Aller au contenu

Investigations

Les investigations vous permettent d’analyser les menaces potentielles.

Les Investigations rassemblent les événements suspects signalés par notre fonction de Détection et vous aident à effectuer des recherches détaillées sur ces événements.

Cette page offre plus de détails concernant le fonctionnement des investigations et vous explique comment effectuer les opérations suivantes :

  • Configurer les investigations.
  • Afficher et démarrer les investigations.
  • Mener une investigation des événements détectés.
  • Fermer les investigations.

À propos des investigations

Nous créons automatiquement des investigations de votre part. Ces informations portent sur les détections que nous vous recommandons d’examiner.

  • Nous créons une investigation lorsqu’il y a une détection à risque élevé (si elle n’a pas été incluse dans une investigation le même jour).
  • Nous ajoutons des détections ultérieures à l’investigation si elles sont liées (elles partagent le même type de détection ou touchent le même appareil).

Une détection peut se trouver dans plusieurs investigations.

Retrouvez plus de renseignements sur Comment Sophos crée des investigations.

Vous pouvez modifier et travailler sur ces investigations. Vous pouvez également créer vos propres investigations. Voir Créer une investigation.

Configurer les investigations

Les Détections et les Investigations sont basées sur les données dans Sophos Data Lake. Avant de commencer à utiliser ces fonctions, assurez-vous d’avoir activé les téléchargements de données de sécurité vers Data Lake.

Ces données peuvent provenir de plusieurs produits Sophos.

Voir Téléchargements dans le Data Lake.

Afficher et démarrer les investigations

Pour afficher les investigations que nous avons créées, ouvrez-les et assignez-les comme suit :

  1. Rendez-vous sur Vue générale > Centre d’analyse des menaces > Investigations.
  2. Vous allez voir une liste des investigations. Cliquez sur une investigation pour voir plus d’informations.

    Remarque

    La première fois que vous afficherez cette page, il est possible que la liste soit vide. Retournez-y plus tard pour voir les investigations créées automatiquement ou créer vos propres investigations.

    Page des investigations

  3. Le Dossier d’investigation affiche les détails de l’investigation et la Liste de détection indique les événements suspects inclus. Lancez l’investigation comme suit :

    1. Définissez la priorité sur Élevée, Moyenne ou Basse.
    2. Remplacez l’état Non démarré par En cours.
    3. Cliquez sur Type à assigner et sélectionnez les administrateurs Sophos Central qui mèneront l’investigation.

    Page Détails de l’investigation

Nous ajouterons les détections associées à l’investigation au fur et à mesure qu’elles se produisent. Vous pouvez également ajouter ou supprimer des détections si vous le souhaitez. Dans la Liste de détections, cliquez sur Actions et choisissez ce que vous souhaitez faire.

Remarque

Par défaut, nous envoyons un email aux super administrateurs lorsqu’il y a une nouvelle investigation. Voir Notifications par email.

Mener une investigation des événements détectés

Nous vous avons fourni un modèle pour effectuer des investigations. Pour lancer une investigation, procédez de la manière suivante :

  1. Rendez-vous sur Vue générale > Centre d’analyse des menaces > Investigations.
  2. Cliquez sur une investigation.

    Page des investigations

  3. Développez Notes d’investigation. Vous verrez une série de questions basées sur le modèle Observation, Orientation, Décision, Action.

    • Décidez si vous voulez mener une investigation ou la fermer.
    • Vérifiez les connexions externes et internes utilisées dans l’événement.
    • Vérifiez quels appareils et utilisateurs ont été touchés.
    • Découvrez quelles tactiques et techniques d’attaque ont été utilisées. Vous retrouverez plus de renseignements dans les détails de la détection.
    • Utilisez les options de pivot dans les détections pour exécuter des demandes sur les données ou consulter des sites Web d’analyse des menaces tiers. Voir Détections.

    Notes d’investigation

Fermer les investigations

Pour fermer une investigation, définissez son état comme Fermé.

L’investigation sera supprimée d’ici 30 jours.

Haut de page