Sophos XDR : le programme d’accès anticipé (EAP) ‘Détection et Investigation’ est maintenant disponible

ProduitsEarly Access ProgramIntercept XIntercept X for ServerSophos XDR

Le programme d’accès anticipé (EAP) pour Sophos XDR ‘Détection et Investigation’ est désormais ouvert à tous les clients et partenaires. Cette nouvelle fonctionnalité aide les administrateurs à optimiser leur temps en se concentrant sur la résolution rapide des problèmes les plus importants.

12 Oct 2021 Par

Nous avons le plaisir d’annoncer que le programme d’accès anticipé (EAP) pour Sophos XDR ‘Détection and Investigation’ est désormais ouvert à tous les clients et partenaires. Cette nouvelle fonctionnalité aide les administrateurs à optimiser leur temps en se concentrant sur la résolution rapide des problèmes les plus importants.

Ce programme d’accès anticipé vous permet de découvrir le tableau de bord « Détections », qui propose une liste priorisée des activités suspectes afin de pouvoir mener des investigations approfondies. Ces dernières sont classées sur une échelle de risque allant de 1 à 10, permettant ainsi aux administrateurs d’identifier et de se concentrer plus facilement sur les domaines critiques.

En plus de ce classement, chaque activité est associée à une description, à un mapping en utilisant le cadre MITRE ATT&CK ainsi qu’à des informations supplémentaires : heure de l’événement, processus associés, lignes de commande exécutées, hachages de fichiers, appareil, utilisateur, etc.

Ce vaste ensemble d’informations donne aux administrateurs un contexte qui s’avère être vital, permettant ainsi de comprendre rapidement si un élément suspect nécessite une action et de prendre ensuite facilement les mesures de remédiation nécessaires.

Au fur et à mesure que ce programme d’accès anticipé se déploiera, d’autres améliorations seront apportées au tableau de bord « Détections », notamment :

  • Davantage de détails sur l’activité suspecte afin de fournir encore plus de contexte.
  • La possibilité de pivoter, aidant ainsi les administrateurs à prendre rapidement des mesures telles que le blocage des menaces.
  • Des actions supplémentaires en termes d’investigation disponibles directement depuis le tableau de bord « Détections ».

En décembre, le nouveau tableau de bord ‘Investigations’ sera ajouté, ce qui permettra aux administrateurs de collaborer plus efficacement et de partager des détails sur les investigations qui font l’objet de plusieurs détections distinctes.

Plus tard dans le programme EAP, nous prévoyons également de lancer un connecteur Office 365 qui permettra d’accéder aux journaux d’audit O365/Azure, donnant aux administrateurs la possibilité d’interroger ces données riches et de les intégrer dans leurs activités de chasse aux menaces et d’opérations informatiques.

Rejoindre le programme d’accès anticipé (EAP)

Les participants doivent avoir une licence Intercept X Advanced with XDR ou Intercept X Advanced for Server with XDR (ou bien avoir démarré un essai concernant l’un de ces produits) afin d’avoir accès et de pouvoir participer à ce programme d’accès anticipé (EAP).

Depuis Sophos Central, cliquez sur le nom d’utilisateur en haut à droite de l’écran, puis sélectionnez « Programmes d’accès anticipé » et choisissez « XDR – Détection et investigation ».

Pour lancer un essai produit intégré depuis Sophos Central, choisissez « “Essais gratuits » dans la colonne de gauche, puis sélectionnez Intercept X Advanced with XDR ou Intercept X Advanced for Server with XDR.

Les clients bénéficiant déjà du programme d’accès anticipé concernant la nouvelle fonctionnalité de protection des endpoints/serveurs peuvent également bénéficier du programme « XDR – Détection et Investigation »’

Activer « Téléchargements du Data Lake »

Les détections sont renseignées en fonction des données observées dans le Data Lake Sophos ; par conséquent, cette fonctionnalité nécessite que l’uploading de données au niveau du Data Lake soit activé. Dans la console Sophos Central, sélectionnez « Paramètres généraux », puis sous Endpoint ou Server Protection (ou les deux), sélectionnez le paramètre « Téléchargements du Data Lake » et activez « Télécharger dans le Data Lake ». Une fois activé, nous effectuerons des requêtes d’hydratation programmées concernant les appareils de l’entreprise. À partir de la page des paramètres, vous pouvez également exclure des appareils spécifiques de l’envoi de données vers le Sophos Data Lake si vous le souhaitez.

Regarder la session SophSkills pour plus de détails

Récemment, nous avons invité tous nos partenaires à participer à une session SophSkills consacrée au programme d’accès anticipé (EAP). Au cas où vous l’auriez manquée, visionnez l’enregistrement sur le Portail Partenaires Sophos (connexion requise). Karl Ackerman et Kevin Kingston de notre équipe de gestion des produits présentent le programme EAP et ses fonctionnalités au cours d’une session de 45 minutes.

À propos de l’auteur