Live Discover

Live Discover vous permet de vérifier les appareils gérés par Sophos Central, de rechercher des signes de menace ou d’évaluer la conformité.

Vous pouvez utiliser les demandes Live Discover pour rechercher des signes de menaces qui n’ont pas été détectées par d’autres fonctions Sophos sur les appareils. Par exemple :

  • Modifications inhabituelles du registre.
  • Authentifications impossibles.
  • Exécution d’un processus très rarement exécuté.

Vous pouvez également rechercher les traces d’une menace suspectée ou connue si par exemple Sophos Central a trouvé cette menace ailleurs, ou si un utilisateur a signalé un comportement suspect sur son appareil.

Vous pouvez également vérifier la conformité de chaque appareil. Par exemple, vous pouvez rechercher si les logiciels ne sont plus à jour ou si les navigateurs utilisent des paramètres non sécurisés.

Cette page vous indique comment utiliser Live Discover. Vous pouvez également vous y familiariser en complétant le Formation Sophos XDR.

Fonctionnement des demandes

Nous fournissons tout un ensemble de demandes à utiliser pour vérifier vos appareils. Vous pouvez les utiliser telles quelles ou les modifier (vous devez connaitre osquery ou SQL). Vous pouvez également créer des demandes.

Vous pouvez exécuter des demandes pour obtenir des informations provenant de sources différentes :

  • Les demandes des terminaux vont chercher les dernières informations à partir des appareils actuellement connectés.
  • Les demandes Data Lake vont chercher les informations à partir du Data Lake vers lequel les appareils concernés téléchargent régulièrement leurs données. Ils peuvent également obtenir des informations depuis d’autres produits Sophos dont les données sont envoyées au Data Lake, par exemple Sophos Cloud Optix ou Sophos Email. Retrouvez plus de renseignements à la section Demandes Data Lake.

Pour commencer, vérifiez la Configuration requise, puis suivez les étapes des sections ci-dessous.

Configuration requise pour les appareils

Si vous souhaitez utiliser les demandes Data Lake, veuillez autoriser vos appareils à télécharger des données dans le Data Lake.

Pour configurer vos appareils pour qu’ils téléchargent les données, procédez comme suit.

  1. Allez dans Vue générale > Paramètres généraux.
  2. Sous Endpoint Protection (ou Server Protection pour les serveurs), cliquez sur Téléchargements du Data Lake.
  3. Activez Télécharger dans le Data Lake.

Retrouvez plus de renseignements à la section Téléchargements dans le Data Lake.

Conditions requises pour Sophos Cloud Optix

Restriction : Cette fonction n’est peut-être pas encore disponible pour tous les clients.

Pour utiliser des demandes Data Lake pour les données de vos environnements Cloud, il vous faut une licence Sophos Cloud Optix Advanced dans Sophos Central ainsi qu’une licence Sophos qui inclut Sophos XDR.

Vous devez être un super administrateur dans Sophos Cloud Optix pour activer les téléchargements Data Lake.

Pour activer les téléchargements vers le Data Lake, procédez de la manière suivante :

  1. Connectez-vous à Sophos Cloud Optix.
  2. Allez dans Settings > Advanced.
  3. Activez XDR Data Uploads.
    Vous pouvez télécharger des données provenant du journal d’activité d’environnements Cloud spécifiques ou de tous vos environnements.

Retrouvez plus de renseignements sur le téléchargement des données vers le Data Lake à la section Téléchargements dans le Data Lake.

Sélectionner la demande

Pour sélectionner une demande pré-préparée, procédez comme suit :

  1. Dans Vue générale > Centre d’analyse des menaces, cliquez sur Live Discover.
    Capture d’écran de Live Discover dans le menu Central Admin
  2. Dans Live Discover, cliquez sur la flèche pour ouvrir la section Demande (si elle n'est pas déjà ouverte).

    Le Mode concepteur vous permet de modifier ou de créer des demandes. Vous n’avez pas besoin de l’activer si vous utilisez nos demandes pré-configurées.

    Capture d’écran de la page Live Discover
  3. L’onglet Toutes les demandes s’affiche par défaut. Vous pouvez, si vous le préférez, cliquer sur l’onglet correspondant à un type de demande particulier :
    • Demandes Endpoint. Ce type de demande va récupérer les dernières données à partir des appareils connectés.
    • Demandes Data Lake. Ce type de demande va récupérer les données à partir du Data Lake vers lequel les appareils concernés téléchargent régulièrement leurs données.

    Les Catégories disponibles s’affichent.

    Capture d’écran des catégories de demande
  4. Cliquez sur la catégorie à utiliser. Une liste de demandes disponibles dans cette catégorie s’affiche.

    Impact sur le système indique l’impact de la demande sur les performances de l’appareil en tenant compte de l’utilisation la plus récente.

    Capture d’écran de la liste des demandes
  5. Filtrez ou recherchez les demandes pour restreindre la liste.
  6. Cliquez sur la demande à exécuter.
    Capture d’écran d’une demande sélectionnée

La demande s’affiche, y compris les systèmes d’exploitation et les données de performances pris en charge.

Conseil : Pour les demandes qui vous permettent de préciser une période de temps (par exemple, les demandes exécutées sur des journaux d’événements), définissez une période courte pour éviter que les demandes ne s’exécutent trop lentement ou ne génèrent une quantité trop importante de données.

Sélectionner des appareils à interroger

Pour exécuter une demande de terminaux, sélectionnez les appareils à interroger.

Pour exécuter une demande Data Lake, vous n’avez pas besoin de sélectionner d’appareils. Tous les appareils sont toujours inclus. Ignorez cette section.

  1. Dans Live Discover, cliquez sur la flèche pour développer la section Sélecteur d’appareil.

    Appareils disponibles affiche tous les ordinateurs et serveurs gérés par Sophos Central.

    Capture d’écran du sélecteur d’appareil
  2. Sous Appareils disponibles, filtrez les appareils à afficher. Par exemple, vous pouvez interroger les appareils exécutant un système d’exploitation particulier. Cliquez sur Appliquer.

    Il n’est pas nécessaire de saisir une correspondance exacte et les filtres ne sont pas sensibles aux majuscules.

    Capture d’écran des filtres
  3. Sélectionnez les appareils à interroger et cliquez sur Mettre à jour la liste des appareils sélectionnés.

    Les appareils sont alors ajoutés à une liste située sous l’onglet Appareils sélectionnés à partir duquel vous pouvez les gérer facilement.

    Capture d’écran des appareils sélectionnés
  4. Facultatif : Si vous souhaitez restreindre le champ de recherche davantage, vous pouvez filtrer les appareils sélectionnés ou les dessélectionner. Pour effectuer cette opération, cliquez sur Appareils sélectionnés et procédez de la manière suivante :
    • Cliquez sur Afficher les filtres. Filtrez les appareils sélectionnés.
    • Dessélectionnez les appareils et cliquez sur Mettre à jour la liste des appareils sélectionnés.

Exécuter la demande

Lorsque vous avez terminé de configurer une demande, vous pouvez l’exécuter.

Vous pouvez exécuter simultanément jusqu’à quatre demandes sur les appareils.

Remarque : Vous pouvez modifier les appareils sélectionnés ou modifier la demande pendant son exécution.

Pour exécuter une demande, procédez comme suit :

  1. En bas de la page Live Discover, cliquez sur Exécuter la demande.
    Capture d’écran du bouton Exécuter la demande
  2. Si vous n’avez jamais exécuté la demande, un message vous recommande de la tester sur un seul appareil. Revenez en arrière pour modifier vos appareils sélectionnés ou cliquez sur Exécuter la demande pour exécuter la demande.
    Capture d’écran de l’avertissement de demande non testée
  3. Une fois la demande exécutée, vous verrez s’afficher un panneau de résultats. Vous pouvez voir :
    • Éléments trouvés pour chaque appareil.
    • Nouvelles demandes ou actions suggérées en fonction des éléments trouvés dans les résultats. Cliquez sur l’icône « points de suspension » Icône points de suspension pour afficher les options.
    • Données télémétriques de l’appareil (sous les résultats). Il s’agit d’informations sur la vitesse de la demande et la quantité de données qu’elle a généré. Retrouvez plus de renseignements sur Données télémétriques Live Discover.
    Capture d’écran des résultats de la demande

    Vous verrez s’afficher un Sophos PID pour les processus. Il s’agit d’un ID exclusif au processus. Nous ne la réutilisons jamais, afin d’éviter que les demandes lui correspondant ne génèrent des résultats erronés provenant de processus plus anciens.

Vous pouvez planifier l’exécution de certaines demandes à des heures définies (demandes Data Lake uniquement). Retrouvez plus de renseignements sur Demandes planifiées.

Pour effectuer des analyses plus poussées, vous pouvez exécuter d’autres demandes basées sur les résultats obtenus. Retrouvez plus de renseignements sur Utiliser des demandes pivot, des enrichissements et des actions.

Utiliser des demandes pivots, des enrichissements et des actions

Les résultats de vos demandes peuvent être utilisés comme point de départ pour lancer des demandes plus approfondies concernant des menaces potentielles.

Dans le tableau des résultats, vous verrez l’icône « points de suspension » à côté de certains éléments. Capture d’écran de l’icône Points de suspension

Cliquez sur l’icône pour afficher les actions disponibles :

  • Demandes. Ces « demandes pivots » vous permettent d’ exécuter rapidement une nouvelle demande en fonction de l’élément sélectionné. Retrouvez un exemple d’utilisation dans Demandes pivots.
  • Enrichissements. Ces sites Web tiers ouverts, tels que VirusTotal ou IP Abuse DB, permettent de rechercher des informations sur une menace potentielle que vous avez trouvée.
  • Actions. Celles-ci offrent des fonctions de détection ou de correction supplémentaires. Par exemple, vous pouvez créer un graphique de menace pour obtenir une analyse approfondie d’un incident, ou lancer Live Response pour accéder à un ordinateur et effectuer une analyse.

Vous pouvez personnaliser certains paramètres de pivot. Retrouvez plus de renseignements à la section Options de pivot personnalisées.