Dossiers Menace

Les dossiers Menace vous permettent d’analyser et de nettoyer les attaques de malwares.

Vous pouvez retrouver l’origine d’une attaque, la manière dont elle s’est propagée et les processus ou fichiers affectés. Vous renforcez de ce fait votre sécurité.

Cette fonctionnalité est uniquement disponible pour les clients disposant d’une licence Intercept X or Intercept X Advanced with EDR. Si vous avez une licence Intercept X Advanced with EDR ou Intercept X Advanced for Server with EDR, vous pouvez également faire ce qui suit :

  • Isoler les appareils affectés.
  • Rechercher plus d’exemples sur la menace présente sur votre réseau.
  • Nettoyer et bloquer la menace.
  • Obtenir des renseignements avancés sur les menaces.

Nous vous créons un dossier Menace à chaque fois que vous détectez un malware nécessitant un examen approfondi.

Remarque : Cette fonctionnalité est uniquement disponible sur les appareils Windows.

Comment analyser et nettoyer les menaces

Voici un aperçu sur la manière d’analyser un dossier. Retrouvez plus de renseignements sur toutes les options disponibles à la section Page d’analyse du Dossier Menace.

Certaines options sont uniquement disponibles si vous utilisez une licence Intercept X Advanced with EDR ou Intercept X Advanced with EDR for Server.

  1. Cliquez sur Dossiers Menace du menu principal puis sur un dossier.

    La page d’information du dossier s’affiche.

  2. Recherchez le Résumé pour voir d’où l’attaque provient et quels fichiers pourraient être affectés.
  3. Recherchez les Étapes suivantes suggérées. Vous pouvez changer la priorité du dossier et voir les processus à analyser.

    S’il s’agit d’un dossier haute priorité et que vous avez Intercept X Advanced with EDR, vous pouvez cliquer sur Isoler cet appareil. Cette option isole l’appareil affecté du réseau. Vous pouvez toujours administrer l’appareil à partir de Sophos Central.

    Remarque : Vous ne voyez pas cette option si l’appareil s’est déjà isolé automatiquement.
  4. Dans l’onglet Analyse, un diagramme montre l’état d’avancement de l’attaque. Retrouvez plus de renseignements sur les éléments en cliquant dessus.
  5. Cliquez sur l’analyse détaillée ou sur un autre processus pour obtenir plus de renseignements.
  6. Pour être sûr de disposer de l’analyse la plus récente de Sophos, cliquez sur Demande de renseignements les plus récents.

    Cette action envoie les fichiers à Sophos pour analyse. Si nous avons des informations sur la réputation ou la prévalence d’un fichier, elles s’afficheront au bout de quelques minutes.

    Restriction : Si vous utilisez Intercept X Advanced with EDR ou Intercept X Advanced for Server with EDR, vous verrez une analyse plus détaillée comme indiqué à la section Détails du processus. Vous pouvez aussi approfondir la détection et le nettoyage en suivant les étapes ci-dessous.
  7. Cliquez sur Rechercher un élément pour chercher plus d’exemples du fichier sur votre réseau.

    Si la page Résultats de la recherche d’éléments montre d’autres exemples du fichier, cliquez sur Isoler l’appareil sur la même page pour isoler les appareils affectés.

  8. Retournez sur la page d’informations du Dossier Menace et consultez les dernières informations.
  9. Si vous êtes sûr(e) que le ficher est malveillant, cliquez sur Nettoyer et bloquer.

    L’élément est nettoyé sur tous les appareils où il a été trouvé et bloqué sur tous les appareils.

  10. Si vous êtes sûr(e) d’avoir éradiqué la menace, vous pouvez sortir l’appareil de l’isolement, si nécessaire. Dans Étapes suivantes suggérées, cliquez sur Sortir de l’isolement.

    Si vous avez isolé plusieurs ordinateurs, allez dans Paramètres > Appareils isolés par l’administrateur pour les sortir de l’isolement.

  11. Retournez dans la liste Dossiers Menace détectés, sélectionnez le dossier désiré et cliquez sur Fermer.

À propos de la liste de dossiers Menace

La page Dossiers Menace détectés répertorie tous les dossiers Menaces des 90 derniers jours.

Si vous disposez d’une licence MTR, la page est divisée en onglets pour les dossiers Menace qui ont été générés comme suit :

  • Généré automatiquement par Sophos
  • Généré par un administrateur Sophos Central
  • Généré par l’équipe Sophos Managed Threat Response (MTR) (non utilisé actuellement)

Si vous ne disposez pas d’une licence MTR, la page n’est pas divisée en onglets.

Vous pouvez filtrer les dossiers parAppareil, État ou par Priorité.

Vous pouvez utiliser la fonction Recherche pour voir les dossiers d’un utilisateur, d’un appareil ou d’un nom de menace (par exemple, « Troj/Agent-AJWL ») particulier.

Pour chaque cas, la liste affiche la plupart des informations suivantes. L’affichage des colonnes dépend de la division de la page en onglets :

  • État : l’état est Nouveau par défaut. Vous pouvez la modifier lorsque vous consultez le dossier.
  • Heure de création : l’heure et la date de création du dossier.
  • Priorité : une priorité est définie lorsque le dossier est créé. Vous pouvez la modifier lorsque vous consultez le dossier.
  • Nom : cliquez sur le nom de la menace pour voir les informations sur le dossier.
  • Généré par : L’administrateur Sophos Central qui a généré le Dossier Menace.
  • Utilisateur : l’utilisateur qui a causé l’infection. Cliquez sur le nom de l’utilisateur pour voir les informations le concernant.
  • Appareil : l’appareil qui a causé l’infection. Cliquez sur le nom de l’appareil pour voir les informations le concernant.
  • Type d’appareil : le type d’appareil, par exemple Ordinateur ou Serveur.

Vous pouvez cliquer sur toutes les colonnes de votre choix pour trier les dossiers.