Aller au contenu

Résumé de l’ordinateur

L’onglet Résumé sur la page des informations d’un ordinateur vous permet de voir les informations suivantes :

Dans Appareils, cliquez sur Ordinateurs puis cliquez sur l’ordinateur pour lequel vous souhaitez afficher les détails.

Les sections sont affichées en fonction de votre licence et des fonctions que vous avez créées.

État d’intégrité de la sécurité

Dans le volet de gauche, vous pouvez voir l’état de sécurité et intervenir.

Remarque

Le volet de gauche est toujours affiché, même lorsque vous cliquez sur d’autres onglets sur cette page.

Une icône vous indique si des alertes de sécurité sont présentes sur l’ordinateur :

Icône Description
Coche verte. Coche verte en cas d’alertes de priorité basse ou s’il n’y a aucune alerte.
Panneau d’avertissement orange. Panneau d’avertissement orange en cas d’alertes de priorité moyenne.
Panneau d’avertissement rouge. Panneau d’avertissement rouge en cas d’alertes de priorité élevée.

Actions que vous pouvez effectuer

Vous pouvez effectuer des actions sur l’ordinateur à l’aide des boutons et des liens dans le volet de gauche. Cliquez sur Plus d’actions pour afficher la liste étendue des actions.

Toutes les actions sont décrites ci-dessous.

Isoler ou sortir de l’isolement

Cette option est disponible si vous utilisez Intercept X Advanced with XDR.

Isoler isole l’ordinateur du réseau. Vous pourriez vouloir utiliser cette option si des menaces potentielles ont été détectées. Vous pouvez continuer à administrer l’ordinateur depuis Sophos Central et le sortir de l’isolement à tout moment.

Lorsqu’un ordinateur est isolé, les informations suivantes apparaissent sous l’icône de l’ordinateur et l’état de sécurité.

  • Le message Isolé par l’administrateur.
  • Un lien nommé Sortir de l’isolement. Cliquez dessus pour reconnecter l’ordinateur au réseau.

Remarque

Vous ne voyez pas l’option Isoler si l’ordinateur s’est déjà isolé automatiquement. Voir Isolement de l’appareil.

Mettre à jour

Mettre à jour met à jour l’ordinateur avec la dernière version du logiciel Sophos. Voir L’ordinateur redémarre.

Supprimer

Supprimer supprime l’ordinateur de Sophos Central. Les alertes associées à l’ordinateur sont également supprimées.

Avertissement

Veuillez désinstaller le logiciel Sophos avant de supprimer un ordinateur.

Live Response

Live Response vous permet de vous connecter à l’ordinateur pour rechercher et résoudre d’éventuels problèmes de sécurité. Vous pouvez vous connecter à l’ordinateur même s’il est isolé.

Pour utiliser Live Response, vous devez remplir les conditions suivantes :

  • Vous devez être un super administrateur ou avoir un rôle personnalisé qui inclut Démarrer les sessions Live Response sur les ordinateurs.
  • Vous devez vous connecter avec l’authentification multifacteur.

Nous vous recommandons de vous connecter avec un Sophos ID, car d’autres méthodes, telles que la connexion fédérée Microsoft avec l’authentification multifacteur, ne vous permettront peut-être pas d’accéder à Live Response.

Avant de commencer, assurez-vous que Live Response est activé dans Mes produits > Paramètres généraux > Protection Endpoint > Live Response.

Pour démarrer Live Response, procédez comme suit :

  1. Cliquez sur Live Response.

  2. Dans Objectif de la session, donnez un résumé de votre session.

  3. Cliquez sur Démarrer.

    Une connexion à l’ordinateur s’ouvre dans un autre onglet du navigateur. L’onglet affiche une fenêtre de terminal.

    Si le nouvel onglet ne s’ouvre pas, votre navigateur l’a peut-être bloqué. Configurez votre navigateur de façon à l’autoriser.

  4. À l’invite de commande, saisissez les commandes pour effectuer votre analyse ou votre action de correction.

    Utilisez les commandes DOS, UNIX ou Linux en fonction de l’ordinateur auquel vous vous êtes connecté.

  5. Lorsque vous avez terminé, cliquez sur Terminer la session.

    La connexion est terminée même si l’onglet reste ouvert. Vous pouvez naviguer dans Sophos Central à partir d’ici.

    La connexion est également terminée dans les cas suivants :

    • Vous fermez l’onglet.
    • Vous actualisez l’onglet.
    • Vous naviguez dans Sophos Central à partir d’ici.
    • Il n’y a pas d’activité pendant 30 minutes.

Pour savoir quelles sessions Live Response ont démarré ou se sont terminées, consultez le journal d’audit Sophos Central.

Changer le groupe

Cliquez sur Plus d’actions pour voir Changer le groupe. vous permet d’ajouter l’ordinateur à un groupe, de le déplacer dans un autre groupe ou de le retirer du groupe dans lequel il se trouve actuellement.

Contrôler

Restriction

Si vous utilisez Sophos XDR Sensor, cette option n’est pas disponible.

Cliquez sur Plus d’actions pour afficher Contrôler. Contrôle la présence de menaces sur l’ordinateur.

Le contrôle peut durer quelques instants. Lorsqu’il est terminé, un événement « Contrôle terminé » et tous les autres événements de nettoyage réussis apparaissent sur la page Rapports > Journaux > Journaux généraux > Événements. Vous pouvez voir les alertes sur les échecs de l’opération de nettoyage sur la page Alertes.

Si l’ordinateur est hors ligne, il sera contrôlé dès qu’il sera remis en ligne. Si le contrôle d’un ordinateur est déjà en cours d’exécution, la nouvelle demande de contrôle est ignorée et le contrôle commencé auparavant continue.

Diagnostiquer

Cliquez sur Plus d’actions pour voir Diagnostiquer. Cette opération exécute Sophos Diagnostic Utility, qui collecte les journaux et les envoie au support Sophos. Retrouvez plus de renseignements sur Sophos Diagnostic Utility.

Créer un instantané d’analyse

Cliquez sur Plus d’actions pour voir Créer un instantané d’analyse. Vous pouvez créer un « instantané d’analyse » des données à partir de l’appareil. Il récupère les données dans un journal Sophos consignant l’activité de l’appareil et l’enregistre sur l’appareil. Retrouvez plus de renseignements sur les instantanés d’analyse approfondie sur Instantanés d’analyse.

Vous pouvez également l’enregistrer dans le compartiment Amazon Web Services (AWS) S3 que vous indiquez. Vous pouvez ensuite effectuer votre analyse.

Vous allez avoir besoin d’un convertisseur (fourni par nos soins) pour lire les données.

Remarque

Vous pouvez choisir la quantité de données que vous souhaitez dans les instantanés et l’emplacement de leur téléchargement. Pour ce faire, allez dans Mes produits > Paramètres généraux > Instantanés d’analyse. Ces options ne sont pas encore disponibles pour tous les clients.

Pour créer un instantané, procédez de la manière suivante :

  1. Allez dans l’onglet Analyse d’un graphique de menace.

    Vous pouvez également ouvrir l’onglet État sur la page des détails de l’appareil.

  2. Cliquez sur Créer un instantané d’analyse.

  3. Suivez les étapes de Télécharger un instantané d’analyse dans un compartiment S3 AWS.

Retrouvez les instantanés que vous avez générés dans %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\.

Les instantanés générés à partir des détections se trouvent dans %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\.

Remarque

Vous devez être un administrateur ayant accès au mot de passe de protection antialtération et exécuter une invite de commande en tant qu’administrateur pour accéder aux instantanés d’analyse enregistrés.

Réinitialiser l’état d’intégrité

Restriction

Cette option n’est pas disponible sur macOS.

Cliquez sur Plus d’actions pour voir Réinitialiser l’état d’intégrité. L’état d’intégrité est alors réinitialisé sur « Bon état d’intégrité ».

Une réinitialisation ne nettoie pas les menaces ni ne corrige les logiciels, mais efface les alertes dans Sophos Central et sur l’ordinateur.

Procédez à la réinitialisation si vous souhaitez effacer les anciens problèmes et vous concentrer sur les problèmes actuels ou futurs. Un ordinateur qui ne pose aucun problème affiche « Bon état d’intégrité » après la réinitialisation. Ainsi, toute protection actuelle ou future ou les problèmes causés par des malwares seront plus évidents.

La réinitialisation n’affecte pas la protection. Si l’ordinateur présente des problèmes nécessitant une intervention, il revient à un état d’intégrité incorrect.

Événements récents

Cette liste répertorie les événements récents ayant eu lieu sur l’ordinateur. Retrouvez une liste complète en cliquant sur l’onglet Événements.

Les icônes indiquent l’agent Sophos ayant signalé l’événement. Passez le curseur de la souris sur l’icône pour obtenir plus de renseignements.

Résumé d’activité de l’agent

L’agent Endpoint assure la protection contre les menaces et offre d’autres fonctions comme le contrôle de périphériques, le contrôle d’applications et le contrôle du Web.

Le résumé affiche les informations suivantes. Il inclut également des liens pour mettre à jour l’ordinateur, installer les produits ou changer le groupe dans lequel se trouve l’ordinateur, si nécessaire.

  • Dernière activité : affiche la dernière activité ayant eu lieu.
  • Dernière mise à jour de l’agent : indique si l’ordinateur est mis à jour.
  • Produits assignés : affiche les produits Sophos installés (par exemple, Intercept X ou Device Encryption. Affiche la licence et le numéro de version de chaque produit installé. Les informations sur la version sont uniquement disponibles sur les ordinateurs Windows.
  • Versions du composant installé : cliquez pour voir une liste complète des composants Sophos et leurs numéros de version. Cette fonctionnalité est uniquement disponible sur les ordinateurs Windows.
  • Groupe : indique le groupe dans lequel se trouve l’ordinateur (s’il existe).

Chiffrement d’appareils

Le chiffrement d’appareils vous permet d’administrer le Chiffrement de lecteur BitLocker sur les ordinateurs Windows et le chiffrement FileVault sur les Macs.

Ce résumé affiche :

  • Tous les volumes de l’ordinateur.
  • L’identifiant du volume de chaque volume.
  • L’état du chiffrement.
  • Le type d’authentification.
  • La méthode de chiffrement.

Pour les ordinateurs Windows, vous pouvez voir Chiffré depuis. Les informations s’affichent en fonction de l’appareil.

  • Pour les ordinateurs déjà chiffrés avec Sophos Central Device Encryption, vous verrez la date et l’heure de la mise à niveau de l’ordinateur vers Sophos Central Device Encryption 2.1.
  • Pour les ordinateurs chiffrés avec un autre produit de chiffrement, vous verrez la date et l’heure d’installation de Sophos Central Device Encryption.
  • Pour les nouveaux ordinateurs chiffrés avec Sophos Central Encryption 2.1 (ou version supérieure), vous verrez la date et l’heure du chiffrement.

Les volumes peuvent être chiffrés à l’aide du chiffrement logiciel ou matériel. Le chiffrement d’appareils utilise toujours le chiffrement logiciel pour les nouveaux volumes, même si le lecteur prend en charge le chiffrement matériel.

Si un lecteur est chiffré à l’aide du chiffrement matériel, rien ne change.

Si un paramètre de stratégie de groupe BitLocker nécessite le chiffrement matériel, il est alors utilisé.

Récupérer la clé de secours

Vous pouvez également obtenir une clé de récupération à partir de cet emplacement. Vous pouvez utiliser cette méthode pour déverrouiller l’ordinateur si les utilisateurs oublient leurs codes d’accès de connexion. Voir Recherche de la clé de récupération de chiffrement.

Déclencher le changement de mot de passe/code confidentiel

Cette option demande à l’utilisateur de changer immédiatement son mot de passe ou code confidentiel BitLocker. Un message apparaît lorsque la demande a été envoyée avec succès.

Sur le terminal, il est demandé aux utilisateurs de définir un nouveau mot de passe ou code confidentiel BitLocker. Si les utilisateurs ferment la boîte de dialogue sans saisir un mot de passe ou un code confidentiel, cette boîte de dialogue réapparait après 30 secondes. Cette opération s’arrête lorsqu’ils saisissent un nouveau mot de passe ou un nouveau code confidentiel. Lorsque les utilisateurs ont fermé la boîte de dialogue 5 fois successivement sans changer de mot de passe ou de code confidentiel, une alerte est consignée dans le journal.

Protection antialtération

Cette vue indique si la protection antialtération est activée ou non.

Lorsque la protection antialtération est activée, il est impossible pour l’administrateur local d’effectuer les modifications suivantes sur son ordinateur. Il aura besoin du mot de passe :

  • Modifier les paramètres du contrôle sur accès, de la détection des comportements suspects (HIPS), de la protection Web ou de Sophos Live Protection.
  • Désactiver la protection antialtération.
  • Désinstaller le logiciel de l’agent Sophos.

Cliquez sur Désactiver la protection antialtération pour gérer le mot de passe de la protection antialtération pour l’ordinateur. Si la protection antialtération est désactivée, nous vous conseillons de l’activer.

Vous pouvez récupérer les mots de passe de la protection antialtération pour les ordinateurs supprimés. Voir Récupérer les appareils supprimés.

Cache de mise à jour et Relais de messages

Sophos Update Cache permet aux ordinateurs de récupérer les mises à jour Sophos Central à partir d’un cache sur un serveur de votre réseau, plutôt que de le faire directement depuis Sophos. Vous pouvez également désigner des serveurs qui communiqueront avec Sophos Central en tant que relais de messages.

Ceci indique qu’un cache a été créé pour l’ordinateur. Il indique que serveur est en cours d’utilisation.

Pare-feu Windows

Le pare-feu Windows est actif et administré sur l’ordinateur. Il indique également :

  • Si la stratégie de groupe Windows est utilisée.
  • Les profils réseau actifs.
  • Si d’autres pare-feu enregistrés sont installés et actifs.