Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=PUA-alert-resolve

Résoudre les alertes PUA

Voici ce que vous pouvez faire pour résoudre les alertes PUA.

Vous recevez une alerte si vous devez agir ou effectuer des recherches suite à la détection d’une application potentiellement indésirable (PUA). Nous vous indiquons également si nous avons essayé de nettoyer la PUA. Cette information s’affiche sur la page des détails de l’appareil. Voir Appareils.

Nous créons également parfois un graphique de menace. Celui-ci fournit davantage d’informations sur la PUA détectée. Voir Graphiques de menace.

Vérifier si la détection est un faux positif

La détection d’un malware peut parfois être incorrecte. Par exemple, la détection par Deep Learning (nom de détection : ML/PE-A) identifie les malwares qui n’ont jamais été détectés grâce à la technologie Machine Learning. Bien que cette méthode soit très efficace, elle peut parfois causer l’identification erronée d’applications légitimes en tant malwares.

Si la détection est incorrecte, vous pouvez autoriser l’application ou ajouter une exclusion.

Si la détection est correcte, vous pouvez nettoyer l’application.

Si vous n’êtes pas sûr(e) si l’application est malveillante ou indésirable, examinez l’alerte. Celle-ci vous permettra de décider d’autoriser ou de nettoyer l’application.

Analyser une alerte

Il se peut que l’alerte ne vous donne pas toutes les informations dont vous avez besoin concernant la PUA détectée. Si vous n’êtes pas sûr(e) qu’il s’agisse d’une PUA ou d’un malware, veuillez examiner toutes les informations disponibles.

Procédez comme suit :

  1. Vérifiez s’il y a un graphique de menace. Dans Sophos Central, allez dans Centre d’analyse des menaces > Graphique de menace.

  2. Recherchez un graphique de menace associé à la PUA détectée.

    S’il y a un graphique de menace, vous y trouverez toutes les informations disponibles concernant la PUA détectée. Il indique toute les activités qu’il a effectuées et s’il existe d’autres fichiers ou processus suspects à étudier de plus près.

    1. S’il n’y a pas de graphique de menace, créez-en un.

      Restriction

      Il n’est pas possible de créer de graphique de menace sur Mac.

  3. Facultatif : Le cas échéant, contactez l’utilisateur pour savoir ce qui s’est passé au moment de l’infection. Par exemple, a-t-il cliqué sur un lien dans un email ou branché une clé USB ?

  4. Étudiez le graphique de menace et suivez les étapes que nous vous recommandons pour résoudre le problème.

    Retrouvez plus de renseignements sur l’analyse des menaces à l’aide des graphiques de menace sur Analyse du graphique de menace.

  5. Une fois l’investigation terminée, choisissez parmi les options suivantes :

    • Si vous soupçonnez la détection d’être incorrecte, autorisez l’application ou ajoutez une exclusion. Voir Traiter un faux positif.
    • Si vous pensez que la détection est correcte, nettoyez l’application. Voir Nettoyer une PUA.

  6. Résolvez l’alerte. Voir Résoudre une alerte.

Traiter un faux positif

Si vous soupçonnez la détection d’être incorrecte, vous pouvez autoriser l’application ou ajouter une exclusion.

Avertissement

Faites néanmoins preuve de prudence lorsque vous autorisez des applications ou ajoutez une exclusion : ceci peut causer une baisse du niveau protection.

Par exemple, si vous excluez un répertoire et que le malware s’exécute également à partir de cet emplacement, le malware ne sera pas bloqué.

Pour traiter un faux positif, procédez de la manière suivante :

Retrouvez plus de renseignements aux sections suivantes :

Autoriser une application

Restriction

Vous pouvez utiliser cette fonction sur les appareils Windows et Linux mais pas sur les Macs.

Si vous voulez autoriser une application, procédez comme suit :

  1. Allez dans Appareils > Ordinateurs ou Serveurs selon l’emplacement dans lequel l’application a été détectée.
  2. Recherchez l’appareil sur lequel la détection a eu lieu et cliquez dessus pour voir les informations le concernant.
  3. Sur l’onglet Événements, recherchez l’événement de détection et cliquez sur Informations.
  4. Dans la boîte de dialogue Informations sur l’événement, recherchez sous Autoriser cette application.

  5. Choisissez la façon dont vous souhaitez autoriser l’application.

    • Certificat (Windows uniquement) : Autorise les autres applications avec le même certificat. Option recommandée.
    • SHA-256 (Windows, Linux) : Autorise cette version de l’application. Cependant, si vous mettez à jour l’application, elle sera susceptible d’être détectée à nouveau.
    • Chemin (Windows) : Autorise l’application si elle est installée à cet emplacement. Vous pouvez utiliser des variables si l’application est à un emplacement différent sur différents ordinateurs.

    • Chemin (Linux) : Autorise l’application à condition qu’elle soit installée au chemin (emplacement) indiqué. Vous pouvez modifier le chemin et utiliser des variables si l’application est installée à différents emplacements sur différents ordinateurs. Vous devez utiliser des barres obliques (//).

      Remarque

      Vous pouvez également utiliser les options suivantes pour exclure un chemin de fichier du contrôle sur Linux :

  6. Cliquez sur Autoriser.

Retrouvez plus de renseignements sur l’autorisation des applications sur Applications autorisées.

Ajouter une exclusion

Si vous souhaitez ajouter une exclusion, nous vous recommandons de l’inclure dans une stratégie. Ceci vous permettra de créer des exclusions ciblées et de les rendre aussi précises que nécessaire.

Pour ajouter une exclusion, procédez de la manière suivante :

  1. Pour les terminaux, allez dans Mes produits > Endpoint > Stratégies et configurez une exclusion.

    Voir Stratégie de protection contre les menaces.

  2. Pour les serveurs, allez dans Mes produits > Server > Stratégies et configurez une exclusion.

    Voir Stratégie de protection des serveurs contre les menaces.

Autoriser une PUA

Pour les terminaux, vous pouvez autoriser une application à partir de la page Alertes.

Pour autoriser une application, procédez comme suit :

  1. Allez sur Alertes.
  2. Recherchez l’alerte sur la PUA.

  3. Cliquez sur Autoriser la PUA.

    Avertissement

    • La PUA sera autorisée sur tous les ordinateurs.
    • Pour Windows et Linux, nous vous recommandons d’autoriser une application en utilisant son certificat ou SHA-256.

Nettoyer une PUA

Si vous pensez que la détection est correcte, vous pouvez nettoyer l’application. Il peut être utile d’examiner tout d’abord la PUA. Cela vous aidera à trouver plus d’informations sur les processus associés ou d’autres fichiers suspects.

Nettoyez la PUA comme suit :

  1. Rendez-vous sur l’ordinateur.
  2. Supprimez l’application, tous les processus associés et les clés de registre.

Résoudre une alerte

Lorsque vous avez autorisé ou supprimé l’application, vous pouvez résoudre l’alerte.

Pour résoudre une alerte, procédez comme suit :

  1. Allez sur Alertes.
  2. Accédez à l’alerte.
  3. Cliquez sur Marquée comme résolue.