Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=create-cases

Créer des dossiers

Nous créons automatiquement des dossiers pour les détections que vous êtes le plus susceptible de nous demander d’investiguer.

Vous pouvez également créer des dossiers manuellement pour les examiner vous-même. Vous pouvez inclure toutes les détections, même si elles sont déjà incluses dans un dossier généré automatiquement.

Vous pouvez créer des dossiers de l’une des manières suivantes :

Vous pouvez également créer des demandes de service pour Sophos MDR ou Sophos Managed Risk, selon votre licence. Celles-ci ne sont pas basées sur des détections, mais vous permettent de nous contacter pour suggérer des investigations ou demander de l’aide. Voir Créer une demande de service MDR ou Créer une demande de service Managed Risk.

Créer un dossier sur la page Dossiers

Vous pouvez créer un dossier basé sur les détections Sophos XDR. Vous ne pouvez pas créer de dossiers pour les détections Sophos MDR ou Managed Risk. Le dossier sera autogéré.

  1. Allez dans Centre d’analyse des menaces > Dossiers.

  2. Sur la page Dossiers, cliquez sur Créer un dossier dans le coin supérieur droit.

    Bouton Créer un dossier.

  3. Sélectionnez Dossier autogéré.

    Sélecteur de type de dossier.

  4. Dans Créer un dossier, procédez comme suit :

    1. Saisissez un nom de dossier et sa description.
    2. Sélectionnez la Gravité.
    3. Sélectionnez l’État (Nouveau).

    4. Sélectionnez une Personne assignée. Il s’agit de l’administrateur qui va être en charge du dossier d’investigation.

      Vous pouvez sélectionner une personne assignée ultérieurement si vous le souhaitez.

    5. Cliquez sur Créer.

    Boîte de dialogue Créer un dossier.

    La page Détails du dossier s’affiche.

  5. Allez dans Centre d’analyse des menaces > Détections.

  6. Dans la liste Détections, sélectionnez les détections à ajouter.

    Page détections avec détections sélectionnées.

  7. Cliquez sur Actions et sélectionnez Ajouter au dossier.

    Menu actions.

  8. Sélectionnez un dossier, puis cliquez sur Ajouter au dossier.

    Boîte de dialogue Ajouter au dossier.

    La page Détails du dossier s’affiche.

Pour lancer une investigation, allez dans Mener une investigation sur les dossiers.

Vous pouvez, lorsque vous le souhaitez, ajouter d’autres détections à votre dossier sur la page Détections.

Créer un dossier sur la page Détections

  1. Allez dans Centre d’analyse des menaces > Détections.

  2. Dans la liste Détections, sélectionnez les détections pour lesquelles vous souhaitez mener une investigation.

    Page détections avec détections sélectionnées.

  3. Cliquez sur Actions et sélectionnez Créer un dossier.

    Menu actions.

  4. Dans Créer un dossier, procédez comme suit :

    1. Saisissez un nom de dossier et sa description.
    2. Sélectionnez la Gravité.
    3. Sélectionnez l’État (Nouveau).

    4. Sélectionnez une Personne assignée. Il s’agit de l’administrateur qui va être en charge du dossier d’investigation.

      Vous pouvez sélectionner la personne assignée ultérieurement si vous le souhaitez.

    5. Cliquez sur Créer.

    Boîte de dialogue Créer un dossier.

Pour lancer une investigation, allez dans Mener une investigation sur les dossiers.

Vous pourrez ajouter d’autres détections à votre dossier ultérieurement. Dans la liste Détections, sélectionnez détections, cliquez sur Actions, sélectionnez Ajouter au dossier, puis sélectionnez votre dossier.

Mener une investigation sur les dossiers

Dans Détails du dossier, utilisez l’onglet Carnet de notes pour enregistrer les résultats de votre investigation dans le dossier. Nous vous suggérons de suivre les étapes suivantes :

  • Décidez si vous voulez mener une investigation ou la fermer.
  • Vérifiez les connexions externes et internes utilisées dans l’événement.
  • Vérifiez quels appareils et utilisateurs ont été touchés.
  • Découvrez quelles tactiques et techniques d’attaque ont été utilisées. Vous les trouverez dans les Détails de la détection.
  • Utilisez les options de pivot dans les détections pour exécuter des demandes sur les données ou consulter des sites Web d’analyse des menaces tiers. Voir Utiliser des actions rapides, des enrichissements et des requêtes.

Répondre aux dossiers

La fonction Action de réponse n’est actuellement pas compatible avec la plupart des intégrations de produits tiers.

Vous pouvez résoudre les problèmes détectés par des produits tiers.

Pour utiliser cette fonction, configurez une intégration Action de réponse avec le produit tiers que vous souhaitez utiliser. Allez dans Produits et cliquez sur votre produit.

Notre exemple montre comment utiliser une Action de réponse pour suspendre un utilisateur compromis. Pour agir, procédez comme suit :

  1. Cliquez sur l’ID de dossier situé à côté de son nom pour afficher ses détails.
  2. Sélectionnez l’onglet Répondre.

  3. Recherchez l’action qui vous intéresse. Cliquez sur le type de produit Identité pour voir les actions disponibles pour ce type.

    Onglet Répondre affichant les actions d’Identité.

  4. Cliquez sur l’action Suspendre l’utilisateur.

  5. Dans la page des détails de l’action, saisissez les informations requises et la raison de l’action.

    Boîte de dialogue Suspendre l’utilisateur.

  6. Cliquez sur Exécuter.

Fermer ou supprimer des dossiers

Cette option s’applique uniquement aux dossiers autogérés.

Pour fermer un dossier, définissez son état comme Résolu. Le dossier reste sur la liste pendant 30 jours, puis nous le supprimons.

Les super administrateurs Partenaires et les super administrateurs Entreprise ne peuvent pas fermer ou supprimer des dossiers.

Pour supprimer un dossier de la liste, sélectionnez-le et cliquez sur Retirer les dossiers.

Liste des dossiers avec des dossiers sélectionnés pour suppression.

Créer une demande de service MDR

Vous devez avoir une licence Sophos MDR pour utiliser cette fonction.

Une demande de service MDR vous permet de signaler des problèmes à notre équipe MDR. Pour créer une demande, procédez comme suit :

  1. Allez dans Centre d’analyse des menaces > Dossiers.
  2. Sur la page Dossiers, cliquez sur Créer un dossier dans le coin supérieur droit.
  3. Sélectionnez Demande de service MDR.

  4. Dans Créer un dossier de demande de service pour l’équipe MDR, procédez comme suit :

    1. Saisissez un nom de dossier et sa description.
    2. Cliquez sur Créer.

  5. Sur la page Détails du dossier, sous l’onglet Messages, vous pouvez échanger des messages avec l’équipe MDR.

Vous ne pouvez ni ajouter ni modifier d’autres onglets.

Créer une demande de service Managed Risk

Vous devez avoir une licence Sophos Managed Risk pour utiliser cette fonction.

Le service Sophos Managed Risk crée des rapports sur toutes vos ressources Internet, détecte les vulnérabilités dans les ressources que vous décidez de contrôler, signale les risques et suggère des mesures correctives.

Une demande de service Managed Risk vous permet de demander des modifications dans vos paramètres Managed Risk ou de configurer des réunions avec l’équipe Managed Risk.

Pour une demande de service Managed Risk, procédez comme suit :

  1. Allez dans Centre d’analyse des menaces > Dossiers.
  2. Sur la page Dossiers, cliquez sur Créer un dossier dans le coin supérieur droit.
  3. Sélectionnez Demande de service Managed Risk.

  4. Dans Créer une demande de service pour l’équipe Managed Risk, procédez comme suit :

    1. Saisissez un nom de dossier et sa description.
    2. Cliquez sur Créer.