDR, vous pouvez analyser, bloquer et nettoyer lesmenaces à partir des dossiers Menace.

Regrouper les alertes

Vous pouvez regrouper toutes les alertes concernant une menace ou un événement spécifique sousune seule entrée de la liste. De cette manière, les alertes sont plus faciles à gérer.

Activer le Groupe (coin supérieur droit de la page).

Le nombre d’alertes pour chaque entrée de groupe apparaît dans la colonne Nombre .

Pour afficher toutes les alertes dans un groupe, cliquez sur la flèche déroulante sur la droite.

Filtrer les alertes

Pour voir les alertes avec une priorité particulière, cliquez sur les symboles Alertes élevées, Alertesmoyennes ou Alertes basses en haut de la page.

Pour voir les alertes d’un produit ou d’un type de menace spécifique, utilisez les filtres déroulantesau-dessus de la liste des alertes.

Intervenir en cas d’alertes

Vous pouvez intervenir en cas d’alertes.

Pour intervenir sur une alerte, cliquez sur la flèche déroulante à côté de l’alerte pour voir lesinformations la concernant. Dans Actions, cliquez sur le lien d’action (si disponible).

Si vous consultez des groupes d’alertes, cliquez sur un bouton d’action (si disponible) à côté dugroupe dans la liste.

RemarqueSi vous voulez autoriser une application que Sophos Deep Learning signale comme malware,vous pouvez le faire à partir de la page Événements mais pas d’ici.

Les actions suivantes sont disponibles pour les alertes selon le type d’alertes :

• Marquer comme validé : Cliquez sur cette option pour supprimer l’alerte de la liste. L’alerte nesera plus affichée.

Cette opération ne résout pas les menaces ni ne supprime les informations sur la menace dugestionnaire de quarantaine sur l’ordinateur ou le serveur.



• Marquée comme résolue : Cliquez sur cette option si la menace a déjà été résolue surl’ordinateur ou le serveur. Cette action efface l’alerte de la liste dans Sophos Central et effaceégalement les informations sur la menace du gestionnaire de quarantaine sur l’ordinateur ou leserveur.

Cette action ne résout pas les menaces.

Cette action est uniquement disponible sur les ordinateurs ou serveurs Windows.

• Nettoyer : Cliquez sur cette option pour supprimer un ransomware (crypto-virus) d’un serveur.

• Réinstaller Endpoint Protection : Cliquez sur cette option pour aller sur la page Protection desappareils à partir de laquelle vous pouvez télécharger le logiciel de l’agent Sophos.

• Contacter le support : Cliquez pour obtenir de l’aide supplémentaire. Cette action est disponiblelorsque vous avez besoin d’aide, par exemple en cas d’échec de nettoyage d’un malware.

• Nettoyer la PUA : Cliquez sur cette option pour nettoyer (éliminer) une application potentiellementindésirable ou PUA (Potentially Unwanted Application) qui a été détectée.

Cette action est uniquement disponible pour les ordinateurs.

Cette action ne sera pas disponible si la PUA a été détectée dans un partage réseau. En effet,l’agent Sophos Endpoint Protection n’a pas les droits suffisants pour nettoyer les fichiers danscet emplacement. Retrouvez plus de renseignements sur le traitement des PUA.

• Autoriser la PUA : Cliquez sur cette option pour autoriser l’exécution d’une applicationpotentiellement indésirable (PUA) sur tous les ordinateurs. Vous pouvez utiliser cette option si vousjugez qu’une telle application est utile.

Cette action est uniquement disponible pour les ordinateurs.

Changer la fréquence des alertes par email.

Vous pouvez changer la fréquence à laquelle un type d’alerte est envoyé.

Cliquez sur le menu déroulant à côté de l’alerte pour voir plus d’informations. Dans Alerte paremail, sélectionnez la fréquence d’envoi de ce type d’alerte.

Ce paramètre sera ajouté aux Exceptions dans les paramètres des alertes par email. Vous pouvezégalement modifier ce paramètre.

Concepts connexesTraitement des menaces (page 12)Dossiers Menace (page 23)Les dossiers Menace vous permettent d’analyser et de nettoyer les attaques de malwares.

Applications autorisées (page 148)Alertes de protection contre les menaces (page 6)Alertes d’installation, de mise à jour et de conformité (page 10)Rapport d’événements (page 40)Configurer les alertes par email (page 140)Vous pouvez gérer la façon dont les administrateurs vont recevoir les alertes par email.

3.2.1 Alertes de protection contre les menaces

Retrouvez ci-dessous les différents types d’alertes de protection contre les menaces.



Retrouvez plus de renseignements sur une menace et plus de conseils sur la manière de la traiteren cliquant sur son nom dans l’alerte.

Vous pouvez également vous rendre sur la page Analyse des menaces sur le site Web de Sophos.Sous Parcourir nos analyses des menaces, cliquez sur le lien d’un type de menace, puisrecherchez la menace ou parcourez la liste des éléments les plus récents.

Vous pouvez également voir des détections de malwares affichées dans la liste des événementssous le nom ML/PE-A.

Élevée

Protection en temps réel désactivée

La protection en temps réel a été désactivée pendant plus de 2h30 sur un ordinateur. La protectionen temps réel doit être activée en permanence. Le support Sophos vous conseille de la désactiverpendant un court moment si vous devez procéder à un examen approfondi.

Malware non nettoyé

Certains malwares détectés n’ont pas pu être supprimés au bout de 24 heures, alors même quela suppression automatique était disponible. Il est probable que le malware ait été détecté lorsd’un contrôle qui ne fournit pas l’élimination automatique. Par exemple, un contrôle à la demandeconfiguré localement. Vous pouvez traiter ce malware de l’une des manières suivantes :

• Procédez à une opération de suppression centralisée en programmant un contrôle dans lastratégie (qui aura donc l’option de suppression automatique activée).

• Procédez à une opération de suppression locale en utilisant le Gestionnaire de quarantaine.

Nettoyage manuel requis

Certains malwares détectés n’ont pas pu être supprimés automatiquement car la suppressionautomatique est indisponible. Cliquez sur « Description » dans l’alerte pour être redirigé vers lesite Web de Sophos sur lequel vous retrouverez tous les conseils utiles pour supprimer la menace.Veuillez contacter le support Sophos si vous avez besoin d’aide.

Malware en cours d’exécution non nettoyé

Un programme s’exécutant sur un ordinateur et affichant un comportement malveillant oususpect n’a pas pu être supprimé. Cliquez sur « Description » dans l’alerte pour obtenir plus derenseignements sur la menace et son traitement. Veuillez contacter le support Sophos si vous avezbesoin d’aide.

Trafic malveillant détecté

Du trafic réseau malveillant, s’étant potentiellement dirigé vers un serveur de commande et decontrôle impliqué dans une attaque de botnets ou d’autres malwares a été détecté. Cliquez sur« Description » dans l’alerte pour obtenir plus de renseignements sur la menace et son traitement.Veuillez contacter le support Sophos si vous avez besoin d’aide.

Infection récurrente

Un ordinateur a été réinfecté suite à la tentative de suppression d’une menace par Sophos Central.Il est probable que la menace contienne des composants cachés qui n’ont pas été détectés. Uneanalyse approfondie de la menace peut être nécessaire. Veuillez contacter le support Sophos pourobtenir plus d’assistance.

Ransomware détecté

Nous avons détecté un ransomware et bloqué son accès au système de fichiers. Si l’ordinateur estune station de travail, les ransomwares sont éliminés automatiquement. Veuillez procéder commesuit :



• Si vous avez toujours besoin d’éliminer une menace : Déplacez temporairement l’ordinateur surun réseau sur lequel il ne représentera pas un risque pour les autres ordinateurs Sur l’ordinateur,exécutez Sophos Clean (si ce programme n’est pas installé, veuillez le télécharger sur notre siteWeb).

Vous pouvez exécuter Sophos Clean sur un serveur à partir de Sophos Central. Retrouvez plusde renseignements à la section Alertes.

• Si l’envoi automatique d’échantillon n’est pas activé, veuillez nous envoyer un échantillon duransomware. Nous le classerons et mettrons à jour nos règles. Si celui-ci est malveillant, SophosCentral le bloquera.

• Allez dans Sophos Central, puis dans Alertes, et marquez l’alerte comme résolue.

Détection d’une attaque de ransomware sur une machine distante

Nous avons détecté un ordinateur essayant de chiffrer des fichiers sur d’autres ordinateurs.

Nous avons bloqué l’accès en écriture de cet ordinateur aux partages réseau. Si l’ordinateur est unestation de travail et que Protéger les fichiers document contre les ransomwares (CryptoGuard)est activé, l’ordinateur est nettoyé automatiquement de tous les ransomwares.

Veuillez procéder comme suit :

• Assurez-vous que Protéger les fichiers document contre les ransomwares (CryptoGuard) estactivé dans la stratégie Sophos Central. Ceci fournit plus d’informations.

• Si l’opération de nettoyage n’est pas automatique : Déplacez l’ordinateur sur un réseau sur lequel ilne représentera pas un risque pour les autres ordinateurs Rendez-vous sur l’ordinateur et exécutezSophos Clean (si ce programme n’est pas installé, veuillez le télécharger sur notre site Web).


Moyenne

Application potentiellement indésirable (PUA) détectée

Le logiciel détecté pourrait être un adware ou tout autre logiciel potentiellement indésirable. Lesapplications potentiellement indésirables sont bloquées par défaut. Vous avez la possibilité de lesautoriser si vous les considérez utiles ou de les supprimer.

Autoriser les PUA

Vous pouvez autoriser une PUA de l’une des deux manières suivantes selon que vous vouliezl’autoriser sur tous les ordinateurs ou seulement sur certains d’entre eux :

• Sur la page Alertes, sélectionnez l’alerte et cliquez sur le bouton Autoriser la PUA dans le coinsupérieur droit de la page. La PUA va être autorisée sur tous les ordinateurs.

• Ajoutez la PUA aux exclusions de contrôle dans la stratégie de protection contre les malwares. LaPUA va être autorisée uniquement sur les ordinateurs sur lesquels cette stratégie s’applique.

Supprimer les PUA

Vous pouvez supprimer une application potentiellement indésirable de l’une des deux façonssuivantes :

• Sur la page Alertes, sélectionnez l’alerte et cliquez sur le bouton Nettoyer les PUA dans le coinsupérieur droit de la page.

• Supprimez-la à l’aide du Gestionnaire de quarantaine du logiciel de l’agent sur l’ordinateur affecté.



RemarqueL’opération de suppression ne sera pas disponible si la PUA a été détectée dans un partageréseau. En effet, l’agent Sophos n’a pas les droits suffisants pour éliminer les fichiers dans cetemplacement.

Application potentiellement indésirable non nettoyée

L’application potentiellement indésirable n’a pas pu être supprimée. Une opération de suppressionmanuelle est nécessaire. Cliquez sur « Description » dans l’alerte pour obtenir plus derenseignements sur l’application et son traitement. Veuillez contacter le support Sophos si vous avezbesoin d’aide.

Contrôle de l’ordinateur requis pour terminer le nettoyage

La suppression d’une menace nécessite le contrôle intégral de l’ordinateur. Pour contrôler unordinateur, allez sur la page Ordinateurs et cliquez sur le nom de l’ordinateur pour ouvrir la paged’informations sur celui-ci. Cliquez ensuite sur le bouton Contrôler.

Le contrôle peut durer quelques instants. Lorsqu’il est terminé, un événement « Contrôle de’Contrôler cet ordinateur’ terminé » et tous les autres événements de suppression réussisapparaissent sur la page Journaux et rapports > Événements. Vous pouvez voir les alertes sur leséchecs de l’opération de nettoyage sur la page Alertes.

Si l’ordinateur est hors ligne, il sera contrôlé dès qu’il sera remis en ligne. Si le contrôle d’unordinateur est déjà en cours d’exécution, la nouvelle demande de contrôle sera ignorée et le contrôlecommencé auparavant continuera.

Autrement, vous pouvez exécuter un contrôle local en utilisant le logiciel de l’agent Sophos surl’ordinateur affecté. Utilisez l’option Contrôler de Sophos Endpoint sur un ordinateur Windows, oul’option Contrôler ce Mac de Sophos Anti-Virus sur un Mac.

Redémarrage requis pour terminer le nettoyage

La menace a été partiellement supprimée, mais le terminal n’a pas besoin d’être redémarré pourterminer l’opération de suppression.

Ransomware exécuté à distance détecté

Nous avons détecté un ransomware s’exécutant sur un ordinateur à distance et essayant de chiffrerdes fichiers sur les partages réseau.

Nous avons bloqué l’accès en écriture sur les partages réseau provenant de l’adresse IP decet ordinateur distant. Si l’ordinateur avec cette adresse est une station de travail administréepar Sophos Central et que l’option Protéger les fichiers document contre les ransomwares(CryptoGuard) est activée, l’ordinateur est nettoyé automatiquement de tous les ransomwares.


• Localisez l’ordinateur sur lequel le ransomware est en train de s’exécuter.

• Si un ordinateur est administré par Sophos Central, assurez-vous que l’option Protéger lesfichiers document contre les ransomwares (CryptoGuard) est activée dans la stratégie.



Concepts connexesAlertes (page 4)



La page Alertes répertorie toutes les alertes nécessitant une intervention de votre part.

Information associéeAnalyse des menacesDétection ML/PE-A expliquée

3.2.2 Alertes pour le chiffrement des appareils

Retrouvez ci-dessous les différents types d’alertes pour le chiffrement des appareils :

Moyenne

• Appareil non chiffré

Un volume n’est pas chiffré alors qu’il est supposé l’être. Ceci peut être dû au fait que l’utilisateura retardé le chiffrement lorsque la stratégie a été appliquée.

• Clé de récupération manquante

La clé de secours d’un volume chiffré est introuvable dans la base de données Sophos Central.

• Device Encryption est suspendu

Si vous n’avez pas suspendu Device Encryption, il se peut que :

— La clé de récupération ne soit pas encore stockée dans Sophos Central. Assurez-vous que leterminal est connecté à Internet.

— BitLocker pré-approvisionné n’est pas encore activé. Les utilisateurs doivent définir un codeconfidentiel (PIN), un mot de passe ou une clé USB pour activer BitLocker.

— Les mises à jour Windows sont en cours d’installation. BitLocker sera automatiquementréactivé au prochain redémarrage.

3.2.3 Alertes d’installation, de mise à jour et de conformité

Retrouvez ci-dessous les différents types d’alertes pour les problèmes d’installation des agentsSophos, de mise à jour des agents Sophos ou de conformité aux stratégies :

Élevée

Impossible de protéger l’ordinateur ou le serveur

Un ordinateur a commencé l’installation du logiciel de l’agent mais n’est pas protégé depuisune heure. Le programme d’installation qui a été exécuté sur l’ordinateur affecté fournira plusd’informations sur la raison de cet échec.

Moyenne

Ordinateur ou serveur non mis à jour

Un ordinateur qui n’a pas été mis à jour au cours des dernières 24 heures communique avecSophos Central depuis 6 heures et ne s’est pas mis à jour depuis 2 heures. Généralement, unordinateur tente de se mettre à jour environ 5 minutes après avoir démarré, puis régulièrement


https://www.sophos.com/fr-fr/threat-center/threat-analyses.aspxhttps://community.sophos.com/kb/fr-fr/127331


toutes les 60 minutes. En cas d’échec répété de l’application de la stratégie, un problème plus graves’est peut être produit. Dans ce cas de figure, la réinstallation résoudra peut-être le problème.

Redémarrage obligatoire

Le redémarrage d’un ordinateur est nécessaire pour terminer la mise à jour du logiciel de l’agent etcela fait 2 semaines que cet ordinateur n’a pas été redémarré. Parfois, suite à l’installation/mise àjour du logiciel de l’agent, il est nécessaire de redémarrer pour activer toutes les fonctionnalités dela nouvelle version ou de celle mise à jour du logiciel. Même si la mise à jour n’a pas besoin d’êtreeffectuée immédiatement, il est conseillé de l’effectuer le plus tôt possible.

Non conforme à la stratégie

Un appareil n’est peut-être pas conforme à la stratégie pour diverses raisons. Par exemple, siles paramètres ont été modifiés sur l’appareil lui-même. Dans ce cas, au bout de deux heuresà un état non conforme, le système déclenche une alerte et essaye de réappliquer la stratégiecorrespondante. Lorsque l’appareil est de nouveau conforme, l’alerte est automatiquement effacée.En cas d’échec répété, un problème plus grave s’est peut être produit. Dans ce cas de figure, laréinstallation résoudra peut-être le problème.

Périphérique détecté

Un support ou autre périphérique amovible a été détecté sur l’appareil contrôlé par Sophos Central.

Détection d’appareil en double

Un appareil dupliqué a été détecté. Si les appareils ont été clonés à partir d’une image, ils ont lemême numéro d’identifiant. Les numéros d’identifiants en double peuvent entraîner des problèmesd’administration. Les appareils dupliqués sont de nouveau enregistrés sous un nouvel identifiant.

Remarques :

• les ordinateurs sous Windows XP/Vista ou Server 2003/2008 ne sont pas détectés en tant quedoublons. Toutefois, s’ils ont le même identifiant que celui exécutant un systèmes d’exploitationpris en charge (par ex ; Windows 10), ils sont détectés comme doublons mais ne sont pas ré-enregistrés.

• Tous les serveurs Windows sur lesquels Server Lockdown est installé et verrouillé ne sont pas denouveau enregistrés s’ils sont détectés en tant que doublons.

• Nous ne détectons pas les appareils en double sur les environnements VDI tels que VMwareHorizon, Citrix PVS ou Citrix MCS.

Information associéeDétection d’appareil en double

3.2.4 Alertes sans fil

Bénéficiez d’une vue détaillée des alertes sans fil générées par les points d’accès.

Élevée

Le point d’accès ne fonctionne pas correctement. : Le point d’accès est surchargé. Il y a tropd’appareils connectés. Assurez-vous que vous avez assez de points d’accès pour couvrir la zone.


https://community.sophos.com/kb/fr-fr/132029


Moyennes

Ce point d’accès est hors ligne : Le point d’accès n’a aucune connexion Internet, n’est pas soustension ou a un problème logiciel. Essayez de redémarrer. Le redémarrage peut résoudre lesproblèmes logiciel.

Ce point d’accès ne diffuse aucun réseau : Le point d’accès n’est pas configuré. Pour configurerle point d’accès, cliquez sur Sophos Wireless > Points d’accès.

Commande du point d’accès terminée : Le redémarrage est terminé.

Le redémarrage du point d’accès peut résoudre les alertes suivantes :

• Impossible de configurer ce point d’accès

• La mise à jour des points d’accès avec le nouveau firmware a échoué

Si le problème persiste, veuillez contacter le support Sophos. Le support aura besoin de l’accèsà distance pour analyser le problème. Autorisez l’accès à distance dans Sophos Wireless >Paramètres > Diagnostics > Connexion à distance aux points d’accès du support Sophos.

Faible

Le point d’accès va être mis à jour avec le nouveau firmware : La connexion sans fil seradésactivée pendant environ 5 minutes.

Tous les points d’accès vont être mis à jour avec le nouveau firmware : La connexion sans filsera désactivée pendant environ 5 minutes.

La mise à jour du point d’accès avec le nouveau firmware a été effectuée avec succès

Tous les points d’accès ont été mis à jour avec succès

3.2.5 Traitement des menaces

Retrouvez plus de conseils sur le traitement des menaces à la section :

• Traitement des ransomwares.

• Traitement des Exploits.

• Traitement d’attaques du navigateur Web.

• Traitement des malwares détectés par Deep Learning.

• Traitement des événements de verrouillage d’application.

• Traitement des faux positifs.

Retrouvez plus de renseignements sur les malwares aux sections sur les alertes de malwares surAlertes de protection contre les menaces.

Concepts connexesAlertes (page 4)La page Alertes répertorie toutes les alertes nécessitant une intervention de votre part.

Traitement des ransomwares (page 13)Traitement des Exploits (page 14)Traitement d’attaques du navigateur Web (page 15)



Traitement des malwares détectés par Deep Learning (page 15)Traitement des événements de verrouillage d’application (page 16)Traitement des faux positifs (page 16)Alertes de protection contre les menaces (page 6)

Traitement des ransomwares

Découvrez ce qui se passe et quelle procédure suivre en cas de détection d’un ransomware.

Si vous savez qu’une détection est un faux positif, consultez la section Traitement des faux positifs.

Que se passe-t-il en cas de détection d’un ransomware ?

Lorsque nous détectons un ransomware :

• Nous vérifions qu’il s’agit d’une application légitime comme par exemple un produit de chiffrementde fichiers ou de dossiers. Dans le cas contraire, nous l’empêchons de s’exécuter.

• Les fichiers sont restaurés à la version à laquelle ils étaient avant la modification.

• L’utilisateur est averti.

• Un dossier Menace est créé. Ceci vous permet de décider si vous voulez effectuer d’autresactions.

• Un contrôle commence pour identifier et nettoyer les autres malwares sur l’appareil.

• L’état de fonctionnement de l’appareil est au vert.

Que faire si vous voyez le message « Ransomware détecté »

Si vous avez toujours besoin de nettoyer une menace, procédez comme suit :

• Si l’envoi automatique d’échantillon n’est pas activé, veuillez nous envoyer un échantillon duransomware. Nous le classerons et mettrons à jour nos règles. Si celui-ci est malveillant, SophosCentral le bloquera.

• Déplacez temporairement l’ordinateur sur un réseau sur lequel il ne représentera pas un risquepour les autres ordinateurs Sur l’ordinateur, exécutez Sophos Clean (si ce programme n’est pasinstallé, veuillez le télécharger sur notre site Web).

Vous pouvez exécuter Sophos Clean sur un serveur à partir de Sophos Central.


Que faire si vous voyez le message « Ransomware exécuté à distancedétecté »

Nous avons détecté un ransomware s’exécutant sur un ordinateur à distance et essayant de chiffrerdes fichiers sur les partages réseau.

Nous avons bloqué l’accès en écriture sur les partages réseau provenant de l’adresse IP decet ordinateur distant. Si l’ordinateur avec cette adresse est une station de travail administréepar Sophos Central et que l’option Protéger les fichiers document contre les ransomwares(CryptoGuard) est activée, l’ordinateur est nettoyé automatiquement de tous les ransomwares.




• Localisez l’ordinateur sur lequel le ransomware est en train de s’exécuter.

• Si un ordinateur est administré par Sophos Central, assurez-vous que l’option Protéger lesfichiers document contre les ransomwares (CryptoGuard) est activée dans la stratégie.



Que faire si vous voyez le message « Détection d’une attaque deransomware sur une machine distante »

Nous avons détecté un ordinateur essayant de chiffrer des fichiers sur d’autres ordinateurs.

Nous avons bloqué l’accès en écriture de cet ordinateur aux partages réseau. Si l’ordinateur est unestation de travail et que Protéger les fichiers document contre les ransomwares (CryptoGuard)est activé, l’ordinateur est nettoyé automatiquement de tous les ransomwares.


• Assurez-vous que Protéger les fichiers document contre les ransomwares (CryptoGuard) estactivé dans la stratégie Sophos Central. Ceci fournit plus d’informations.



Concepts connexesTraitement des faux positifs (page 16)Alertes (page 4)La page Alertes répertorie toutes les alertes nécessitant une intervention de votre part.

Information associéeComment envoyer des échantillons de fichiers suspects à Sophos

Traitement des Exploits

Cette section vous indique ce que vous devez faire des Exploits.

Si vous savez qu’une détection est un faux positif, consultez la section Traitement des faux positifs.

Que se passe-t-il en cas de détection d’un Exploit ?

En cas de détection d’un Exploit :

• L’Exploit est stoppé.


• Un contrôle commence pour nettoyer les menaces.

• Un dossier Menace est créé.


https://community.sophos.com/kb/fr-fr/11490


Action à mener

Allez dans Centre d’analyse des menaces > Dossiers Menace et passez en revue lesinformations sur le dossier pour savoir d’où provient l’attaque, comment elle se propage et quelsprocessus ou fichiers sont affectés.

Il arrive bien souvent qu’un utilisateur ait téléchargé ou autorisé une application ouvrant l’accèsà une attaque. Pour éviter ce genre de situation, formez vos utilisateurs à la navigation en toutesécurité.

Concepts connexesTraitement des faux positifs (page 16)

Traitement d’attaques du navigateur Web

Que se passe-t-il en cas de détection d’une menace du navigateur Web ?

En cas de détection d’une attaque :

• Intercept X avertit l’utilisateur et lui demande de fermer le navigateur.

• Un contrôle Sophos Clean démarre.


Action à mener


• Utilisez le dossier Menace pour identifier l’adresse IP et l’URL associées à l’attaque.

• Décidez de bloquer cet emplacement dans le pare-feu d’entreprise. (Si l’attaque n’a pas étédétectée par votre protection Web, elle n’est pas classée comme malveillante.)

• Si l’utilisateur a saisi un mot de passe, demandez lui de le changer.

• Si l’utilisateur a contacté sa banque, demandez lui de vérifier s’il n’y a aucune activité inhabituellesur son compte.

Traitement des malwares détectés par Deep Learning

Deep learning utilise l’apprentissage machine avancé pour détecter les malwares ou PUA sansutiliser de signatures.

Un malware détecté par Deep Learning apparaît dans les alertes sous le préfixe « ML/ ».

Les fichiers PE (applications, bibliothèques, fichiers système) qui ont été détectés et mis enquarantaine. Vous pouvez les restaurer et les autoriser s’ils sont sains.

Que se passe-t-il en cas de détection d’un malware ?

Lorsque Deep learning identifie un fichier comme étant malveillant, les étapes suivantes ont lieu :



• Nous vérifions que le fichier a bien été ajouté à une liste d’applications autorisées. (Cette liste vouspermet d’exclure un fichier de la vérification s’il a été détecté comme un malware incorrectement).

• Si le fichier n’est pas dans la liste d’autorisation, il est signalé comme malware et mis enquarantaine.


• Le bon fonctionnement de l’ordinateur est signalé par un signal vert car le malware est enquarantaine.

Action à mener

Le malware étant en quarantaine, aucune intervention de votre part n’est nécessaire.

Toutefois, Deep Learning peut parfois signaler un fichier légitime comme malware (faux positif). Sivous êtes sûr que le fichier est sain, restaurez-le et autorisez son utilisation.

Pour restaurer et autoriser un fichier, suivez les étapes de la section Applications autorisées.

Concepts connexesApplications autorisées (page 148)

Traitement des événements de verrouillage d’application

La fonction de verrouillage (lockdown) d’application neutralise les attaques qui abusent les fonctionslégitimes des applications usuelles dans le but de lancer une attaque ou de lancer un malware.

Que se passe-t-il en cas de détection d’une attaque ?

Lorsqu’une application verrouillée effectue une opération interdite telle que l’installation d’un autrelogiciel ou la modification des paramètres du système, les étapes suivantes ont lieu :

• Intercept X ferme automatiquement l’application.


• Un contrôle Sophos Clean démarre. Il identifiera tous les autres composants malveillantspotentiels.


Action à mener


• Utilisez le dossier Menace pour identifier le fichier ou l’activité qui est l’origine de l’attaque.

• Confirmez qu’aucune autre action n’est nécessaire.

Traitement des faux positifs

Notre logiciel détecte les menaces qui étaient auparavant inconnues. Toutefois, il peut parfoisidentifier une application comme étant un malware ou signaler la présence d’un Exploit, même sil’application est saine. Il s’agit d’un « faux positif ».



Lorsqu’un faux positif se produit, vous pouvez empêcher le logiciel de détecter de nouveau l’élémentcomme une menace et (si applicable) restaurer les fichiers qui ont été supprimés.

Concepts connexesArrêt de la détection d’une application (page 17)Arrêt de la détection d’un ransomware (page 21)Information associéeArrêt de la détection d’un Exploit (page 17)Vous pouvez exclure une application de la détection des Exploits, soit en réponse à une détection, soitavant toute détection.

Arrêt de la détection d’une application

En cas de détection de fichiers PE (Portable Executable) tels que les applications, les bibliothèqueset les fichiers système, ceux-ci sont mis en quarantaine et peuvent être restaurés.

Pour autoriser une application détectée et supprimée par Sophos, procédez comme suit.

• Cette opération autorise l’utilisation de l’application sur tous les ordinateurs et par tous lesutilisateurs.

• Cette opération autorise l’application à démarrer. Toutefois, nous la contrôlerons pour nous assurerqu’elle ne contient pas de menaces, d’Exploits et qu’elle n’a pas un comportement malveillantlorsqu’elle est exécutée.

1. Allez sur la page Ordinateurs ou Serveurs selon l’emplacement dans lequel l’application a étédétectée.

2. Recherchez l’ordinateur sur lequel la détection a eu lieu et cliquez dessus pour voir lesinformations le concernant.

3. Sur l’onglet Événements, recherchez l’événement de détection et cliquez sur Informations.

4. Dans la boîte de dialogue Informations sur l’événement, recherchez sous Autoriser cetteapplication.

5. Sélectionnez la méthode d’autorisation de l’application :

• Certificat : il s’agit de l’option conseillée. Elle autoriser les autres applications avec le mêmecertificat.

• SHA-256 : cette option autorise cette version de l’application. Toutefois, si l’application est miseà jour, il se peut qu’elle soit de nouveau détectée.

• Chemin : cette option autorise l’application à condition qu’elle soit installée au chemin(emplacement) indiqué. Vous pouvez modifier le chemin (maintenant ou ultérieurement) etutiliser des variables si l’application est installée à différents emplacements sur différentsordinateurs.

6. Cliquez sur Autoriser.

Arrêt de la détection d’un ExploitVous pouvez exclure une application de la détection des Exploits, soit en réponse à une détection, soitavant toute détection.

Introduction

Vous pouvez définir des exclusions pour un événement spécifique, un Exploit spécifique ou tous lesExploits associés à une application.



Arrêter la détection d’un Exploit détecté (à l’aide de la liste d’événements)

Si un Exploit est détecté sur une application et que vous êtes sûr que la détection est incorrecte,vous pouvez empêcher que ceci ne se reproduise à l’aide des options disponibles dans votre listed’événements.

Ceci s’applique à tous vos utilisateurs et ordinateurs.

Pour arrêter la détection d’un Exploit, procédez comme suit :



3. Sur l’onglet Événements, recherchez l’événement de détection et cliquez sur Informations.

4. Dans Informations sur l’événement, recherchez Ne plus détecter et sélectionnez une option :

• L’option Exclure cet identifiant de détection de la vérification. empêche la détection surcette application. Une exclusion est ajoutée pour l’ID de détection associé à cette détectionspécifique. Si le même comportement se reproduit sur votre sous-parc, il ne sera pas détecté.En revanche, si le comportement est différent, par exemple s’il s’applique à des cheminsou des fichiers différents, il fera l’objet d’une ID de détection différente et nécessitera uneexclusion distincte.

• L’option Exclure cette prévention de la vérification de cette application empêche touterecherche de cet Exploit sur cette application. Ceci augmente le risque d’attaque. Cependant,elle peut être utile lorsque des applications métier spécifiques génèrent de nombreusesdétections inattendues.

• L’option Exclure cette application de la vérification empêche toute recherche d’Exploits surcette application. Ceci est très dangereux. Veuillez donc l’utiliser en dernier recours.

a) Essayez d’exclure d’abord l’identifiant de détection pour plus de précision. Si la mêmedétection se reproduit, veuillez exclure l’Exploit. Si la même détection continue à se produire,veuillez exclure l’application.



5. Cliquez sur Exclure.

Nous allons ajouter votre exclusion à une liste.

Les exclusions de l’identifiant de détection vont dans les Exclusions générales. Les exclusionsd’application vont dans Exclusions de la prévention des Exploits.

Arrêter la détection d’un Exploit qui a été détecté (avec les paramètres de stratégie)

Si un Exploit est détecté sur une application et que vous êtes sûr que la détection est incorrecte,vous pouvez empêcher que ceci ne se reproduise à l’aide des options disponibles dans la stratégiede protection contre les menaces.

Si vous utilisez cette méthode, nous continuerons à rechercher d’autres Exploits qui affectent cetteapplication.

Pour arrêter la détection d’un Exploit, procédez comme suit :

1. Dans Stratégies, recherchez la stratégie de Protection contre les menaces qui s’applique auxordinateurs.

2. Sous Paramètres, recherchez Exclusions et cliquez sur Ajouter une exclusion.

3. Dans le champ Type d’exclusion, sélectionnez Exploits détectés (Windows/Mac).

4. Sélectionnez l’Exploit et cliquez sur Ajouter.

Vous pouvez également utiliser une stratégie pour arrêter la détection des Exploits sur toutes lesapplications d’un certain type. Dans la stratégie de protection contre les menaces, désactivez laprévention des Exploits (sous Protection à l’exécution (runtime)) pour le type d’application.

RemarqueNous déconseillons la désactivation de la prévention des Exploits.

Arrêter la recherche d’un Exploit spécifique sur une application

Si aucune détection n’a été effectuée pour une application mais qu’il a été déterminé quel’application doit être exclue d’une prévention spécifique, vous pouvez arrêter de rechercher demanière proactive un exploit spécifique.

Si vous utilisez cette méthode, nous continuerons à rechercher d’autres Exploits qui affectent cetteapplication.

Pour arrêter la recherche d’un Exploit spécifique, procédez comme suit :

1. Allez dans Paramètres généraux > Exclusions générales.

2. Cliquez sur Ajouter une exclusion.

3. Sous Type d’exclusion, sélectionnez Prévention des Exploits (Windows).

4. Dans la liste des applications, sélectionnez l’application à exclure.

a) Si elle ne figure pas dans la liste, cliquez sur L’application n’est pas dans la liste ?. SousExclure l’application par chemin, saisissez le chemin complet de l’application.



5. Sous Préventions, désactivez la prévention à partir de laquelle vous souhaitez exclurel’application.

6. Cliquez sur Ajouter.

7. Cliquez sur Enregistrer.

Arrêter la recherche de tous les exploits sur une application

Si une application génère de nombreuses détections d’Exploit inattendues ou rencontre desproblèmes de performances lorsque la fonction de prévention des Exploits est activée, vous pouvezarrêter de rechercher toutes les Exploits sur l’application.

Si vous utilisez cette méthode, nous ne vérifierons pas la présence d’Exploits dans l’applicationmais nous continuerons à vérifier tout signe de comportement de ransomware et la présence demalwares.

Pour arrêter la recherche de tous les Exploits sur une application, procédez comme suit :

1. Allez dans Paramètres généraux > Exclusions générales.

2. Cliquez sur Ajouter une exclusion.

3. Sous Type d’exclusion, sélectionnez Prévention des Exploits (Windows).

4. Dans la liste des applications, sélectionnez l’application à exclure.



a) Si elle ne figure pas dans la liste, cliquez sur L’application n’est pas dans la liste ?.

b) Sous Exclure l’application par chemin, saisissez le chemin complet de l’application.

5. Sous Préventions, désactivez Protéger l’application.

6. Cliquez sur Ajouter.

7. Cliquez sur Enregistrer.

Arrêt de la détection d’un ransomware

Si un ransomware est détecté et que vous estimez que cette détection est incorrecte, vous pouvezl’empêcher de se produire de nouveau.

Ceci sera appliqué à tous vos utilisateurs et ordinateurs.



3. Sur l’onglet Événements, recherchez l’événement de détection et cliquez sur Infos.

4. Dans Détails de l’événement, recherchez Ne plus détecter.

Sélectionnez Exclure cet identifiant de détection de la vérification. Cette opération empêchela détection sur cette app.

5. Cliquez sur Exclure.

Nous allons ajouter votre exclusion à une liste des Exclusions générales.

3.3 Centre d’analyse des menacesLe Tableau de bord vous permet de voir les informations les plus importantes en un clin d’œil.

Il est composé des sections ci-dessous.



Dossiers Menaces les plus récents

Les dossiers Menace vous permettent d’analyser les attaques de malwares. Cliquez sur un dossierpour retrouver l’origine d’une attaque, la manière dont elle s’est propagée et les processus oufichiers affectés.

Cliquez sur Voir tous les dossiers Menace pour voir tous les dossiers Menace.

Les dossiers Menace sont uniquement disponibles sur les appareils Windows.

Seuls les dossiers Menace avec un nouvel état sont affichés dans cette zone. Les dossiers Menacefermés ou en cours ne s’affichent pas, même s’ils ont une date plus récente qu’un dossier plusancien avec un nouvel état.

Si vous disposez d'une licence MTR, celle-ci est divisée en onglets pour les dossiers Menace qui ontété générés comme suit :

• Généré automatiquement par Sophos

• Généré par un administrateur Sophos Central

• Généré par l’équipe Sophos Managed Threat Response (MTR) (non utilisé actuellement)

Recherche de menace

Cette option est disponible si vous utilisez Intercept X Advanced with EDR ou Intercept X Advancedwith EDR for Server.

Recherche des menaces potentielles sur votre réseau.

Vous pouvez rechercher des hachages de fichier SHA-256, noms de fichier, adresses IP, noms dedomaine (complets ou incomplets) ou lignes de commande. Les informations aidant à la recherchefigurent sur d’autres solutions de sécurité ou services de notification des menaces.

Les recherches de menace trouvent les :

• Fichiers exécutables portables (applications, bibliothèques, fichiers système, etc.) douteux ou demauvaise réputation.

• Les adresses IP ou les domaines ayant été contactés par ces fichiers.

• Les outils d’administration qui ont été exécutés. Ces outils peuvent être utilisés de manièreincorrecte.

RemarqueVous pouvez également effectuer une recherche de menace depuis un dossier Menace. Larecherche trouvera plus d’exemples de menaces potentielles identifiées dans ce dossier.

RemarqueLes recherches de lignes de commande et d’outils d’administration ne sont pas encore disponiblespour tous les clients.

Recherches de menace les plus récentes

Cette option est disponible si vous utilisez Intercept X Advanced with EDR ou Intercept X Advancedwith EDR for Server.



Elle affiche les recherches de menaces effectuées et sauvegardées récemment. Cliquez sur unerecherche pour la relancer, repérer les appareils affectés et prendre les mesures adéquates.

Cliquez sur Voir toutes les recherches pour voir toutes les recherches.

Principaux indicateurs de menace

Les indicateurs de menaces sont des fichiers suspects que Sophos n’a pas bloqué mais que vouspourriez souhaiter analyser.

La liste des principaux indicateurs de menace affiche les indicateurs de menace les plus importantsavec les informations suivantes :

• Niveau Suspicion. Il s’agit de la probabilité que le fichier soit malveillant.

• Le nombre d’appareils affectés.

Retrouvez une liste complète et procédez à une analyse approfondie en cliquant sur Voir tous lesindicateurs de menace.

3.3.1 Dossiers Menace

Les dossiers Menace vous permettent d’analyser et de nettoyer les attaques de malwares.

Vous pouvez retrouver l’origine d’une attaque, la manière dont elle s’est propagée et les processusou fichiers affectés. Vous renforcez de ce fait votre sécurité.

Cette fonctionnalité est uniquement disponible pour les clients disposant d’une licence Intercept Xor Intercept X Advanced with EDR. Si vous avez une licence Intercept X Advanced with EDR ouIntercept X Advanced for Server with EDR, vous pouvez également faire ce qui suit :

• Isoler les appareils affectés.

• Rechercher plus d’exemples sur la menace présente sur votre réseau.

• Nettoyer et bloquer la menace.

• Obtenir des renseignements avancés sur les menaces.

Nous vous créons un dossier Menace à chaque fois que vous détectez un malware nécessitant unexamen approfondi.

RemarqueCette fonctionnalité est uniquement disponible sur les appareils Windows.

Comment analyser et nettoyer les menaces

Voici un aperçu sur la manière d’analyser un dossier. Retrouvez plus de renseignements sur toutesles options disponibles à la section Page d’analyse du Dossier Menace.

Certaines options sont uniquement disponibles si vous utilisez une licence Intercept X Advancedwith EDR ou Intercept X Advanced with EDR for Server.

1. Cliquez sur Dossiers Menace du menu principal puis sur un dossier.

La page d’information du dossier s’affiche.

2. Recherchez le Résumé pour voir d’où l’attaque provient et quels fichiers pourraient être affectés.



3. Recherchez les Étapes suivantes suggérées. Vous pouvez changer la priorité du dossier et voirles processus à analyser.

S’il s’agit d’un dossier haute priorité et que vous avez Intercept X Advanced with EDR, vouspouvez cliquer sur Isoler cet appareil. Cette option isole l’appareil affecté du réseau. Vouspouvez toujours administrer l’appareil à partir de Sophos Central.

RemarqueVous ne voyez pas cette option si l’appareil s’est déjà isolé automatiquement.

4. Dans l’onglet Analyse, un diagramme montre l’état d’avancement de l’attaque. Retrouvez plus derenseignements sur les éléments en cliquant dessus.

5. Cliquez sur l’analyse détaillée ou sur un autre processus pour obtenir plus de renseignements.

6. Pour être sûr de disposer de l’analyse la plus récente de Sophos, cliquez sur Demande derenseignements les plus récents.

Cette action envoie les fichiers à Sophos pour analyse. Si nous avons des informations sur laréputation ou la prévalence d’un fichier, elles s’afficheront au bout de quelques minutes.

RestrictionSi vous utilisez Intercept X Advanced with EDR ou Intercept X Advanced for Server with EDR,vous verrez une analyse plus détaillée comme indiqué à la section Détails du processus. Vouspouvez aussi approfondir la détection et le nettoyage en suivant les étapes ci-dessous.

7. Cliquez sur Rechercher un élément pour chercher plus d’exemples du fichier sur votre réseau.

Si la page Résultats de la recherche d’éléments montre d’autres exemples du fichier, cliquezsur Isoler l’appareil sur la même page pour isoler les appareils affectés.

8. Retournez sur la page d’informations du Dossier Menace et consultez les dernières informations.

9. Si vous êtes sûr(e) que le ficher est malveillant, cliquez sur Nettoyer et bloquer.

L’élément est nettoyé sur tous les appareils où il a été trouvé et bloqué sur tous les appareils.

10. Si vous êtes sûr(e) d’avoir éradiqué la menace, vous pouvez sortir l’appareil de l’isolement, sinécessaire. Dans Étapes suivantes suggérées, cliquez sur Sortir de l’isolement.

Si vous avez isolé plusieurs ordinateurs, allez dans Paramètres > Appareils isolés parl’administrateur pour les sortir de l’isolement.

11. Retournez dans la liste Dossiers Menace détectés, sélectionnez le dossier désiré et cliquez surFermer.

À propos de la liste de dossiers Menace

La page Dossiers Menace détectés répertorie tous les dossiers Menaces des 90 derniers jours.

Si vous disposez d’une licence MTR, la page est divisée en onglets pour les dossiers Menace quiont été générés comme suit :

• Généré automatiquement par Sophos

• Généré par un administrateur Sophos Central

• Généré par l’équipe Sophos Managed Threat Response (MTR) (non utilisé actuellement)

Si vous ne disposez pas d’une licence MTR, la page n’est pas divisée en onglets.



Vous pouvez filtrer les dossiers parAppareil, État ou par Priorité.

Vous pouvez utiliser la fonction Recherche pour voir les dossiers d’un utilisateur, d’un appareil oud’un nom de menace (par exemple, « Troj/Agent-AJWL ») particulier.

Pour chaque cas, la liste affiche la plupart des informations suivantes. L’affichage des colonnesdépend de la division de la page en onglets :

• État : l’état est Nouveau par défaut. Vous pouvez la modifier lorsque vous consultez le dossier.

• Heure de création : l’heure et la date de création du dossier.

• Priorité : une priorité est définie lorsque le dossier est créé. Vous pouvez la modifier lorsque vousconsultez le dossier.

• Nom : cliquez sur le nom de la menace pour voir les informations sur le dossier.

• Généré par : L’administrateur Sophos Central qui a généré le Dossier Menace.

• Utilisateur : l’utilisateur qui a causé l’infection. Cliquez sur le nom de l’utilisateur pour voir lesinformations le concernant.

• Appareil : l’appareil qui a causé l’infection. Cliquez sur le nom de l’appareil pour voir lesinformations le concernant.

• Type d’appareil : le type d’appareil, par exemple Ordinateur ou Serveur.

Vous pouvez cliquer sur toutes les colonnes de votre choix pour trier les dossiers.

Concepts connexesAlertes (page 4)La page Alertes répertorie toutes les alertes nécessitant une intervention de votre part.

Page d’analyse du Dossier Menace (page 25)Vous pouvez analyser un dossier Menace en utilisant les outils d’analyse disponibles sur la paged’informations correspondante.

Stratégie de protection contre les menaces (page 227)La protection contre les menaces assure votre sécurité contre les programmes malveillants, les typesde fichiers et sites Web dangereux et le trafic réseau malveillant.

Page d’analyse du Dossier Menace

Vous pouvez analyser un dossier Menace en utilisant les outils d’analyse disponibles sur la paged’informations correspondante.

Recherchez le dossier Menace sur la page Dossiers Menace détectés. Cliquez sur son nom pourvoir une chaîne d’événements simplifiée, un résumé, les informations sur les artefacts (processus,fichiers, clés) affectés et un diagramme affichant la manière dont la menace s’est développée. Lacapture d’écran suivante montre une détection HPmal/Eicar-A déclenchée par le téléchargementd’un fichier sophos_hips_test.exe à partir d’un site Web en utilisant Internet Explorer 11 :



Retrouvez un aperçu sur la procédure à suivre à la section Comment analyser et nettoyer lesmenaces.

Retrouvez plus de renseignements sur toutes les options disponibles dans les sections de cettepage.

RemarqueLes options qui s’afficheront dépendront de votre licence et de la gravité de la menace.

Résumé

Le Résumé affiche des informations concises sur la menace telles que :

• Analyse détaillée : la source d’infection sur votre système.

• Informations éventuellement concernées : fichiers pouvant contenir des données importantes.Vérifiez les pour savoir si les données ont été chiffrées ou volées.

• Où : nom de l’appareil et de son utilisateur.

• Date : Heure et date de la détection.

Étapes suivantes suggérées

Le volet Étapes suivantes suggérées affiche les informations suivantes :

Priorité : une priorité est définie automatiquement. Vous pouvez la changer.

État : l’état est Nouveau par défaut. Vous pouvez la changer.



RemarqueDès que vous définissez l’état sur En cours, vous ne pouvez plus le réinitialiser sur Nouveau.

Isoler cet appareil : Cette option est disponible si le dossier est de haute priorité et si vous utilisezIntercept X Advanced with EDR ou Intercept X Advanced for Server with EDR. Ceci vous permetd’isoler l’appareil pendant l’analyse des menaces potentielles.

Vous pouvez toujours administrer l’appareil à partir de Sophos Central. Vous pouvez égalementcontinuer à envoyer à Sophos des fichiers provenant de l’appareil isolé pour analyse.

Vous pouvez également autoriser les appareils isolés à communiquer avec d’autres appareils dansdes circonstances précises. Retrouvez plus de renseignements à la section Exclusions d’isolementde l’appareil (Windows).

Vous pouvez sortir l’appareil de l’isolement à tout moment. Vous allez voir l’option Sortir del’isolement sous Étapes suivantes suggérées.

RemarqueVous ne voyez pas l’option Isoler cet appareil si l’appareil s’est déjà isolé automatiquement.Retrouvez plus de renseignements sur l’option Isolement de l’appareil à la section Stratégie deprotection contre les menaces.

Contrôler l’appareil : utilisez ce lien pour contrôler l’ordinateur affecté à la recherche de menaces.

Analyse

L’onglet Analyse affiche la chaîne d’événements de l’infection par le malware.

Un menu sur la droite de l’onglet vous permet de choisir les informations que vous souhaitez voir :

• Afficher le chemin direct : affiche la chaîne des éléments directement impliqués entre la cause del’attaque et l’élément sur lequel l’infection a été détectée (la « balise »).

• Afficher le graphique complet : affiche la cause de l’attaque, les artefacts affectés (applications,fichiers, clés), le chemin de l’infection (indiqué par des flèches) et comment l’infection s’estproduite. Il s’agit du paramètre par défaut.

Pour afficher ou masquer les différents types d’artefact, utilisez les cases à cocher au-dessus dudiagramme.

Retrouvez plus de renseignements sur un élément en cliquant ici. Un volet d’informations s’ouvre surla droite du diagramme.

Enregistrement d’un dossier

L’onglet Enregistrement d’un dossier affiche l’historique du dossier Menace, à partir de sa date decréation par Sophos ou par l’administrateur. Vous pouvez publier des commentaires pour enregistrerles actions qui ont été prises et toutes autres informations pertinentes.

Informations sur le processus

Le volet d’informations Informations sur le processus s’affiche lorsque vous cliquez sur unélément affecté. Si quelqu’un a déjà envoyé le fichier à Sophos, vous obtenez les dernièresinformations sur la menace.



Si le fichier n’a pas été envoyé ou que vous souhaitez voir s’il y a des informations plus récentes,cliquez sur Demande de renseignements les plus récents.

Cette action affiche les informations les plus récentes concernant la réputation globale du fichier etvous indique si vous devez procédez à une analyse plus poussée.

Liste d’artefacts

Il s’agit de la liste en dessous du diagramme de l’attaque de malware. Elle affiche toutes lesdonnées affectées (par exemple, les fichiers professionnels, les processus, les clés de registre oules adresses IP).

Vous pouvez exporter un fichier séparé par virgule (CSV) contenant une liste de toutes les donnéesaffectées en cliquant sur Exporter au format CSV en haut à droite de l’onglet.

La liste affiche :

• Nom : Cliquez sur le nom pour obtenir plus de renseignements dans un volet d’informations.

• Type : type de données telle qu’un fichier professionnel ou une clé de registre.

• Réputation

• Heure de journalisation : l’heure et la date d’accès à un processus.

• Interactions

Créer un instantané d’analyse

Vous pouvez créer un « instantané d’analyse » des données à partir de l’appareil. Il récupère lesdonnées dans un journal Sophos consignant l’activité de l’appareil et l’enregistre sur l’appareil. Vouspouvez également l’enregistrer dans le compartiment Amazon Web Services (AWS) S3 que vousindiquez. Vous pouvez ensuite effectuer votre analyse.

Vous allez avoir besoin d’un convertisseur (fourni par nos soins) pour lire les données.

RemarqueVous pouvez choisir la quantité de données que vous souhaitez dans les instantanés etl’emplacement de leur téléchargement. Pour cela, allez dans Paramètres généraux >Instantanés d’analyse. Ces options ne sont pas encore disponibles pour tous les clients.

Pour créer un instantané :

1. Dans l’onglet Analyse d’un dossier Menace.

Vous pouvez également ouvrir l’onglet État sur la page des détails de l’appareil.

2. Cliquez sur Créer un instantané d’analyse.

3. Suivez les étapes de la section Télécharger un instantané d’analyse dans un compartiment S3AWS.

Retrouvez les instantanés que vous avez générés dans %PROGRAMDATA%\Sophos\EndpointDefense\Data\Forensic snapshots\.

Les instantanés générés à partir des détections se trouvent dans %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\.



RemarqueVous devez être un administrateur ayant accès au mot de passe de protection antialtérationet exécuter une invite de commande en tant qu’administrateur pour accéder aux instantanésd’analyse enregistrés.

Concepts connexesDossiers Menace (page 23)Les dossiers Menace vous permettent d’analyser et de nettoyer les attaques de malwares.

Stratégie de protection contre les menaces (page 227)La protection contre les menaces assure votre sécurité contre les programmes malveillants, les typesde fichiers et sites Web dangereux et le trafic réseau malveillant.

Recherches de menace (page 36)Vous pouvez rechercher des menaces potentielles sur votre réseau.

Appareils isolés par l’administrateur (page 155)Instantanés d’analyse (page 157)Les instantanés d’analyse récupèrent les données du journal Sophos consignant l’activité del’ordinateur afin que vous puissiez effectuer votre propre analyse.

Tâches connexesConvertir un instantané d’analyse (page 158)Utilisez l’outil d'exportation SDR pour convertir des instantanés d’analyse et pouvoir ainsi lancer desrequêtes sur eux.

Référence associéeExclusions de Isolement de l’appareil (Windows) (page 132)Vous pouvez autoriser les appareils isolés à avoir des communications limitées avec les autresordinateurs.

Information associéeTélécharger un instantané d’analyse dans un compartiment S3 AWS (page 159)Suivez ces instructions pour télécharger un instantané d’analyse.

Informations sur le processus

Lorsque vous cliquez sur un fichier affecté dans un dossier menace, le volet Informations sur leprocessus affiche les informations les plus récentes sur le fichier.

Il peut s’agir de la réputation globale du fichier, de son chemin d’accès, de son nom, de sa ligne decommande, de l’ID du processus, de l’utilisateur procédant à l’exécution, de SHA256, de l’heure dedébut et de fin et de la durée. La capture d’écran suivante montre les détails d'un processus associéà Internet Explorer 11 :



Demande de renseignements les plus récents

Si le fichier n’a pas été envoyé à Sophos pour une analyse approfondie, vous voyez s’afficher letexte Aucun renseignement sur ce fichier.. Si le fichier n’a pas été envoyé ou que vous souhaitezvoir s’il y a des informations plus récentes, cliquez sur Demande de renseignements les plusrécents. Une demande est envoyée à l’ordinateur pour télécharger le fichier chez les SophosLabs.

Lorsque le fichier a été analysé, les informations les plus récentes concernant la réputation globaledu fichier sont disponibles et vous indiquent si vous devez procédez à une analyse plus poussée.

Le score de réputation indique la fiabilité du fichier. Sophos note la réputation sur une échelle allantdu rouge (malveillant) au vert (sain). Les fichiers sains connus sont affichés du côté vert et lesfichiers malveillants connus sont affichés du côté rouge.



De nombreux facteurs peuvent faire augmenter ou diminuer le score de réputation d’un fichier,notamment ses propriétés statiques/comportementales et quand et combien de fois il a été vu parSophos. Lorsqu’un fichier est vu pour la première fois, Sophos lui attribue parfois un score orange(inconnu) car il s’agit d’un nouveau fichier. Après analyse par Sophos, le score est susceptible dechanger et le fichier peut passer dans la plage des fichiers sains ou malveillants connus.

Si vous utilisez Intercept X Advanced with EDR ou Intercept X Advanced for Server with EDR, vousverrez plus d’informations et d’options comme indiqué ci-dessous.

Résumé du rapport

Sous Résumé du rapport, vous pouvez voir la réputation et la prévalence du fichier ainsi que lesrésultats de notre analyse Machine Learning qui indiquent le niveau de suspicion sur le fichier.

Prévalence indique combien de fois SophosLabs a vu le fichier.

Première visite indique la première fois que SophosLabs a vu le fichier.

Dernière visite indique la dernière fois que SophosLabs a vu le fichier.

Analyse Machine Learning indique le niveau de suspicion sur le fichier.

Analyse Machine Learning

Sous Analyse Machine Learning, vous pouvez parcourir les résultats complets de l’analyse.

Attributs compare les attributs du fichier avec ceux de millions de fichiers sains et malveillantsconnus. Ceci permet de déterminer le niveau de suspicion de chaque attribut et par conséquent, si lefichier est plus susceptible d’être sain ou malveillant. Vous pourrez voir les attributs suivants :

• Imports décrit les fonctionnalités utilisées par le fichier qui proviennent de DLLs externes.

• Strings désigne les chaînes les plus importantes dans le fichier.

• Compilers indique ce qui a été utilisé pour compiler le code source, par exemple C++, Delphi,Visual Basic, .NET.

• Mitigation désigne les techniques utilisées par le fichier pour éviter l’exploitation.

• Resources désigne une ressource qui parait être compressée ou chiffrée.

• Summary peut se rapporter à des dates de version ou de compilation.

• Packer fournit des informations importantes sur une section spécifique du fichier, par exemple unnom de section suspect ou le fait qu’une section est à la fois inscriptible et exécutable.

• PEiD fait référence au résultat de PEiD, un outil tiers qui effectue une analyse comparative d’unfichier PE avec les signatures de malwares connus.

• Btcaddress affiche toute adresse Bitcoin valide trouvée dans le fichier.

• Findcrypt affiche toutes les constantes cryptographiques suspectes.

Similarité du code fournit une comparaison

Documents

Sophos Central Admin · 2020. 9. 2. · Sophos Central Admin 3 Vue générale Le menu principal contient les fonctions auxquelles vous avez accès dans Sophos Central. Elles figurent