Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=detection-rules

Règles de détection

Les règles de détection vous permettent de choisir comment nous gérons les détections de menaces.

Vous devez être un Super administrateur pour pouvoir utiliser cette fonction.

Remarque

Actuellement, vous ne pouvez utiliser des règles de détection que pour supprimer les détections indésirables.

Suppression des détections

Vous aurez peut-être besoin de supprimer les détections de type faux positif ou celles qui se reproduisent trop fréquemment. Vous pouvez créer des règles à cet effet.

Les règles permettent d’empêcher les détections correspondantes d’effectuer les opérations suivantes :

  • S'afficher dans la liste de la page Détections.
  • Ouvrir des dossiers d’investigation approfondie.

Les règles permettent de supprimer les dossiers XDR gérés par les clients. Elles ne peuvent pas supprimer les dossiers MDR.

Créer une règle de détection

Vous pouvez créer une règle à partir d’une détection existante comme suit :

  1. Allez dans Centre d’analyse des menaces > Détections.

  2. Cliquez sur les trois points Icône 3 points. à côté du nom de la détection voulue, et sélectionnez Ajouter une règle de détection.

    Menu Plus montrant « Ajouter une règle de détection ».

  3. Dans les paramètres de la règle de détection, procédez comme suit :

    1. Dans Détails de la règle, saisissez le nom et la description de la règle. La règle est « activée » par défaut.

    2. Dans Actions, sélectionnez l’action à appliquer à la détection.

      Actuellement, vous pouvez uniquement sélectionner Supprimer. Ceci empêche les détections d’être affichées dans la liste de détection et de générer des dossiers.

    Détails et actions des règles de détection.

  4. Dans Conditions, vous retrouverez les caractéristiques de la menace détectée, telles que sa gravité. Sélectionnez les caractéristiques à utiliser comme conditions pour déclencher la règle.

    Conditions pouvant déclencher une règle.

  5. Cliquez sur Enregistrer.

Une nouvelle règle de détection peut mettre 20 minutes à prendre effet.

Une règle s’applique uniquement aux détections se produisant après sa création.

Activer ou désactiver les règles de détection

Pour activer ou désactiver les règles, procédez comme suit :

  1. Allez dans Centre d’analyse des menaces > Règles de détection.
  2. Cliquez sur le nom de la règle de détection pour afficher ses détails.

  3. Dans Détails de la règle, cliquez sur le bouton à bascule pour activer ou désactiver la règle.

    Règle de détection activée.

Dupliquer et modifier les règles de détection

Vous ne pouvez pas modifier une règle existante.

Vous pouvez dupliquer une règle et y apporter des modifications comme suit :

  1. Allez dans Centre d’analyse des menaces > Règles de détection.
  2. Recherchez la règle et cliquez sur les trois points Icône 3 points. dans la colonne la plus à droite.

  3. Sélectionnez Dupliquer.

    Une nouvelle règle s’affiche avec les mêmes conditions et actions que celles que vous avez sélectionnées pour la règle d’origine.

  4. Saisissez le nom et la description de la nouvelle règle.

  5. Cochez ou décochez les cases à côté des conditions pour modifier la règle s’y appliquant.
  6. Cliquez sur Enregistrer.

Supprimer les règles de détection

Pour modifier les règles, procédez comme suit :

  1. Allez dans Centre d’analyse des menaces > Règles de détection.
  2. Recherchez la règle et cliquez sur les trois points Icône 3 points. dans la colonne la plus à droite.
  3. Sélectionnez Supprimer.

Afficher les détections supprimées

Par défaut, les détections que vous avez supprimées ne sont pas affichées dans la page Détections.

Pour afficher les détections supprimées, procédez comme suit :

  1. Allez dans Centre d’analyse des menaces > Détections.
  2. Cliquez sur Afficher les filtres au-dessus de la liste des détections.

  3. Sous Visibilité de la détection, décochez la case Masquer les détections supprimées.

    Filtre Masquer les détections supprimées.

  4. Cliquez sur Appliquer.