Aller au contenu

Enquêter sur les dossiers

Cette page correspond uniquement aux dossiers « Auto-gérés ».

Vous pouvez enquêter sur les dossiers en utilisant les informations et les outils fournies sur la page de Détails du dossier.

Nous vous recommandons également d'utiliser notre assistant IA pour en savoir plus sur la détection et obtenir des suggestions d'action. Voir Assistant IA.

Conservez un enregistrement de votre enquête sur l'onglet Carnet de notes situé sur la page Détails du dossier.

Dans certains cas, vous pourrez également répondre à la menace depuis le même endroit. Voir Répondre aux dossiers.

Enquêter sur un dossier

Pour commencer une investigation, procédez de la manière suivante :

  1. Allez sur la page Dossiers.

    Page Dossiers.

  2. Cliquez sur l'ID de dossier du dossier.

    Lien ID de dossier dans la liste des Dossiers.

  3. Sur l'onglet Aperçu, vous trouverez des informations sur la détection qui a généré le dossier et pourrez commencer votre analyse en utilisant les outils d'IA de Sophos.

    Onglet « Aperçu » du dossier.

Dans cet onglet, vous pouvez :

Résumé du dossier

Vous pouvez utiliser Sophos AI pour générer un résumé du dossier à votre place.

  1. Dans Résumé du dossier, cliquez sur l'icône IA.

    Sophos AI analyse le dossier et résume les détails.

    Volet Résumé du dossier.

  2. Si vous souhaitez enregistrer le résumé, cliquez sur Insérer. Pour le supprimer, cliquez sur X.

    Si vous enregistrez le résumé, vous pourrez cliquer sur l'icône Modifier Icône Modifier. et le modifier ultérieurement.

    Résumé du dossier avec le bouton Insérer.

Alternativement, vous pouvez résumer le dossier manuellement. Cliquez sur l'icône Modifier Icône Modifier. et saisissez votre propre résumé.

Analyse par ligne de commande

Vous pouvez utiliser Sophos AI pour analyser la ligne de commande exécutée par la menace qui a généré le dossier.

Dans Ligne de commande, cliquez sur l'icône IA.

Volet d'analyse par ligne de commande.

Sophos AI analyse la ligne de commande pour découvrir les intentions de la menace et son impact potentiel. Si nécessaire, elle peut révéler le code, ce qui permet de faciliter l’évaluation d’une menace.

Entités impactées

Entités impactées répertorie les appareils, utilisateurs, fichiers, adresses IP et processus affectés par la menace détectée.

Cliquez sur un nom de périphérique pour voir tous les détails dans la page Ordinateurs et serveurs.

Tactiques MITRE

Le volet Tactiques MITRE répertorie toutes les tactiques et techniques MITRE ATT&CK que nous avons détectées.

Cliquez sur la flèche située à côté d’une tactique pour afficher les détails de la technique.

Cliquez sur le lien à côté de la tactique ou technique de votre choix, par exemple Accès aux identifiants, pour accéder aux détails la concernant sur le site Web de MITRE.

Détails de la tactique MITRE.

Répondre aux dossiers

La fonction Action de réponse n’est actuellement pas compatible avec la plupart des intégrations de produits tiers.

Dans certains cas, vous pourrez résoudre les problèmes détectés par des produits tiers.

Pour utiliser cette fonction, configurez une intégration Action de réponse avec le produit tiers que vous souhaitez utiliser. Allez dans Produits et cliquez sur votre produit.

Notre exemple montre comment utiliser une Action de réponse pour suspendre un utilisateur compromis. Pour agir, procédez comme suit :

  1. Cliquez sur l’ID de dossier situé à côté de son nom pour afficher ses détails.
  2. Sélectionnez l’onglet Répondre.
  3. Recherchez l’action qui vous intéresse. Cliquez sur le type de produit Identité pour voir les actions disponibles pour ce type.

    Onglet Répondre affichant les actions d’Identité.

  4. Cliquez sur Suspendre l'utilisateur.

  5. Dans la page des détails de l’action, saisissez les informations requises et la raison de l’action.

    Boîte de dialogue Suspendre l’utilisateur.

  6. Cliquez sur Exécuter.