EH15 v3.1.2 Sophos Central Endpoint and Server Protection Student Handout 286 427

Machine Translated by Google
Programme de fournisseur de sécurité cloud (CSP)
Le programme Cloud Security Provider (CSP) de Sophos est conçu pour
aider les partenaires de support spécialisés dans le cloud public
Ressources clés disponibles :
Programme
fournisseur
sécurité
cloud
(CSP)
de
• Accès à Sophos Public
Ressources cloud
• Accès à la formation en ligne sur
les produits Sophos
• Logiciel NFR/virtuel
Produits Sophos
Le programme Sophos Cloud Security Provider (CSP) est conçu pour aider les partenaires spécialisés dans le cloud public à
accéder aux ressources pertinentes au sein de Sophos.
Le programme comprend les avantages et services suivants :
• Accès aux architectes de la solution d'avantvente Sophos Cloud
• Inscription sur le localisateur de partenaires sophos.com en tant que fournisseur de sécurité cloud pour AWS ou Azure
• Remise partenaire CSP pour les ventes directes sur le marché
• Accès à la formation en ligne sur les produits Sophos
• Accès au portail des partenaires Sophos Cloud
• Logiciels gratuits non destinés à la revente (NFR)/produits Sophos virtuels
• Séance régulière de planification stratégique avec nos spécialistes Sophos Cloud
Ingénieur certifié Sophos Central | Module 7 : Cloud public 303
Informations complémentaires
dans les notes
Exigences du programme CSP
Conditions d'entrée
• Un accord partenaire standard Sophos
• Une entreprise cloud existante :
• AWS | Membre du réseau de partenaires AWS (APN) avec plusieurs certifications d'association
• Azur | Fournisseurs de services gérés experts Azure OU compétences de plateforme cloud/centre de données de niveau or
Programme
fournisseur
sécurité
cloud
(CSP)
de
Conditions d'entrée
• Accepter un nouveau contrat de partenariat avec le fournisseur de sécurité cloud
• Compléter notre formation de vente CSP
Pour rejoindre le programme CSP, un partenaire doit disposer des éléments suivants :
• Un accord partenaire standard Sophos
• Une entreprise cloud existante
• AWS | Membre du réseau de partenaires AWS (APN) avec plusieurs certifications d'association
• Azur | Fournisseurs de services gérés experts Azure OU une plateforme cloud/centre de données de niveau or
compétences
De plus, un partenaire entrant dans le programme CSP doit :
• Accéder à un nouveau contrat de partenaire fournisseur de sécurité cloud
• Suivez notre formation commerciale CSP
[Informations Complémentaires]
Pour plus d'informations, rendezvous sur https://www.sophos.com/enus/partners/cloudsecurity provider.aspx
Examen des modules
Maintenant que vous avez terminé ce module, vous devriez être en mesure de :
Déterminer les couches de protection requises pour les ressources dans le cloud public
Expliquez comment Cloud Optix, Intercept X for Server et XG Firewall peuvent protéger vos ressources
cloud
À la fin de ce module, vous devriez maintenant être en mesure d'effectuer les actions présentées ici. Veuillez prendre un
moment pour les examiner.
Si vous n'êtes pas sûr d'avoir atteint ces objectifs, veuillez consulter le matériel couvert dans ce module.
Question 1 sur 3
Quelle mauvaise configuration d'un serveur cloud public peut contribuer à
un incident de sécurité ?
Stockage privé des données Cryptage de toutes les données Laisser les ports ouverts
NOUS FAIRE PARVENIR
Question 2 sur 3
Dans quelle couche de sécurité déploieriezvous la protection Sophos sur les
serveurs de cloud public ?
Hôte et code Réseau Fondation cloud
NOUS FAIRE PARVENIR
Question 3 sur 3
A qui revient la responsabilité de sécuriser les données stockées dans le Cloud ?
Utilisateur Fournisseur de services infonuagiques Partenaire
NOUS FAIRE PARVENIR
Prochaines étapes
Maintenant que vous avez terminé ce module, vous devez :
Compléter le module 8 : Journaux et rapports
Maintenant que vous avez terminé ce module, vous devez terminer le module 8 : Journaux et rapports
Ingénieur certifié Sophos
Centre Sophos
Module 8 | Journaux et rapports
Version 3.0
Il s'agit de la formation Sophos Certified Engineer Sophos Central Endpoint and Server Protection. Ceci est le
module 8 : Journaux et rapports
Sophos Central ET1508 | Journaux et rapports
Version 3.0
Version du produit : Sophos Central
© 2021 Sophos Limited. Tous les droits sont réservés. Aucune partie de ce document ne peut être utilisée ou reproduite sous quelque forme ou par quelque
moyen que ce soit sans l'accord écrit préalable de Sophos.
Sophos et le logo Sophos sont des marques déposées de Sophos Limited. Les autres noms, logos et marques mentionnés dans ce document peuvent être
des marques ou des marques déposées de Sophos Limited ou de leurs propriétaires respectifs.
Bien qu'un soin raisonnable ait été apporté à la préparation de ce document, Sophos n'offre aucune garantie, condition ou déclaration (expresse ou
implicite) quant à son exhaustivité ou son exactitude. Ce document peut être modifié à tout moment sans préavis.
Sophos Limited est une société enregistrée en Angleterre sous le numéro 2096520, dont le siège social est situé au Pentagone, Abingdon Science Park,
Abingdon, Oxfordshire, OX14 3YP.
Ingénieur certifié Sophos Central | Module 8 : Journaux et rapports 313
Journaux et rapports
Aperçu Événements et audits
Bilans de santé Fichiers journaux
Dans ce module, nous passerons en revue les journaux et les rapports qui sont à votre disposition pour déterminer la santé de
votre succession.
Nous verrons comment afficher les journaux d'audit et d'événements et comment effectuer un bilan de santé de votre domaine à
l'aide des rapports.
Enfin, nous verrons où trouver les fichiers journaux d'installation pour les points de terminaison Windows et MacOS.
Aperçu
Aperçu
Aperçu
Aperçu
Sophos Central fournit une large gamme de journaux et de rapports.
Tous les journaux et rapports peuvent être consultés en accédant à Présentation > Journaux et rapports dans le tableau de bord
Sophos Central.
En haut de la page, vous pouvez afficher tous les rapports personnalisés que vous avez enregistrés. À partir de là, vous pouvez modifier ou
supprimer vos rapports selon vos besoins.
La page est divisée en catégories, par journaux, puis rapports et dans ceuxci par général, utilisateurs, appareils et produit.
Rapports spécifiques au produit
Voir
Journaux
Aperçu
spécifiques au produit
& Rapports
du tableau
de bord
du produit
Si vous préférez afficher uniquement les journaux et les rapports disponibles pour un produit spécifique dans votre compte
Central, vous pouvez accéder au tableau de bord de ce produit.
Dans la page Logs & Reports , vous trouverez les rapports et les logs qui sont pertinents pour ce produit uniquement.
Rapports sur les terminaux et les serveurs
Les rapports pour les utilisateurs, les terminaux et les serveurs utilisent le même format
Aperçu
Les rapports pour les utilisateurs, les terminaux et les serveurs se ressemblent tous.
Ils contiennent une vue récapitulative en haut de page. Cliquer sur les nombres dans la vue récapitulative appliquera un filtre au rapport pour la
catégorie sélectionnée.
Les informations détaillées varient en fonction des rapports, mais elles affichent des détails tels que les périphériques associés, l'état de l'analyse,
le système d'exploitation et les dernières heures actives et mises à jour.
Vous pouvez utiliser toutes ces informations pour surveiller les objets liés à votre compte et repérer toute incohérence, ou vous
concentrer sur un utilisateur ou un appareil particulier pour obtenir plus d'informations.
Événements et audits
Événements
audits
et
Rapport d'événements
Événements
audits
et
Le rapport d'événements vous permet de voir tous les événements qui ont été générés dans votre domaine Sophos Central par les
utilisateurs et les appareils. Vous pouvez rechercher des événements et filtrer la plage de dates, ce qui vous permet d'affiner votre
recherche.
Il est possible de sélectionner les types d'événements qui sont inclus à gauche de la représentation graphique des événements. Ce filtre
est utile si vous souhaitez uniquement vous concentrer sur un type d'événement particulier, par exemple des violations de stratégie ou
des détections de logiciels malveillants.
Ces filtres peuvent être encore étendus pour chaque type d'événement afin que vous puissiez signaler les actions spécifiques entreprises,
par exemple, les logiciels malveillants qui ont été détectés, nettoyés, non nettoyés ou supprimés localement.
Rapport d'événements
Sélectionnez le type de rapport que vous souhaitez
exporter
Voir le rapport
Événements
audits
et
Le rapport d'événements peut être exporté au format CSV ou PDF. Vous pouvez choisir d'exporter les détails du rapport pour
les 90 derniers jours ou d'utiliser le filtre d'heure actuel que vous avez configuré.
L'exportation des détails des événements peut faciliter la manipulation ou la présentation hors ligne des données.
Rapport d'événements personnalisés
Événements
audits
et
Le rapport d'événements peut être personnalisé et vous pouvez enregistrer chaque rapport en fonction de vos besoins individuels.
Une fois que vous avez nommé le rapport et que vous l'avez filtré pour répondre à vos besoins, vous pouvez configurer le rapport
pour qu'il soit envoyé par email sous forme de fichier PDF ou CSV. Veuillez noter que si vous incluez des informations
personnellement identifiables dans le rapport, nous vous recommandons de choisir d'envoyer un lien vers le rapport plutôt que de
joindre le rapport à un email.
Vous pouvez choisir la fréquence d'envoi du rapport, sur une base hebdomadaire, horaire ou mensuelle. Veuillez noter que tout horaire
créé s'arrêtera automatiquement après 6 mois.
Rapports enregistrés
Événements
audits
et
Sélectionnez vos rapports personnalisés
pour les afficher
Une fois que vous avez enregistré un rapport, il est facilement exécuté à partir de la page Journaux et rapports.
La sélection du rapport dans la liste appliquera les filtres que vous avez configurés et affichera votre rapport personnalisé.
Événements DLP
Événements
audits
et
Tous les événements sont enregistrés localement sur un appareil
Le journal des événements de prévention contre la perte de données (DLP) affiche tous les événements déclenchés par les règles de prévention contre la perte de données pour
les appareils.
Le journal vous permet de rechercher des événements spécifiques d'un utilisateur, d'un périphérique ou d'un nom de règle sur une période de temps spécifique.
Le journal affiche les données et l'heure de l'événement ainsi que l'utilisateur, l'appareil, le nom de la règle et l'action du fichier. Il inclura également le nom
du fichier qui a provoqué l'événement.
Comme pour tous les rapports et journaux, vous pouvez exporter ce rapport et, comme le journal des événements, vous pouvez enregistrer des rapports
personnalisés pour les réutiliser.
Veuillez noter qu'un appareil peut envoyer un maximum de 50 événements de contrôle des données par heure à Sophos Central. Tous les événements sont
enregistrés localement sur l'appareil.
Journaux d'audit
Événements
audits
et
Vous pouvez afficher et exporter un enregistrement de toutes les activités surveillées par Sophos Central à l'aide du rapport du journal d'audit.
Toutes les activités des sept derniers jours sont affichées dans le journal d'audit par défaut ; cependant, vous pouvez afficher toutes les activités jusqu'à
90 jours et exporter le rapport.
Pour une journalisation d'audit précise, assurezvous que les comptes d'administrateur ne sont pas partagés.
Bilans de santé
Bilans
santé
de
Bilan de santé des protections
Sophos estil à jour ? Le terminal estil protégé ?
Mise à jour protection
Bilans
santé
de
Appareil obsolète Échec Échec de la protection de l'appareil

de la mise à jour Problèmes Système d'exploitation non pris en charge
de sécurité détectés Les services Sophos sont manquants ou ne fonctionnent pas
Nous vous recommandons de revoir régulièrement la protection et la santé de votre patrimoine.
Notre recommandation est de vérifier que l'agent de protection Sophos est à jour sur chaque appareil protégé :
• La mise à jour atelle échoué ?
• Des problèmes de sécurité ontils été détectés ? • Est
ce qu'il fonctionne correctement ?
Ensuite, vérifiez que les fonctionnalités de protection sont appliquées et fonctionnent sur les appareils protégés en vérifiant ce qui suit :
• Événements d'échec de la protection •
Services qui ne sont pas en cours d'exécution •
Systèmes d'exploitation non pris en charge en cours d'utilisation
Ces problèmes seront affichés sous forme d'alertes dans Sophos Central s'ils nécessitent une intervention manuelle pour être résolus.
Bilan de santé des protections
À quelle fréquence?
Bilans
santé
de
Dans le cadre de votre enquête et de la
correction des alertes
Aussi souvent que possible
Alors, à quelle fréquence devriezvous effectuer des bilans de santé ?
Nous vous recommandons, si vous examinez et corrigez les alertes, dans le cadre de ce processus, de vérifier l'état général de tous
les appareils protégés.
En dehors de la remédiation, des vérifications de l'état doivent être effectuées aussi fréquemment que possible pour vous permettre d'être
sûr d'être au courant de ce qui se passe sur votre réseau.
Vérification de l'état de l'appareil
Bilans
santé
de
Pour vérifier l'état des appareils de votre domaine, vous pouvez exécuter le rapport sur l'ordinateur et le rapport sur le serveur.
Les deux indiqueront quand les appareils protégés ont été en ligne pour la dernière fois, le dernier utilisateur connecté à eux, la
dernière fois qu'ils ont mis à jour et s'ils ont eu une exécution d'analyse planifiée.
De plus, ce rapport affiche l'état de santé des appareils.
Informations Complémentaires
dans les notes
État de santé
ROUGE
JAUNE VERT
• Logiciel malveillant actif détecté
• Malware en cours d'exécution détecté
Bilans
santé
de
• Trafic réseau malveillant détecté
• L'agent Sophos est en cours d'exécution
• Aucun logiciel malveillant actif détecté
• Communications à un • Un logiciel malveillant inactif est détecté
• Aucun logiciel malveillant inactif
mauvais hôte détecté • Un PUA est détecté
détecté
• Le logiciel malveillant n'a pas été
• Aucun PUA détecté
supprimé
• L'agent de protection Sophos ne
fonctionne pas correctement
L'état de santé des appareils protégés est important car il peut indiquer qu'un appareil a été compromis.
Si un appareil affiche un statut rouge, cela peut indiquer certains des problèmes suivants :
• Un logiciel malveillant actif a été détecté
• Un programme malveillant en cours d'exécution est détecté
• Un trafic réseau malveillant est détecté
• Des communications avec un mauvais hôte connu ont été détectées
• Les logiciels malveillants n'ont pas été supprimés automatiquement
• L'agent de protection Sophos ne fonctionne pas correctement
Si un appareil affiche un statut jaune, cela peut indiquer que :
• Un logiciel malveillant inactif a été détecté
• Un PUA a été détecté
Un appareil dont l'état est vert est considéré comme sain :
• L'agent de protection Sophos s'exécute correctement sans erreur
• Aucun logiciel malveillant actif n'est détecté
• Aucun logiciel malveillant inactif n'est détecté
• Aucun PUA n'a été détecté
Pour plus d'informations sur l'état de santé des appareils, veuillez consulter l'article de la
base de connaissances KB000035572. https://support.sophos.com/support/s/article/KB
000035572
331
Périphérique
Bilans
santé
de
Cliquer sur un appareil avec un état de santé rouge ou jaune vous redirigera vers l'enregistrement de l'appareil dans Sophos
Central.
Dans l'onglet Événements, vous pouvez afficher les événements qui se sont produits sur l'appareil. Dans cet exemple, nous
pouvons voir qu'une connexion malveillante a été détectée.
Vérification de l'état des logiciels malveillants
Facultatif : Application potentiellement indésirable (PUA)
Sélectionner:
Pourquoi estce utile ?
Détections d'exécution
De nombreux logiciels malveillants utilisent des outils légitimes pour effectuer des tâches telles
Logiciels malveillants
que l'exécution de tâches sur des ordinateurs distants.
Bilans
santé
de
Que montretil ?
Tous les événements de détection
y compris les logiciels
malveillants nettoyés
Pour afficher l'état de santé des logiciels malveillants de votre domaine, vous pouvez filtrer les événements sur les détections d'exécution
et les logiciels malveillants, qui afficheront les événements de détection, y compris les logiciels malveillants qui ont été nettoyés
automatiquement.
Par exemple, si vous avez un appareil compromis sur votre réseau qui essaie constamment d'infecter d'autres appareils, vous pouvez voir un
grand nombre d'événements de logiciels malveillants, mais ils ont tous été nettoyés. Cela vous montre que vous devez identifier la source de
ces détections pour pouvoir y remédier efficacement.
Vous pouvez également éventuellement inclure des PUA dans le rapport, ce qui est utile car de nombreux logiciels malveillants utilisent des outils
légitimes pour diffuser et exécuter des tâches sur des appareils distants.
Fichiers journaux
Fichiers
journaux
dans les notes
Fichiers journaux d'installation de Windows
%ProgramData%\Sophos\CloudInstaller\Logs
Fichiers
journaux
KB000034888
L'installation de Sophos Endpoint commence par l'extraction du programme d'installation léger, SophosSetup.exe.
Les fichiers sont extraits dans le répertoire temporaire des utilisateurs, également appelé %temp%.
Les journaux d'installation sont créés à cet emplacement :
%ProgramData%\Sophos\CloudInstaller\Logs\SophosCloudInstaller_<date>_<heure>.log
Pour plus d'informations sur les journaux, consultez l'article de la base de connaissances : KB000034888.
https://support.sophos.com/support/s/article/KB000034888
Si vous souhaitez en savoir plus sur le dépannage et la lecture des fichiers journaux, veuillez suivre notre cours Sophos
Central Certified Technician.
Fichiers journaux d'installation de MacOS
\private\var\log\install.log
Fichiers
journaux
Pour une installation Mac, le journal par défaut du programme d'installation est écrit dans le fichier « install.log ». Ce fichier se
trouve par défaut à l'emplacement suivant :
\private\var\log\install.log
Une façon de trouver facilement le fichier journal consiste à utiliser l'application console et à localiser install.log sous la section
var\log dans le menu arborescent de gauche.
Module 8 | Journaux et rapports
Effectuez les tâches de simulation suivantes pour le module 8 :
• Tâche 8.1 : Utiliser les rapports
Utilisez le classeur de simulation pour accéder et afficher la vue d'ensemble et les détails de chaque tâche
• Tâche 8.1 : Utiliser les rapports
Utilisez le classeur de simulation pour accéder et afficher la vue d'ensemble et les détails de chaque tâche.
Examen des modules
Vérifier l'état de santé des appareils protégés
Personnaliser et enregistrer un rapport d'événements
Localisez les fichiers d'installation sur un point de terminaison Windows et MacOS
Question 1 sur 3
Quel journal ou rapport pouvezvous afficher les détections de logiciels malveillants
qui n'ont pas été nettoyées ?
Rapport sur les ordinateurs Journal d'audit
Historique des messages Rapport d'événements
NOUS FAIRE PARVENIR
Question 2 sur 3
VRAI ou FAUX : Toute planification de rapport s'arrêtera automatiquement
après 6 mois.
vrai FAUX
NOUS FAIRE PARVENIR
Question 3 sur 3
Lequel des éléments suivants entraînerait un appareil à signaler un état
de santé rouge dans Sophos Central ?
Un logiciel malveillant actif a été
Un PUA a été détecté
détecté
Aucun logiciel malveillant inactif Un logiciel malveillant
n'a été détecté inactif a été détecté
NOUS FAIRE PARVENIR
Prochaines étapes
Compléter le module 9 : Gérer les détections
Maintenant que vous avez terminé ce module, vous devez suivre le Module 9 : Gestion des détections.
Centre Sophos
Module 9 | Gestion des détections
Version : 3.0.0
Il s'agit de la formation Sophos Certified Engineer Sophos Central Endpoint and Server Protection. Il s'agit du
module 9 : Gestion des détections
Sophos Central ET1509 | Gestion des détections
Version 3.0
© 2021 Sophos Limited. Tous les droits sont réservés. Aucune partie de ce document ne peut être utilisée ou reproduite sous quelque forme ou par
quelque moyen que ce soit sans l'accord écrit préalable de Sophos.
Sophos et le logo Sophos sont des marques déposées de Sophos Limited. Les autres noms, logos et marques mentionnés dans ce document peuvent
être des marques ou des marques déposées de Sophos Limited ou de leurs propriétaires respectifs.
Sophos Limited est une société enregistrée en Angleterre sous le numéro 2096520, dont le siège social est situé au Pentagone, Abingdon
Science Park, Abingdon, Oxfordshire, OX14 3YP.
Ingénieur certifié Sophos Central | Module 9 : Gestion des détections 346
Gestion des détections
Alertes et événements Remédiation
Découvrir et vivre en direct
Cas de menace
Réponse
Isolement de l'appareil
Dans ce module, nous verrons ce que sont les alertes et les événements et quand ils sont déclenchés. Nous parlerons
des étapes de remédiation si une détection se déclenche dans votre environnement.
Nous présenterons Endpoint Detection and Response (EDR), couvrant ce qu'il est et les principales fonctionnalités
disponibles, y compris Live Discover.
Enfin, dans ce module, nous verrons comment activer l'isolation des appareils, à la fois automatiquement et par
l'administrateur.
événements
Alertes
et
Alertes et événements
Pourquoi un appareil peutil être infecté ?
Appareil(s) non protégé(s) sur un réseau
Logiciel antimalware obsolète
Aucun logiciel antimalware installé
événements
Alertes
et
Les appareils non protégés peuvent fournir un point d'accès
Les appareils qui ne sont pas protégés contre les dernières
aux attaques pour accéder au réseau
menaces sont vulnérables aux attaques
Mises à jour et correctifs d'application et/ou de système
Les fonctionnalités antimalware ne sont pas activées
d'exploitation manquants
Toutes les fonctions de protection doivent être activées,
Les applications et les systèmes d'exploitation obsolètes ou non
sans elles, l'appareil est vulnérable
corrigés rendent un appareil faible et vulnérable à l'exploitation
Prenons un moment ici pour examiner comment un appareil peut être infecté.
Un vecteur d'attaque est un appareil ou des appareils non protégés sur un réseau. Par non protégé, on peut considérer plusieurs états :
• Un appareil sur lequel aucun logiciel antimalware n'est installé
• Un appareil non protégé peut fournir un point d'accès permettant à un attaquant d'accéder à un réseau et de s'y déplacer pour obtenir
ce qu'il veut.
• Un appareil dont le logiciel antimalware est obsolète
• Les appareils qui ne sont pas protégés contre les dernières menaces sont vulnérables aux attaques
• Les appareils qui, bien qu'ils soient protégés par un logiciel antimalware, ne disposent pas de toutes les protections
fonctionnalités activées
• Toutes les fonctions de protection doivent être activées comme recommandé, sans elles, l'appareil est
vulnérable
• Appareils pour lesquels il manque des mises à jour et des correctifs d'application ou de système d'exploitation
• Les applications et les systèmes d'exploitation obsolètes et non corrigés affaiblissent un appareil car
le logiciel est ouvert à l'exploitation
Exclusions inappropriées
Les logiciels malveillants peuvent exploiter des applications et des processus légitimes pour échapper à la détection
événements
Alertes
et
L'exclusion d'outils peut créer des opportunités d'exploitation
Autoriser PsExec sur tous les appareils pourrait permettre à un attaquant d'exploiter cela pour se déplacer sur
un réseau
Des exclusions inappropriées peuvent exposer votre réseau aux attaques. Les logiciels malveillants essaieront également
d'exploiter autant que possible les applications et les processus légitimes pour échapper à la détection.
L'exclusion des outils que vous trouvez utiles ou nécessaires peut créer une opportunité d'exploitation du système.
Menaces ZeroDay
événements
Alertes
et
Les attaquants développent constamment de nouvelles techniques d'attaque
Les attaquants utiliseront des logiciels malveillants qui visent à contourner les logiciels antimalware
Sophos Central inclut diverses techniques pour détecter et bloquer les menaces zeroday, cependant, les attaquants ne
libèrent généralement pas de logiciels malveillants dont ils savent qu'ils vont être détectés et bloqués.
Ils publieront des logiciels malveillants qui, selon eux, contourneront les logiciels antimalware et développent donc
constamment de nouvelles techniques pour lesquelles aucune détection n'a été créée.
Alertes
Les alertes sont UNIQUEMENT créées lorsqu'une ACTION EST REQUISE
événements
Alertes
et
Les événements sont enregistrés pour toutes les détections, y compris le nettoyage
L'agent de protection Sophos détectera et nettoiera les éléments malveillants et suspects. Comme indiqué dans les modules
précédents, les fonctionnalités de protection contre les menaces protégeront votre réseau contre de nombreuses attaques.
La console Sophos Central vous permet de voir exactement ce qui s'est passé dans votre domaine. Pour ce faire, il enregistre
tous les événements et crée des alertes afin que les administrateurs soient alertés de tout comportement dangereux.
Il est important de comprendre que pour éviter que le tableau de bord ne soit inondé d'informations, les alertes ne s'affichent que
lorsqu'une action est requise. L'action ultérieure dépendra de l'alerte.
• Des alertes sont créées lorsqu'une action est requise
• Les événements sont enregistrés pour TOUS les événements de détection, y compris le nettoyage
dans les notes
Types d'événements
Informationnel Moyen Haute
• Action requise
• Action requise
• Exemples:
événements
Alertes
et
• Aucune action nécessaire • Exemples:
• Détection nécessitant une
• Exemples: • Les détections qui peuvent être
intervention manuelle
• Logiciels malveillants nettoyés corrigé automatiquement
• Expiration du jeton d'API
• Mise à jour réussie • Nonconformité à la politique
• Protection en temps réel
• Redémarrage nécessaire
désactivée
Il existe trois niveaux d'événement dans Sophos Central.
Événements informatifs consignés pour référence mais ne nécessitant aucune action. Par exemple, cela peut se produire lorsqu'une
détection a été nettoyée ou qu'un point de terminaison a été mis à jour avec succès.
Les événements moyens sont signalés lorsque des actions sont requises, par exemple pour un périphérique non conforme ou
nécessitant un redémarrage. Les détections de logiciels malveillants qui sont automatiquement corrigées sont signalées comme des
événements moyens, cependant, elles ne sont affichées que jusqu'à ce qu'elles aient été nettoyées.
Les événements élevés resteront dans les listes d'événements jusqu'à ce qu'ils soient résolus ou reconnus par un administrateur
central. Cela peut inclure des détections nécessitant une intervention manuelle ou une enquête plus approfondie. L'expiration des jetons
d'API, la désactivation de la protection en temps réel et d'autres événements sont répertoriés comme des événements élevés.
Tous les événements moyens et élevés ne génèrent pas directement une alerte. Par exemple, lorsqu'un redémarrage est requis, une
alerte n'est déclenchée que si le redémarrage n'est pas effectué dans les deux semaines suivant l'événement.
Pour plus d'informations sur les alertes, veuillez consulter l'article de la base de connaissances KB000038134 :
Types de détection
Détections de menaces malveillantes Troj/, Mal/ etc.
Détections de fichiers suspects, de comportements
SUS/, HIPS/, C2/
événements
Alertes
et
malveillants et d'activités réseau
Détections de menaces inconnues correspondant à
HPmal/ HPsus/
des profils spécifiques en cours d'exécution
Nouvelles menaces, détections de fichiers et de variantes CXmail, CXmal et CXweb
Adware, PUA et détections d'applications contrôlées Adware ou PUA détecté avant l'exécution
Application contrôlée bloquée par la politique
Tous les événements qui détectent des menaces sur votre réseau seront répertoriés en tant que type de détection. Il est utile de comprendre le
type de détections de menaces que vous pouvez voir afin de connaître la meilleure façon de remédier à la menace.
Voyons rapidement les principaux types de détections :
• Menaces malveillantes. Il s'agit de menaces qui sont détectées avant l'exécution et qui seront généralement détectées par
l'analyseur à l'accès à l'aide de définitions
• Fichiers suspects, comportement malveillant et activité réseau malveillante
• Les détections SUS sont basées sur les propriétés du fichier qui font qu'il est probable qu'il s'agisse d'un logiciel malveillant,
cependant, il y a moins de certitude car il ne correspond pas à la définition d'un logiciel malveillant connu
• Les détections HIPS sont déclenchées lorsqu'une application exécute des actions classées comme
mal intentionné
• Les détections C2 sont déclenchées par une activité réseau malveillante contactant les serveurs C2, où
les logiciels malveillants appellent chez eux pour obtenir des instructions ou pour télécharger des logiciels supplémentaires.
• Menaces inconnues. Les détections qui correspondent à des combinaisons spécifiques de comportements lors de l'exécution pour
exemple HPmal et HPsus.
• Nouvelles menaces
• CXmail sont des menaces générées par les emails
• CXweb sont des fichiers malveillants détectés avant le téléchargement
• Les détections CXmal sont celles qui sont détectées en cours d'exécution
• Adware, PUA et détections d'applications contrôlées. Ce sont des détections de
des applications qui peuvent être légitimes mais qui peuvent présenter un risque pour votre réseau. Les
détections d'applications contrôlées sont des applications légitimes qui sont bloquées par la stratégie
de contrôle des applications.
355
Alertes par email par défaut
Emails envoyés pour les événements moyens et élevés nécessitant une action
événements
Alertes
et
Des emails sont envoyés à tous les administrateurs
Non envoyé si une alerte du même type a été envoyée dans les 24 heures précédentes
Bien que les administrateurs puissent afficher les alertes dans le tableau de bord Sophos Central, ils ne l'ont peutêtre pas toujours ouvert
pendant leur journée.
Sophos Central vous permet de configurer des alertes par email.
Par défaut, des alertes par email sont envoyées pour les événements de niveau moyen ou élevé nécessitant une action, et elles sont
envoyées à tous les administrateurs Sophos Central.
Pour afficher les détails de ces administrateurs, accédez à Paramètres généraux > Gestion des rôles
Les alertes par email ne sont pas envoyées si une alerte pour le même type d'événement a été envoyée dans les 24 heures
précédentes, ceci afin d'éviter d'inonder les administrateurs en cas d'épidémie.
Configurer les alertes par email
Paramètres généraux > Configurer les alertes par email
événements
Alertes
et
En tant que super administrateur, vous pouvez modifier les paramètres d'alerte par email à l'aide de Paramètres généraux > Configurer
les alertes par email. Ici, vous pouvez définir quels administrateurs recevront des alertes par email. Si vous avez plusieurs administrateurs
dans votre compte Central, vous pouvez déterminer lesquels d'entre eux recevront les alertes par email.
De plus, vous pouvez gérer vos listes de distribution, ce qui vous permet d'ajouter les adresses email de vos listes de distribution,
systèmes de tickets ou personnes que vous souhaitez informer des alertes mais qui ne sont pas des administrateurs de Sophos
Central.
Veuillez noter que la fonctionnalité de liste de distribution n'est pas disponible dans un compte d'essai de Sophos Central.
événements
Alertes
et
Vous pouvez configurer la fréquence des alertes par email. Cette fonction vous permet de sélectionner une fréquence de réglage ; soit par gravité,
produit ou catégorie.
Si vous choisissez de définir votre fréquence par gravité, vous pouvez configurer la fréquence en fonction des alertes élevées, moyennes et
informatives.
Si vous choisissez de définir votre fréquence par produit, vous pouvez sélectionner la fréquence de réception des alertes pour Sophos Endpoint,
Sophos Wireless ou Sophos Firewall.
La sélection de la fréquence par catégorie vous permet de définir indépendamment la fréquence des alertes par email pour les logiciels
malveillants, les violations de politique, les problèmes de protection ou les mises à jour de produits.
événements
Alertes
et
Par défaut, les administrateurs recevront toutes les alertes.
Les règles personnalisées permettent de spécifier facilement que certains administrateurs ne recevront des alertes que pour des produits,
événements ou alertes spécifiques d'une certaine gravité.
Veuillez noter que l'utilisation d'une règle personnalisée arrête toutes les alertes par email envoyées aux destinataires existants. Lorsque vous
activez votre première règle personnalisée, tous les paramètres de destinataire existants sont désactivés. Si vous souhaitez utiliser les listes
d'administrateur et de distribution, configurez une règle personnalisée distincte.
De plus, vous pouvez configurer une liste d'exceptions. Ceuxci modifient la fréquence des alertes par email pour les types d'alerte
spécifiés.
Remédiation
Remédiation
Nettoyage automatique
L'onglet ÉVÉNEMENTS détaille à la fois les
événements de détection et l'événement de nettoyage
Remédiation automatique s'il a été effectué
Pour la grande majorité des détections, l'agent de protection Sophos nettoie automatiquement le fichier,
dossier, processus ou application malveillant détecté. Cependant, il existe certains scénarios où le nettoyage
peut échouer ou nécessiter une intervention manuelle de l'administrateur pour être résolu.
Nettoyage manuel
Remédiation
Afficher les informations de détection et afficher les
articles de la base de connaissances sur le type de
détection
Pour les détections nécessitant une intervention manuelle, une alerte sera déclenchée et affichée dans Sophos
Central.
Si vous sélectionnez la description de l'alerte dans la liste Alertes les plus récentes, vous serez redirigé vers
la base de connaissances qui répertorie les articles liés à cette détection. Dans ce cas, une détection C2/Generic B.
Nettoyage manuel
Remédiation
Description et informations sur la
Informations sur l'appareil et l'utilisateur Actions
détection
Si vous sélectionnez le nom de l'appareil, vous serez redirigé vers la page de l'appareil où vous pourrez consulter l'état de l'appareil
et l'onglet événement.
En cliquant sur "Afficher tous les détails", vous serez redirigé vers la page des alertes. Cette page affiche :
• Informations sur la détection. La description de celuici, ce que l'activité était susceptible de faire et vous fournit des liens vers des
articles de la base de connaissances qui fourniront des étapes sur la façon d'enquêter et de nettoyer la menace
• Informations sur l'endroit où la détection a été trouvée. Le type de point de terminaison, le système d'exploitation du point de
terminaison ainsi que le nom de l'appareil et l'utilisateur qui était connecté lorsque la détection a été déclenchée
• Actions. Dans le menu des actions, vous pouvez sélectionner l'action à entreprendre sur l'alerte et pouvez modifier la
fréquence d'alerte par email pour ce type de détection
Nettoyage manuel
Remédiation
Marquer une alerte comme résolue ne supprime pas la
menace
Si vous choisissez de marquer une alerte comme résolue en cliquant sur Marquer comme résolue, vous effacerez
l'alerte de votre console Sophos Central. Cette action NE NETTOIE PAS la menace qui a été détectée et la
cause de l'alerte.
dans les notes
Outils de nettoyage
SAV32CLI Outil de ligne de commande inclus dans l'installation de Sophos Central
Remédiation Outil de suppression de virus Téléchargement séparé qui détecte et supprime les logiciels malveillants
Amorçable OFF Scanner AV amorçable et outil de suppression
Outil Source d'infection Identifie d'où les fichiers malveillants sont écrits
Sophos fournit également plusieurs outils pour vous aider à vous remettre d'une infection.
Les outils disponibles sont :
• SAV32CLI. Il s'agit d'un outil de ligne de commande inclus dans le cadre de l'installation de Sophos Central
• Outil de suppression de virus. Il s'agit d'un téléchargement séparé pour détecter et supprimer les logiciels malveillants
• AV amorçable. Ceci est généralement utilisé en dernier recours et est un antivirus amorçable et un outil de suppression
• Outil Source d'infection. Ceci est utilisé pour aider à l'identification de l'endroit où les fichiers malveillants sont
écrit de
La plupart des outils décrits ici sont inclus dans notre Sophos Malware Remediation Toolkit (SMART). Veuillez consulter
l'article de la base de connaissances KB000034375 pour en savoir plus.
Découverte
réponse
direct
direct
en
en
et
Détection et réponse aux points finaux (EDR)
Qu'estce qu'EDR ?
• Afficher les détections d'événements et d'incidents
Détection et réponse aux événements/
• Déterminer comment répondre à une menace • Isolez
incidents les appareils sur le réseau
• Maintenir les opérations de sécurité informatique et chasser les
Découverte
réponse
direct
direct
en
en
et
Chasse aux menaces et informatique
menaces • Compiler des informations détaillées à partir des terminaux et des
Hygiène des opérations serveurs • Répondre à distance aux menaces par des actions appropriées
• Rechercher et enquêter de manière proactive sur les attaques
Enquête médicolégale persistantes • Afficher les données pertinentes associées à un incident de sécurité
• Vérifier instantanément un appareil pour enquêter et résoudre les problèmes
Fournir une assistance à distance dans
• Surveiller la sécurité sur l'ensemble du réseau • Assister les utilisateurs à
Temps réel distance
Tout d'abord, commençons par regarder ce qu'est EDR ; Endpoint Detection and Response (EDR) fournit des outils qui permettent aux
administrateurs une visibilité complète sur ce qui se passe dans leur domaine.
Grâce à EDR, les administrateurs peuvent :
• Afficher les détections d'événements et d'incidents •
Déterminer la meilleure réponse à une menace • Isoler les
appareils sur un réseau
• Maintenir les opérations de sécurité informatique et chasser les
menaces • Compiler des informations détaillées à partir des appareils protégés
• Répondre à distance aux menaces par des actions appropriées
• Rechercher et enquêter de manière proactive sur les attaques persistantes
• Afficher les données pertinentes associées à un incident de sécurité
• Vérifier instantanément un appareil pour enquêter et résoudre les problèmes •
Surveiller la sécurité via un réseau • Supporter les utilisateurs à distance
Centre d'analyse des menaces
Découverte
réponse
direct
direct
en
en
et
• Afficher les cas de menace
• Utiliser la découverte en direct
Le centre d'analyse des menaces de Sophos Central fournit toutes les fonctionnalités EDR.
Le tableau de bord affiche vos cas de menace les plus récents et les requêtes Live Discover.
Découverte
réponse
direct
direct
en
en
et
Découverte en direct et réponse en direct
Découvrir en direct
Découverte
réponse
direct
direct
en
en
et
• Visibilité sur ce qui se passe dans votre environnement
• Découvrez les risques avant qu'ils n'entraînent une violation
• Effectuer des enquêtes sur les menaces en temps réel et une surveillance de la sécurité
Live Discover est un outil de recherche de points de terminaison. Il offre la possibilité d'exécuter des recherches à distance sur
plusieurs appareils de votre réseau. Il est basé sur OSQuery (un projet Open source) et exploite la requête SQL.
Vous pouvez exécuter des recherches à distance pour des requêtes simples telles que la date du dernier correctif d'un appareil
et pour des requêtes plus complexes qui peuvent renvoyer des variantes de communication réseau sur une période spécifiée à la
recherche d'anomalies.
Les recherches renvoient des données en direct et historiques jusqu'à 90 jours d'activité, fournissant des informations informatiques, une recherche
avancée des menaces ainsi que :
• Visibilité sur ce qui se passe dans votre environnement
• Découverte des risques avant qu'ils n'entraînent une violation
• Réalisation d'enquêtes sur les menaces en temps réel et de surveillance de la sécurité
Live Discover est pris en charge sur Windows, Mac et Linux, cependant, veuillez noter que chacun de ces systèmes
d'exploitation a des schémas différents. Par conséquent, certaines des requêtes prédéfinies peuvent n'être disponibles que
pour des systèmes d'exploitation spécifiques.
Comment démarrer Sélection de l'appareil
Mettez à jour vos appareils sélectionnés en les
sélectionnant ou en les désélectionnant et en
appuyant sur Mettre à jour la liste des appareils sélectionnés
Découverte
réponse
direct
direct
en
en
et
En sélectionnant Live Discover dans le menu de gauche, vous pouvez immédiatement sélectionner le ou les appareils pour lesquels vous souhaitez
exécuter une requête.
Une liste des appareils disponibles s'affiche avec un menu de filtres qui vous permettra d'appliquer un filtre à ces appareils. Par exemple, si vous
souhaitez exécuter une requête uniquement pour les appareils Windows qui sont en ligne avec un état de santé « action nécessaire ».
Vous pouvez supprimer des appareils en les désélectionnant et en cliquant sur Mettre à jour la liste des appareils sélectionnés.
Comment démarrer Sélection de la requête
Afficher les appareils sélectionnés
Découverte
réponse
direct
direct
en
en
et
Sélectionnez une requête à exécuter
à partir de l'une des catégories
Une fois que vous avez sélectionné les appareils pour lesquels vous souhaitez exécuter une requête, vous devrez ensuite sélectionner ou créer une
requête à exécuter.
Des requêtes prédéfinies ou prédéfinies sont disponibles et regroupées en catégories. Ce sont des requêtes qui peuvent être utilisées sans
qu'il soit nécessaire de les modifier.
Par exemple, vous pouvez exécuter une requête prédéfinie qui répertorie toutes les clés de registre qui ont été modifiées au cours des 3 derniers jours.
Découverte
réponse
direct
direct
en
en
et
Les requêtes prédéfinies de Sophos sont affectées à une ou plusieurs catégories à l'aide d'un mécanisme de marquage. Vous pouvez afficher toutes
les requêtes disponibles dans la catégorie Toutes les requêtes.
Vous pouvez également afficher toutes les requêtes récentes que vous avez exécutées.
Toutes les autres catégories sont répertoriées par ordre alphabétique et incluent des catégories telles que la conformité, la chasse aux appareils et
aux menaces.
Les recherches renverront des
requêtes de toutes les catégories
Découverte
réponse
direct
direct
en
en
et
Vous pouvez rechercher les requêtes que vous souhaitez exécuter. Toutes les recherches renverront des requêtes de toutes les catégories.
La liste renvoyée affichera le nom, la description et la catégorie de la requête, ainsi que le système d'exploitation qu'elle prend en charge. L'auteur de
la requête est également répertorié. Dans cet exemple, les requêtes sont toutes des requêtes prédéfinies écrites par Sophos.
Chaque requête est écrite pour extraire des données de différentes tables de données disponibles qui contiennent des informations sur vos
appareils protégés.
Tableaux de requête
Découverte
réponse
direct
direct
en
en
et
La table de requête affichée ici répertorie un sousensemble des tables de données disponibles que vous pouvez sélectionner pour les inclure dans les requêtes.
Deux schémas de table sont utilisés pour les requêtes Live Discover, OSQuery et Sophos. Une liste complète de toutes les tables de données peut être
affichée en exécutant la requête prédéfinie de schéma de table.
Nous vous recommandons d'exécuter cette requête si vous envisagez de créer vos propres requêtes.
Comment démarrer Exécuter une requête
Découverte
réponse
direct
direct
en
en
et
Une fois que vous avez sélectionné une requête, elle détaillera le nom de la requête, sa description et qui l'a créée.
De plus, vous pouvez voir sur quels systèmes d'exploitation la requête est prise en charge. Pour les requêtes qui ont été exécutées,
vous verrez également les données de performances attendues basées sur la rapidité avec laquelle les appareils répondent à la requête et
d'autres mesures de performances.
Enfin, vous pouvez afficher la requête SQL en cours d'exécution. Toutes les requêtes peuvent être modifiées si vous souhaitez modifier une
requête pour mieux répondre à vos besoins.
Lorsque vous exécutez une requête pour la première fois, un message d'avertissement s'affiche. Cela vous avertit que la requête que
vous êtes sur le point d'exécuter n'a pas été testée dans votre environnement. Nous vous recommandons d'exécuter d'abord toute nouvelle
requête sur un seul appareil ou sur un groupe d'appareils de test.
L'exécution d'une requête sur vos appareils a un impact minimal et vous pouvez exécuter une requête sur des milliers d'appareils. Jusqu'à
cent mille lignes de données de réponse peuvent être renvoyées.
Comment démarrer Résultats de la requête
Découverte
réponse
direct
direct
en
en
et
Toutes les informations demandées dans la requête seront collectées, jointes et présentées sous la forme d'un ensemble de
données résultant. Vous pouvez choisir d'exporter les données retournées vous permettant d'interroger les données à l'aide d'un
outil de votre choix.
Dans la section de télémétrie, vous pouvez voir quels appareils ont répondu à votre requête. Si la requête s'est terminée
avec succès et qu'il n'y avait pas de données dans les tables disponibles, l'indicateur Terminé, aucune donnée envoyée sera
défini.
Piste d'audit
Découverte
réponse
direct
direct
en
en
et
Afficher la requête qui a été exécutée
et quel administrateur a exécuté la requête
Un journal d'audit est créé pour toutes les requêtes exécutées. Dans le journal d'audit, ceuxci seront répertoriés comme Live Discover dans le
champ du type d'élément.
Vous pouvez voir la date et l'heure d'exécution de la requête, ainsi que l'administrateur qui a exécuté la requête.
Réponse en direct
Commande directe
interface de ligne
Découverte
réponse
direct
direct
en
en
et
Session terminale
distante privilégiée
Effectuer l'informatique
actions d'exploitation
à distance
Live Response fournit un accès direct en ligne de commande à n'importe quel appareil administré depuis Sophos Central.
La ligne de commande directe est une session de terminal distant privilégiée qui donne un accès complet au niveau du système à
n'importe quel endpoint protégé par Sophos de votre réseau.
Réponse en direct
Administrateur avec le rôle de super administrateur
Découverte
réponse
direct
direct
en
en
et
Nécessite l'authentification MFA de l'administrateur
Activer la réponse en direct pour les terminaux pris en charge
Live Response nécessite que les conditions préalables suivantes soient remplies avant de pouvoir être utilisé :
• L'administrateur doit être un super administrateur
• L'authentification multifacteur doit être activée
• La réponse en direct doit être activée pour les points de terminaison pris en charge
Une fois les conditions préalables remplies, Live Response peut être utilisé. Il utilise la connexion sécurisée de Sophos lors de la connexion aux
appareils.
Scénarios de cas d'utilisation
Parcourir le système de fichiers pour identifier tout
Installer et désinstaller des logiciels
élément inattendu
Découverte
réponse
direct
direct
en
en
et
Afficher la liste des processus en cours d'exécution
Afficher les fichiers journaux
et choisir de mettre fin à tout ce qui est suspect
Redémarrez un appareil qui a des mises à jour en
Modifier les fichiers de configuration ou les clés de registre
attente
Vous pouvez utiliser Live Response pour exécuter une commande de terminal à distance sur n'importe quel point de terminaison protégé de votre
réseau. Par exemple, vous pouvez :
• Installer et désinstaller le logiciel
• Afficher une liste des processus en cours d'exécution et choisir de mettre fin à tout ce qui est suspect
• Redémarrez un appareil qui a des mises à jour en attente
• Parcourir le système de fichiers pour identifier tout élément inattendu
• Afficher les fichiers journaux
• Modifier les fichiers de configuration ou les clés de registre
Comment commencer
Utilisez le curseur pour Autoriser le direct
Connexions de réponse
Découverte
réponse
direct
direct
en
en
et
Sélectionnez Live Response dans les paramètres globaux
La réponse en direct est activée à partir des paramètres globaux.
Vous verrez que "Live Response" est répertorié dans les sections Endpoint Protection et Server Protection dans les paramètres globaux.
Pour activer Live Response pour vos terminaux et vos serveurs, vous devez vous assurer que vous l'avez activé dans les deux sections.
Comment commencer
Autoriser les connexions de réponse en direct
Découverte
réponse
direct
direct
en
en
et
Empêcher l'accès à des appareils
spécifiques à l'aide de Live
Réponse
Utilisez le curseur pour autoriser les connexions Live Response.
Le paramètre global Live Response est répertorié dans les catégories Endpoint Protection et Server Protection afin qu'il
puisse être activé uniquement pour les serveurs ou uniquement les terminaux.
De plus, vous pouvez définir des exclusions pour empêcher l'accès à des appareils spécifiques à l'aide de Live Response.
Comment commencer
La réponse en direct sera grisée si :
• MFA n'est pas activé
• L'appareil est hors ligne
• La réponse en direct n'est pas activée
Découverte
réponse
direct
direct
en
en
et
Une fois activé, Live Response est lancé à partir de la page Appareil dans Sophos Central.
L'option Réponse en direct sera grisée si :
• MFA n'est pas activé
• L'appareil est hors ligne
• La réponse en direct n'est pas activée
Comment commencer
Découverte
réponse
direct
direct
en
en
et
Cliquez sur Live Response pour démarrer une session de terminal sur l'appareil sélectionné.
Entrez l'objet de la session. Par exemple, l'installation de logiciels. Il y a un minimum de 10 caractères pour ce champ et la description doit
être directement liée à ce que vous prévoyez de faire sur l'appareil.
Cliquez sur Démarrer pour démarrer la session.
Comment commencer
Découverte
réponse
direct
direct
en
en
et
La fenêtre Live Response s'ouvrira et l'état de la connexion s'affichera lorsque le client sera connecté.
Une fois la connexion établie, vous pouvez exécuter les commandes requises.
Une fois que vous avez terminé la session à distance, cliquez sur Terminer la session.
Cela mettra fin à la session en cours sur l'appareil.
Journaux d'audit
Découverte
réponse
direct
direct
en
en
et
Un journal d'audit est créé pour toutes les sessions de réponse en direct qui sont effectuées.
La date et l'heure sont enregistrées avec le nom de l'administrateur et le type d'élément. Le nom de l'appareil et une description
de l'événement sont également enregistrés.
Le rapport peut être filtré et exporté.
Cas de menace
menace
Cas
de
Cas d'utilisation de cas de menace
Détection Réponse
« La menace auraitelle pu être interceptée plus tôt ? « Quels composants de cette menace sont malveillants ? »
menace
Cas
de
« Que peuton découvrir sur la menace ou "Comment la menace peutelle être contenue tout en
incident particulier ? » enquête estelle menée ? »
« Qu'estce qui rend cet incident malveillant ? » « Comment une menace peutelle être atténuée une fois qu'elle a
été contenue ? »
"Où d'autre cette menace atelle été observée?"
« Comment une réponse à des menaces similaires peutelle
« En quoi cet incident estil similaire à d'autres menaces ? » être automatisée ? »
Les cas de menace répertorient toutes les détections au cours des 90 derniers jours sur votre réseau. Les informations fournies ne nécessitent
pas nécessairement une action, cependant, elles peuvent aider à enquêter sur une menace.
Vous pouvez vous demander s'il aurait été possible d'intercepter la menace plus tôt, ou vous souhaitez peutêtre plus d'informations
sur la détection. Qu'estce qui rend la menace détectée malveillante ? Quels autres éléments
étaient impliqués? Ou simplement, comment pouvezvous identifier les zones d'amélioration de la sécurité dans votre réseau ?
Lorsque vous répondez à des menaces, vous voulez vous assurer que la menace est contenue et que le reste de votre réseau est protégé.
dans les notes
Cas de menace
Assurezvous qu'il n'y a pas d'exclusions pour les exploits Paramètres globaux > Système
Paramètres > Exclusions de l'atténuation des exploits
Vérifiez vos exclusions globales. Exclusions spécifiques pour les chemins tels que C:\Windows\Temp
menace
Cas
de
Vérifiez vos politiques de point de terminaison et de serveur, y atil des exclusions de politique qui ont été
appliquées à des répertoires tels que \\AppData\Local\Temp
Vérifiez le rapport sur les logiciels malveillants et les PUA bloqués pour les modèles, en particulier pour
les logiciels malveillants redétectés
Il convient de mentionner que vous pouvez choisir de ne prendre aucune mesure à la suite d'un cas de menace. Ils sont créés pour
une enquête informative et guidée.
Nous vous recommandons de tenir compte des éléments suivants lors de l'examen de toute détection :
• Assurezvous qu'aucune exclusion d'exploitation n'a été créée dans Sophos Central. Si une exclusion a été
appliqué, les exploits ne seront pas détectés
• Vérifiez vos exclusions globales. En particulier les exclusions de chemins tels que c:\Windows\Temp
• Vérifiez les politiques appliquées à vos appareils protégés. Une exclusion locale atelle été appliquée à la temp
annuaire?
• Consultez le rapport sur les logiciels malveillants et les PUA bloqués. Ce rapport est utile pour déterminer les tendances, en particulier
si des logiciels malveillants sont redirigés sur votre réseau
Vous trouverez de plus amples informations sur les actions requises en cas de menace dans l'article de la base de connaissances
KB000036336.
Cas de menace
menace
Cas
de
Toutes les menaces seront répertoriées dans la liste des cas de menace. Cette liste peut être filtrée par priorité, appareil et statut.
Sélectionnez un cas de menace dans la liste en sélectionnant le nom de la menace pour afficher plus de détails sur ce cas.
Cas de menace
menace
Cas
de
Dans la vue détaillée d'un cas de menace, vous verrez un flux simplifié de l'incident. Cela inclut le nom du point
de terminaison, l'adresse IP, la cause première (si identifiée) et l'événement de balise (si identifié).
La date et l'heure de l'incident sont également affichées. Vous pouvez cliquer sur le nom de la détection pour
afficher la page Sophos Threat Analysis qui peut fournir plus de détails sur la menace.
Cas de menace
menace
Cas
de
Dans la section des étapes suivantes suggérées, vous pouvez définir la priorité du cas de menace. Vous pouvez choisir d'isoler
et d'analyser l'appareil en fonction de la manière dont vous souhaitez enquêter sur le cas de menace.
De plus, vous pouvez modifier le statut du cas de menace.
Cas de menace
menace
Cas
de
Une représentation graphique du flux d'incidents s'affiche. Le graphique complet est affiché par défaut, cependant, vous
pouvez modifier la vue pour afficher le chemin direct.
Le graphique utilise une iconographie simple et claire pour aider à distinguer les types de composants. Des marqueurs de
couleur sont utilisés pour indiquer la cause première, l'événement balise, les applications autorisées et les éléments dont la
réputation est incertaine.
Cas de menace
menace
Cas
de
En sélectionnant un composant dans le graphique, vous pouvez afficher des informations supplémentaires sur ce composant dans
le menu déroulant.
Le menu déroulant affiche les informations disponibles pour le composant sélectionné. Les détails du processus, le résumé du
rapport, l'analyse de l'apprentissage automatique, les propriétés et la répartition des fichiers.
Vous pouvez demander les dernières informations sur les menaces aux SophosLabs dans l'onglet des détails du processus pour
mieux comprendre la menace.
Cas de menace
menace
Cas
de
Au bas de l'écran du cas de menace, vous pouvez voir tous les artefacts impliqués dans la menace détectée.
Ceuxci peuvent être recherchés et filtrés ou exportés vers un fichier CSV. Vous pouvez également créer un instantané médicolégal sur le point
de terminaison pour faciliter une enquête plus approfondie.
Cas de menace
menace
Cas
de
Vous pouvez également afficher le dossier de cas qui peut être utilisé pour consigner les commentaires et les mesures prises, par
exemple, l'état d'isolement ou les résultats d'une enquête.
dans les notes
Cas de menace
Soumettez un échantillon de tous les fichiers de réputation incertaine ou des fichiers suspects à
Sophos pour analyse
menace
Cas
de
Bloquez toutes les URL ou adresses IP que vous avez identifiées comme suspectes
Utilisez le contrôle des applications pour bloquer ou surveiller les applications sur votre réseau
À la suite d'une enquête utilisant un cas de menace, certaines des actions que vous pouvez choisir de prendre sont les suivantes :
• Soumettez un échantillon de tous les fichiers de réputation incertaine ou des fichiers suspects à Sophos pour analyse
• Bloquer toutes les URL ou adresses IP que vous avez identifiées comme suspectes
• Utilisez le contrôle des applications pour bloquer ou surveiller les applications sur votre réseau
Vous trouverez de plus amples informations et des exemples de cas de menace pour les détections de logiciels malveillants dans l'article de la base
de connaissances KB000036359.
Isolement de l'appareil
Isolement
l'appareil
de
Isolement initié par l'administrateur
L'état de santé du point de terminaison est défini sur rouge lorsque l'isolation est initiée
Isolement
l'appareil
de
Message contextuel de l'interface utilisateur pour informer l'utilisateur
Un administrateur peut choisir d'isoler un appareil pendant ou après une enquête sur les menaces détectées.
Cela garantit que le réseau est protégé pendant qu'une menace est nettoyée sur un appareil spécifique.
Lorsqu'un appareil est isolé, l'état de santé de l'appareil est défini sur rouge dans Sophos Central. Cet état est
partagé avec d'autres produits Sophos Central si la sécurité synchronisée est activée.
L'utilisateur de l'appareil verra un message pop pour l'informer que son appareil a été isolé.
Lorsque l'isolation de l'appareil est supprimée, l'état de santé de l'appareil revient à ce qu'il aurait été avant que
l'administrateur ne sélectionne l'isolation. Cela peut ne pas être un état de santé vert en fonction de ce qui a été
détecté.
Sécurité synchronisée
Nécessite l'activation de la sécurité synchronisée
Isolement
l'appareil
de
Le trafic autorisé est basé sur l'état de santé des appareils
Les pairs rejettent les connexions réseau basées sur l'adresse MAC
Si vous disposez d'un parefeu XG et que vous avez activé la sécurité synchronisée, les pairs peuvent rejeter le trafic réseau
de tout appareil dont l'état de santé est rouge en fonction de leur adresse MAC.
Le XG Firewall partage la liste des adresses MAC qui ont un état de santé rouge avec tous les terminaux qui ont une
pulsation avec lui. Ces points de terminaison rejetteront alors le trafic des adresses MAC de cette liste, les isolant
efficacement des appareils compromis.
Sécurité synchronisée
Rejette les connexions vers ou depuis les appareils avec une santé
rouge ou un battement de cœur de sécurité manquant
Isolement
l'appareil
de
Dans Paramètres globaux > Général > Rejeter les connexions réseau , vous pouvez activer ou désactiver la protection contre les
mouvements latéraux.
Par défaut, tous les appareils peuvent être isolés, cependant, s'il y a des appareils spécifiques que vous souhaitez exclure de l'isolement,
vous pouvez les ajouter à la liste "Exclus". Il convient de noter que tous les caches de mise à jour et les relais de messages sont
automatiquement exclus.
Vous souhaiterez peutêtre le faire pour fournir un accès à la gestion du système avec un état de santé rouge pour un triage ultérieur
en dehors de Sophos Central.
dans les notes
Isolement automatique
Isolement
l'appareil
de
Les appareils peuvent automatiquement s'isoler en fonction de leur état de santé. Si l'état de santé d'un appareil est rouge, l'appareil est
automatiquement isolé du réseau.
Ce paramètre est configuré dans la stratégie de protection contre les menaces. Pour supprimer l'isolement automatique, la cause de l'état
de santé rouge sur l'appareil doit être résolue.
Pour afficher plus d'informations sur ce qui entraînerait le changement de l'état de santé d'un appareil, veuillez consulter l'article de la
base de connaissances KB000035572.
Règles d'isolement
AUTORISER BLOQUER
• Entrant et sortant des processus
Sophos
• DNS, UDP, port distant 53, service
DNSCache • IPv4/IPv6
Isolement
l'appareil
de
• DHCPv4, UDP, port local 68, port • TCP/UDP
distant 67, service DHCP • Entrant
• DHCPv6, UDP, port local 546, port • Sortant
distant 647, service DHCP
• Trafic en boucle vers 127.0.0.0/8
et ::1/128
Ici, nous pouvons voir un aperçu des règles d'isolement.
Les processus Sophos sont autorisés pour le trafic entrant et sortant. Ces processus sont identifiés par le signataire, et non par
le chemin ou le hachage. Veuillez noter que swi_fc n'est pas inclus.
Le trafic DNS, DHCP et de bouclage local est autorisé.
Tout autre trafic IPv4 et IPv6 TCP et UDP est bloqué.
Veuillez noter que le trafic ICMP n'est pas bloqué, ce qui signifie que PING fonctionnera toujours si cela s'avère
nécessaire.
Règles d'isolement automatique
C:\> netsh wfp afficher les filtres
Isolement
l'appareil
de
Vous pouvez consulter les règles appliquées en exécutant la commande netsh wfp show filters en tant qu'administrateur.
Cela créera un fichier XML avec toutes les règles de filtrage. Vous pouvez rechercher les règles d'autoisolement pour passer en revue les
règles pertinentes.
Exceptions d'isolement automatique
Sens de circulation
Isolement
l'appareil
de
Port local
Port distant
Adresse distante ou plage CIDR
De plus, vous pouvez définir des règles d'exclusion pour l'isolation automatique. Ceuxci sont configurés en tant
qu'exclusions d'analyse.
Les règles peuvent être configurées en fonction de :
• Le sens du trafic (entrant/sortant ou les deux)
• Le port local
• Le port distant
• L'adresse distante ou la plage CIDR
Module 9 | Gestion des détections
• Tâche 9.1 : créer une exclusion d'isolement de
périphérique • Tâche 9.2 : enquêter sur une détection à l'aide d'un
cas de menace • Tâche 9.3 : identifier les programmes non autorisés
• Tâche 9.1 : créer une exclusion d'isolement de périphérique
• Tâche 9.2 : enquêter sur une détection à l'aide d'un cas de menace
• Tâche 9.3 : identifier les programmes non autorisés
Utilisez le classeur de simulation pour accéder et afficher la vue d'ensemble et les détails de chaque tâche.
Examen des modules
Démontrer les fonctionnalités disponibles incluses dans l'EDR de Sophos
Montrer comment afficher un cas de menace
Expliquer l'utilisation de Live Discover et les avantages pour les administrateurs réseau
Question 1 sur 3
VRAI ou FAUX. Les événements sont enregistrés pour toutes les détections, y compris le nettoyage
en haut.
vrai FAUX
NOUS FAIRE PARVENIR
Question 2 sur 3
Par défaut, quand les alertes par email sontelles envoyées à tous les
administrateurs Sophos Central ?
Pour les événements informatifs Pour les événements
et moyens si le logiciel importants nécessitant
malveillant a été nettoyé une intervention manuelle
Pour les événements moyens Pour tous les événements
et élevés qui nécessitent une action informatifs, moyens et élevés
NOUS FAIRE PARVENIR
Question 3 sur 3
Complète la phrase.
Marquer une alerte comme résolue ______________________ .
élimine la menace du supprime la menace pour tous
ne résout pas la menace
point final points de terminaison
NOUS FAIRE PARVENIR
Prochaines étapes
Compléter le module 10 : Dépannage et assistance
Maintenant que vous avez terminé ce module. Vous devez suivre le module 10 : Dépannage et
assistance.
Centre Sophos
Module 10 | Dépannage et assistance
Version 3.0
Il s'agit de la formation Sophos Certified Engineer Sophos Central Endpoint and Server protection. Ceci est le
module 10 : Dépannage et assistance
Sophos Central ET1510 | Dépannage et assistance
Version 3.0
© 2021 Sophos Limited. Tous les droits sont réservés. Aucune partie de ce document ne peut être utilisée ou reproduite sous quelque forme ou par quelque
moyen que ce soit sans l'accord écrit préalable de Sophos.
Sophos et le logo Sophos sont des marques déposées de Sophos Limited. Les autres noms, logos et marques mentionnés dans ce document peuvent être
des marques ou des marques déposées de Sophos Limited ou de leurs propriétaires respectifs.
Sophos Limited est une société enregistrée en Angleterre sous le numéro 2096520, dont le siège social est situé au Pentagone, Abingdon Science Park,
Abingdon, Oxfordshire, OX14 3YP.
Ingénieur certifié Sophos Central | Module 10 : Dépannage et assistance 416
Dépannage et assistance
Utilitaire de diagnostic Sophos
Outil Endpoint Self Help (ESH)
(UDS) Outil
Soutien
Dans ce module, nous examinerons les aides au dépannage disponibles ainsi que des recommandations indiquant où
trouver une assistance et des informations supplémentaires concernant la protection Sophos Endpoint et Server.
Endpoint
(ESH)
Help
Outil
Self
Outil Endpoint Self Help (ESH)
Autoassistance des terminaux (ESH)
Endpoint
(ESH)
Help
Outil
Self
Voir plus de détails dans Sophos Protection
Agent en cliquant sur À propos
L'outil Endpoint Self Help (ESH) est disponible dans l'agent de protection Sophos installé sur n'importe quel ordinateur
d'extrémité protégé.
Pour accéder à l'outil, ouvrez l'agent sur un appareil.
Une fois ouvert, sélectionnez À propos dans le coin inférieur droit.
Cette mise à jour concerne UNIQUEMENT les
mises à jour des agents
Endpoint
(ESH)
Help
Outil
Self
L'agent de protection Sophos est identique sur les ordinateurs d'extrémité et les serveurs.
Vous pouvez voir quand l'appareil a reçu pour la dernière fois des mises à jour de Sophos Central et forcer une mise à jour. Il est important
de comprendre que ces mises à jour concernent UNIQUEMENT les mises à jour des agents et NON les mises à jour des politiques.
Ici, vous pouvez également afficher les produits installés sur l'appareil ainsi que la version en cours d'exécution.
Pour afficher l'outil Endpoint Self Help Tool, cliquez sur Open Endpoint Self Help Tool.
Endpoint
(ESH)
Help
Outil
Self
L'outil est divisé en onglets répertoriés dans le menu de gauche de l'outil.
En cas de problème avec un composant de l'agent de protection, vous verrez que l'état de santé changera pour
l'onglet auquel il se rapporte. Par exemple, si un service n'est pas en cours d'exécution, l'onglet Services s'affichera
avec un indicateur d'intégrité rouge.
Endpoint
(ESH)
Help
Outil
Self
Si vous voyez un état de santé rouge pour un
composant, cliquez sur Actualiser comme première étape
En cliquant sur l'onglet, vous obtiendrez des informations supplémentaires sur l'état de santé.
Dans l'onglet Mise à jour, vous pouvez afficher la configuration de la mise à jour qui inclut l'emplacement de la mise à jour et
les détails du proxy. C'est ici que vous pouvez vérifier quel serveur est utilisé pour fournir des mises à jour si vous utilisez un
cache de mise à jour.
Dans cet exemple, la mise à jour de l'appareil est actuellement en attente, de sorte que l'outil ne peut pas renvoyer les dernières
informations de mise à jour. Le fait de cliquer sur Actualiser a mis à jour l'état de santé car l'ordinateur d'extrémité a reçu la mise
à jour de Sophos Central.
Endpoint
(ESH)
Help
Outil
Self
• Seul un redémarrage en
attente modifiera l'état de
santé de l'onglet système
La page système indique si un redémarrage du point de terminaison est en attente, ainsi que les informations de mise à jour de
l'ordinateur et de Windows.
Veuillez noter que seul "Redémarrage en attente" modifiera l'état de santé de l'onglet système. Les autres informations
ici sont à titre informatif uniquement et n'affecteront pas l'état de santé.
L'état de santé peut changer si :
Endpoint
(ESH)
Help
Outil
Self
• Un composant est signalé
comme non installé
• Plusieurs versions du même
composant sont installées
L'onglet Composants installés répertorie tous les composants installés qui composent l'agent de protection contre les
menaces sur le point final.
L'onglet fournira plus de détails si un composant est signalé comme non installé ou si plusieurs versions du même
composant sont installées
Endpoint
(ESH)
Help
Outil
Self
• Les services qui ne sont pas en cours
d'exécution ou qui manquent seront
signalés ici
L'onglet services indiquera si un service n'est pas en cours d'exécution ou si le service est manquant.
Si un composant installé associé à un service manquant n'est pas installé, une bannière apparaîtra indiquant quel
composant est affecté.
Dans tous les cas, si un service est manquant ou ne fonctionne pas, des détails sur la façon de dépanner et de résoudre le
problème s'afficheront pour vous.
Endpoint
(ESH)
Help
Outil
Self
• Vérifiez la gestion
service de communication (MCS)
• Cela indiquera quand l'appareil a reçu
pour la dernière fois les changements
de politique
L'onglet Communication de gestion fournit un dernier état de communication avec un horodatage.
C'est l'heure et la date de communication ici que vous devrez vérifier si un appareil signale qu'une stratégie n'est pas
appliquée avec succès ou si l'appareil ne signale pas à Sophos Central.
Vous pouvez afficher les détails de connexion qui répertorient le serveur, l'adresse du serveur et le nom du serveur de
relais de messages si un relais de messages est configuré.
Si un problème est signalé sur cet onglet, nous vous recommandons de consulter l'article de la base de connaissances lié, car il
fournira des étapes supplémentaires pour faciliter le dépannage.
Endpoint
(ESH)
Help
Outil
Self
• Indique la dernière fois qu'une
stratégie a été reçue, ventilée
en composants installés
spécifiés
L'onglet Stratégie fournit des informations sur la dernière fois qu'une stratégie a été reçue de Sophos Central, ventilée pour des
composants installés spécifiques.
En raison du court intervalle utilisé dans ces vérifications de stratégie, vous pouvez voir quelques horodatages indiquant Pas
depuis. Cela ne signifie pas que les stratégies ne sont pas reçues, mais seulement que tous les composants répertoriés ne
reçoivent pas de mises à jour régulières des stratégies.
Pour plus d'informations, veuillez consulter l'article de la base de connaissances lié.
Endpoint Self Help (ESH) Outils
Endpoint
(ESH)
Help
Outil
Self
Dans le menu Outils, vous pouvez vérifier les problèmes connus.
Cliquez simplement sur Exécuter qui évaluera l'appareil et renverra tous les fichiers qui doivent être vérifiés sur votre appareil.
L'onglet Infos sur le fichier vous permet d'afficher les informations sur un seul fichier. Faites simplement glisser le fichier dans la zone
ou recherchez un fichier. Les informations du fichier seront renvoyées.
Cela vous donnera le SHA256 du fichier avec la taille.
Diagnostic
Sophos
Utility
(SDU)
Outil
Outil Sophos Diagnostic Utility (SDU)
dans les notes
Outil Sophos Diagnostic Utility (SDU)
Diagnostic
Sophos
Utility
(SDU)
Outil
À partir de l'outil ESH, vous pouvez exécuter l'outil Sophos Diagnostic Utility (SDU). Le SDU collecte des informations système
vitales ainsi que des fichiers journaux pour tous les produits Sophos installés sur l'appareil.
Pour exécuter le SDU localement sur un appareil, cliquez sur Lancer le SDU.
Pour plus d'informations sur la localisation et le téléchargement de l'outil SDU, veuillez consulter l'article de la base de
connaissances KB000033500. https://support.sophos.com/support/s/article/KB000033500
Exécution du SDU
Diagnostic
Sophos
Utility
(SDU)
Outil
Une fois le SDU lancé, cliquez sur Démarrer.
Cela lancera l'outil lui permettant de collecter les informations système.
Une fois terminé, vous avez quatre options. Vous pouvez choisir de quitter le SDU et de ne rien faire d'autre.
Journaux SDU
Afficher le journal
Cette option ouvrira le fichier
journal détaillant les fichiers
collectés
Diagnostic
Sophos
Utility
(SDU)
Outil
Dossier ouvert
Cela ouvrira le dossier
contenant le journal SDU le plus
récent et toutes les archives créées par le
UDS
Soumettre…
Cela ouvrira une nouvelle fenêtre contenant
deux méthodes pour soumettre le journal SDU à
Assistance Sophos
Vous pouvez sélectionner Afficher le journal. Le choix de cette option ouvrira le fichier journal détaillant les fichiers collectés par
l'outil.
Dossier ouvert. Cela ouvrira le dossier contenant le journal SDU le plus récent et toutes les archives créées par le SDU.
L'emplacement du journal le plus récent et de toutes les archives créées est C:\Users\<username>\AppData\Local\Temp\sdu
Soumettre… Cela ouvrira une nouvelle fenêtre contenant deux méthodes pour soumettre le journal SDU au support Sophos.
dans les notes
Envoi des journaux SDU
• C'est l'option recommandée
Charger sur Sophos • Le fichier SDU sera automatiquement chargé sur Sophos
• Vous recevrez une URL, celleci est requise lorsque vous contactez le support Sophos
• Cette URL est consignée au bas du fichier sdu.log
Diagnostic
Sophos
Utility
(SDU)
Outil
• Une connexion de navigateur Web à la page de soumission de cas en ligne de Sophos sera
Manuellement dans
ouvert
un navigateur
• Vous pouvez choisir d'ouvrir un nouveau cas ou de fournir une mise à jour sur un cas existant
• Téléchargez le fichier de diagnostic ou collez le lien URL
L'emplacement de l'URL fourni dans le fichier sdu.log n'est pas accessible par conception
Il existe deux manières de charger le fichier journal SDU dans Sophos.
La première consiste à sélectionner Upload to Sophos (recommandé).
Cette option chargera automatiquement la sortie de l'utilitaire de diagnostic dans Sophos. Une fois téléchargé, vous verrez une autre fenêtre
confirmant si le téléchargement a réussi, et le lien URL créé pour l'archive téléchargée. L'URL est copiée dans le pressepapiers et sera requise
lorsque vous contacterez l'assistance. Si l'URL copiée est écrasée, elle peut être obtenue en ouvrant le sdu.log et en faisant défiler jusqu'au
bas du journal.
La deuxième méthode consiste à soumettre le journal manuellement dans un navigateur.
Cette option ouvrira une connexion de navigateur Web à notre page de soumission de cas en ligne. Cette page peut être utilisée pour ouvrir
un nouveau cas ou fournir une mise à jour d'un cas existant (si vous avez un numéro de référence de cas).
Vous pouvez soit télécharger le fichier de diagnostic, soit coller le lien URL.
Remarque : vous devez autoriser une connexion à sdufeedback.Sophos.com sur le port 443 via n'importe quel parefeu afin de soumettre vos
fichiers à Sophos. Si la connexion est bloquée, vous recevrez une erreur d'échec du téléchargement.
L'emplacement de l'URL fourni dans le journal n'est pas accessible de par sa conception.
Pour plus de détails sur l'exécution du SDU et l'envoi de fichiers au support Sophos, veuillez consulter l'article KB000033508 de la base de
connaissances. https://support.sophos.com/support/s/article/KB000033508
dans les notes
Exécuter SDU à distance
Confirmez que
vous voulez exécuter le
Utilitaire SDU sur
l'appareil
Diagnostic
Sophos
Utility
(SDU)
Outil
L'état et le nom du fichier sont répertoriés dans le
récapitulatif de l'appareil
Cliquez sur Diagnostiquer
faire fonctionner un
SDU à distance
Une SDU peut également être créée à distance depuis Sophos Central par un administrateur.
Accédez à l'appareil pour lequel vous souhaitez créer un fichier SDU et cliquez sur "Diagnostiquer" dans le menu "Plus d'actions" de
l'appareil.
Pour plus d'informations, consultez l'article KB000038603 de la base de connaissances.
Soutien
Soutien
Soutien
https://sophos.com/support
Soutien
Accédez à sophos.com/support pour accéder à la documentation, aux téléchargements, à la formation et aux packages de support.
La page de présentation vous donne un accès rapide au portail d'assistance, pour discuter avec nos agents d'assistance ou pour
dialoguer avec Sophos via Twitter.
Cliquer sur Accéder au portail d'assistance vous redirigera vers le portail d'assistance.
Portail d'assistance
https://sophos.com/support
Soutien
Le portail d'assistance, si vous n'êtes pas connecté, vous donne accès aux articles de connaissances et aux publications et articles
de la communauté.
Il fournit également des liens rapides pour vous permettre de soumettre des échantillons, d'accéder à la communauté Sophos, de consulter les
informations des SophosLabs et d'obtenir de l'aide via le compte Twitter de Sophos.
Portail d'assistance
Si vous avez un cas critique, signalezle en
utilisant le portail d'assistance et faites un suivi avec
Support Sophos utilisant votre numéro de dossier
Soutien
Sélectionnez pour soulever un cas de service
client ou un cas de support technique
Les dossiers de support sont ouverts via le portail de support sur support.sophos.com. Vous devez vous connecter avec votre identifiant
Sophos, si vous n'en avez pas, vous pouvez en créer un.
À partir du portail d'assistance, vous pouvez créer un dossier d'assistance client pour des problèmes tels que :
• Problèmes liés au portail d'accès et d'assistance
• Licences et commandes
• Mise à jour des contacts
• Réinitialisations d'authentification multifacteur
Ou vous pouvez créer un cas de support technique. Le support technique Sophos est disponible pour fournir une assistance
complète fournie par des représentants du support technique hautement qualifiés :
• Assistance multicanal 24h/24 et 7j/7
• Remplacement avancé du matériel pour les appareils
• Téléchargements et mises à jour automatiques des logiciels
Pour les cas critiques, créez d'abord un cas via le portail d'assistance, puis, une fois que vous avez reçu le numéro de cas automatisé,
effectuez un suivi en appelant l'assistance technique.
Soumission d'échantillon
https://support.sophos.com/support/s/filesubmission
Soutien
En cliquant sur les soumissions d'échantillons à partir des liens rapides du portail de support, vous pouvez facilement soumettre
des exemples de fichiers à Sophos. Nous encourageons les soumissions d'échantillons de fichiers suspects, d'emails, d'adresses
Web et de demandes d'enquête.
Pour soumettre un exemple de fichier, nous vous demandons d'inclure votre nom complet, votre pays, votre adresse email et le type
de produit Sophos que vous utilisez. Nous demandons également les détails de l'incident pour le fichier/l'adresse email ou l'adresse
Web que vous soumettez. Cela inclut le système d'exploitation sur lequel un fichier a été trouvé, ainsi que la raison pour laquelle
vous souhaitez soumettre l'échantillon.
Ces informations sont utiles pour les SophosLabs car elles les aident à comprendre pourquoi la demande a été soumise.
dans les notes
Communauté Sophos
https://community.sophos.com
Soutien
Rejoignez la communauté !
De plus, à partir des liens rapides du portail de support, vous pouvez accéder à la communauté Sophos.
La communauté propose un large éventail de forums couvrant chacun des produits Sophos. De plus, les hôtes de la communauté
publient des nouvelles et des nouvelles sur nos produits.
Ici, vous pouvez poser des questions sur le produit, demander de nouvelles fonctionnalités et signaler tout problème que vous
rencontrez avec le produit. Notre équipe de spécialistes et de contributeurs au sein de la communauté est en mesure de vous aider
avec votre publication.
La communauté Sophos est accessible en accédant à https://community.sophos.com
SophosLabs
https://sophos.com/labs
Soutien
Fournit les dernières
informations sur les
menaces de sécurité
La page SophosLabs donne accès à un aperçu des SophosLabs, nos rapports couvrant des sujets tels que les dernières
menaces et les rapports sur les menaces.
De plus, vous pouvez afficher des données en temps réel sur les principales menaces de logiciels malveillants et de spam.
Articles de la base de connaissances
Soutien
Tout au long de ce cours, nous avons mentionné un certain nombre d'articles de la base de connaissances disponibles qui fournissent des
informations supplémentaires sur les fonctions et fonctionnalités spécifiques de Sophos Central.
Les articles de notre base de connaissances sont rédigés par notre équipe d'assistance technique pour aider les utilisateurs à :
• Bonnes pratiques de déploiement et de configuration
• Configuration avancée
• Planification de reprise après sinistre
• Fichiers importants et clés de registre
• Dépannage
• Plateformes de support et calendriers de retraite
Dans cet exemple, une recherche a été lancée pour « comment soumettre des échantillons ». Dans l'onglet ARTICLES, les articles
les mieux correspondants sont répertoriés. Si vous connaissez le numéro d'article que vous recherchez, vous pouvez également le saisir.
Vidéos techniques Sophos
https://techvids.sophos.com
Soutien
Vous pouvez également accéder aux vidéos techniques de Sophos en accédant à https://techvids.sophos.com
Ces vidéos techniques incluent des vidéos sur l'exécution de tâches de configuration telles que la désactivation de la protection
antialtération, ainsi que des vidéos d'autoassistance qui montrent comment corriger les ransomwares.
Les vidéos sont divisées par produit afin que vous puissiez localiser la vidéo qui vous aidera.
Module 10 | Dépannage et assistance
• Tâche 10.1 : accéder à l'outil Endpoint Self Help (ESH) et générer une SDU • Tâche 10.2 :
résoudre un problème de mise à jour à l'aide d'ESH
Effectuez les tâches de simulation suivantes dans le module 10 :
• Tâche 10.1 : accéder à l'outil Endpoint Self Help et générer une SDU • Tâche
10.2 : résoudre un problème de mise à jour à l'aide d'ESH
Examen des modules
Déterminer quand un appareil a été mis à jour pour la dernière fois et quand il a reçu pour la dernière fois la
communication de gestion de Sophos Central
Localisez et exécutez l'outil Sophos Diagnostic Utility à la fois localement et à distance
Expliquer où trouver une assistance supplémentaire pour les produits Sophos
Question 1 sur 3
VRAI ou FAUX : seul un redémarrage en attente modifiera l'état de
santé de l'onglet "Système" dans l'outil ESH
vrai FAUX
NOUS FAIRE PARVENIR
Question 2 sur 3
Dans lequel des scénarios suivants l'état d'intégrité des
"Composants installés" changeraitil ?
Lorsqu'un service n'est pas en
Si un composant est Si l'appareil n'a pas été
cours d'exécution ou est manquant
signalé comme non installé mis à jour pendant 24 heures
pour un composant
Si aucune stratégie n'a été reçue Si plusieurs versions du même
de Sophos composant sont installées
Central
NOUS FAIRE PARVENIR
Question 3 sur 3
Un ordinateur d'extrémité signale que Sophos AutoUpdate n'est pas installé.
Dans l'outil ESH, quel onglet utilisezvous pour vérifier si AutoUpdate est installé ?
Mises à jour Composants installés
La gestion
Système
Communication
NOUS FAIRE PARVENIR
Examen du cours
Maintenant que vous avez terminé ce cours, vous devriez être en mesure de :
Expliquer comment Sophos Central Endpoint and Server Protection aide à se protéger contre les menaces de sécurité
Effectuez une installation de Sophos Central sur les terminaux Windows et MacOS et un
Serveur
Personnalisez les politiques de protection et de contrôle des menaces
Démontrer la protection contre les menaces et les fonctionnalités couramment utilisées
Gérez les cas de menace et utilisez des rapports pour évaluer et sécuriser votre environnement
Utiliser l'outil Endpoint Self Help pour identifier et résoudre les problèmes sur les terminaux Windows
À la fin de ce cours, vous devriez maintenant être en mesure d'effectuer les actions indiquées ici. Veuillez prendre un
Si vous n'êtes pas sûr d'avoir atteint ces objectifs, veuillez consulter le matériel couvert dans ce
cours.
Prochaines étapes
Maintenant que vous avez terminé ce cours, vous devez :
Compléter l' évaluation Vous disposez de 2h30 pour Vous avez 4 tentatives

dans le portail de formation compléter l'évaluation pour réussir l'évaluation
L'évaluation peut inclure des questions sur le contenu de la théorie et de la simulation
Maintenant que vous avez terminé ce cours, vous devez terminer l'évaluation dans le portail de formation.
Vous aurez deux heures et demie pour terminer l'évaluation à partir du moment où vous la lancerez.
Vous avez quatre tentatives pour réussir l'évaluation.
Et après?
Certificat d' architecte Certificat de technicien
Apprenez à planifier, installer, configurer et Fournir les connaissances et les compétences
prendre en charge les déploiements dans nécessaires pour effectuer des procédures
les environnements de production de dépannage pour les problèmes courants
Maintenant que vous avez suivi ce cours certifié Ingénieur, vous pouvez vous inscrire aux cours certifiés Architecte ou
Technicien pour Sophos Central.
La certification d' architecte est destinée aux professionnels techniques qui planifieront, installeront, configureront et prendront
en charge les déploiements dans un environnement de production.
La certification de technicien fournit les connaissances et les compétences nécessaires pour effectuer des procédures de
dépannage pour les problèmes courants.
FORMATION
Les commentaires sont toujours les bienvenus
Veuillez envoyer un email à globaltraining@sophos.com
Les commentaires sur nos cours sont toujours les bienvenus.
Veuillez nous envoyer un email à globaltraining@sophos.com avec vos commentaires.

EH15 v3.1.2 Sophos Central Endpoint and Server Protection Student Handout 286 427

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

EH15 v3.1.2 Sophos Central Endpoint and Server Protection Student Handout 286 427

Transféré par

Droits d'auteur :

Formats disponibles

Machine Translated by Google

Stockage privé des données Cryptage de toutes les données Laisser les ports ouverts

Hôte et code Réseau Fondation cloud

Utilisateur Fournisseur de services infonuagiques Partenaire

Appareil obsolète Échec Échec de la protection de l'appareil

Informationnel Moyen Haute

Remédiation Outil de suppression de virus Téléchargement séparé qui détecte et supprime les logiciels malveillants

Compléter l' évaluation Vous disposez de 2h30 pour Vous avez 4 tentatives

Vous aimerez peut-être aussi