Détections

Les détections vous indiquent une activité nécessitant potentiellement une investigation.

Pour voir les détections, allez dans Aperçu > Centre d’analyse des menaces > Détections.

Les détections identifient une activité inhabituelle ou suspecte sur vos appareils, mais qui n’a pas été bloquée. Elles sont distinctes des événements pour lesquels nous détectons et bloquons les activités malveillantes.

Les détections sont basées sur les données que les appareils téléchargent dans le Sophos Data Lake. Pour savoir comment configurer les téléchargements, consultez la section Téléchargements dans le Data Lake.

Nous vérifions les données par rapport aux règles de classification des menaces. Lorsque nous trouvons une correspondance celle-ci est indiquée par une détection.

Les détections sont classées sur une échelle de risque de 1 (le plus bas) à 10 (le plus élevé). Le score indique à quel point nous sommes sûrs que la détection est liée à une activité malveillante.

Signification des détails de détection

Nous regroupons les détections en fonction de la règle à laquelle elles correspondent et de la date. Les détails de la détection indiquent les éléments suivants :

  • Risque. Les détections sont classées sur une échelle de risque de 1 (le plus bas) à 10 (le plus élevé). Un score de 0 signifie que nous n’avons pas encore établi le niveau de risque. Les paramètres par défaut affichent uniquement les détections avec un score de 7 ou plus. Le score vous permet d’établir l’ordre de priorité des investigations.
  • Règle de classification. Nom de la règle correspondant à l’événement.
  • Nombre. Nombre de correspondances trouvées au cours du jour donné.
  • Liste des appareils. L’appareil sur lequel la correspondance a été identifiée pour la dernière fois et le nombre d’autres appareils sur lesquels la même détection a été trouvée ce jour-là.
  • Vu pour la première/dernière fois. La première et la dernière détection basées sur une règle donnée, identifiées ce jour-là.
  • Description. Description de la règle.
  • Mitre ATT&CK. Les tactiques et techniques Mitre ATT&CK correspondantes.

Comment utiliser les détections

Vous pouvez utiliser détections pour identifier des signes de menaces potentielles que d’autres fonctionnalités de Sophos n’ont pas bloqué en examinant les appareils, processus, utilisateurs et événements. Par exemple :

  • Commandes inhabituelles indiquant des tentatives d’infiltration de vos systèmes, de contournement de la sécurité ou de détournement des codes d’accès.
  • Alertes de malwares Sophos, telles que les événements de prévention dynamique du shellcode, qui indiquent qu’un hacker a peut-être réussi à s’infiltrer sur un appareil.

La plupart des détections sont liées à la structure MITRE ATT&CK, où vous trouverez plus d’informations sur la tactique et la technique spécifiques. Voir https://attack.mitre.org/

Vous pouvez également prendre des mesures supplémentaires en fonction du type de détection. Par exemple :

  • Vous pouvez également rechercher les traces d’une menace suspectée ou connue si, par exemple, Sophos Central a trouvé cette menace ailleurs, ou si un utilisateur a signalé un comportement suspect sur son appareil.
  • Recherchez les logiciels qui ne sont plus à jour ou les navigateurs utilisant des paramètres non sécurisés.

Comment obtenir de l’aide

Nous proposons un service Managed Threat Response qui peut surveiller votre environnement pour détecter toute activité malveillante et répondre en votre nom 24h/24, 7j/7.

Voir https://www.sophos.com/fr-fr/products/managed-threat-response.aspx.

Remarque : Si vous pensez que votre sécurité a été enfreinte et que vous avez besoin d’aide immédiatement, contactez notre équipe d’intervention rapide. Ceci est un service payant.

Voir https://www.sophos.com/fr-fr/products/managed-threat-response/rapid-response.aspx.