Graphiques de menace
Cette fonction est uniquement disponible pour les clients disposant d’une licence Intercept X, Intercept X Advanced with XDR ou Intercept X for Server with XDR.
Les graphiques de menace vous permettent d’analyser et de nettoyer les attaques de malwares.
Vous pouvez retrouver l’origine d’une attaque, la manière dont elle s’est propagée et les processus ou fichiers affectés. Vous renforcez de ce fait votre sécurité.
Si vous avez une licence Intercept X Advanced with XDR ou Intercept X Advanced for Server with XDR, vous pouvez également faire ce qui suit :
- Isoler les appareils affectés.
- Rechercher plus d’exemples sur la menace présente sur votre réseau.
- Nettoyer et bloquer la menace.
- Obtenir des renseignements avancés sur les menaces.
Nous vous créons un graphique de menace à chaque fois que vous détectez un malware nécessitant un examen approfondi.
Restriction
Cette fonctionnalité est uniquement disponible sur les appareils Windows et Mac.
Restriction
Les détections d’applications potentiellement indésirables par Deep Learning (ML PUAs) ne créent pas de graphiques de menace. Toutefois, vous pouvez utiliser la requête Chasse aux menaces dans Live Discover pour rechercher sur vos appareils le nom de fichier signalé ou la valeur de hachage SHA-256.
Comment analyser et nettoyer les menaces
Voici un aperçu sur la manière d’analyser un graphique. Retrouvez plus de renseignements sur toutes les options disponibles sur Analyse du graphique de menace.
Certaines options sont uniquement disponibles si vous utilisez une licence Intercept X Advanced with XDR ou Intercept X Advanced with XDR for Server. Nous avons marqué ces éléments « Nécessite XDR ».
-
Dans Centre d’analyse des menaces, cliquez sur Graphiques de menace, puis cliquez sur un graphique.
La page d’information du graphique s’affiche.
-
Recherchez le Résumé pour voir d’où l’attaque provient et quels fichiers pourraient être affectés.
-
Recherchez les Étapes suivantes suggérées. Vous pouvez changer la priorité du graphique et voir les processus à analyser.
S’il s’agit d’un graphique à priorité élevée, vous pouvez cliquer sur Isoler cet appareil (Nécessite XDR). Cette option isole l’appareil affecté du réseau. Vous pouvez toujours administrer l’appareil à partir de Sophos Central.
Remarque
Vous ne voyez pas cette option si l’appareil s’est déjà isolé automatiquement.
-
Dans l’onglet Analyse, un diagramme montre l’état d’avancement de l’attaque. Retrouvez plus de renseignements sur les éléments en cliquant dessus.
- Cliquez sur l’analyse détaillée ou sur un autre processus pour obtenir plus de renseignements.
-
Pour être sûr de disposer de l’analyse la plus récente de Sophos, cliquez sur Demande des renseignements les plus récents (avec XDR uniquement).
Cette action envoie les fichiers à Sophos pour analyse. Si nous avons des informations sur la réputation ou la prévalence d’un fichier, elles s’afficheront au bout de quelques minutes.
Restriction
Si vous avez XDR, vous verrez une analyse plus avancée. Voir Informations sur le processus. Vous pouvez aussi approfondir la détection et le nettoyage en suivant les étapes ci-dessous.
-
Cliquez sur Rechercher un élément (avec XDR uniquement) pour chercher plus d’exemples du fichier sur votre réseau.
Si la page Résultats de la recherche d’éléments montre d’autres exemples du fichier, cliquez sur Isoler l’appareil sur la même page pour isoler les appareils affectés.
-
Retournez sur la page d’informations du graphique de menace et consultez les dernières informations.
-
Si vous êtes sûr(e) que le ficher est malveillant, cliquez sur Nettoyer et bloquer (Nécessite XDR).
L’élément est nettoyé sur tous les appareils Windows où il a été trouvé et bloqué sur tous les appareils Windows. Voir Éléments bloqués.
-
Si vous êtes sûr(e) d’avoir éradiqué la menace, vous pouvez sortir l’appareil de l’isolement, si nécessaire. Dans Étapes suivantes suggérées, cliquez sur Sortir de l’isolement.
Si vous avez isolé plusieurs ordinateurs, allez dans Paramètres > Appareils isolés par l’administrateur pour les sortir de l’isolement. Voir Appareils isolés par l’administrateur.
-
Retournez dans la liste Graphiques de menace, sélectionnez le graphique et cliquez sur Fermer.
À propos de la liste de graphiques de menace
La page Graphiques de menace répertorie tous les graphiques de menace des 90 derniers jours.
Si vous disposez d’une licence MDR, la page est divisée en onglets pour les graphiques de menace qui ont été générés comme suit :
- Généré automatiquement par Sophos.
- Généré par un administrateur Sophos Central. Voir Graphiques de menace générés par l’administrateur.
- Généré par l’équipe Sophos MDR (Managed Detection and Response). Non utilisé actuellement.
Si vous ne disposez pas d’une licence MDR, la page n’est pas divisée en onglets.
Vous pouvez filtrer les graphiques par Appareil, État ou par Priorité.
Vous pouvez utiliser la fonction Recherche pour voir les graphiques d’un utilisateur, d’un appareil ou d’un nom de menace (par exemple, « Troj/Agent-AJWL ») particulier.
Pour chaque graphique, la liste affiche la plupart des informations suivantes. L’affichage des colonnes dépend de la division de la page en onglets :
- État : l’état est Nouveau par défaut. Vous pouvez la modifier lorsque vous consultez le graphique.
- Heure de création : l’heure et la date de création du graphique.
- Priorité : une priorité est définie lorsque le graphique est créé. Vous pouvez la modifier lorsque vous consultez le graphique.
- Nom : cliquez sur le nom de la menace pour voir les informations sur le graphique.
- Généré par : L’administrateur Sophos Central qui a généré le graphique de menace.
- Utilisateur : l’utilisateur qui a causé l’infection.
- Appareil : l’appareil qui a causé l’infection.
- Type d’appareil : Le type d’appareil, par exemple Ordinateur ou Serveur.
Vous pouvez cliquer sur toutes les colonnes de votre choix pour trier les graphiques.
Graphiques de menace générés par l’administrateur
Nous générons automatiquement un graphique des menaces chaque fois que nous détectons un malware nécessitant un examen approfondi. Toutefois, vous pouvez également générer un graphique de menace manuellement.
Vous pouvez générer un graphique à partir des résultats de la demande Live Discover. Cette option n’est pas disponible pour toutes les requêtes.
Les instructions suivantes sont fournies à titre d’exemple uniquement.
Pour créer un graphique de menaces, procédez comme suit :
- Allez dans Centre d’analyse des menaces > Live Discover.
- Dans Live Discover, ouvrez la section Demande (si elle n’est pas déjà ouverte).
- Sélectionnez une catégorie, par exemple, Fichiers.
- Cliquez sur la demande que vous souhaitez exécuter, par exemple Hachages de fichiers.
-
Configurez votre demande comme suit :
- Pour exécuter une demande de postes, sélectionnez les postes à interroger.
- Si vous avez sélectionné une demande Data Lake, sélectionnez la plage de temps à laquelle vous souhaitez réaliser la demande. Tous les endpoints sont toujours inclus.
-
Cliquez sur Exécuter la demande.
Les résultats sont affichés.
-
Dans les résultats, cliquez sur les trois points
situés à côté du Chemin d’accès du fichier.
- Sous Actions, cliquez sur Générer un graphique de menace.
Le graphique de menace est ajouté à l’onglet Généré par l’administrateur sur la page Graphiques de menace.
Pour plus d’informations sur l’utilisation de Live Discover, voir Live Discover.