Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=threat-analysis-cases

Dossiers

La page Dossiers regroupe les événements suspects signalés par notre fonction Détections et vous aide (ou l’équipe MDR) à effectuer des recherches sur les événements en question et d’y répondre.

Comment fonctionnent les dossiers

Nous créons et gérons des dossiers pour vous automatiquement ou vous pouvez créer et gérer les vôtres.

Dossiers gérés par Sophos

Nous créons automatiquement des dossiers. Ces informations portent sur les détections que nous vous recommandons d’examiner.

  • Nous créons un dossier lorsqu’il y a une détection à risque élevé (si celle-ci n’a pas été incluse dans un autre dossier le même jour).
  • Nous ajoutons des détections ultérieures au dossier si elles partagent le même type de détection.
  • Si le dossier est basé sur des détections MDR, nous enquêtons et répondons. Il s’agit d’un dossier « Géré par Sophos ».

Remarque

Si le dossier est basé sur des détections Sophos XDR, nous ne menons pas d’investigation. Voir Dossiers que vous gérez.

Dossiers que vous gérez

Si nous créons un dossier basé sur les détections XDR, il s’agit d’un dossier « Autogéré ». Lorsque vous examinez vos dossiers, recherchez « Auto » dans le critère « Géré par ». Vous devez assigner l’administrateur responsable de l’investigation et de la réponse. Voir Assigner des dossiers.

Vous pouvez également créer et gérer vos propres dossiers manuellement. Voir Créer des dossiers.

Afficher les dossiers

Pour voir vos dossiers, allez dans Centre d’analyse des menaces > Dossiers.

Page Dossiers.

Remarque

La première fois que vous afficherez cette page, il est possible que la liste soit vide. Retournez-y plus tard pour consulter les dossiers créés automatiquement ou pour créer vos propres dossiers. Retrouvez plus de renseignements sur les dossiers sur Résoudre des dossiers.

La liste Dossiers comprend les détails suivants pour chaque dossier.

Gravité

Niveau Couleur Description
Critique Rouge Compromission confirmée ou accès non autorisé aux systèmes.
Élevée Orange Détections qui indiquent une attaque ciblée qui pourrait engendrer une compromission ou un accès non autorisé.
Moyenne Jaune Détections qui pourraient ne pas être considérées comme malveillantes par elles-mêmes et qui ne sont pas connues pour être ciblées.
Basse Gris foncé Détections n’indiquant pas une mauvaise intégrité, une activité malveillante, une compromission ou un accès non autorisé.
Pour info Gris clair Niveau de gravité spécial généralement utilisé pour les contrôles d’intégrité initiaux.

État

Les dossiers gérés par Sophos peuvent afficher les états suivants :

  • En cours : Analyse des données en cours.
  • Action requise : Action requise de votre part. Nous avons informé vos contacts.
  • Résolu : Menace résolue.

Géré par

Vous pouvez voir qui gère le dossier :

  • Sophos : Notre équipe MDR enquête sur le dossier et y répond. Vous ne pouvez pas apporter de modifications, mais vous pouvez répondre à l’équipe MDR sur le dossier.
  • Auto : Vous devez mener une investigation sur le dossier et répondre.

Assigner des dossiers

Cette section concerne uniquement les dossiers générés automatiquement qui affichent « Auto » dans la colonne « Géré par ».

Vous pouvez assigner des dossiers à vos administrateurs pour analyse comme suit :

  1. Allez dans Centre d’analyse des menaces > Dossiers pour afficher la liste des dossiers.
  2. Cliquez sur l’ID de dossier situé à côté de son nom pour afficher ses détails.

  3. Dans la page Détails du dossier, l’onglet Aperçu est ouvert par défaut. Procédez comme suit :

    1. Dans Personne assignée, sélectionnez l’administrateur auquel assigner le dossier. Si l'administrateur souhaité n'est pas répertorié, cliquez sur Ajouter un utilisateur et ajoutez-le.

      Vous pouvez sélectionner la personne assignée ultérieurement si vous le souhaitez.

    2. Définissez le niveau de Gravité comme Critique, Haute, Moyenne, Basse ou Pour info.

    3. Faites passer l’État de Nouveau à En cours d’investigation, si vous êtes prêt à commencer.
    4. Dans Résumé, saisissez une description du dossier.

    Page de Détails du dossier.

    Retrouvez plus de conseils sur l’investigation d’un dossier sur Créer des dossiers et consultez « Mener une investigation sur un dossier ».

Remarque

Nous informons les administrateurs Sophos Central des nouveaux dossiers si vous configurez des notifications par email pour eux. Voir Notifications par email.

Afficher les détails d’un dossier

Pour consulter les détails d’un dossier et suivre son évolution, procédez comme suit :

  1. Sur la page Dossiers, cliquez sur l’ID de dossier à côté du dossier.

    Lien ID de dossier dans la liste des Dossiers.

  2. Sur la page Détails du dossier, l’en-tête indique la gravité, l’état et la personne chargée de l’investigation. Elle indique également la date de création et d’assignation du dossier, ainsi que celle de sa dernière mise à jour.

    Détails du dossier.

La page comprend également des onglets pour plus de détails.

Onglet Aperçu

L’onglet Aperçu est ouvert par défaut et affiche un résumé du dossier ainsi que les détails de la tactique MITRE et l’activité récente le concernant.

Onglet Aperçu des détails du dossier.

Résumé

Si vous êtes un client MDR, l’équipe MDR saisit un résumé de l’investigation. Si vous êtes un client XDR, c’est à vous de saisir la description du dossier.

Tactique MITRE

Tactiques MITRE répertorie toutes les tactiques et techniques MITRE ATT&CK que nous avons détectées.

Cliquez sur la flèche située à côté d’une tactique pour afficher les détails de la technique.

Cliquez sur le lien à côté de la tactique ou technique de votre choix, par exemple Accès aux identifiants, pour accéder aux détails la concernant sur le site Web de MITRE.

Détails de la tactique MITRE.

Activité récente

Activité récente affiche les modifications récentes apportées au dossier. Cliquez sur Voir tout pour accéder à l’onglet Historique.

Onglet Détections

L’onglet Détections liste toutes les détections liées au dossier en question. Celui-ci affiche les mêmes détails que la liste de la page Détections. Voir Détections.

Onglet Détections.

Onglet Carnet de notes

Si vous travaillez sur un dossier autogéré, utilisez l’onglet Carnet de notes pour conserver un enregistrement de vos investigations.

Onglet messages

Sur la page Détails du dossier, vous pouvez également voir les messages relatifs au dossier provenant de l’équipe Sophos MDR.

  • Vos messages sont envoyés dans une boîte de réception MDR. Nous y répondrons ultérieurement.
  • Les messages envoyés ou reçus sont copiés à tous vos contacts autorisés, pour qu’aucun message ne soit manqué.
  • Vous pouvez envoyer et recevoir des pièces jointes ainsi que des messages.

Onglet Historique

L’onglet Historique affiche l’historique de toutes les activités liées au dossier en question. Par exemple, les détections ajoutées, ou les changements d’état, de propriétaire, etc.

Résoudre des dossiers

Les dossiers sont basés sur les détections trouvées dans les données que vos appareils transmettent au Sophos Data Lake. Ces téléchargements sont généralement activés par défaut. Si vous n’obtenez pas de détections, assurez-vous tout d’abord de les avoir activées.

Pour vérifier que les données des produits Sophos sont bien téléchargées, consultez Téléchargements dans le Data Lake. Retrouvez plus de renseignements sur les données provenant de produits tiers sur À propos des intégrations MDR et XDR.