Aller au contenu

Détections

Les détections vous indiquent une activité nécessitant potentiellement une investigation.

Pour voir les détections, allez dans Centre d’analyse des menaces > Détections.

Les détections identifient une activité inhabituelle ou suspecte sur vos appareils, mais qui n’a pas été bloquée. Elles sont distinctes des événements pour lesquels nous détectons et bloquons les activités malveillantes.

Nous créons des détections basées sur les données que les appareils téléchargent dans le Sophos Data Lake.

Nous vérifions ces données par rapport aux règles de classification des menaces. Lorsque nous trouvons une correspondance celle-ci est indiquée par une détection.

Cette page vous indique comment utiliser les détections pour rechercher des menaces potentielles.

Remarque

Les Investigations peuvent regrouper automatiquement les détections associées pour une analyse plus approfondie. Voir Investigations.

Configurer les détections

Si vous n’avez pas encore de détections, vous devez autoriser vos appareils à télécharger des données vers le Sophos Data Lake, afin que nous puissions les utiliser. Procédez de la manière suivante :

  1. Allez dans Paramètres généraux.
  2. Sous Endpoint Protection ou Server Protection, cliquez sur Téléchargements du Data Lake. Activez les téléchargements.

    Vous devez activer les téléchargements pour les ordinateurs et les serveurs séparément.

Nous allons maintenant commencer à afficher les détections.

Retrouvez plus de renseignements sur les téléchargements de données sur Téléchargements dans le Data Lake.

Afficher les détails de la détection

Pour voir les détections, allez dans Centre d’analyse des menaces > Détections.

Nous regroupons les détections en fonction de la règle à laquelle elles correspondent et de la date. La liste de détection affiche les éléments suivants :

  • Risque. Les détections sont classées sur une échelle de risque de 1 (le plus bas) à 10 (le plus élevé). Les paramètres par défaut affichent uniquement les détections avec un score de 7 ou plus. Le score vous permet d’établir l’ordre de priorité des investigations.
  • Règle de classification. Nom de la règle correspondant à l’événement.
  • Nombre. Nombre de correspondances trouvées au cours du jour donné.
  • Liste des appareils. L’appareil sur lequel la correspondance a été identifiée pour la dernière fois et le nombre d’autres appareils sur lesquels la même détection a été trouvée ce jour-là.
  • Première activité et Dernière activité. La première et la dernière détection basées sur une règle donnée, identifiées ce jour-là.
  • Description. Description de la règle.
  • Mitre ATT&CK. Les tactiques et techniques Mitre ATT&CK correspondantes.

Retrouvez plus de renseignements sur une détection (par exemple ; l’appareil, les utilisateurs et les processus impliqués) en cliquant sur la flèche à droite.

Liste de détections

Rechercher les menaces potentielles

Vous pouvez utiliser détections pour identifier des signes de menaces potentielles que d’autres fonctionnalités de Sophos n’ont pas bloqué en examinant les appareils, processus, utilisateurs et événements. Par exemple :

  • Commandes inhabituelles indiquant des tentatives d’infiltration de vos systèmes, de contournement de la sécurité ou de détournement des codes d’accès.
  • Alertes de malwares Sophos, telles que les événements de prévention dynamique du shellcode, qui indiquent qu’un hacker a peut-être réussi à s’infiltrer sur un appareil.
  • Les détections à l’exécution (runtime) Linux, telles que les évasions des conteneurs, qui indiquent qu’un cybercriminel élève les privilèges d’accès au conteneur pour se déplacer vers l’hôte conteneur.

La plupart des détections sont liées à la structure MITRE ATT&CK, où vous trouverez plus d’informations sur la tactique et la technique spécifiques. Voir https://attack.mitre.org/

Vous pouvez également rechercher les signes d’une menace suspectée ou connue que Sophos a trouvée ailleurs, des logiciels obsolètes ou des navigateurs non sécurisés.

Utiliser des demandes pivots, des enrichissements et des actions

Vous pouvez retrouver plus de renseignements sur les détections en utilisant des demandes pivot.

Une demande pivot vous permet de sélectionner une donnée importante dans une détection et de l’utiliser pour formuler une nouvelle demande.

Si vous ouvrez tous les détails d’une détection, vous verrez une icône Points de suspension en regard de certains éléments. Capture d’écran de l’icône Points de suspension

Cliquez sur l’icône pour afficher les actions que vous pouvez effectuer. Ces données dépendent du type de données.

  • Demandes. Vous pouvez exécuter une demande en fonction des données sélectionnées. Les demandes Live Discover recherchent les données sur vos appareils. Les demandes Data Lake recherchent les données que les appareils téléchargent dans le Sophos Data Lake.
  • Enrichissements. Ces sites Web tiers ouverts, tels que VirusTotal ou IP Abuse DB, permettent de rechercher des informations sur une menace potentielle que vous avez trouvée.
  • Actions. Celles-ci offrent des fonctions de détection ou de correction supplémentaires. Par exemple, vous pouvez contrôler un appareil ou démarrer Sophos Live Response pour accéder à un appareil et mener une investigation dessus.

Dans l’exemple affiché, si vous cliquez sur l’icône en regard de l’adresse IP, vous pouvez exécuter des demandes basées sur cette adresse IP ou rechercher des informations tierces sur les risques associés.

Menu de pivotement de détections

Comment obtenir de l’aide

Nous proposons un service Managed Threat Response qui peut surveiller votre environnement pour détecter toute activité malveillante et répondre en votre nom 24h/24, 7j/7.

Voir https://www.sophos.com/fr-fr/products/managed-threat-response.aspx.

Remarque

Si vous pensez que votre sécurité a été enfreinte et que vous avez besoin d’aide immédiatement, contactez notre équipe d’intervention rapide. Ceci est un service payant.

Voir https://www.sophos.com/fr-fr/products/managed-threat-response/rapid-response.aspx.

Haut de page