De nouvelles fonctions puissantes dans Intercept X Advanced avec EDR 3.0
Sophos Intercept X Advanced avec EDR se situe à la pointe de la cybersécurité moderne et offre une détection d’endpoints très performante ainsi que des capacités de Deep Learning pour une protection exceptionnelle contre les activités suspectes, les malwares inconnus et les ransomwares.
Avec la version 3.0, deux fonctionnalités révolutionnaires ont été introduites pour aider les administrateurs à faire face aux exigences et aux défis quotidiens de l’IT. Ces nouvelles fonctions sont déjà disponibles pour Windows 8, 8.1, 10 et Windows Server. Le support pour Linux et Mac est prévu plus tard au cours du deuxième trimestre.
Remarque : pour utiliser les nouvelles fonctionnalités d’Intercept X Advanced avec EDR 3.0, il faut disposer d’un accès au programme Early Access. Ce programme est ouvert à toute organisation disposant d’une licence Intercept X ou Intercept X for Server. Si vous participez déjà au programme EAP « Nouvelles fonctionnalités de Endpoint Protection et EDR », vous n’avez aucune autre action à effectuer ; vos appareils recevront la mise à jour automatiquement.
Quoi de neuf ?
- Live Discover
- Live Response
Live Discover
Live Discover est la nouvelle fonctionnalité phare de Sophos Intercept X Advanced avec EDR 3.0. Live Discover vous permet de poser des questions sur des problématiques de sécurité liées à vos appareils. Pour ce faire, l’outil s’appuie à la fois sur l’historique des activités et sur l’état actuel des endpoints afin de fournir des réponses directes. Les requêtes peuvent être aussi simples que « Depuis combien de temps cet appareil est‑il en fonctionnement ? », mais elles peuvent aussi être beaucoup plus complexes, par exemple pour détecter des anomalies dans le trafic réseau ou des écarts par rapport aux valeurs de référence d’un appareil sur les 30 derniers jours. Toutes ces requêtes peuvent être lancées directement depuis Sophos Central. Vous pouvez utiliser pleinement l’API de Central, formuler vos questions et sélectionner les appareils cibles. Cela permet de détecter au plus tôt les menaces potentielles.
Comment cela fonctionne‑t‑il ?
Avec Live Discover, vous pouvez utiliser SQL pour poser pratiquement n’importe quelle question concernant vos serveurs ou endpoints. Vous pouvez choisir parmi un large ensemble de requêtes prédéfinies ou les adapter pour qu’elles renvoient exactement les informations dont vous avez besoin. Cela facilite la chasse aux menaces et la résolution de problématiques IT, par exemple :
- Quelle est la performance de l’appareil ?
- Pourquoi cet appareil fonctionne‑t‑il lentement ?
- Quel niveau de correctifs est installé ?
- Quelles informations matérielles et système sont disponibles ?
- Quelles données et quelles entrées de registre existent sur l’appareil et quels changements ont été apportés au cours des dix derniers jours ?
Outre l’adaptation des requêtes existantes, vous pouvez créer vos propres requêtes SQL et les enregistrer par catégories. Live Discover propose de nombreuses catégories, comme le montre la capture ci‑dessous :
Remarque : la communauté Sophos offre un support complémentaire et un espace pour échanger des requêtes personnalisées. Un Sophos ID est nécessaire pour y accéder.
Pour lancer une requête, commencez par sélectionner les appareils à analyser. La capture suivante illustre le résultat d’une requête portant sur les détails des systèmes d’exploitation :
Pour chaque appareil sélectionné, Live Discover renvoie notamment le nom d’hôte, le constructeur du processeur, le système d’exploitation et sa version. Les statistiques et les données sont collectées localement sur chaque appareil, puis envoyées à Central. Si vous interrogez, par exemple, 10 000 appareils, la charge est répartie entre eux, ce qui minimise l’impact sur chacun.
Comment les nouvelles fonctions de « Live Discover » vous aident dans votre travail
Live Discover :
- permet de sélectionner plusieurs appareils par requête
- fournit des capacités avancées de chasse aux menaces
- facilite les analyses forensiques
- propose des requêtes SQL pour obtenir plus de détails
- met à disposition des données historiques – du jour courant jusqu’à 90 jours en arrière
- s’adapte à plusieurs milliers d’appareils
- fournit des informations sur les correctifs, les versions d’OS, la vidéo et la mémoire
- accède aux événements système
- garde la trace de tous les processus – passés et présents
- offre une visibilité sur les modifications du registre
- fournit des informations sur les connexions utilisateur
Live Response
Live Response est une autre fonctionnalité très pratique de Sophos Intercept X avec EDR 3.0 que les admins apprécieront rapidement. Elle permet d’accéder à distance, depuis n’importe où dans le monde, aux appareils de votre environnement. Il ne s’agit pas d’une session de bureau à distance complète, mais d’une connexion sécurisée à une ligne de commande, contrôlée depuis Sophos Central dans le navigateur. Sophos Central joue le rôle de terminal pour se connecter à l’appareil ciblé. Vous pouvez ainsi mener des investigations de sécurité détaillées ou répondre en temps réel à une menace active.
Comment cela fonctionne‑t‑il ?
Avant de pouvoir démarrer une session Live Response, il faut activer le paramètre correspondant dans Sophos Central. Seuls les comptes super admin authentifiés via 2FA sont autorisés à modifier ce paramètre.
Une fois Live Response activé dans les paramètres globaux, les super admins peuvent ouvrir une session shell pour n’importe quel ordinateur ou serveur géré dans Central. Vous pouvez alors exécuter les mêmes commandes que si vous étiez connecté localement à la machine, par exemple ipconfig pour vérifier l’adresse IP de l’appareil ou la commande reg pour afficher, modifier ou supprimer des clés de registre. Il est également possible de parcourir, d’afficher et de supprimer des fichiers.
Remarque : pour le moment, seules les machines Windows et les serveurs Windows sont également pris en charge ici. Le support de Linux et Mac suivra ultérieurement.
Sophos Central fournit une connexion sécurisée vers vos appareils. Aucun port supplémentaire ne doit être ouvert pour cela. Comme mentionné plus haut, les sessions Live Response ne peuvent être lancées que par des comptes super admin avec authentification à deux facteurs activée. De plus, chaque connexion Live Response est enregistrée dans le journal d’audit, ce qui permet de savoir à tout moment quand une session a été démarrée et arrêtée.
Ce que propose Live Response
- un accès à distance à vos appareils depuis n’importe où dans le monde
- la possibilité de redémarrer les appareils en attente d’une mise à jour
- la modification des clés de registre
- la recherche dans les fichiers
- la suppression de fichiers
- le lancement de programmes et de scripts
- une aide pour repérer et éliminer les activités suspectes
- la possibilité d’inspecter tous les processus en cours d’exécution et de les arrêter à tout moment
- l’installation et la désinstallation de logiciels
- le lancement d’outils forensiques
- un accès complet au système
Essayez Sophos Intercept X avec EDR 3.0 dès maintenant
Pour vous faire vous-même une idée de Live Discover et de Live Response, il vous suffit de rejoindre l’EAP (Early Access Program) « Nouvelles fonctionnalités de Endpoint Protection et EDR ». Il faut disposer d’au moins une licence valide pour Intercept X ou Intercept X Advanced for Server.
Si vous n’avez pas encore de compte Sophos Central, vous pouvez vous inscrire sur le site de Sophos et tester toutes les fonctionnalités, y compris « Sophos Intercept X avec EDR 3.0 », gratuitement pendant 30 jours.
Si vous disposez déjà d’un compte Sophos Central et que votre période d’essai de 30 jours est arrivée à expiration, vous pouvez acheter une licence « Sophos Intercept X » ou « Intercept X Advanced for Server » via notre site, puis participer à l’EAP :
