Aller au contenu

Réponse active aux menaces

La Réponse active aux menaces(ATR) fournit des réponses déclenchées par API permettant d’isoler automatiquement les hôtes malveillants presents sur le réseau. Ceci permet d’étendre la veille sur les menaces depuis Sophos MDR, Sophos XDR, Sophos NDR et depuis les solutions tierces vers la couche d’accès, pour intercepter rapidement les mouvements latéraux via tout hôte filaire, sans fil, géré ou non.

Les points d’accès Sophos AP6 enregistrés dans Sophos Central avec une licence de support et de services valide peuvent accéder à la Réponse active aux menaces. L’API ATR ingère les données des sources de menaces, permettant aux analystes MDR et aux administrateurs réseau d’isoler rapidement les hôtes malveillants sur le réseau.

Flux de menaces MDR/XDR

Les listes de flux de menaces MDR/XDR répertorient les hôtes isolés sur tous les points d’accès AP6 et Sophos Switch gérés dans Sophos Central.

Vous pouvez cliquer sur le bouton radio situé à côté d’AP6 pour activer ou désactiver la Réponse active aux menaces pour les points d’accès AP6.

Remarque

La réponse aux menaces actives (ATR) remplace tout Filtrage MAC configuré sur les SSID du point d’accès. Vous ne pouvez pas utiliser la Liste autorisée pour autoriser les adresses MAC bloquées par la réponse aux menaces actives.

Vous pouvez cliquer sur le bouton radio du Switch pour activer ou désactiver la Réponse active aux menaces pour les switchs Sophos.

Appareils isolés

Vous pouvez voir les informations sur les appareils connectés au point d’accès.

La colonne Adresse MAC répertorie les adresses MAC des appareils.

Les colonnes Switch et AP6 indiquent l’état des appareils comme suit :

  • Une coche verte Icône coche verte. indique qu’un appareil est isolé.
  • Un tiret Icône tiret. indique qu’un appareil n’est pas isolé.

API de Réponse active aux menaces

Les API de Réponse active aux menaces sont disponibles sur Sophos Central. Les API permettent aux intégrations et flux de travail tiers d’isoler rapidement les activités malveillantes au niveau de la couche d’accès réseau. Retrouvez plus de renseignements sur l’accès aux API de Réponse active aux menaces et leur utilisation à partir de Sophos Central aux liens suivants :