Types d’événement

Il s’agit des types d’événement que vous pouvez voir dans Sophos Central.

Selon les fonctions incluses dans votre licence, vous allez voir tout ou une partie des types d’événement suivants :

Les événements qui nécessite votre intervention sont également affichés sur la page Alertes à partir de laquelle vous pouvez les traiter.

Si vous intervenez ou si vous ignorez l’alerte, celle-ci n’apparaîtra plus sur la page Alertes. En revanche, l’événement demeure affiché dans la liste Événements.

Détections à l’exécution (runtime)

Type d’événement

Gravité

Action requise ?

Description

Malware en cours d’exécution détecté

Moyenne

Non

Un programme s’exécutant sur un ordinateur et affichant un comportement malveillant ou suspect a été détecté. Sophos Central va essayer de supprimer la menace. En cas de succès, aucune alerte ne s’affiche sur la page Alertes et un événement Malware en cours d’exécution nettoyé apparaît dans la liste des événements.

Malware en cours d’exécution non nettoyé

Élevée

Oui

Un programme s’exécutant sur un ordinateur et affichant un comportement malveillant ou suspect n’a pas pu être supprimé. Les événements suivants peuvent apparaître pour ce type d’événement :

Malware en cours d’exécution nettoyé

Faible

Non

Activité malveillante détectée

Élevée

Oui

Du trafic réseau malveillant, s’étant potentiellement dirigé vers un serveur de commande et de contrôle impliqué dans une attaque de botnets ou d’autres malwares a été détecté.

Malware en cours d’exécution supprimé localement

Faible

Non

Une alerte de malware en cours d’exécution a été effacée de la liste des alertes sur un ordinateur.

Ransomware détecté

Élevée

Non

Un programme non autorisé a essayé de chiffrer une application protégée.

Attaque ransomware résolue

Faible

Non

Ransomware exécuté à distance détecté

Moyenne

Oui

Un programme non autorisé a essayé de chiffrer une application protégée à distance.

Attaque ransomware à distance résolue

Faible

Non

Détection d’une attaque de ransomware sur une machine distante

Élevée

Oui

Nous avons détecté que cet ordinateur essaye de chiffrer des applications à distance sur un autre ordinateur.

Safe Browsing a détecté un navigateur compromis

Moyenne

Oui

Une tentative d’exploiter une vulnérabilité d’un navigateur Internet a été bloquée.

Attaque bloquée

Faible

Non

Une tentative d’exploiter une vulnérabilité d’une application sur un terminal a été bloquée.

Piratage d’application évité

Faible

Non

Une tentative de piratage d’une application sur un terminal a été neutralisée.

Comportemental

Basse

Oui

Un comportement suspect de cette application a été détecté.

Dans certains cas, un redémarrage est nécessaire pour terminer le processus de nettoyage. Un événement de redémarrage s’affiche dans ce cas.

Ce type de détection est uniquement disponible si vous êtes inscrit(e) au programme d’accès anticipé (EAP).

Contrôle d’applications

Type d’événement

Gravité

Action requise ?

Description

Application bloquée

Moyen

Non

Application autorisée

Faible

Non

Une application contrôlée a été détectée et autorisée.

Malware

Si vous avez activé Deep Learning, les malwares seront peut-être détectés sous le nom de ML/PE-A.

Type d’événement

Gravité

Action requise ?

Description

Malware détecté

Moyenne

Non

Un malware a été détecté sur l’appareil contrôlé par Sophos Central. Sophos Central va essayer de supprimer la menace. En cas de succès, aucune alerte ne s’affiche sur la page Alertes et un événement « Malware éliminé » apparaît dans la liste des événements.

Malware non nettoyé

Élevée

Oui

Les événements suivants peuvent apparaître pour ce type d’événement :

Malware nettoyé

Faible

Non

Infection récurrente

Élevée

Oui

Un ordinateur a été réinfecté suite à la tentative de suppression d’une menace par Sophos Central. Il est probable que la menace contienne des composants cachés qui n’ont pas été détectés.

Menace supprimée

Faible

Non

Malware supprimé localement

Faible

Non

Une alerte de malware a été effacée de la liste des alertes sur un ordinateur.

Application potentiellement indésirable (PUA)

Type d’événement

Gravité

Action requise ?

Description

Application potentiellement indésirable (PUA) bloquée

Moyenne

Oui

Une application potentiellement indésirable a été détectée et bloquée.

Application potentiellement indésirable (PUA) non nettoyée

Moyenne

Oui

Les événements suivants peuvent apparaître pour ce type d’événement :

Application potentiellement indésirable (PUA) nettoyée

Faible

Non

Application potentiellement indésirable (PUA) supprimée localement

Faible

Non

Une alerte d’application potentiellement indésirable a été effacée de la liste des alertes sur un ordinateur.

Violations de stratégie

Type d’événement

Gravité

Action requise ?

Description

Non conforme à la stratégie

Moyenne

Oui

Une alerte apparaît sur la page Alertes si un ordinateur est non conforme pendant plus de deux heures.

Conforme à la stratégie

Faible

Non

Protection en temps réel désactivée

Élevée

Oui

Une alerte apparaît sur la page Alertes si la protection en temps réel a été désactivée sur un ordinateur pendant plus de 2h30.

Protection en temps réel réactivée

Faible

Non

Contrôle du Web

Type d’événement

Gravité

Action requise ?

Description

Événements de stratégies Web

Faible

Non

Consultez les rapports adéquats pour obtenir plus de renseignements sur la façon dont les utilisateurs accèdent aux sites Web, sur la violation des stratégies et sur l’identité des utilisateurs qui téléchargent des malwares.

Événements de menaces Web

Faible

Non

Non

Mises à jour du produit

Type d’événement

Gravité

Action requise ?

Ordinateur ou serveur non mis à jour

Moyen

Oui

Mise à jour réussie

Faible

Non

Échec de la mise à jour

Faible

Non

Redémarrage conseillé

Faible

Non

Redémarrage obligatoire

Moyen

Oui

Problèmes de protection

Type d’événement

Gravité

Action requise ?

Description

Nouvel ordinateur ou nouveau serveur enregistré

Faible

Non

Protection réappliquée sur l’ordinateur ou le serveur

Faible

Non

Nouvel ordinateur ou nouveau serveur protégé

Faible

Non

Impossible de protéger l’ordinateur ou le serveur

Élevée

Oui

Un ordinateur a commencé l’installation du logiciel de l’agent mais n’est pas protégé depuis une heure.

Erreur signalée

Faible

Non

Contrôle terminé

Faible

Non

Nouvelles connexions ajoutées

Faible

Non

Nouveaux utilisateurs ajoutés automatiquement

Faible

Non

Contrôle de périphériques

Type d’événement

Gravité

Action requise ?

Périphérique détecté

Moyenne

Oui

Périphérique autorisé

Faible

Non

Périphérique en lecture seule

Faible

Non

Périphérique bloqué

Faible

Non

Dupliquer les appareils

Sophos Central vous avertit s’il détecte des appareils en double. Si les appareils ont été clonés à partir d’une image, ils ont le même numéro d’identifiant. Les numéros d’identifiants en double peuvent entraîner des problèmes d’administration.

Type d’événement

Gravité

Action requise ?

Description

Détection d’appareil en double

Moyenne

Non

Une alerte apparaîtra sur la page Alertes si un appareil dupliqué est détecté. Les appareils dupliqués sont de nouveau enregistrés sous un nouvel identifiant.

Double de l’appareil supprimé

Faible

Oui

Vérifiez que les groupes et stratégies des appareils en double supprimés sont corrects.

Synchronisation avec Active Directory

Type d’événement

Gravité

Action requise ?

Description

Erreur de synchronisation avec Active Directory

Élevée

Oui

Une alerte apparaît sur la page Alertes si une erreur de synchronisation avec Active Directory n’est pas automatiquement résolue au bout d’une heure.

Synchronisation avec Active Directory réussie

Faible

Non

Avertissement de synchronisation avec Active Directory

Moyen

Non

Réputation des téléchargements

Sophos Central avertit l’utilisateur en cas de téléchargement de réputation douteuse. La réputation est basée sur la provenance d’un fichier, sur sa fréquence de téléchargement et sur d’autres facteurs.

Type d’événement

Gravité

Action requise ?

Description

L’utilisateur a supprimé un téléchargement de réputation douteuse

Faible

Non

Un utilisateur a supprimé un téléchargement après avoir été informé par Sophos Central qu’il s’agit d’un téléchargement de réputation douteuse.

L’utilisateur a accepté un téléchargement de réputation douteuse

Faible

Non

Un utilisateur a accepté un téléchargement après avoir été informé par Sophos Central qu’il s’agit d’un téléchargement de réputation douteuse.

Téléchargement de réputation douteuse automatiquement accepté

Faible

Non

Sophos Central a détecté un téléchargement de réputation douteuse et l’a accepté automatiquement.

Ce cas de figure a lieu uniquement si vous changez vos paramètres de vérification de la réputation sur « Journaliser uniquement ».

Pare-feu

Lorsqu’un Sophos XG Firewall est enregistré dans Sophos Central, vos ordinateurs peuvent envoyer des rapports réguliers sur leur état de sécurité ou sur leur état de sécurité à Sophos XG Firewall. Ces rapports sont appelés « Security Heartbeat » (pulsations de sécurité).

Type d’événement

Gravité

Action requise ?

Description

Signal Heartbeat manquant

Élevée

Oui

Un ordinateur n’envoie plus de signaux « Security Heartbeat » à Sophos XG Firewall mais continue à envoyer du trafic réseau. Il se peut que cet ordinateur soit compromis. Sophos XG Firewall peut avoir restreint l’accès réseau à cet ordinateur (selon la stratégie instaurée par votre entreprise).

Signal Heartbeat rétabli

Faible

Non

Un ordinateur a recommencé à renvoyer des signaux Security Heartbeat à Sophos XG Firewall.

Device Encryption

Remarque : Pour la majorité des alertes de chiffrement des appareils, veuillez redémarrer l’ordinateur et le laissez se synchroniser avec le serveur.

Type d’événement

Gravité

Action requise ?

Description

Impossible de créer une clé

Moyenne

cf. Remarque

Impossible de créer une clé (clé TPM, clé TPM+PIN, clé USB, clé de récupération).

Échec de Device Encryption

Moyenne

cf. Remarque

Impossible de chiffrer un volume.

Informations sur Device Encryption

Faible

cf. Remarque

Informations sur les différents événements, par exemple en cas de report du chiffrement par l’utilisateur ou en cas de réinitialisation du code confidentiel ou de la phrase secrète.

Appareil non chiffré

Moyen

cf. Remarque

Retrouvez plus de renseignements à la section Alertes pour le chiffrement des appareils.

État de Device Encryption modifié

Faible

cf. Remarque

L’état de Device Encryption est passé d’un état à un autre. Retrouvez plus de renseignements à la section Ordinateurs.

Device Encryption est suspendu

Moyen

cf. Remarque

Retrouvez plus de renseignements à la section Alertes pour le chiffrement des appareils.

Clé de récupération manquante

Moyen

cf. Remarque

Retrouvez plus de renseignements à la section Alertes pour le chiffrement des appareils.

Clés de secours reçues

Faible

cf. Remarque

Sophos Central a reçu une clé de récupération de la part d’un terminal.

Clés révoquées

Faible

cf. Remarque

Une clé de récupération a été vue dans Sophos Central. Elle a donc été révoquée et sera remplacée.

Prévention des pertes de données

Type d’événement

Description

Action « Autoriser le transfert dès l’accord de l’utilisateur » effectuée

Un fichier contenant des informations contrôlées a été transféré suite à la validation par un utilisateur du transfert de ces informations.

Action « Autoriser le transfert du fichier » effectuée

Un fichier contenant des informations contrôlées a été transféré.

Action « Bloquer le transfert » effectuée

Un fichier contenant des informations contrôlées a été bloqué.

Amazon Web Services (AWS)

Sophos Central signale toutes les erreurs de connexion AWS.