Aller au contenu

Dossiers

Les Dossiers remplace les Investigations. Les Investigations resteront disponibles pendant un certain temps pour vous permettre de terminer les investigations en cours.

La page Dossiers regroupe les événements suspects signalés par notre fonction Détections et vous aide (ou l’équipe MDR) à effectuer des recherches détaillées sur les événements en question et d’y répondre.

À propos des Dossiers

Nous créons automatiquement des dossiers. Ces informations portent sur les détections que nous vous recommandons d’examiner.

  • Nous créons un dossier lorsqu’il y a une détection à risque élevé (si celle-ci n’a pas été incluse dans un autre dossier le même jour).
  • Nous ajoutons des détections ultérieures au dossier si elles partagent le même type de détection.

Les dossiers peuvent être basés sur les détections Sophos XDR ou sur les détections Sophos MDR. Les dossiers XDR peuvent être modifiés, mais les dossiers MDR sont en lecture seule.

Vous pouvez également créer vos propres dossiers. Voir Créer des dossiers.

Activer les dossiers

Les Détections et les Dossiers sont basés sur les données dans Sophos Data Lake.

Si aucune détection ne vous parvient actuellement, assurez-vous d’avoir activé le téléchargement de données de sécurité vers le Data Lake.

Ces données peuvent provenir aussi bien d’une solution Sophos que d’un logiciel tiers.

Retrouvez plus de renseignements sur les données provenant des produits Sophos sur Téléchargements dans le Data Lake. Retrouvez plus de renseignements sur les données provenant de produits tiers sur Intégrations.

Afficher les dossiers

Pour voir vos dossiers, procédez comme suit :

  1. Allez dans Centre d’analyse des menaces > Dossiers.

    Page Dossiers.

    Remarque

    La première fois que vous afficherez cette page, il est possible que la liste soit vide. Retournez-y plus tard pour consulter les dossiers créés automatiquement ou pour créer vos propres dossiers.

  2. Cliquez sur l’ID de dossier situé à côté de son nom pour afficher ses détails.

    Lien ID de dossier dans la liste des Dossiers.

La page Détails du dossier s’affiche. Retrouvez plus de renseignements sur Afficher les détails d’un dossier.

Détails du dossier.

Modifier et assigner des dossiers

Seuls les dossiers XDR peuvent être modifiés ou assignés par vous. C’est notre équipe MDR qui traite les dossiers MDR.

Vous pouvez modifier des dossiers et les assigner à des administrateurs pour analyse.

Les super administrateurs Partenaires et les super administrateurs Entreprise ne peuvent pas modifier, ni assigner des dossiers.

Pour modifier et assigner des dossiers, procédez comme suit :

  1. Allez dans Centre d’analyse des menaces > Dossiers pour afficher la liste des dossiers.
  2. Cliquez sur l’ID de dossier situé à côté de son nom pour afficher ses détails.
  3. Dans la page Détails du dossier, l’onglet Aperçu est ouvert par défaut. Procédez comme suit :

    1. Définissez le niveau de Priorité comme Critique, Haute, Moyenne, Basse ou Pour info.
    2. Faites passer l’État de Nouveau à En cours d’investigation, si vous êtes prêt à commencer.
    3. Dans Propriétaire, sélectionnez l’administrateur auquel assigner le dossier.
    4. Dans Résumé, saisissez une description du dossier.

    Page de Détails du dossier.

Nous ajoutons les détections associées au dossier au fur et à mesure qu’elles surviennent.

Remarque

Nous informons les administrateurs Sophos Central des nouveaux dossiers si vous configurez des notifications par email pour eux. Voir Notifications par email.

Afficher les détails d’un dossier

Pour consulter tous les détails d’un dossier, cliquez sur l’ID du dossier situé à côté de son nom.

La page Détails du dossier indique le niveau de gravité, l’état et le propriétaire du dossier. Elle indique également la date de création et d’assignation du dossier, ainsi que celle de sa dernière mise à jour.

La page comprend également des onglets pour plus de détails.

En-tête Détails du dossier.

Onglet Aperçu

L’onglet Aperçu est ouvert par défaut et affiche un résumé du dossier ainsi que les détails de la tactique MITRE et l’activité récente le concernant.

Onglet Aperçu des détails du dossier.

Résumé

Si vous êtes un client XDR, saisissez la description de votre dossier. Si vous êtes un client MDR, l’équipe MDR saisit la description à votre place.

Tactique MITRE

Tactiques MITRE répertorie toutes les tactiques et techniques MITRE ATT&CK que nous avons détectées.

Cliquez sur la flèche située à côté d’une tactique pour afficher les détails de la technique.

Cliquez sur le lien à côté de la tactique ou technique de votre choix, par exemple Accès aux identifiants, pour accéder aux détails la concernant sur le site Web de MITRE.

Détails de la tactique MITRE.

Activité récente

Activité récente affiche les modifications récentes apportées au dossier. Cliquez sur Voir tout pour accéder à l’onglet Historique.

Onglet Détections

L’onglet Détections liste toutes les détections liées au dossier en question. Celui-ci affiche les mêmes détails que la liste de la page Détections. Voir Détections.

Onglet Détections.

Onglet Carnet de notes

Utilisez l’onglet Carnet de notes pour conserver un enregistrement de vos investigations.

Onglet Historique

L’onglet Historique affiche l’historique de toutes les activités liées au dossier en question. Par exemple, les détections ajoutées, ou les changements d’état, de propriétaire, etc.

Mener une investigation sur les dossiers

Dans Détails du dossier, utilisez l’onglet Carnet de notes pour enregistrer les résultats de votre investigation dans le dossier. Nous vous suggérons de suivre les étapes suivantes :

  • Décidez si vous voulez mener une investigation ou la fermer.
  • Vérifiez les connexions externes et internes utilisées dans l’événement.
  • Vérifiez quels appareils et utilisateurs ont été touchés.
  • Découvrez quelles tactiques et techniques d’attaque ont été utilisées. Vous les trouverez dans les Détails de la détection.
  • Utilisez les options de pivot dans les détections pour exécuter des demandes sur les données ou consulter des sites Web d’analyse des menaces tiers. Voir Utiliser des demandes pivots, des enrichissements et des actions.

Répondre aux dossiers

Vous pouvez résoudre les problèmes détectés par des produits tiers.

Pour utiliser cette fonction, configurez une intégration Action de réponse avec le produit tiers que vous souhaitez utiliser. Allez dans Intégrations et cliquez sur votre produit.

Notre exemple montre comment utiliser une Action de réponse pour suspendre un utilisateur compromis. Pour agir, procédez comme suit :

  1. Cliquez sur l’ID de dossier situé à côté de son nom pour afficher ses détails.
  2. Sélectionnez l’onglet Répondre.
  3. Recherchez l’action qui vous intéresse. Cliquez sur le type de produit Identité pour voir les actions disponibles pour ce type.

    Onglet Répondre affichant les actions d’Identité.

  4. Cliquez sur l’action Suspendre l’utilisateur.

  5. Dans la page des détails de l’action, saisissez les informations requises et la raison de l’action.

    Boîte de dialogue Suspendre l’utilisateur.

  6. Cliquez sur Exécuter.

Fermer ou supprimer des dossiers

Pour fermer un dossier, définissez son état comme Fermé. Le dossier reste sur la liste pendant 30 jours, puis nous le supprimons.

Les super administrateurs Partenaires et les super administrateurs Entreprise ne peuvent pas fermer ou supprimer des dossiers.

Pour supprimer un dossier de la liste, sélectionnez-le et cliquez sur Retirer les dossiers.

Liste des dossiers avec des dossiers sélectionnés pour suppression.