Aller au contenu

Rapports MDR hebdomadaires et mensuels

Comprendre vos rapports Partenaires hebdomadaires et mensuels sur l’activité MDR.

Le rapport MDR mensuel inclut uniquement les clients gérés qui ont souscrit un abonnement MSP ou mensuel.

Résumé client

La section Résumé client fournit des informations sur le nombre total de clients, les modes de réponse pris, les clients utilisant des intégrations et l’état d’intégrité du compte.

Modes de réponse

Les Modes de réponse indique le nombre de clients utilisant chaque mode de réponse.

Nombre de clients utilisant des intégrations

Le Nombre de clients utilisant des intégrations affiche le nombre de clients avec des intégrations activées qui envoient activement des données. Si l’intégration n’est pas configurée, le client n’est pas comptabilisé dans cette section.

Score d’état d’intégrité du compte

Votre Score d’état d’intégrité du compte indique le nombre de clients dont le score d’état d’intégrité global se situe dans une plage de scores spécifique. Il indique si vos appareils ou vos stratégies utilisent les paramètres de sécurité recommandés. Il reflète également le score le plus bas parmi tous vos différents types de contrôles d’intégrité.

Les recommandations Intégrité du compte Sophos peuvent inclure des paramètres telles que l’activation de fonctions anti-exploitation pour protéger contre le vol d’identité ou l’élévation des privilèges, ou l’activation de la détection du trafic malveillant pour bloquer la communication avec les serveurs de commande et contrôle (C&C). Les vérifications de l’intégrité du compte permettent d’améliorer votre sécurité de manière proactive et de remédier aux faiblesses qui peuvent nuire à vos capacités de défense.

Section Résumé du rapport.

Détections

Indique le pourcentage de variation dans les détections. Les détections sont des indicateurs d’activité générés par la technologie qui sont pondérés et classés en fonction de leur potentiel de menace. Dans la majorité des cas, ces points de données sont purement informatifs et ne donnent pas lieu à la création d’un dossier en soi. Les détections comprennent souvent des éléments tels que des exécutions de commandes, des sockets réseau ouverts, des événements d’authentification, des applications en cours d’exécution.

Dossiers

Indique le pourcentage de variation dans les dossiers. Qu’il s’agisse d’une détection ou d’une création manuelle, les dossiers sont examinés afin de déterminer s’il s'agit d’une véritable menace et si une activité malveillante se produit.

Escalades

Indique le pourcentage de changement dans les dossiers qui nécessitent une intervention du client ou une action qui ne peut pas être effectuée par l’équipe MDR Ops seule.

Menaces actives

Indique le pourcentage de changement dans les menaces actives. Les menaces actives sont des indicateurs confirmés d’attaque (IoA) ou de compromission (IoC) observés sur le réseau d’un client.

Données sur les détections, les dossiers, les dossiers remontés et les menaces actives.

Principaux clients par détections liées aux menaces

L’équipe MDR Ops améliore constamment ses capacités de détection, ce qui peut naturellement entraîner des fluctuations dans le volume de détections figurant dans le rapport. Ces ajustements peuvent consister à éliminer les détections qui n’ont apporté qu’une valeur limitée à l’identification des menaces ou à élargir notre champ d’action et notre visibilité pour identifier les menaces nouvelles et émergentes.

Cette section fournit un aperçu du volume de détection des principaux clients observé au cours d’un mois ou d’une semaine. Ceci aide l’équipe MDR Ops à identifier les points d’inflexion dans l’activité cybercriminelle potentielle.

Principaux clients par détections liées aux menaces mensuelles.

Résumé de la classification des détections

Les détections MDR sont classées par catégories de haut niveau pour aider à comprendre les types généraux de détections observées sur votre réseau. Les exemples incluent les outils d’attaque courants, l’exécution PowerShell et la persistance. Toutes les détections ne signalent pas forcement une activité suspecte ou malveillante. Certaines peuvent être associées à des données bénignes qui ont été recueillies.

Résumé de la classification des détections.

Structure MITRE ATT&CK

Les détections MDR sont mappées à des techniques spécifiques de la structure cadre MITRE ATT&CK, une base de connaissances largement utilisée de comportements malveillants, basée sur des observations réelles. Vous verrez la répartition des détections, en pourcentage, dans cette section du rapport hebdomadaire ou mensuel.

Toutes les détections ne représentent pas forcement une activité malveillante. Certains comportements peuvent être attribués à la fois à des activités bénignes et à des tactiques et techniques malveillantes connues. De plus, le nombre total de dossiers MDR n’est pas toujours égal au nombre total de tactiques malveillantes observées. Cela peut se produire pour deux raisons principales :

  • Un seul dossier MDR peut impliquer plusieurs tactiques malveillantes, ce qui rend le nombre total de tactiques plus grand que le nombre de dossiers.
  • Certains dossiers de MDR, tels que les dossiers de contrôle de l’état d’intégrité, n’impliquent pas de tactiques malveillantes, ce qui entraîne un plus grand nombre de dossiers que de tactiques observées.

Cadre MITRE ATT&CK.

État du client

La section État du client fournit un résumé statistique des rapports d’activité MDR hebdomadaires ou mensuels pour chaque client.

Section État du client.