Aller au contenu

Live Discover

Live Discover vous permet de vérifier les appareils gérés par Sophos Central, de rechercher des signes de menace ou d’évaluer la conformité.

Vous pouvez utiliser les demandes Live Discover pour rechercher des signes de menaces qui n’ont pas été détectées par d’autres fonctions Sophos sur les appareils. Par exemple :

  • Modifications inhabituelles du registre.
  • Authentifications impossibles.
  • Exécution d’un processus très rarement exécuté.

Vous pouvez également rechercher les traces d’une menace suspectée ou connue si par exemple Sophos Central a trouvé cette menace ailleurs, ou si un utilisateur a signalé un comportement suspect sur son appareil.

Vous pouvez également vérifier la conformité de chaque appareil. Par exemple, vous pouvez rechercher si les logiciels ne sont plus à jour ou si les navigateurs utilisent des paramètres non sécurisés.

Cette page vous indique comment utiliser Live Discover. Vous pouvez également vous y familiariser en complétant la Formation Sophos XDR.

Fonctionnement des demandes

Nous fournissons tout un ensemble de demandes à utiliser pour vérifier vos appareils. Vous pouvez les utiliser telles quelles ou les modifier (vous devez connaitre osquery ou SQL). Vous pouvez également créer des demandes.

Vous pouvez exécuter des demandes pour obtenir des informations provenant de sources différentes :

  • Les demandes des terminaux vont chercher les dernières informations à partir des appareils actuellement connectés.
  • Les demandes Data Lake vont chercher les informations à partir du Data Lake vers lequel les appareils concernés téléchargent régulièrement leurs données. Ils peuvent également obtenir des informations depuis d’autres produits Sophos dont les données sont envoyées au Data Lake, par exemple Sophos Cloud Optix ou Sophos Email. Voir Demandes Data Lake.
  • Les demandes Data Lake peuvent également obtenir des informations de sources tierces. Vous pouvez ajouter des journaux d’audit Microsoft 365 et nous ajoutons d’autres sources de données.

Pour commencer, vérifiez que vous pouvez obtenir des données à partir des ressources que vous voulez interroger. Pour savoir comment obtenir des données à partir des appareils, suivez les instructions ci-dessous.

Pour savoir comment obtenir des données à partir de Sophos Cloud Optix et des journaux d’audit de Microsoft 365, consultez Téléchargements dans le Data Lake.

Configurez et exécutez ensuite les demandes comme décrit dans les sections suivantes.

Obtenir des données des appareils

Si vous souhaitez utiliser les demandes Data Lake, veuillez autoriser vos appareils à télécharger des données dans le Data Lake.

Pour configurer vos appareils pour qu’ils téléchargent les données, procédez comme suit.

  1. Allez dans Vue générale > Paramètres généraux.
  2. Sous Endpoint Protection (ou Server Protection pour les serveurs), cliquez sur Téléchargements du Data Lake.
  3. Activez Télécharger dans le Data Lake.

Retrouvez plus de renseignements sur Téléchargements dans le Data Lake.

Conditions requises pour Sophos Mobile

Pour utiliser des demandes Data Lake pour les données de vos appareils mobiles, il vous faut une licence Mobile Advanced ou Intercept X for Mobile dans Sophos Central ainsi qu’une licence Sophos qui inclut Sophos XDR.

Pour configurer vos appareils pour qu’ils téléchargent les données, procédez de la manière suivante.

  1. Allez dans Vue générale > Paramètres généraux.
  2. Sous Mobile, cliquez sur Téléchargements du Data Lake.
  3. Activez Télécharger dans le Data Lake.

Retrouvez plus de renseignements sur Téléchargements dans le Data Lake.

Sélectionner la demande

Pour sélectionner une demande pré-préparée, procédez comme suit :

  1. Dans Vue générale > Centre d’analyse des menaces, cliquez sur Live Discover.

    Capture d’écran de Live Discover dans le menu Central Admin

  2. Dans Live Discover, ouvrez la section Demande (si elle n’est pas déjà ouverte).

    Le Mode concepteur vous permet de modifier ou de créer des demandes. Vous n’avez pas besoin de l’activer si vous utilisez nos demandes pré-configurées.

    Capture d’écran de la page Live Discover

  3. L’onglet Toutes les demandes s’affiche par défaut. Vous pouvez, si vous le préférez, cliquer sur l’onglet correspondant à un type de demande particulier :

    • Demandes Endpoint. Ce type de demande va récupérer les dernières données à partir des appareils connectés.
    • Demandes Data Lake. Ce type de demande va récupérer les données à partir du Data Lake vers lequel les appareils concernés téléchargent régulièrement leurs données. Les Catégories disponibles s’affichent.

    Capture d’écran des catégories de demande

  4. Cliquez sur la catégorie à utiliser. Une liste de demandes disponibles dans cette catégorie s’affiche.

    Impact sur le système indique l’impact de la demande sur les performances de l’appareil en tenant compte de l’utilisation la plus récente.

    Capture d’écran de la liste des demandes

  5. Filtrez ou recherchez les demandes pour restreindre la liste.

  6. Cliquez sur la demande à exécuter. Ceci affiche les détails de la demande, y compris les systèmes d’exploitation pris en charge et les données concernant les performances.

    Capture d’écran d’une demande sélectionnée

  7. Facultatif : Si vous avez sélectionné une demande Data Lake, cliquez sur la flèche pour ouvrir Sélectionner une période de temps et sélectionner une période à interroger. La valeur par défaut est définie sur les derniers 7 jours.

    Cette option n’est pas un programme planifié. Elle spécifie uniquement la quantité de données passées sur laquelle la demande s’exécute, et non la fréquence d’exécution.

    Vous pouvez utiliser cette option pour éviter de générer trop de données.

    Certaines demandes, y compris les demandes terminal, vous permettent également de spécifier une période de temps dans leurs variables (par exemple, les demandes exécutées sur les journaux d’événements).

    Sélecteur de période de temps

Pour exécuter une demande de terminaux, sélectionnez les appareils à interroger.

Si vous avez sélectionné une demande Data Lake, vous pouvez l’exécuter ou à la planifier dès maintenant. Voir « Exécuter une demande ».

Sélectionner des appareils à interroger

Pour exécuter une demande de terminaux, sélectionnez les appareils à interroger.

Si vous avez sélectionné une demande Data Lake, tous les appareils sont toujours inclus. Ignorez cette section.

  1. Dans Live Discover, ouvrez le Sélecteur d’appareil.

    Appareils disponibles affiche tous les ordinateurs et serveurs gérés par Sophos Central.

    Capture d’écran du sélecteur d’appareil

  2. Sous Appareils disponibles, filtrez les appareils à afficher. Par exemple, vous pouvez interroger les appareils exécutant un système d’exploitation particulier. Cliquez sur Appliquer.

    Il n’est pas nécessaire de saisir une correspondance exacte et les filtres ne sont pas sensibles aux majuscules.

    Capture d’écran des filtres

  3. Sélectionnez les appareils à interroger et cliquez sur Mettre à jour la liste des appareils sélectionnés.

    Les appareils sont alors ajoutés à une liste située sous l’onglet Appareils sélectionnés à partir duquel vous pouvez les gérer facilement.

    Capture d’écran des appareils sélectionnés

  4. Facultatif : Si vous souhaitez restreindre le champ de recherche davantage, vous pouvez filtrer les appareils sélectionnés ou les dessélectionner. Pour effectuer cette opération, cliquez sur Appareils sélectionnés et procédez de la manière suivante :

    • Cliquez sur Afficher les filtres. Filtrez les appareils sélectionnés.
    • Dessélectionnez les appareils et cliquez sur Mettre à jour la liste des appareils sélectionnés.

Exécuter la demande

Lorsque vous avez terminé de configurer une demande, vous pouvez l’exécuter.

Vous pouvez exécuter simultanément jusqu’à quatre demandes sur les appareils.

Remarque

Vous pouvez modifier les appareils sélectionnés ou modifier la demande pendant son exécution.

Pour exécuter une demande, procédez comme suit :

  1. En bas de la page Live Discover, cliquez sur Exécuter la demande.

    Capture d’écran du bouton Exécuter la demande

  2. Si vous n’avez jamais exécuté la demande, un message vous recommande de la tester sur un seul appareil. Revenez en arrière pour modifier vos appareils sélectionnés ou cliquez sur Exécuter la demande pour exécuter la demande.

    Capture d’écran de l’avertissement de demande non testée

  3. Une fois la demande exécutée, vous verrez s’afficher un panneau de résultats. Vous pouvez voir :

    • Éléments trouvés pour chaque appareil.
    • Nouvelles demandes ou actions suggérées en fonction des éléments trouvés dans les résultats. Cliquez sur l’icône « points de suspension » Icône points de suspension pour afficher les options.
    • Données télémétriques de l’appareil (sous les résultats). Il s’agit d’informations sur la vitesse de la demande et la quantité de données qu’elle a généré. Retrouvez plus de renseignements sur « Données télémétriques Live Discover ».

    Capture d’écran des résultats de la demande

    Vous verrez s’afficher un Sophos PID pour les processus. Il s’agit d’un ID exclusif au processus. Nous ne la réutilisons jamais, afin d’éviter que les demandes lui correspondant ne génèrent des résultats erronés provenant de processus plus anciens.

Vous pouvez planifier l’exécution de certaines demandes à des heures définies (demandes Data Lake uniquement). Voir Demandes planifiées.

Pour effectuer des analyses plus poussées, vous pouvez exécuter d’autres demandes basées sur les résultats obtenus. Retrouvez plus de renseignements sur « Utiliser des demandes pivot, des enrichissements et des actions. »

Utiliser des demandes pivots, des enrichissements et des actions

Les résultats de vos demandes peuvent être utilisés comme point de départ pour lancer des demandes plus approfondies concernant des menaces potentielles.

Dans le tableau des résultats, vous verrez l’icône « points de suspension » à côté de certains éléments. Capture d’écran de l’icône Points de suspension

Cliquez sur l’icône pour afficher les actions disponibles :

  • Demandes. Ces « demandes pivots » vous permettent d’ exécuter rapidement une nouvelle demande en fonction de l’élément sélectionné. Retrouvez un exemple d’utilisation dans « Demandes pivots ».
  • Enrichissements. Ces sites Web tiers ouverts, tels que VirusTotal ou IP Abuse DB, permettent de rechercher des informations sur une menace potentielle que vous avez trouvée.
  • Actions. Celles-ci offrent des fonctions de détection ou de correction supplémentaires. Par exemple, vous pouvez créer un graphique de menace pour obtenir une analyse approfondie d’un incident, ou lancer Live Response pour accéder à un ordinateur et effectuer une analyse.

Vous pouvez personnaliser certains paramètres de pivot. Voir Enrichissements.

Haut de page