Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=identity-detection-findings

Résultats

La page Résultats affiche toutes les détections dans un tableau, triées par risque. Les détections sont le résultat des contrôles de risque effectués sur votre infrastructure d'identités. Chaque détection a un état, un niveau de risque et une catégorie.

Détections de risques liés à l’identité.

État des détections

Les nouvelles détections portent l'état Ouvert. Vous pouvez modifier cet état dans les détails de la détection à mesure que vous classez et résolvez les problèmes. Choisissez parmi les états suivants :

  • Ouvert : La détection n'a pas encore été traitée ou est toujours présente dans l'environnement.
  • Résolu : La détection a été traitée ou résolue.
  • Rejeté : La détection ne présente pas de risques et n'a pas besoin d'être traitée.

Niveau de risque des détections

Chaque détection se voit attribuer l'un des niveaux de risque suivants en fonction de l'évaluation sous-jacente et du risque de sécurité potentiel qu'elle représente :

  • Critique : La détection doit être traitée immédiatement car elle représente un risque sérieux.
  • Élevé : La détection doit être traitée immédiatement.
  • Moyen : La détection doit être traitée, mais elle ne pose pas de risque important.
  • Faible : La détection présente un risque mineur.
  • Info : La détection présente peu ou pas de risque de sécurité, mais mérite votre attention lorsque le temps le permettra.

Niveaux de risque d'identité.

Catégorie de la détection

Les détections sont catégorisées de la manière suivante en fonction du type de contrôle effectué. Nous utilisons le cadre MITRE ATT&CK, le cas échéant :

  • Comportement de l’utilisateur
  • Configuration
  • Failles de l'accès conditionnel Entra
  • Ressources dormantes
  • Mouvement latéral
  • Compromission des identifiants
  • Persistance
  • Élévation des privilèges
  • Évasion de la défense
  • Exfiltration

Classement des détections

Pour réduire la surface d’attaque sur les identités et améliorer votre score de posture le plus rapidement possible, traitez en priorité les détections les plus importantes. Évaluez chaque détection en fonction des besoins de votre entreprise, de votre environnement unique, de votre tolérance au risque et de votre capacité à traiter la détection. Ceci est important car toute modification apportée aux configurations peut avoir un impact négatif sur les utilisateurs, les applications et l'accès.

Il n’est pas toujours possible de résoudre toutes les détections pour des raisons échappant à votre contrôle, tels que des applications tierces nécessitant des autorisations élevées ou ne prenant en charge que des mécanismes d'authentification plus faibles. Cependant, celles-ci représentent toujours un risque potentiel dont vous devez être conscient et continuer à surveiller.

Après avoir évalué la détection, prenez l'une des actions suivantes :

  • Résolvez la détection en remédiant au problème au sein du système d'identité où il a été identifié pour qu’elle soit exclue du score lors du prochain calcul de risque, qui a lieu toutes les 24 heures.
  • Rejetez la détection, ce qui évitera qu’elle ne réapparaisse pour le même objet, et l'exclura de votre score de risque général. La détection restera visible dans le tableau des détections, mais ne sera plus prise en compte dans le tableau de bord.
  • Laissez l'état ouvert afin de suivre les détections qui ne peuvent pas être traitées, ce qui continuera à influencer votre score de risque général.

Tableau Détections

Le tableau Détections inclut des contrôles permettant de trier, de filtrer et d’organiser les données. Utilisez le menu Filtres sur la gauche du tableau pour affiner la liste des détections.

Le tableau et l'URL se mettent à jour dynamiquement à mesure que vous sélectionnez des filtres. Vous pouvez partager l'URL avec des collègues ou la sauvegarder pour consulter une liste spécifique de détections.

Les filtres sélectionnés sont affichés au-dessus du tableau. Cliquez sur X pour supprimer un filtre donné ou sur Réinitialiser pour supprimer tous les filtres et afficher toutes les détections.

Filtrage des détections

Filtrez le tableau Détections en utilisant une combinaison des filtres suivants :

  • Risque : Niveau de risque de la détection.

  • État : L’état de la détection, qui peut être l'un des éléments suivants :

    • Ouvert
    • Résolu
    • Rejeté

  • Type de référence: Le type d'objet auquel se rapporte la détection, qui peut être l'un des éléments suivants :

    • Objet utilisateur
    • Application
    • Objet de groupe
    • Objet Appareil
    • Configuration du locataire

  • Catégorie : Catégorie de la détection.

  • Nouvelle : Détections observées pour la première fois au cours des sept derniers jours.
  • Détection : Nom de la détection.
  • Détection initiale : Date de détection initiale.
  • Dernière instance : Date de dernière instance de la détection.

Afficher les détails des détections

Cliquez sur un lien dans la colonne Détections pour ouvrir un panneau affichant des détails tels que : la référence principale, d'autres références, le niveau de risque, l’horodatage de la détection initiale, l’horodatage de la dernière instance, l’horodatage de la dernière modification, et l’action conseillée.

Pour afficher des détails supplémentaires sur la détection, cliquez sur l'icône en haut à gauche du panneau pour ouvrir la vue en pleine page dans un nouvel onglet. Les informations suivantes s'affichent dans les deux vues :

  • Détails de la détection : Résumé de la détection comprenant le niveau de risque, l’état, les commentaires, les horodatages et les balises.
  • Description : Une description de la détection.
  • Définition : Informations sur le contrôle d'identité associé et les références.
  • *Recommandations* : Recommandations de Sophos pour résoudre la détection.

Panneau des détails de la détection.

Conseil

Cliquez sur Référence principale ou sur Autres références pour accéder directement à l'objet dans Entra ID.

Mettre à jour l’état de la détection

Pour mettre à jour l’état d'une détection, cliquez sur le menu État et sélectionnez l’état souhaité :

  • Ouvert : La détection n'a pas encore été traitée ou est toujours présente dans l'environnement.
  • Rejeté : La détection ne présente pas de risques et n'a pas besoin d'être traitée. De nouvelles détections ne seront pas générées pour ce problème.
  • Résolu : La détection a été traitée ou résolue.

Lorsque l’état est défini comme Résolu ou Rejeté, la détection n'est plus considérée comme un risque pour votre environnement. Si une détection est résolue manuellement et que nous la trouvons à nouveau, celle-ci sera rouverte par le système. Assurez-vous que les actions de résolution ou les tâches de clôture nécessaires ont été complétées.

Les détections sont automatiquement résolues par le système lorsqu'elles n'apparaissent plus. Les détections résolues par le système incluent un commentaire à cet effet.

Onglet Résultats

L’onglet Résultats affiche les résultats bruts du contrôle au format JSON. Utilisez ces résultats pour obtenir des détails supplémentaires sur une détection.

Onglet Historique

L'onglet Historique affiche les actions précédemment effectuées sur la détection. Cliquez sur Voir les différences pour voir les détails exacts des modifications.