Page d’analyse du Dossier Menace

Vous pouvez analyser un dossier Menace en utilisant les outils d’analyse disponibles sur la page d’informations correspondante.

Recherchez le dossier Menace sur la page Dossiers Menace détectés. Cliquez sur son nom pour voir une chaîne d’événements simplifiée, un résumé, les informations sur les artefacts (processus, fichiers, clés) affectés et un diagramme affichant la manière dont la menace s’est développée. La capture d’écran suivante montre une détection HPmal/Eicar-A déclenchée par le téléchargement d’un fichier sophos_hips_test.exe à partir d’un site Web en utilisant Internet Explorer 11 :

Dossier Menace pour HPmal/Eicar-A, avec les sections « Résumé » et « Étapes suivantes suggérées » et l’onglet « Analyser »

Retrouvez un aperçu sur la procédure à suivre à la section Comment analyser et nettoyer les menaces sur Dossiers Menace.

Retrouvez plus de renseignements sur toutes les options disponibles dans les sections de cette page.

Remarque : Les options qui s’afficheront dépendront de votre licence et de la gravité de la menace.

Résumé

Le Résumé affiche des informations concises sur la menace telles que :

  • Analyse détaillée  : la source d’infection sur votre système.
  • Informations éventuellement concernées  : fichiers pouvant contenir des données importantes. Vérifiez les pour savoir si les données ont été chiffrées ou volées.
  • Où  : nom de l’appareil et de son utilisateur.
  • Date  : Heure et date de la détection.

Étapes suivantes suggérées

Le volet Étapes suivantes suggérées affiche les informations suivantes :

Priorité : une priorité est définie automatiquement. Vous pouvez la changer.

État : l’état est Nouveau par défaut. Vous pouvez la changer.

Remarque : Dès que vous définissez l’état sur En cours, vous ne pouvez plus le réinitialiser sur Nouveau.

Isoler cet appareil : Cette option est disponible si le dossier est de haute priorité et si vous utilisez Intercept X Advanced with XDR ou Intercept X Advanced for Server with XDR. Ceci vous permet d’isoler l’appareil pendant l’analyse des menaces potentielles.

Vous pouvez toujours administrer l’appareil à partir de Sophos Central. Vous pouvez également continuer à envoyer à Sophos des fichiers provenant de l’appareil isolé pour analyse.

Vous pouvez également autoriser les appareils isolés à communiquer avec d’autres appareils dans des circonstances précises. Retrouvez plus de renseignements à la section Exclusions de Isolement de l’appareil (Windows).

Vous pouvez sortir l’appareil de l’isolement à tout moment. Vous allez voir l’option Sortir de l’isolement sous Étapes suivantes suggérées.

Remarque : Vous ne voyez pas l’option Isoler cet appareil si l’appareil s’est déjà isolé automatiquement. Retrouvez plus de renseignements sous Isolement de l’appareil à la section Stratégie de protection contre les menaces.

Contrôler l’appareil : utilisez ce lien pour contrôler l’ordinateur affecté à la recherche de menaces.

Analyse

L’onglet Analyse affiche la chaîne d’événements de l’infection par le malware.

Un menu sur la droite de l’onglet vous permet de choisir les informations que vous souhaitez voir :

  • Afficher le chemin direct : affiche la chaîne des éléments directement impliqués entre la cause de l’attaque et l’élément sur lequel l’infection a été détectée (la « balise »).
  • Afficher le graphique complet : affiche la cause de l’attaque, les artefacts affectés (applications, fichiers, clés), le chemin de l’infection (indiqué par des flèches) et comment l’infection s’est produite. Il s’agit du paramètre par défaut.

Pour afficher ou masquer les différents types d’artefact, utilisez les cases à cocher au-dessus du diagramme.

Retrouvez plus de renseignements sur un élément en cliquant ici. Un volet d’informations s’ouvre sur la droite du diagramme.

Enregistrement d’un dossier

L’onglet Enregistrement d’un dossier affiche l’historique du dossier Menace, à partir de sa date de création par Sophos ou par l’administrateur. Vous pouvez publier des commentaires pour enregistrer les actions qui ont été prises et toutes autres informations pertinentes.

Informations sur le processus

Le volet d’informations Informations sur le processus s’affiche lorsque vous cliquez sur un élément affecté. Si quelqu’un a déjà envoyé le fichier à Sophos, vous obtenez les dernières informations sur la menace.

Si le fichier n’a pas été envoyé ou que vous souhaitez voir s’il y a des informations plus récentes, cliquez sur Demande de renseignements les plus récents.

Cette action affiche les informations les plus récentes concernant la réputation globale du fichier et vous indique si vous devez procédez à une analyse plus poussée.

Liste d’artefacts

Il s’agit de la liste en dessous du diagramme de l’attaque de malware. Elle affiche toutes les données affectées (par exemple, les fichiers professionnels, les processus, les clés de registre ou les adresses IP).

Vous pouvez exporter un fichier séparé par virgule (CSV) contenant une liste de toutes les données affectées en cliquant sur Exporter au format CSV en haut à droite de l’onglet.

La liste affiche :

  • Nom : Cliquez sur le nom pour obtenir plus de renseignements dans un volet d’informations.
  • Type : type de données telle qu’un fichier professionnel ou une clé de registre.
  • Réputation
  • Heure de journalisation : l’heure et la date d’accès à un processus.
  • Interactions

Créer un instantané d’analyse

Vous pouvez créer un « instantané d’analyse » des données à partir de l’appareil. Il récupère les données dans un journal Sophos consignant l’activité de l’appareil et l’enregistre sur l’appareil. Retrouvez plus de renseignements sur les instantanés d’analyse approfondie sur Instantanés d’analyse.

Vous pouvez également l’enregistrer dans le compartiment Amazon Web Services (AWS) S3 que vous indiquez. Vous pouvez ensuite effectuer votre analyse.

Vous allez avoir besoin d’un convertisseur (fourni par nos soins) pour lire les données.

Remarque : Vous pouvez choisir la quantité de données que vous souhaitez dans les instantanés et l’emplacement de leur téléchargement. Pour cela, allez dans Paramètres généraux > Instantanés d’analyse. Ces options ne sont pas encore disponibles pour tous les clients.

Pour créer un instantané :

  1. Dans l’onglet Analyse d’un dossier Menace.

    Vous pouvez également ouvrir l’onglet État sur la page des détails de l’appareil.

  2. Cliquez sur Créer un instantané d’analyse.
  3. Suivez les étapes de Télécharger un instantané d’analyse dans un compartiment S3 AWS.

Retrouvez les instantanés que vous avez générés dans %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic snapshots\.

Les instantanés générés à partir des détections se trouvent dans %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\.

Remarque : Vous devez être un administrateur ayant accès au mot de passe de protection antialtération et exécuter une invite de commande en tant qu’administrateur pour accéder aux instantanés d’analyse enregistrés.