Résumé de l’ordinateur

L’onglet Résumé sur la page des informations d’un ordinateur vous permet de voir les informations suivantes :

Les sections sont affichées en fonction de votre licence et des fonctions que vous avez créées.

État de sécurité

Dans le volet de gauche, vous pouvez voir l’état de sécurité et intervenir.

Remarque : Le volet de gauche est toujours affiché, même lorsque vous cliquez sur d’autres onglets sur cette page.

Une icône vous indique si des alertes de sécurité sont présentes sur l’ordinateur :

Icône

Description

Coche verte

Coche verte en cas d’alertes de priorité basse ou s’il n’y a aucune alerte.

Panneau d’avertissement orange

Panneau d’avertissement orange en cas d’alertes de priorité moyenne.

Panneau d’avertissement rouge

Panneau d’avertissement rouge en cas d’alertes de priorité élevée.

Actions que vous pouvez effectuer

Les boutons d’action sont situés dans le volet de gauche.

Mettre à jour : met à jour votre ordinateur avec la dernière version du logiciel Sophos.

Supprimer : supprime l’ordinateur de Sophos Central. Les alertes associées à l’ordinateur sont également supprimées.
Avertissement : Veuillez désinstaller le logiciel Sophos avant de supprimer un ordinateur.

Isoler : Isole l’ordinateur du réseau.

Live Response (Bêta) : Ceci vous permet de vous connecter à l’ordinateur pour rechercher et résoudre d’éventuels problèmes de sécurité.

Changer le groupe : vous permet de l’ajouter à un groupe, de le déplacer dans un autre groupe ou de le retirer du groupe dans lequel il se trouve actuellement.

Contrôler : Contrôle la présence de menaces sur l’ordinateur.

Le contrôle peut durer quelques instants. Lorsqu'il est terminé, un événement « Contrôle terminé » et tous les autres événements de nettoyage réussis apparaissent sur la page Journaux et rapports > Événements. Vous pouvez voir les alertes sur les échecs de l’opération de nettoyage sur la page Alertes.

Si l’ordinateur est hors ligne, il sera contrôlé dès qu’il sera remis en ligne. Si le contrôle d’un ordinateur est déjà en cours d’exécution, la nouvelle demande de contrôle est ignorée et le contrôle commencé auparavant continue.

Diagnostiquer : permet de diagnostiquer les problèmes potentiels sur l’ordinateur.

Créer un instantané d’analyse : Il récupère les données dans un journal Sophos consignant l’activité de l’appareil et l’enregistre sur l’appareil. Vous pouvez également l’enregistrer dans le compartiment Amazon Web Services (AWS) S3 que vous indiquez. Vous pouvez ensuite effectuer votre analyse.

Isoler ou sortir de l’isolement

Cette option est disponible si vous utilisez Intercept X Advanced with EDR.

Isoler isole l’ordinateur du réseau. Vous pourriez vouloir utiliser cette option si des menaces potentielles ont été détectées. Vous pouvez continuer à administrer l’ordinateur depuis Sophos Central et le sortir de l’isolement à tout moment.

Lorsqu’un ordinateur est isolé, les informations suivantes apparaissent sous l’icône de l’ordinateur et l’état de sécurité.

  • Le message Isolé par l’administrateur.
  • Un lien nommé Sortir de l’isolement. Cliquez dessus pour reconnecter l’ordinateur au réseau.
Remarque : Vous ne voyez pas l’option Isoler si l’ordinateur s’est déjà isolé automatiquement. Retrouvez plus de renseignements sous Isolement de l’appareil à la section Stratégie de protection contre les menaces.

Live Response (Bêta)

Cette option est uniquement disponible si vous êtes un super administrateur ou que vous avez un rôle personnalisé qui inclut Démarrer les sessions Live Response sur les ordinateurs, et que vous vous êtes connecté à l’aide de l’authentification multifacteur. Veuillez activer Autoriser les connexions Live Response aux ordinateurs dans Paramètres généraux. Retrouvez plus de renseignements à la section Live Response pour les appareils.

Cette option vous permet de vous connecter à l’ordinateur pour rechercher et résoudre d’éventuels problèmes de sécurité. Vous pourriez envisager ceci en cas d’infection ou d’activité suspecte sur l’ordinateur. Vous pouvez vous connecter à l’ordinateur même s’il est isolé. Pour vous connecter à l’ordinateur, procédez comme suit :

  1. Cliquez sur Live Response (Bêta).
  2. Dans Objectif de la session, donnez un résumé de votre session.
  3. Cliquez sur Démarrer.

    Une connexion à l’ordinateur s’ouvre dans un autre onglet du navigateur. L’onglet affiche une fenêtre de terminal.

  4. À l’invite de commande, saisissez les commandes pour effectuer votre analyse ou votre action de correction.

    Utilisez les commandes DOS, UNIX ou Linux en fonction de l’ordinateur auquel vous vous êtes connecté.

  5. Lorsque vous avez terminé, cliquez sur Terminer la session.

    La connexion est terminée même si l’onglet reste ouvert. Vous pouvez naviguer dans Sophos Central à partir d’ici.

    La connexion est également terminée dans les cas suivants :

    • Vous fermez l’onglet.
    • Vous actualisez l’onglet.
    • Vous naviguez dans Sophos Central à partir d’ici.
    • Il n’y a pas d’activité pendant 30 minutes.

Pour savoir quelles sessions Live Response ont démarré ou se sont terminées, consultez le journal d’audit Sophos Central.

Créer un instantané d’analyse

Vous pouvez créer un « instantané d’analyse » des données à partir de l’appareil. Il récupère les données dans un journal Sophos consignant l’activité de l’appareil et l’enregistre sur l’appareil. Vous pouvez également l’enregistrer dans le compartiment Amazon Web Services (AWS) S3 que vous indiquez. Vous pouvez ensuite effectuer votre analyse.

Vous allez avoir besoin d’un convertisseur (fourni par nos soins) pour lire les données.

Remarque : Vous pouvez choisir la quantité de données que vous souhaitez dans les instantanés et l’emplacement de leur téléchargement. Pour cela, allez dans Paramètres généraux > Instantanés d’analyse. Ces options ne sont pas encore disponibles pour tous les clients.

Pour créer un instantané :

  1. Dans l’onglet Analyse d’un dossier Menace.

    Vous pouvez également ouvrir l’onglet État sur la page des détails de l’appareil.

  2. Cliquez sur Créer un instantané d’analyse.
  3. Suivez les étapes de la section Télécharger un instantané d’analyse dans un compartiment S3 AWS.

Retrouvez les instantanés que vous avez générés dans %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic snapshots\.

Les instantanés générés à partir des détections se trouvent dans %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\.

Remarque : Vous devez être un administrateur ayant accès au mot de passe de protection antialtération et exécuter une invite de commande en tant qu’administrateur pour accéder aux instantanés d’analyse enregistrés.

Événements récents

Cette liste répertorie les événements récents ayant eu lieu sur l’ordinateur. Retrouvez une liste complète en cliquant sur l’onglet Événements.

Les icônes indiquent l’agent Sophos ayant signalé l’événement. Passez le curseur de la souris sur l’icône pour obtenir plus de renseignements.

Résumé d’activité de l’agent

L’agent Endpoint assure la protection contre les menaces et offre d’autres fonctions comme le contrôle de périphériques, le contrôle d’applications et le contrôle du Web.

Le résumé affiche les informations suivantes. Il inclut également des liens pour mettre à jour l’ordinateur, installer les produits ou changer le groupe dans lequel se trouve l’ordinateur, si nécessaire.

  • Dernière activité : affiche la dernière activité ayant eu lieu.
  • Dernière mise à jour de l’agent : indique si l’ordinateur est mis à jour.
  • Produits assignés : affiche les produits Sophos installés (par exemple, Intercept X ou Device Encryption. Affiche la licence et le numéro de version de chaque produit installé. Les informations sur la version sont uniquement disponibles sur les ordinateurs Windows.
  • Versions du composant installé : cliquez pour voir une liste complète des composants Sophos et leurs numéros de version. Cette fonctionnalité est uniquement disponible sur les ordinateurs Windows.
  • Groupe : indique le groupe dans lequel se trouve l’ordinateur (s’il existe).

Device Encryption

Le chiffrement d’appareils vous permet d’administrer le Chiffrement de lecteur BitLocker sur les ordinateurs Windows et le chiffrement FileVault sur les Macs.

Ce résumé affiche :

  • Tous les volumes de l’ordinateur.
  • L’identifiant du volume de chaque volume.
  • L’état du chiffrement.
  • Le type d’authentification.
  • La méthode de chiffrement.

Pour les ordinateurs Windows, vous pouvez voir Chiffré depuis. Les informations s’affichent en fonction de l’appareil.

  • Pour les ordinateurs déjà chiffrés avec Sophos Central Device Encryption, vous verrez la date et l’heure de la mise à niveau de l’ordinateur vers Sophos Central Device Encryption 2.1.
  • Pour les ordinateurs chiffrés avec un autre produit de chiffrement, vous verrez la date et l’heure d’installation de Sophos Central Device Encryption.
  • Pour les nouveaux ordinateurs chiffrés avec Sophos Central Encryption 2.1 (ou version supérieure), vous verrez la date et l’heure du chiffrement.

Les volumes peuvent être chiffrés à l’aide du chiffrement logiciel ou matériel. Le chiffrement d’appareils utilise toujours le chiffrement logiciel pour les nouveaux volumes, même si le lecteur prend en charge le chiffrement matériel.

Si un lecteur est chiffré à l’aide du chiffrement matériel, rien ne change.

Si un paramètre de stratégie de groupe BitLocker nécessite le chiffrement matériel, il est alors utilisé.

Récupérer la clé de secours

Vous pouvez également obtenir une clé de récupération à partir de cet emplacement. Vous pouvez utiliser cette méthode pour déverrouiller l’ordinateur si les utilisateurs oublient leurs codes d’accès de connexion.

Déclencher le changement de mot de passe/code confidentiel

Cette option demande à l’utilisateur de changer immédiatement son mot de passe ou code confidentiel BitLocker. Un message apparaît lorsque la demande a été envoyée avec succès.

Sur le terminal, il est demandé aux utilisateurs de définir un nouveau mot de passe ou code confidentiel BitLocker. Si les utilisateurs ferment la boîte de dialogue sans saisir un mot de passe ou un code confidentiel, cette boîte de dialogue réapparait après 30 secondes. Cette opération s’arrête lorsqu’ils saisissent un nouveau mot de passe ou un nouveau code confidentiel. Lorsque les utilisateurs ont fermé la boîte de dialogue 5 fois successivement sans changer de mot de passe ou de code confidentiel, une alerte est consignée dans le journal.

Résumé de la passerelle Web

Sophos Web Gateway assure la protection avancée de votre réseau contre toute navigation dangereuse ou inadéquate sur Internet.

Le résumé affiche l’activité la plus récente sur le réseau. Elle indique également la version de l’agent Web Gateway (et s’il est à jour).

Si une mise à jour de l’agent Web Gateway est requise, le bouton Mettre à jour est affiché.

Protection antialtération

Cette vue indique si la protection antialtération est activée ou non.

Lorsque la protection antialtération est activée, il est impossible pour l’administrateur local d’effectuer les modifications suivantes sur son ordinateur. Il aura besoin du mot de passe :

  • Modifier les paramètres du contrôle sur accès, de la détection des comportements suspects (HIPS), de la protection Web ou de Sophos Live Protection.
  • Désactiver la protection antialtération.
  • Désinstaller le logiciel de l’agent Sophos.

Cliquez sur Désactiver la protection antialtération pour gérer le mot de passe de la protection antialtération pour l’ordinateur. Si la protection antialtération est désactivée, nous vous conseillons de l’activer.

Cache de mise à jour et Relais de messages

Sophos Update Cache permet aux ordinateurs de récupérer les mises à jour Sophos Central à partir d’un cache sur un serveur de votre réseau, plutôt que de le faire directement depuis Sophos. Vous pouvez également désigner des serveurs qui communiqueront avec Sophos Central en tant que relais de messages.

Ceci indique qu’un cache a été créé pour l’ordinateur. Il indique que serveur est en cours d’utilisation.

Pare-feu Windows

Le pare-feu Windows est actif et administré sur l’ordinateur. Il indique également :

  • Si la stratégie de groupe Windows est utilisée.
  • Les profils réseau actifs.
  • Si d’autres pare-feu enregistrés sont installés et actifs.