Alertes de protection contre les menaces

Il s’agit d’alertes de protection contre les menaces.

Retrouvez ci-dessous les différents types d’alertes de protection contre les menaces.

Retrouvez plus de renseignements sur une menace et plus de conseils sur la manière de la traiter en cliquant sur son nom dans l’alerte.

Vous pouvez également vous rendre sur la page Analyse des menaces sur le site Web de Sophos. Sous Parcourir nos analyses des menaces, cliquez sur le lien d’un type de menace, puis recherchez la menace ou parcourez la liste des éléments les plus récents.

Vous pouvez également voir des détections de malwares affichées dans la liste des événements sous le nom ML/PE-A.

Élevée

Type d’alerte

Description

Protection en temps réel désactivée

La protection en temps réel a été désactivée pendant plus de 2h30 sur un ordinateur. La protection en temps réel doit être activée en permanence. Le support Sophos vous conseille de la désactiver pendant un court moment si vous devez procéder à un examen approfondi.

Malware non nettoyé

Certains malwares détectés n’ont pas pu être supprimés au bout de 24 heures, alors même que la suppression automatique était disponible. Il est probable que le malware ait été détecté lors d’un contrôle qui ne fournit pas l’élimination automatique. Par exemple, un contrôle à la demande configuré localement. Vous pouvez traiter ce malware de l’une des manières suivantes :

  • Procédez à une opération de suppression centralisée en programmant un contrôle dans la stratégie (qui aura donc l’option de suppression automatique activée).
  • Procédez à une opération de suppression locale en utilisant le Gestionnaire de quarantaine.

Nettoyage manuel requis

Certains malwares détectés n’ont pas pu être supprimés automatiquement car la suppression automatique est indisponible. Cliquez sur « Description » dans l’alerte pour être redirigé vers le site Web de Sophos sur lequel vous retrouverez tous les conseils utiles pour supprimer la menace. Veuillez contacter le support Sophos si vous avez besoin d’aide.

Malware en cours d’exécution non nettoyé

Un programme s’exécutant sur un ordinateur et affichant un comportement malveillant ou suspect n’a pas pu être supprimé. Cliquez sur « Description » dans l’alerte pour obtenir plus de renseignements sur la menace et son traitement. Veuillez contacter le support Sophos si vous avez besoin d’aide.

Trafic malveillant détecté

Du trafic réseau malveillant, s’étant potentiellement dirigé vers un serveur de commande et de contrôle impliqué dans une attaque de botnets ou d’autres malwares a été détecté. Cliquez sur « Description » dans l’alerte pour obtenir plus de renseignements sur la menace et son traitement. Veuillez contacter le support Sophos si vous avez besoin d’aide.

Infection récurrente

Un ordinateur a été réinfecté suite à la tentative de suppression d’une menace par Sophos Central. Il est probable que la menace contienne des composants cachés qui n’ont pas été détectés. Une analyse approfondie de la menace peut être nécessaire. Veuillez contacter le support Sophos pour obtenir plus d’assistance.

Ransomware détecté

Nous avons détecté un ransomware et bloqué son accès au système de fichiers. Si l’ordinateur est une station de travail, les ransomwares sont éliminés automatiquement. Veuillez procéder comme suit :

  • Si vous avez toujours besoin d’éliminer une menace : Déplacez temporairement l’ordinateur sur un réseau sur lequel il ne représentera pas un risque pour les autres ordinateurs Sur l’ordinateur, exécutez Sophos Clean (si ce programme n’est pas installé, veuillez le télécharger sur notre site Web).

    Vous pouvez exécuter Sophos Clean sur un serveur à partir de Sophos Central. Retrouvez plus de renseignements à la section Alertes.

  • Si l’envoi automatique d’échantillon n’est pas activé, veuillez nous envoyer un échantillon du ransomware. Nous le classerons et mettrons à jour nos règles. Si celui-ci est malveillant, Sophos Central le bloquera.
  • Allez dans Sophos Central, puis dans Alertes, et marquez l’alerte comme résolue.

Détection d’une attaque de ransomware sur une machine distante

Nous avons détecté un ordinateur essayant de chiffrer des fichiers sur d’autres ordinateurs.

Nous avons bloqué l’accès en écriture de cet ordinateur aux partages réseau. Si l’ordinateur est une station de travail et que Protéger les fichiers document contre les ransomwares (CryptoGuard) est activé, l’ordinateur est nettoyé automatiquement de tous les ransomwares.

Veuillez procéder comme suit :

  • Assurez-vous que Protéger les fichiers document contre les ransomwares (CryptoGuard) est activé dans la stratégie Sophos Central. Ceci fournit plus d’informations.
  • Si l’opération de nettoyage n’est pas automatique : Déplacez l’ordinateur sur un réseau sur lequel il ne représentera pas un risque pour les autres ordinateurs Rendez-vous sur l’ordinateur et exécutez Sophos Clean (si ce programme n’est pas installé, veuillez le télécharger sur notre site Web).
  • Allez dans Sophos Central, puis dans Alertes, et marquez l’alerte comme résolue.

Moyenne

Type d’alerte

Description

Application potentiellement indésirable (PUA) détectée

Le logiciel détecté pourrait être un adware ou tout autre logiciel potentiellement indésirable. Les applications potentiellement indésirables sont bloquées par défaut. Vous avez la possibilité de les autoriser si vous les considérez utiles ou de les supprimer.

Autoriser les PUA

Vous pouvez autoriser une PUA de l’une des deux manières suivantes selon que vous vouliez l’autoriser sur tous les ordinateurs ou seulement sur certains d’entre eux :

  • Sur la page Alertes, sélectionnez l’alerte et cliquez sur le bouton Autoriser la PUA dans le coin supérieur droit de la page. La PUA va être autorisée sur tous les ordinateurs.
  • Ajoutez la PUA aux exclusions de contrôle dans la stratégie de protection contre les malwares. La PUA va être autorisée uniquement sur les ordinateurs sur lesquels cette stratégie s’applique.

Nettoyer les PUA

Vous pouvez supprimer une application potentiellement indésirable de l’une des deux façons suivantes :

  • Sur la page Alertes, sélectionnez l’alerte et cliquez sur le bouton Nettoyer les PUA dans le coin supérieur droit de la page.
  • Supprimez-la à l’aide du Gestionnaire de quarantaine du logiciel de l’agent sur l’ordinateur affecté.

L’opération de suppression ne sera pas disponible si la PUA a été détectée dans un partage réseau. En effet, l’agent Sophos n’a pas les droits suffisants pour éliminer les fichiers dans cet emplacement.

Application potentiellement indésirable non nettoyée

L’application potentiellement indésirable n’a pas pu être supprimée. Une opération de suppression manuelle est nécessaire. Cliquez sur « Description » dans l’alerte pour obtenir plus de renseignements sur l’application et son traitement. Veuillez contacter le support Sophos si vous avez besoin d’aide.

Contrôle de l’ordinateur requis pour terminer le nettoyage

La suppression d’une menace nécessite le contrôle intégral de l’ordinateur. Pour contrôler un ordinateur, allez sur la page Ordinateurs et cliquez sur le nom de l’ordinateur pour ouvrir la page d’informations sur celui-ci. Cliquez ensuite sur le bouton Contrôler.

Le contrôle peut durer quelques instants. Lorsqu’il est terminé, un événement « Contrôle de ’Contrôler cet ordinateur’ terminé » et tous les autres événements de suppression réussis apparaissent sur la page Journaux et rapports > Événements. Vous pouvez voir les alertes sur les échecs de l’opération de nettoyage sur la page Alertes.

Si l’ordinateur est hors ligne, il sera contrôlé dès qu’il sera remis en ligne. Si le contrôle d’un ordinateur est déjà en cours d’exécution, la nouvelle demande de contrôle sera ignorée et le contrôle commencé auparavant continuera.

Autrement, vous pouvez exécuter un contrôle local en utilisant le logiciel de l’agent Sophos sur l’ordinateur affecté. Utilisez l’option Contrôler de Sophos Endpoint sur un ordinateur Windows, ou l’option Contrôler ce Mac de Sophos Anti-Virus sur un Mac.

Redémarrage requis pour terminer le nettoyage

La menace a été partiellement supprimée, mais le terminal n’a pas besoin d’être redémarré pour terminer l’opération de suppression.

Ransomware exécuté à distance détecté

Nous avons détecté un ransomware s’exécutant sur un ordinateur à distance et essayant de chiffrer des fichiers sur les partages réseau.

Nous avons bloqué l’accès en écriture sur les partages réseau provenant de l’adresse IP de cet ordinateur distant. Si l’ordinateur avec cette adresse est une station de travail administrée par Sophos Central et que l’option Protéger les fichiers document contre les ransomwares (CryptoGuard) est activée, l’ordinateur est nettoyé automatiquement de tous les ransomwares.

Veuillez procéder comme suit :

  • Localisez l’ordinateur sur lequel le ransomware est en train de s’exécuter.
  • Si un ordinateur est administré par Sophos Central, assurez-vous que l’option Protéger les fichiers document contre les ransomwares (CryptoGuard) est activée dans la stratégie.
  • Si l’opération de nettoyage n’est pas automatique : Déplacez l’ordinateur sur un réseau sur lequel il ne représentera pas un risque pour les autres ordinateurs Rendez-vous sur l’ordinateur et exécutez Sophos Clean (si ce programme n’est pas installé, veuillez le télécharger sur notre site Web).
  • Allez dans Sophos Central, puis dans Alertes, et marquez l’alerte comme résolue.