Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=mdr-ops-actions

Capacités de l'équipe MDR Ops

Cette page décrit les actions que notre équipe MDR Ops peut prendre si vous l'autorisez à répondre aux menaces à votre place.

Nous n'agissons qu’en cas de nécessite. Cependant, si vous choisissez l’option d’Autoriser la réponse aux menaces lors de la configuration de Sophos MDR, notre équipe répondra aux menaces actives sans vous consulter auparavant. 

Si vous préférez que l'équipe MDR Ops n’agisse pas sans vous consulter, choisissez l’option Collaborer. Pour cela, consultez Définir la réponse aux menaces.

Pour plus d'informations sur les différents paramètres de réponse aux menaces, consultez None.

Actions avec Live Response

L'équipe des opérations de MDR peut utiliser Live Response pour se connecter aux appareils et agir. Pour ce faire, vous devrez activer Live Response. Voir Configurer et démarrer Live Response.

Voici quelques actions pouvant être prises par l'équipe MDR Ops :

  • Désactiver des utilisateurs
  • Supprimer des utilisateurs
  • Terminer des sessions
  • Bloquer des processus malveillants
  • Supprimer des fichiers
  • Parcourir des dossiers
  • Supprimer des tâches planifiées
  • Supprimer des processus

Actions avec Sophos Central

À partir des Paramètres généraux dans Sophos Central, l’équipe peut procéder comme suit :

  • Isoler des appareils
  • Bloquer des applications
  • Bloquer les adresses IP

Actions avec Microsoft 365

L'équipe MDR Ops peut utiliser Microsoft 365 Response Actions si vous avez configuré cette intégration.

L'équipe peut procéder de la manière suivante :

  • Refuser ou autoriser les connexions utilisateur Ceci permettra de bloquer les accès non autorisés.
  • Déconnecter ou révoquer toutes les sessions en cours. Ceci permettra d'isoler les comptes compromis.
  • Désactiver les règles de boîte de réception pour l’utilisateur. Ceci permettra d’empêcher le transfert malveillant d’emails sensibles, les tactiques de contournement de la sécurité, la suppression de preuves, etc.

Pour configurer les actions de réponse Microsoft 365, consultez Microsoft 365 Response Actions.

Actions avec Sophos Firewall

Si vous avez Sophos Firewall, nous pouvons interagir avec les flux de menaces de XG Firewall. Ceci nous permettra par exemple, en cas d'incident critique, de mettre fin aux sessions VPN des utilisateurs compromis.