Résumé de l’ordinateur
L’onglet Résumé sur la page des informations d’un ordinateur vous permet de voir les informations suivantes :
Dans Appareils, cliquez sur Ordinateurs puis cliquez sur l’ordinateur pour lequel vous souhaitez afficher les détails.
Les sections sont affichées en fonction de votre licence et des fonctions que vous avez créées.
État d’intégrité de la sécurité
Dans le volet de gauche, vous pouvez voir l’état de sécurité et intervenir.
Remarque
Le volet de gauche est toujours affiché, même lorsque vous cliquez sur d’autres onglets sur cette page.
Une icône vous indique si des alertes de sécurité sont présentes sur l’ordinateur :
Actions que vous pouvez effectuer
Vous pouvez effectuer des actions sur l’ordinateur à l’aide des boutons et des liens dans le volet de gauche. Cliquez sur Plus d’actions pour afficher la liste étendue des actions.
Toutes les actions sont décrites ci-dessous.
Isoler ou sortir de l’isolement
Cette option est disponible si vous utilisez Intercept X Advanced with XDR.
Isoler isole l’ordinateur du réseau. Vous pourriez vouloir utiliser cette option si des menaces potentielles ont été détectées. Vous pouvez continuer à administrer l’ordinateur depuis Sophos Central et le sortir de l’isolement à tout moment.
Lorsqu’un ordinateur est isolé, le message d’état suivant apparait sous l’icône de l’ordinateur et l’état de sécurité.
- Le message Isolé par l’administrateur.
- Un lien nommé Sortir de l’isolement. Cliquez dessus pour reconnecter l’ordinateur au réseau.
Vous ne verrez pas l’option Isoler si l’ordinateur s’est déjà isolé automatiquement. Voir Isolement de l’appareil.
Protection adaptative contre les attaques
La Protection adaptative contre les attaques applique des niveaux de protection supplémentaires à l’ordinateur. Ces niveaux de protection sont conçus pour perturber les actions d’un cybercriminel.
Vous pouvez activer la protection adaptative contre les attaques si vous constatez une activité suspecte sur l’ordinateur et si vous souhaitez bénéficier d’une sécurité renforcée pendant votre investigation. Vous ne pouvez l’activer que pour une durée déterminée.
Cliquez sur Protection adaptative contre les attaques et sélectionnez une heure. La valeur par défaut est 24 heures. Le maximum est de 72 heures. Le menu indique maintenant que la Protection adaptative contre les attaques est activée. Deux nouvelles options s’affichent également :
- Prolonger la Protection adaptative contre les attaques. Cliquez sur cette option pour prolonger la durée d’activation de la protection adaptative contre les attaques. Par exemple, si vous l’avez activé pendant 24 heures, vous pouvez l’étendre à 48 ou 72 heures.
- Désactiver la Protection adaptative contre les attaques.
Remarque
La protection adaptative contre les attaques est également disponible dans les stratégies de protection contre les menaces. Si vous la sélectionnez dans une stratégie, elle s’active automatiquement lorsqu’une attaque est détectée sur un ordinateur. L’onglet Résumé de l’ordinateur indique si la protection est activée et vous permet de la prolonger ou de la désactiver.
Mettre à jour
Mettre à jour met à jour l’ordinateur avec la dernière version du logiciel Sophos. Voir L’ordinateur redémarre.
Supprimer
Supprimer supprime l’ordinateur de Sophos Central. Les alertes associées à l’ordinateur sont également supprimées.
Avertissement
Veuillez désinstaller le logiciel Sophos avant de supprimer un ordinateur.
Live Response
Live Response vous permet de vous connecter à l’ordinateur pour rechercher et résoudre d’éventuels problèmes de sécurité. Vous pouvez vous connecter à l’ordinateur même s’il est isolé.
Pour utiliser Live Response, vous devez remplir les conditions suivantes :
- Vous devez être un super administrateur ou avoir un rôle personnalisé qui inclut Démarrer les sessions Live Response sur les ordinateurs.
- Vous devez vous connecter avec l’authentification multifacteur.
Nous vous recommandons de vous connecter avec un Sophos ID, car d’autres méthodes, telles que la connexion fédérée Microsoft avec l’authentification multifacteur, ne vous permettront peut-être pas d’accéder à Live Response.
Avant de commencer, assurez-vous que Live Response est activé dans Mes produits > Paramètres généraux > Protection Endpoint > Live Response.
Pour démarrer Live Response, procédez comme suit :
-
Cliquez sur Live Response.
-
Dans Objectif de la session, donnez un résumé de votre session.
-
Cliquez sur Démarrer.
Une connexion à l’ordinateur s’ouvre dans un autre onglet du navigateur. L’onglet affiche une fenêtre de terminal.
Si le nouvel onglet ne s’ouvre pas, votre navigateur l’a peut-être bloqué. Configurez votre navigateur de façon à l’autoriser.
-
À l’invite de commande, saisissez les commandes pour effectuer votre analyse ou votre action de correction.
Utilisez les commandes DOS, UNIX ou Linux en fonction de l’ordinateur auquel vous vous êtes connecté.
-
Lorsque vous avez terminé, cliquez sur Terminer la session.
La connexion est terminée même si l’onglet reste ouvert. Vous pouvez naviguer dans Sophos Central à partir d’ici.
La connexion est également terminée dans les cas suivants :
- Vous fermez l’onglet.
- Vous actualisez l’onglet.
- Vous naviguez dans Sophos Central à partir d’ici.
- Il n’y a pas d’activité pendant 30 minutes.
Pour savoir quelles sessions Live Response ont démarré ou se sont terminées, consultez le journal d’audit Sophos Central.
Changer le groupe
Cliquez sur Plus d’actions pour voir Changer le groupe. vous permet d’ajouter l’ordinateur à un groupe, de le déplacer dans un autre groupe ou de le retirer du groupe dans lequel il se trouve actuellement.
Contrôler
Restriction
Si vous utilisez Sophos XDR Sensor, cette option n’est pas disponible.
Cliquez sur Plus d’actions pour afficher Contrôler. Contrôle la présence de menaces sur l’ordinateur.
Le contrôle peut durer quelques instants. Lorsqu’il est terminé, un événement « Contrôle terminé » et tous les autres événements de nettoyage réussis apparaissent sur la page Rapports > Journaux > Journaux généraux > Événements. Vous pouvez voir les alertes sur les échecs de l’opération de nettoyage sur la page Alertes.
Si l’ordinateur est hors ligne, il sera contrôlé dès qu’il sera remis en ligne. Si le contrôle d’un ordinateur est déjà en cours d’exécution, la nouvelle demande de contrôle est ignorée et le contrôle commencé auparavant continue.
Diagnostiquer
Cliquez sur Plus d’actions pour voir Diagnostiquer. Cette opération exécute Sophos Diagnostic Utility, qui collecte les journaux et les envoie au support Sophos. Retrouvez plus de renseignements sur Sophos Diagnostic Utility.
Créer un instantané d’analyse
Cliquez sur Plus d’actions pour voir Créer un instantané d’analyse. Vous pouvez créer un « instantané d’analyse » des données à partir de l’appareil. Il récupère les données dans un journal Sophos consignant l’activité de l’appareil et l’enregistre sur l’appareil. Retrouvez plus de renseignements sur les instantanés d’analyse approfondie sur Instantanés d’analyse.
Vous pouvez également l’enregistrer dans le compartiment Amazon Web Services (AWS) S3 que vous indiquez. Vous pouvez ensuite effectuer votre analyse.
Vous allez avoir besoin d’un convertisseur (fourni par nos soins) pour lire les données.
Remarque
Vous pouvez choisir la quantité de données que vous souhaitez dans les instantanés et l’emplacement de leur téléchargement. Pour ce faire, allez dans Mes produits > Paramètres généraux > Instantanés d’analyse. Ces options ne sont pas encore disponibles pour tous les clients.
Pour créer un instantané, procédez de la manière suivante :
-
Allez dans l’onglet Analyse d’un graphique de menace.
Vous pouvez également ouvrir l’onglet État sur la page des détails de l’appareil.
-
Cliquez sur Créer un instantané d’analyse.
-
Suivez les étapes de Télécharger un instantané d’analyse dans un compartiment S3 AWS.
Retrouvez les instantanés que vous avez générés dans %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\
.
Les instantanés générés à partir des détections se trouvent dans %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\
.
Remarque
Vous devez être un administrateur ayant accès au mot de passe de protection antialtération et exécuter une invite de commande en tant qu’administrateur pour accéder aux instantanés d’analyse enregistrés.
Réinitialiser l’état d’intégrité
Restriction
Cette option n’est pas disponible sur macOS.
Cliquez sur Plus d’actions pour voir Réinitialiser l’état d’intégrité. L’état d’intégrité est alors réinitialisé sur « Bon état d’intégrité ».
Une réinitialisation ne nettoie pas les menaces ni ne corrige les logiciels, mais efface les alertes dans Sophos Central et sur l’ordinateur.
Procédez à la réinitialisation si vous souhaitez effacer les anciens problèmes et vous concentrer sur les problèmes actuels ou futurs. Un ordinateur qui ne pose aucun problème affiche « Bon état d’intégrité » après la réinitialisation. Ainsi, toute protection actuelle ou future ou les problèmes causés par des malwares seront plus évidents.
La réinitialisation n’affecte pas la protection. Si l’ordinateur présente des problèmes nécessitant une intervention, il revient à un état d’intégrité incorrect.
Événements récents
Cette liste répertorie les événements récents ayant eu lieu sur l’ordinateur. Retrouvez une liste complète en cliquant sur l’onglet Événements.
Les icônes indiquent l’agent Sophos ayant signalé l’événement. Passez le curseur de la souris sur l’icône pour obtenir plus de renseignements.
Résumé d’activité de l’agent
L’agent Endpoint assure la protection contre les menaces et offre d’autres fonctions comme le contrôle de périphériques, le contrôle d’applications et le contrôle du Web.
Le résumé affiche les informations suivantes. Il inclut également des liens pour mettre à jour l’ordinateur, installer les produits ou changer le groupe dans lequel se trouve l’ordinateur, si nécessaire.
- Dernière activité : affiche la dernière activité ayant eu lieu.
- Dernière mise à jour de l’agent : indique si l’ordinateur est mis à jour.
- Produits assignés : affiche les produits Sophos installés (par exemple, Intercept X ou Device Encryption. Affiche la licence et le numéro de version de chaque produit installé. Les informations sur la version sont uniquement disponibles sur les ordinateurs Windows.
- Versions du composant installé : cliquez pour voir une liste complète des composants Sophos et leurs numéros de version. Cette fonctionnalité est uniquement disponible sur les ordinateurs Windows.
- Groupe : indique le groupe dans lequel se trouve l’ordinateur (s’il existe).
Chiffrement d’appareils
Le chiffrement d’appareils vous permet d’administrer le Chiffrement de lecteur BitLocker sur les ordinateurs Windows et le chiffrement FileVault sur les Macs.
Ce résumé affiche :
- Tous les volumes de l’ordinateur.
- L’identifiant du volume de chaque volume.
- L’état du chiffrement.
- Le type d’authentification.
- La méthode de chiffrement.
Pour les ordinateurs Windows, vous pouvez voir Chiffré depuis. Les informations s’affichent en fonction de l’appareil.
- Pour les ordinateurs déjà chiffrés avec Sophos Central Device Encryption, vous verrez la date et l’heure de la mise à niveau de l’ordinateur vers Sophos Central Device Encryption 2.1.
- Pour les ordinateurs chiffrés avec un autre produit de chiffrement, vous verrez la date et l’heure d’installation de Sophos Central Device Encryption.
- Pour les nouveaux ordinateurs chiffrés avec Sophos Central Encryption 2.1 (ou version supérieure), vous verrez la date et l’heure du chiffrement.
Les volumes peuvent être chiffrés à l’aide du chiffrement logiciel ou matériel. Le chiffrement d’appareils utilise toujours le chiffrement logiciel pour les nouveaux volumes, même si le lecteur prend en charge le chiffrement matériel.
Si un lecteur est chiffré à l’aide du chiffrement matériel, rien ne change.
Si un paramètre de stratégie de groupe BitLocker nécessite le chiffrement matériel, il est alors utilisé.
Récupérer la clé de secours
Vous pouvez également obtenir une clé de récupération à partir de cet emplacement. Vous pouvez utiliser cette méthode pour déverrouiller l’ordinateur si les utilisateurs oublient leurs codes d’accès de connexion. Voir Recherche de la clé de récupération de chiffrement.
Déclencher le changement de mot de passe/code confidentiel
Cette option demande à l’utilisateur de changer immédiatement son mot de passe ou code confidentiel BitLocker. Un message apparaît lorsque la demande a été envoyée avec succès.
Sur le terminal, il est demandé aux utilisateurs de définir un nouveau mot de passe ou code confidentiel BitLocker. Si les utilisateurs ferment la boîte de dialogue sans saisir un mot de passe ou un code confidentiel, cette boîte de dialogue réapparait après 30 secondes. Cette opération s’arrête lorsqu’ils saisissent un nouveau mot de passe ou un nouveau code confidentiel. Lorsque les utilisateurs ont fermé la boîte de dialogue 5 fois successivement sans changer de mot de passe ou de code confidentiel, une alerte est consignée dans le journal.
Protection antialtération
Cette vue indique si la protection antialtération est activée ou non.
Lorsque la protection antialtération est activée, il est impossible pour l’administrateur local d’effectuer les modifications suivantes sur son ordinateur. Il aura besoin du mot de passe :
- Modifier les paramètres du contrôle sur accès, de la détection des comportements suspects (HIPS), de la protection Web ou de Sophos Live Protection.
- Désactiver la protection antialtération.
- Désinstaller le logiciel de l’agent Sophos.
Cliquez sur Désactiver la protection antialtération pour gérer le mot de passe de la protection antialtération pour l’ordinateur. Si la protection antialtération est désactivée, nous vous conseillons de l’activer.
Cache de mise à jour et Relais de messages
Sophos Update Cache permet aux ordinateurs de récupérer les mises à jour Sophos Central à partir d’un cache sur un serveur de votre réseau, plutôt que de le faire directement depuis Sophos. Vous pouvez également désigner des serveurs qui communiqueront avec Sophos Central en tant que relais de messages.
Ceci indique qu’un cache a été créé pour l’ordinateur. Il indique que serveur est en cours d’utilisation.
Pare-feu Windows
Le pare-feu Windows est actif et administré sur l’ordinateur. Il indique également :
- Si la stratégie de groupe Windows est utilisée.
- Les profils réseau actifs.
- Si d’autres pare-feu enregistrés sont installés et actifs.