Aller au contenu

Générer des détections (NDR)

Vous pouvez générer des tests de détection pour vérifier que Sophos NDR est correctement configuré et fonctionne bien.

Le test n’est pas malveillant. Il déclenche une détection en simulant un événement comportant les caractéristiques typiques d'une attaque. L’événement est un client qui télécharge un fichier à partir d’un serveur comportant des détails de domaine et de certificat suspects.

Vous pouvez exécuter le test à partir du Gestionnaire d’appliances.

Conditions requises

Assurez-vous que le Gestionnaire d’appliances peut accéder à notre serveur de test. Configurez votre pare-feu pour autoriser le trafic TCP vers ce domaine et cette adresse IP :

  • Domaine : plrqkxqwvmtkm.xyz
  • Adresse IP : 13.56.99.184
  • Port : 2222

Assurez-vous d'avoir inclus le trafic réseau dans la configuration actuelle de miroir de ports. Retrouvez plus d’aide dans les pages de configuration de NDR sur Intégrations Sophos.

Générer une détection

Remarque

Vous devez accéder au Gestionnaire d’appliances à partir d’un appareil se trouvant sur le même réseau que Sophos NDR.

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Configuré.

  2. Allez dans l’onglet Appliances d’intégration.

    Liste des appliances d’intégration.

  3. Recherchez l’appliance. Dans la colonne la plus à droite, cliquez sur le menu à trois points (ellipse) et sélectionnez Ouvrir le Gestionnaire d’appliances.

    Menu actions indiquant « Ouvrir le Gestionnaire d’appliances ».

  4. Dans la boîte de dialogue de confirmation, cliquez sur Ouvrir.

    Boîte de dialogue de confirmation d’ouverture du Gestionnaire d’appliances.

  5. Sur l’écran de connexion, saisissez le nom d’utilisateur zadmin et votre mot de passe.

    Écran de connexion du Gestionnaire d’appliances.

  6. Dans le Gestionnaire d’appliances, sélectionnez Générer les détections.

  7. Sur la page Générer les détections NDR, cliquez sur Générer les détections.

    Page Générer les détections NDR.

  8. Lorsqu’un message confirmant qu’une détection est générée s’affiche, cliquez sur OK et patientez dix minutes.

  9. Retournez dans Sophos Central.

  10. Allez dans Centre d’analyse des menaces > Détections.

  11. Sur la page Détections, vous devriez voir une détection récente à haut risque nommée NDR-DET-TEST-IDS-SCORE dans la liste.

    Page Détections.

  12. Cliquez sur NDR-DET-TEST-IDS-SCORE pour ouvrir les détails le concernant.

    La Description indique une adresse IP source et une de destination communiquant via TCP et TLS sur le port 2222. Il montre également IDS (Intrusion Detection System) comme contributeur principal à la détection. IDS est une liste de certificats bloqués.

    Détails de détection.

  13. Cliquez sur l'onglet Données brutes. La section flow_risk affiche les informations suivantes :

    • Protocole connu sur un port non standard
    • Certificat auto-signé
    • Négociation de protocole de couche applicative peu commune (ALPN)
    • Certificat répertorié en bloc
    • Forte probabilité que le domaine du serveur soit généré par algorithme (DGA)
    • Indications d'une menace appartenant à la famille Friendly Chameleon.

    Données brutes de détection.

Retrouvez plus de renseignements sur la génération d’une détection NDR à partir de l’interface de ligne de commande sur Générer des détections NDR à partir de l'interface de ligne de commande.