Résoudre les alertes PUA

Voici ce que vous pouvez faire pour résoudre les alertes PUA.

Vous recevez une alerte si vous devez agir ou effectuer des recherches suite à la détection d’une application potentiellement indésirable (PUA). Nous vous indiquons également si nous avons essayé de nettoyer la PUA. Cette information s’affiche sur la page des détails de l’appareil. Retrouvez plus de renseignements à la section Appareils.

Nous créons également parfois un dossier Menace. Celui-ci fournit davantage d’informations sur la PUA détectée. Retrouvez plus de renseignements à la section Dossiers Menace.

Vérifier si la détection est un faux positif

La détection d’un malware peut parfois être incorrecte. Par exemple, la détection par Deep Learning (nom de détection : ML/PE-A) identifie les malwares qui n’ont jamais été détectés grâce à la technologie Machine Learning. Bien que cette méthode soit très efficace, elle peut parfois causer l’identification erronée d’applications légitimes en tant malwares.

Si la détection est incorrecte, vous pouvez autoriser l’application ou ajouter une exclusion.

Si la détection est correcte, vous pouvez nettoyer l’application.

Si vous n’êtes pas sûr(e) si l’application est malveillante ou indésirable, examinez l’alerte. Celle-ci vous permettra de décider d’autoriser oui de nettoyer l’application.

Traiter un faux positif

Si vous soupçonnez la détection d'être incorrecte, vous pouvez autoriser l'application ou ajouter une exclusion.

Avertissement : Faites néanmoins preuve de prudence lorsque vous autorisez des applications ou ajoutez une exclusion : ceci peut causer une baisse du niveau protection.

Par exemple, si vous excluez un répertoire et que le malware s’exécute également à partir de cet emplacement, le malware ne sera pas bloqué.

Pour traiter un faux positif, procédez de la manière suivante :

  • Si vous voulez autoriser une application, procédez comme suit :
    1. Dans Vue générale, cliquez sur Appareils.
    2. Allez sur la page Ordinateurs ou Serveurs selon l’emplacement dans lequel l’application a été détectée.
    3. Recherchez l’appareil sur lequel la détection a eu lieu et cliquez dessus pour voir les informations le concernant.
    4. Sur l’onglet Événements, recherchez l’événement de détection et cliquez sur Informations.
    5. Dans la boîte de dialogue Informations sur l’événement, recherchez sous Autoriser cette application.
    6. Choisissez la façon dont vous souhaitez autoriser l’application.
      • Certificat : Option recommandée. Elle autorise également les autres applications avec le même certificat.
      • SHA-256 : Cette option autorise cette version de l’application. Cependant, si vous mettez à jour l’application, elle sera susceptible d’être détectée à nouveau.
      • Chemin : Cette option autorise l’application si elle est installée à cet emplacement. Vous pouvez utiliser des variables si l’application est à un emplacement différent sur différents ordinateurs.
    7. Cliquez sur Autoriser.

    Retrouvez plus de renseignements sur l’autorisation des applications à la section Applications autorisées.

  • Si vous souhaitez ajouter une exclusion, nous vous recommandons de l’inclure dans une stratégie. Ceci vous permettra de créer des exclusions ciblées et de les rendre aussi précises que nécessaire. Pour ajouter une exclusion, procédez de la manière suivante :
    1. Pour les terminaux, allez dans Endpoint Protection > Stratégies et configurez une exclusion.

      Retrouvez plus de renseignements à la section Stratégie de protection contre les menaces.

    2. Pour les serveurs, allez dans Server Protection > Stratégies et configurez une exclusion.

      Retrouvez plus de renseignements à la section Stratégie de protection des serveurs contre les menaces.

  • Sur les terminaux, vous pouvez autoriser une application à partir de la page Alertes. Procédez de la manière suivante :
    1. Allez dans Vue générale > Alertes.
    2. Recherchez l’alerte sur la PUA.
    3. Cliquez sur Autoriser la PUA.
      Avertissement : La PUA sera autorisée sur tous les ordinateurs. Nous vous recommandons d’autoriser une application en utilisant son certificat ou SHA-256.

Vous pouvez maintenant résoudre l’alerte.

Nettoyer une PUA

Si vous pensez que la détection est correcte, vous pouvez nettoyer l’application.

Procédez de la manière suivante :

  • Sur les terminaux, vous pouvez supprimer une PUA sur la page Alertes. Procédez de la manière suivante :
    1. Allez dans Vue générale > Alertes.
    2. Cliquez sur Nettoyer la PUA.

    Cette action ne sera pas disponible si la PUA a été détectée dans un partage réseau. En effet, l’agent Endpoint Protection ne dispose pas des droits suffisants pour nettoyer les fichiers à cet endroit.

  • Si vous ne pouvez pas nettoyer la PUA à partir de la page Alertes, procédez de la manière suivante :
    1. Supprimez l’application, tous les processus associés et les clés de registre.

      Nous vous conseillons d’examiner l’alerte afin de trouver plus d’informations sur les processus associés ou d’autres fichiers suspects.

Analyser une alerte

Il se peut que l'alerte ne vous donne pas toutes les informations dont vous avez besoin concernant la PUA détectée. Si vous n’êtes pas sûr(e) qu’il s’agisse d’une PUA ou d’un malware, nous vous conseillons d’examiner toutes les informations disponibles.

Procédez de la manière suivante :

  1. Vérifiez s’il y a un dossier Menace. Dans Sophos Central, allez dans Vue générale puis cliquez sur Centre d’analyse des menaces.
  2. Recherchez un dossier Menace associé à la PUA détectée.

    S’il y a un dossier Menace, vous y trouverez toutes les informations disponibles concernant la PUA détectée. Il indique toute les activités qu’il a effectuées et s’il existe d’autres fichiers ou processus suspects à étudier de plus près.

  3. S’il n’y a pas de dossier Menace, créez-en un.
  4. Facultatif : Le cas échéant, contactez l’utilisateur pour savoir ce qui s’est passé au moment de l’infection. Par exemple, a-t-il cliqué sur un lien dans un email ou branché une clé USB ?
  5. Étudiez le dossier Menace et suivez les étapes que nous vous recommandons pour résoudre le problème.

    Retrouvez plus de renseignements sur l’analyse des menaces à l’aide d’un dossier Menace à la section Page d’analyse du Dossier Menace.

  6. Si vous souhaitez autoriser l’application, suivez les étapes à la section Traiter un faux positif.
  7. Si vous souhaitez supprimer l’application, suivez les étapes à la section Nettoyer une PUA.

Vous pouvez maintenant résoudre l’alerte.

Résoudre une alerte

Lorsque vous avez autorisé ou supprimé l’application, vous pouvez résoudre l’alerte. Procédez de la manière suivante :

  1. Allez dans Vue générale > Alertes.
  2. Accédez à l’alerte.
  3. Cliquez sur Marquée comme résolue.