Comprendre votre rapport mensuel
Vue générale
Score d’état d’intégrité du compte
Le Score d’intégrité du compte est noté sur 100. Il indique si vos appareils ou vos stratégies utilisent les paramètres de sécurité recommandés. Il reflète également le score le plus bas parmi tous vos différents types de contrôles d’intégrité. Pour comprendre comment le score est calculé, consultez Scores de l’état d’intégrité. Pour afficher les détails de chaque état d’intégrité, cliquez sur le lien Plus d’information pour consulter la page Intégrité du compte sur Sophos Central.
Les recommandations de la fonction Vérifier l’état du compte de Sophos peuvent inclure des mesures telles que l’activation de fonctions anti-exploit pour protéger contre le vol d’identité ou l’élévation des privilèges, ou l’activation de la détection du trafic malveillant pour bloquer la communication avec les serveurs de commande et contrôle (C&C). Les vérifications de l’intégrité du compte permettent d’améliorer votre sécurité de manière proactive et de remédier aux faiblesses qui peuvent nuire à vos capacités de défense.
Votre indice de protection global sera l’un des suivants :
- L’état Vert est optimal (vous êtes en pleine conformité avec les meilleures pratiques recommandées)
- L’état Jaune signifie Dégradé (certaines de vos configurations augmentent le risque, mais elles n’affectent pas l’efficacité du service MDR)
- L’état Rouge signifie que vous avez besoin d’attention (vous disposez de plusieurs configurations à haut risque qui empêchent le service MDR de fonctionner à un niveau optimal)
Total de licences déployées
Total Licenses Deployed (Nombre total de licences déployées) fournit des informations sur l’utilisation des licences avec un lien qui vous mène à votre page Licences dans Central.
Canal d’événements
Event Pipeline (Canal d’événements) permet de visualiser l’environnement global de vos données transitant par Sophos et la façon dont le service MDR a géré et traité les données. La couche supérieure, « Détections liées aux menaces », concerne toutes les détections générées dans votre environnement. La deuxième couche, « Détections escaladées et corrélées », concerne l’utilisation de plusieurs règles de détection qui permet une gestion simplifiée et de se concentrer sur les détections sur lesquelles il est possible d’intervenir. La couche suivante pour les « Dossiers » reflète le nombre de dossiers générés automatiquement en fonction des détections exploitables. Les « Escalades » sont des dossiers qui nécessitent une prise de conscience, une intervention ou une intervention de la part du client. Les « Incidents » sont des dossiers liés à une compromission confirmée ou accès non autorisé de systèmes qui représentent une menace imminente pour le client ou les ressources MSP, notamment les cybercriminels interactifs, le chiffrement ou la destruction de données et l’exfiltration des données.
Dossiers
Le rapport mensuel comprend 3 mois (90 jours) de statistiques des dossiers pour les lignes de tendance qui vous aident à visualiser le type de dossier et la source de détection dont ils proviennent au fil du temps.
Une vue plus détaillée des dossiers est également disponible indiquant les statistiques d’état du mois en cours.
Case Activity (Activité des dossiers) répertorie les dossiers ouverts en cours et les dossiers récemment résolus avec leur numéro, leur type, une brève description et un résumé, ainsi que leur état.
Total des détections
L’équipe MDR Ops améliore constamment ses capacités de détection, ce qui peut naturellement entraîner des fluctuations dans le volume de détections figurant dans le rapport. Ces ajustements peuvent consister à éliminer les détections qui n’ont apporté qu’une valeur limitée à l’identification des menaces ou à élargir notre champ d’action et notre visibilité pour identifier les menaces nouvelles et émergentes.
Le nombre total de détections de menaces dans votre environnement augmente-t-il, diminue-t-il ou reste-t-il le même ? Cette section fournit un aperçu du nombre total de détections observé pendant un mois et aide l’équipe MDR Ops à identifier les points d’inflexion de l’activité malveillante potentielle.
Le total des détections est affiché par mois et par niveau de gravité. Le rapport comprend 3 mois de données pour les comparaisons mois par mois.
Résumé de la classification des détections
Les détections MDR sont classées par catégories de haut niveau pour aider à comprendre les types généraux de détections observées sur votre réseau. Les exemples incluent les outils d’attaque courants, l’exécution PowerShell et la persistance. Comme pour toutes les détections, elles ne sont pas intrinsèquement indicatives d’une activité suspecte ou malveillante et peuvent être liées à des données bénignes qui ont été collectées.
Structure MITRE ATT&CK
Les détections MDR sont mappées à des techniques spécifiques de la structure cadre MITRE ATT&CK, une base de connaissances largement utilisée de comportements malveillants, basée sur des observations réelles. Vous verrez la répartition des détections, en pourcentage, dans cette section du rapport mensuel.
Comme pour toutes les détections, celles-ci ne sont pas nécessairement malveillantes et un comportement bénin peut correspondre à des tactiques et techniques adverses. Il est aussi important de noter que le nombre total de dossiers MDR n’est pas nécessairement égal au nombre total de tactiques de piratage observées. Plusieurs tactiques de piratage peuvent être observées dans un seul dossier MDR, entraînant par conséquent un nombre de tactiques supérieur au nombre total de dossiers MDR. Inversement, certains dossiers MDR créés ne sont pas associés à une tactique de piratage (dans le cas d’un contrôle d’intégrité par exemple), ce qui entraîne un nombre total de dossiers MDR supérieur au nombre total de tactiques de piratage.
Détections par intégrations
Les intégrations MDR ont été conçues pour s’assurer que les opérateurs MDR disposent des données les plus importantes à portée de main et que les attaquants aient moins d’endroits où se cacher. Les Détections par intégrations indiquent les intégrations qui ont généré une détection.
D’autres efforts Sophos MDR ont des listes des actions de réponse les plus récentes et des communications avec les contacts de votre compte.