Aller au contenu

Rapports MDR hebdomadaires et mensuels

Retrouvez plus de renseignements sur vos rapports hebdomadaires et mensuels sur les activités MDR de vos sous-parcs.

Résumé des sous-parcs

La section Résumé des sous-parcs fournit des informations sur le nombre total des sous-parcs, les modes de réponse pris, les sous-parcs qui utilisent des intégrations et l’état d’intégrité du compte.

Modes de réponse

Les Modes de réponse indique le nombre de sous-parcs pour chaque mode de réponse.

Nombre de sous-parcs utilisant des intégrations

Le Nombre de sous-parcs utilisant des intégrations indique le nombre de sous-parcs avec des intégrations activées qui envoient activement des données. Si l’intégration n’est pas active, le sous-parc n’est pas comptabilisé dans cette section.

Score d’état d’intégrité du compte

Votre score d’état d’intégrité du compte indique le nombre de sous-parcs ayant un score d’état d'intégrité global contenu dans une plage spécifique. Il indique si vos appareils ou vos stratégies utilisent les paramètres de sécurité recommandés. Il reflète également le score le plus bas parmi tous vos différents types de contrôles d’intégrité.

Les recommandations Intégrité du compte Sophos peuvent inclure des paramètres telles que l’activation de fonctions anti-exploitation pour protéger contre le vol d’identité ou l’élévation des privilèges, ou l’activation de la détection du trafic malveillant pour bloquer la communication avec les serveurs de commande et contrôle (C&C). Les vérifications de l’intégrité du compte permettent d’améliorer votre sécurité de manière proactive et de remédier aux faiblesses qui peuvent nuire à vos capacités de défense.

Section Résumé des sous-parcs.

Détections

Indique le pourcentage de variation dans les détections. Les détections sont des indicateurs d’activité générés par la technologie qui sont pondérés et classés en fonction de leur potentiel de menace. Dans la majorité des cas, ces points de données sont purement informatifs et ne donnent pas lieu à la création d’un dossier en soi. Les détections comprennent souvent des éléments tels que des exécutions de commandes, des sockets réseau ouverts, des événements d’authentification, des applications en cours d’exécution.

Dossiers

Indique le pourcentage de variation dans les dossiers. Qu’il s’agisse d’une détection ou d’une création manuelle, les dossiers sont examinés afin de déterminer s’il s'agit d’une véritable menace et si une activité malveillante se produit.

Escalades

Indique le pourcentage de variation dans les dossiers qui nécessitent l’envoi d’informations ou une action d’un sous-parc qui ne peut pas être effectuée par l’équipe MDR Ops seule.

Menaces actives

Indique le pourcentage de changement dans les menaces actives. Les menaces actives sont des indicateurs confirmés d’attaque (IoA) ou de compromission (IoC) observés sur le réseau d’un sous-parc informatique.

Données sur les détections, les dossiers, les dossiers remontés et les menaces actives.

Principal sous-parc par Détections liées aux menaces

L’équipe MDR Ops améliore constamment ses capacités de détection, ce qui peut naturellement entraîner des fluctuations dans le volume de détections figurant dans le rapport. Ces ajustements peuvent consister à éliminer les détections qui n’ont apporté qu’une valeur limitée à l’identification des menaces ou à élargir notre champ d’action et notre visibilité pour identifier les menaces nouvelles et émergentes.

Cette section fournit un aperçu du volume de détection des principaux sous-parcs observé au cours d’un mois ou d’une semaine. Ceci aide l’équipe MDR Ops à identifier les points d’inflexion dans l’activité cybercriminelle potentielle.

Principaux sous-parcs par détections liées aux menaces mensuelles.

Résumé de la classification des détections

Les détections MDR sont classées par catégories de haut niveau pour aider à comprendre les types généraux de détections observées sur votre réseau. Les exemples incluent les outils d’attaque courants, l’exécution PowerShell et la persistance. Toutes les détections ne signalent pas forcement une activité suspecte ou malveillante. Certaines peuvent être associées à des données bénignes qui ont été recueillies.

Résumé de la classification des détections.

Structure MITRE ATT&CK

Les détections MDR sont mappées à des techniques spécifiques de la structure cadre MITRE ATT&CK, une base de connaissances largement utilisée de comportements malveillants, basée sur des observations réelles. Vous verrez la répartition des détections, en pourcentage, dans cette section du rapport hebdomadaire ou mensuel.

Toutes les détections ne représentent pas forcement une activité malveillante. Certains comportements peuvent être attribués à la fois à des activités bénignes et à des tactiques et techniques malveillantes connues. De plus, le nombre total de dossiers MDR n’est pas toujours égal au nombre total de tactiques malveillantes observées. Cela peut se produire pour deux raisons principales :

  • Un seul dossier MDR peut impliquer plusieurs tactiques malveillantes, ce qui rend le nombre total de tactiques plus grand que le nombre de dossiers.
  • Certains dossiers de MDR, tels que les dossiers de contrôle de l’état d’intégrité, n’impliquent pas de tactiques malveillantes, ce qui entraîne un plus grand nombre de dossiers que de tactiques observées.

Cadre MITRE ATT&CK.

État des sous-parcs

La section État des sous-parcs fournit un résumé statistique des rapports d’activité MDR hebdomadaires ou mensuels pour chaque sous-parc.

Section État du sous-parc.