Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=threat-lineage

Lignée des menaces

Comment accéder à cette fonction ?

  • Les clients MDR peuvent utiliser cette fonction dès maintenant.
  • Les clients XDR devront rejoindre le programme d’accès anticipé (EAP) des Nouvelles fonctions XDR pour pouvoir utiliser cette option. Pour commencer, cliquez sur votre profil, puis sur Programmes d’accès anticipé.

Remarque

Si vous souscrivez uniquement à MDR Essentials for Server ou MDR Complete for Server, rejoignez le programme EAP des Nouvelles fonctions de protection pour les serveurs pour accéder immédiatement à la fonction de Lignée des menaces. Sinon, vous ne pourrez pas l'utiliser avant avril 2025.

À propos de la lignée des menaces

La « lignée » montre sous forme graphique les processus qui ont mené à la détection d’une menace et l'ont déclenchée. Ceci peut vous aider à comprendre comment la menace s'est développée, les points d’impact dans votre environnement et les conséquences encourues.

Afficher la lignée d’une menace

Vous pouvez accéder au graphique de lignée à partir de la page de détails d’une détection.

  1. Allez dans Centre d’analyse des menaces > Détections.

    Vous pouvez également accéder à Centre d’analyse des menaces > Dossiers et sélectionner l’onglet Détections.

  2. Recherchez la détection souhaitée et cliquez n'importe où sur sa ligne dans le tableau.

    Le volet Détails de la détection s’affiche à droite de l’écran.

  3. Sélectionnez l'onglet Lignée dans le volet de détails.

    Si vous ne voyez pas d’onglet Lignée, cela signifie que la fonction n’est pas prise en charge par cette détection.

    Volet Détails de la détection avec l’onglet Lignée.

  4. Cliquez sur Ouvrir le Graphique de lignée.

    La page à onglets Lignée.

  5. Si aucun graphique n'est encore disponible, cliquez sur Générer.

    Remarque

    Si une détection génère un « dossier », un graphique est généré automatiquement et se tient à votre disposition ici. Retrouvez plus de renseignements sur les dossiers sur Dossiers.

    Page de lignage avec le bouton « Générer ».

Vous trouverez à cet endroit un graphique des processus qui ont déclenché la détection et des processus qui l’ont causée.

Graphique de lignée.

Le graphique de lignée reste disponible pendant 7 jours. Vous pouvez toutefois le générer à tout moment tant que les données sont conservées par Sophos XDR Data Lake, soit généralement pendant une période de 90 jours.

Signification de la lignée des menaces

Le graphique de lignée des menaces représente les processus et les activités au moyen des icônes ci-dessous :

Icône Processus Description
Hexagone transparent. Processus Un processus qui a mené à la détection
Hexagone rouge. Processus impacté Processus suspect ou potentiellement malveillant
Éclair rouge. Détection déclenchée Processus qui a déclenché une détection
Panneau d’avertissement rouge. Activité clé Actions ayant influencé la progression de la menace ou le résultat final

Pour afficher cette liste d’icônes et le numéro de chaque type de processus dans le graphique, cliquez sur l’icône Légende dans le coin supérieur droit de la page.

Icône légende.

Le graphique peut également afficher des processus et activités ayant résulté d’un processus figurant dans la lignée directe de la menace, même si eux-mêmes n’en font pas partie. Ceux-ci bifurquent du schéma principal, comme illustré ici. Retrouvez plus de renseignements à ce sujet surAfficher plus de processus dans la lignée.

Graphique affichant les processus connexes causés par un processus dans la lignée.

Afficher plus de détails sur un processus donné

Vous pouvez afficher des détails plus complets comme suit :

  • Survoler un processus. Cette action permet d’afficher les détails de base et la ligne de commande.

    Processus avec affichage des détails survolés.

  • Utiliser les options de pivot. Cliquez sur les trois points Icône 3 points. à côté du processus. Sélectionnez ensuite les requêtes à exécuter dans Live Discover.

    Processus avec les options de pivot affichés.

  • Cliquer sur un processus. Les onglets Infos et Activités s'ouvrent sous le graphique.

    L'onglet Info affiche les détails du processus et la ligne de commande. Cliquez sur les trois points Icône 3 points. situés à côté d’un détail pour accéder aux mêmes options de pivot disponibles dans le graphique.

    Si vous disposez de fonctions IA Sophos, cliquez sur l’icône IA Icône AI. pour générer une analyse de la ligne de commande.

    Retrouvez plus de renseignements sur l’onglet Activités sur Voir les activités associées à un processus.

    Onglet Infos.

Voir les activités associées à un processus

Vous pouvez voir toutes les activités associées à un processus. Ces activités incluent d’autres processus connexes qui ne sont pas dans le graphique de lignée.

Pour afficher les activités, procédez comme suit :

  1. Cliquez sur un processus dans le graphique pour ouvrir ses détails.

  2. Sélectionnez l’onglet Activités.

    • Si la lignée a été générée automatiquement et que vous recherchez un processus impacté, l'onglet correspondant affiche déjà les activités.
    • Si vous avez généré la lignée manuellement, l'onglet sera initialement vide. Vous devez charger les données comme décrit à l'étape suivante.

    L’onglet « Activités ».

  3. Cliquez sur Enrichir à droite de l'onglet pour charger les données.

    La première fois que vous cliquez dessus, les trois premiers jours de données, partant du début du processus, s’affichent. Chaque fois que vous cliquez sur Enrichir, trois jours supplémentaires de données sont ajoutés et d’autres activités sont répertoriées.

    La date et l'heure de la Détection initiale sont indiquées dans une fenêtre contextuelle s’affichant au début de la chronologie Enrichir.

Vous pouvez changer les informations affichées comme suit :

  • Développer une ligne donnée pour afficher les données brutes.
  • Filtrer les activités par type, action, etc.

Vous pouvez également ajouter des processus de cette liste au graphique de lignée. Voir Afficher plus de processus dans la lignée.

Afficher plus de processus dans la lignée

L'onglet Activités dans les détails du processus affiche des processus connexes supplémentaires qui ne sont pas dans la lignée directe des menaces.

Vous pouvez ajouter ces processus au graphique de lignage pour étoffer votre enquête sur la menace donnée.

  1. Cliquez sur un processus et ouvrez son onglet Activités.
  2. Dans la liste des activités, recherchez un processus connexe que vous souhaitez afficher.

  3. Cliquez sur l'icône Œil située à côté du processus pour l'afficher. Cliquez à nouveau sur l'icône pour masquer le processus.

    L'icône Œil.

Exporter la lignée

Pour exporter les données de lignage vers un fichier CSV, cliquez sur l'icône Exporter.

Icône Exporter.

Si une erreur se produit pendant l'exportation, sélectionnez l'un des processus dans le graphique et tentez l'exportation à partir de là.

Rechercher la lignée

Pour rechercher la lignée, saisissez un terme dans la barre de recherche en haut à gauche de la page.

Les résultats correspondants sont affichés dans les onglets Infos, Activités et Résultats correspondants en bas de la page.