{"id":132045,"date":"2019-11-27T12:00:00","date_gmt":"2019-11-27T11:00:00","guid":{"rendered":"https:\/\/www.avanet.com\/blog\/sophos-mtr-recherche-de-menaces-par-des-experts-24-7\/"},"modified":"2023-09-19T12:23:21","modified_gmt":"2023-09-19T11:23:21","slug":"sophos-mtr-recherche-de-menaces-par-des-experts-24-7","status":"publish","type":"post","link":"https:\/\/www.avanet.com\/fr\/blog\/sophos-mtr-recherche-de-menaces-par-des-experts-24-7\/","title":{"rendered":"Sophos MTR – Recherche de menaces par des experts 24\/7"},"content":{"rendered":"\n

Le 1er octobre, Sophos a lanc\u00e9 un service prometteur que j’aimerais vous pr\u00e9senter un peu plus en d\u00e9tail. Il s’agit de MTR<\/strong> ou, en fran\u00e7ais, de Managed Threat Response (r\u00e9ponse g\u00e9r\u00e9e aux menaces<\/strong>). Ce nouveau produit est le r\u00e9sultat des deux acquisitions Rook Security<\/strong> et DarkBytes<\/strong>. Rook Security est particuli\u00e8rement pr\u00e9sent dans le domaine des services de cette offre, tandis que DarkBytes a apport\u00e9 sa part de technologie avec Managed Detection and Response (MDR).<\/p>\n\n

Qu’est-ce que Sophos Managed Threat Response (MTR) ?<\/h2>\n\n

Sophos MTR est bas\u00e9 sur Intercept X Advanced avec EDR<\/strong> et s’adresse au grand et gros \u00e9l\u00e9phant de la pi\u00e8ce. \ud83d\ude05 Ceux qui ont d\u00e9j\u00e0 lu mon article sur Endpoint Detection and Response<\/a> savent o\u00f9 se situe la valeur ajout\u00e9e de ce produit. Mais de nombreux clients n’ont tout simplement pas le temps de se lancer eux-m\u00eames dans la recherche de menaces potentielles. Si l’on ajoute \u00e0 cela le fait que ce travail requiert un personnel hautement qualifi\u00e9 et sp\u00e9cialis\u00e9<\/strong>, disposant du bon niveau d’expertise, on comprend mieux pourquoi il est si difficile d’obtenir des r\u00e9sultats. Non seulement ces personnes sont particuli\u00e8rement difficiles \u00e0 trouver, mais leur niveau de r\u00e9mun\u00e9ration est vraiment \u00e9lev\u00e9. Si ce service doit \u00eatre \u00e9tendu \u00e0 un service 24h\/24, cela consomme une tr\u00e8s grande partie du capital pour votre s\u00e9curit\u00e9 informatique. En r\u00e8gle g\u00e9n\u00e9rale, seuls les tr\u00e8s grands groupes ont la possibilit\u00e9 et les moyens financiers de cr\u00e9er des incitations sp\u00e9ciales pour les collaborateurs.<\/p>\n\n

C’est l\u00e0 qu’intervient le nouveau service MTR de Sophos en vous offrant un service 24h\/24 et 7j\/7<\/strong> sous la forme d’une \u00e9quipe de s\u00e9curit\u00e9 d’\u00e9lite qui se charge de la d\u00e9tection des menaces dans votre entreprise et peut intervenir imm\u00e9diatement dans les situations d\u00e9licates. Le nouveau produit MTR n’est donc pas un \u00e9l\u00e9ment de menu suppl\u00e9mentaire dans votre tableau de bord Central Admin, mais offre une r\u00e9action cibl\u00e9e par des personnes. Sophos met l’accent sur l’intervention autonome<\/strong> de ce service. Ainsi, en cas d’attaque, l’\u00e9quipe MTR de Sophos ne se contentera pas de vous en informer, mais prendra \u00e9galement les mesures n\u00e9cessaires en votre nom si vous le souhaitez. Vous b\u00e9n\u00e9ficiez donc d’un \u00ab\u00a0fully-managed service\u00a0\u00bb.<\/p>\n\n

Quelles sont les variantes du service MTR ?<\/h2>\n\n

Nous allons d\u00e9finitivement int\u00e9grer la nouvelle offre MTR dans notre catalogue de produits et serons bient\u00f4t en mesure de la proposer sur notre site Internet. En principe, le service est disponible dans les variantes suivantes :<\/p>\n\n

  1. Central Intercept X Advanced avec EDR et MTR [Standard \/ Advanced]<\/strong> – Il s’agit du bundle pour tous les clients qui n’ont pas encore achet\u00e9 de licence EDR. Cela concerne donc les clients ayant par exemple \u00ab\u00a0Intercept X Advanced\u00a0\u00bb ou seulement la \u00ab\u00a0Endpoint Protection\u00a0\u00bb.<\/li>
  2. Central MTR [Standard \/ Advanced]<\/strong> – Cette variante convient \u00e0 tous les clients qui utilisent d\u00e9j\u00e0 \u00ab\u00a0Intercept X Advanced avec EDR\u00a0\u00bb et qui souhaitent acheter MTR en tant que module compl\u00e9mentaire.<\/li><\/ol>\n\n

    Standard ou Advanced – Quelles sont exactement les diff\u00e9rences ?<\/h2>\n\n

    Comme vous pouvez le voir dans les deux variantes ci-dessus, Sophos MTR est propos\u00e9 en version standard<\/strong> et en version avanc\u00e9e<\/strong>. Voyons quels services sont inclus dans les deux forfaits :<\/p>\n\n

    Etendue des services de la variante standard<\/strong><\/h3>\n\n

    Recherche de menaces bas\u00e9e sur des indices 24h\/24 et 7j\/7<\/h4>\n\n

    Une fois que vous avez obtenu une licence Sophos MTR et que vous avez suivi le processus d’embarquement (nous y reviendrons plus tard), votre compte Central sera connect\u00e9 au syst\u00e8me automatis\u00e9 de l’\u00e9quipe MTR. Comme ce syst\u00e8me apprend en permanence, il peut r\u00e9agir automatiquement aux menaces connues. La recherche de menaces bas\u00e9e sur des indices<\/strong> intervient lorsque quelque chose a \u00e9t\u00e9 d\u00e9tect\u00e9 sur votre syst\u00e8me, mais n’a pas pu \u00eatre compl\u00e8tement corrig\u00e9 et n\u00e9cessite une expertise humaine. Vous pouvez vous imaginer que c’est un peu comme le \u00ab\u00a0Centre d’analyse des menaces\u00a0\u00bb dans votre compte Admin central. Vous y verrez d’une part les menaces qui ont d\u00e9j\u00e0 \u00e9t\u00e9 stopp\u00e9es automatiquement par Intercept X Advanced et d’autre part les \u00ab\u00a0objets suspects\u00a0\u00bb qui ont \u00e9t\u00e9 d\u00e9tect\u00e9s gr\u00e2ce \u00e0 l’IA (intelligence artificielle), mais qui n’ont pas pu \u00eatre corrig\u00e9s. Dans une telle situation, l’\u00e9quipe MTR est l\u00e0 pour vous sur une base 24\/7. Un expert examine alors attentivement l’indice critique et d\u00e9cide, sur la base de son exp\u00e9rience, du degr\u00e9 de gravit\u00e9 de cette d\u00e9tection particuli\u00e8re et de ce qui doit \u00eatre fait. Les connaissances et les enseignements tir\u00e9s de cet incident sont ensuite transmis au syst\u00e8me automatis\u00e9 de l’\u00e9quipe MTR. La prochaine fois que la m\u00eame d\u00e9tection se produira dans un autre sc\u00e9nario, le syst\u00e8me pourra y r\u00e9pondre automatiquement.<\/p>\n\n

    D\u00e9tection des attaques<\/h4>\n\n

    Parall\u00e8lement \u00e0 la recherche de menaces bas\u00e9e sur des indices, l’\u00e9quipe MTR accorde une attention particuli\u00e8re aux attaques ex\u00e9cut\u00e9es via des processus s\u00e9rieux, tels que PowerShell. De telles attaques sont tr\u00e8s souvent couronn\u00e9es de succ\u00e8s, car elles sont tr\u00e8s difficiles \u00e0 d\u00e9tecter pour les outils de surveillance. L’\u00e9quipe MTR surveille ces processus \u00e0 l’aide de m\u00e9thodes d’analyse d\u00e9velopp\u00e9es en interne afin de s’assurer qu’ils ne sont pas d\u00e9tourn\u00e9s \u00e0 des fins malveillantes.<\/p>\n\n

    Rapports d’activit\u00e9<\/h4>\n\n

    L’\u00e9quipe MTR attache une grande importance \u00e0 la transparence vis-\u00e0-vis de vous, ses clients. Vous recevrez donc des rapports d’activit\u00e9 qui vous montreront tout ce que l’\u00e9quipe MTR a fait en votre nom. Vous d\u00e9couvrirez l’\u00e9tat actuel de vos syst\u00e8mes, les informations recueillies au cours de la p\u00e9riode de rapport et les menaces qui ont pu \u00eatre \u00e9vit\u00e9es. Un histogramme de ces rapports est alors cr\u00e9\u00e9 sur la p\u00e9riode pendant laquelle vous utilisez le service MTR. Ces donn\u00e9es sont utilis\u00e9es par Sophos pour cr\u00e9er des \u00ab\u00a0tableaux de bord\u00a0\u00bb qui vous permettent de vous comparer aux p\u00e9riodes pr\u00e9c\u00e9dentes. Cela vous permet d’obtenir la transparence promise et de savoir tr\u00e8s rapidement si le service MTR vous est utile.<\/p>\n\n

    Contr\u00f4le de sant\u00e9 de s\u00e9curit\u00e9<\/h4>\n\n

    Comme vous pouvez le voir dans les trois prestations ci-dessus, le service MTR standard consiste \u00e0 d\u00e9tecter les menaces et \u00e0 pr\u00e9venir les attaques. Le contr\u00f4le de sant\u00e9 de la s\u00e9curit\u00e9<\/strong> garantit \u00e9galement que vos produits Sophos Central, tels qu’Intercept X Advanced avec EDR<\/strong>, fonctionnent toujours avec des performances maximales. Pour ce faire, l’\u00e9quipe MTR se penche sur vos besoins en mati\u00e8re de r\u00e9seau et formule des recommandations pour les modifications de configuration. Vous pouvez donc \u00eatre s\u00fbrs que les produits Central seront parfaitement adapt\u00e9s \u00e0 votre entreprise.<\/p>\n\n

    \n\n

    Etendue des services de la variante Advanced<\/strong><\/h3>\n\n

    Voyons quels services suppl\u00e9mentaires vous sont offerts dans la variante Advanced :<\/p>\n\n

    Recherche de menaces sans indices 24h\/24 et 7j\/7<\/h4>\n\n

    En plus de la recherche de menaces bas\u00e9e sur des indices<\/strong> dans le pack standard, vous recevez \u00e9galement la recherche de menaces sans indices<\/strong> dans la variante Advanced. Les analystes de l’\u00e9quipe MTR sont les mieux plac\u00e9s pour examiner les appareils ou les comptes utilisateurs les plus importants de votre entreprise. Ils examinent la mani\u00e8re dont le r\u00e9seau communique, si des processus suspects sont en cours d’ex\u00e9cution ou si un comportement inhabituel ou atypique peut \u00eatre constat\u00e9. Les donn\u00e9es collect\u00e9es sont utilis\u00e9es pour tenter de pr\u00e9dire la strat\u00e9gie des attaquants et d’identifier de nouveaux indicateurs d’attaque (IoA). Lorsqu’un incident est d\u00e9tect\u00e9, un responsable de r\u00e9action d\u00e9di\u00e9 vous est attribu\u00e9 et vous assiste par t\u00e9l\u00e9phone dans la r\u00e9solution compl\u00e8te du probl\u00e8me !<\/p>\n\n

    Donn\u00e9es t\u00e9l\u00e9m\u00e9triques optimis\u00e9es<\/h4>\n\n

    Le paquet standard de MTR comprend les donn\u00e9es mises \u00e0 disposition par Intercept X Advanced avec EDR<\/strong>. Pour une meilleure t\u00e9l\u00e9m\u00e9trie, la version Advanced va au-del\u00e0 de la simple d\u00e9tection d’\u00e9v\u00e9nements sur le point d’acc\u00e8s et int\u00e8gre les donn\u00e9es d’autres produits Central dans l’analyse des menaces.<\/p>\n\n

    Assistance t\u00e9l\u00e9phonique directe<\/h4>\n\n

    Un autre avantage de la variante Advanced est un acc\u00e8s direct \u00e0 l’\u00e9quipe d’analystes MTR, qui est \u00e0 votre disposition 24h\/24 et 7j\/7. Ainsi, si vous avez une question ou si vous souhaitez par exemple parler d’une menace particuli\u00e8re, vous pouvez contacter directement le Security Operations Center (SOC) par t\u00e9l\u00e9phone.<\/p>\n\n

    Am\u00e9lioration proactive de l’\u00e9tat de s\u00e9curit\u00e9<\/h4>\n\n

    Dans le package Advanced, le Security Health Check<\/strong> passe au niveau sup\u00e9rieur. Alors que la variante standard donne des recommandations g\u00e9n\u00e9rales pour la configuration des produits Central, l’\u00e9quipe MTR tient d\u00e9sormais compte du contexte commercial derri\u00e8re les param\u00e8tres de configuration d’une politique, par exemple. Vous recevrez de l’aide pour corriger les vuln\u00e9rabilit\u00e9s de configuration et d’architecture qui ont un impact n\u00e9gatif sur votre s\u00e9curit\u00e9.<\/p>\n\n

    Reconnaissance des actifs<\/h4>\n\n

    Le personnel sp\u00e9cialis\u00e9 de Sophos ne se contente pas de discuter avec vous des processus op\u00e9rationnels critiques, mais se procure \u00e9galement une vue d’ensemble des applications utilis\u00e9es et identifie les points d’attaque potentiels qu’elles peuvent cr\u00e9er dans le syst\u00e8me. Pour ce faire, l’\u00e9quipe MTR tient compte de ce que l’on appelle un \u00ab\u00a0inventaire des actifs\u00a0\u00bb, qui les aide \u00e0 comprendre quelles applications sont ex\u00e9cut\u00e9es sur un point d’acc\u00e8s et si elles sont affect\u00e9es par des vuln\u00e9rabilit\u00e9s ouvertes. Il en r\u00e9sulte des informations d\u00e9taill\u00e9es pr\u00e9cieuses, sp\u00e9cialement adapt\u00e9es \u00e0 votre entreprise.<\/p>\n\n

    \n\n

    Quels sont les niveaux d’assistance propos\u00e9s par l’\u00e9quipe MTR de Sophos ?<\/h2>\n\n

    Que vous choisissiez la variante Standard ou Advanced, vous gardez le contr\u00f4le sur le degr\u00e9 d’autonomie de l’\u00e9quipe MTR. Cela est r\u00e9gl\u00e9 d\u00e8s le d\u00e9but par le processus d’onboarding<\/strong>. Lorsque vous achetez le service MTR de Sophos, vous pouvez choisir entre trois options qui d\u00e9terminent la r\u00e9ponse que vous attendez de l’\u00e9quipe MTR :<\/p>\n\n

    1. Notification :<\/strong> Si l’\u00e9quipe MTR de Sophos a d\u00e9tect\u00e9 une menace ou une attaque, \u00e0 ce niveau, elle vous en informera seulement, mais n’interviendra pas pour vous de mani\u00e8re autonome. Vous recevrez toutefois un rapport d\u00e9taill\u00e9 sur la cause et la d\u00e9tection avec des \u00e9tapes r\u00e9alisables pour \u00e9liminer le danger de mani\u00e8re autonome.<\/li>
    2. Collaboration :<\/strong> l’\u00e9quipe MTR de Sophos collabore avec vos employ\u00e9s, voire avec une soci\u00e9t\u00e9 de conseil externe, et r\u00e9agit aux menaces appropri\u00e9es.<\/li>
    3. Autorisation<\/strong>: ici, l’\u00e9quipe MTR s’occupe de mani\u00e8re compl\u00e8tement autonome des actions de confinement et de neutralisation et vous informe simplement des mesures prises.<\/li><\/ol>\n\n

      Qu’est-ce qui diff\u00e9rencie Sophos MTR de ses concurrents qui offrent \u00e9galement un service similaire ?<\/h2>\n\n

      Sophos cite deux concurrents, SentinelOne<\/strong> et CrowdStrike<\/strong>, qui font partie de la concurrence la plus rude en termes d’offre. Le service MTR de Sophos pr\u00e9sente toutefois un avantage d\u00e9cisif. Jusqu’\u00e0 pr\u00e9sent, il n’y a pas eu d’action autonome et proactive. Gr\u00e2ce au niveau de r\u00e9ponse Autorisation<\/strong> mentionn\u00e9 ci-dessus, vous n’avez plus besoin de traiter vous-m\u00eame des listes interminables de messages d’erreur et de menaces chez Sophos. Tout cela peut maintenant \u00eatre pris en charge en votre nom par des sp\u00e9cialistes form\u00e9s par Sophos.<\/p>\n\n

      Certes, SentinelOne<\/strong> et CrowdStrike<\/strong> proposent \u00e9galement un tel service, mais uniquement pour le niveau de service le plus \u00e9lev\u00e9, qu’une petite entreprise ne peut pas se permettre. En revanche, le niveau d’autorisation le plus \u00e9lev\u00e9 de Sophos MTR, peut \u00eatre utilis\u00e9 par toutes les entreprises, quelle que soit leur taille ou le niveau de service souscrit.<\/p>\n\n

      Quels sont les syst\u00e8mes que Sophos peut actuellement servir avec ce service ?<\/h2>\n\n

      Le service n’a \u00e9t\u00e9 mis en service que le 1er octobre. Pour cette raison, seul le support pour Windows Endpoint 32 et 64 bits est actuellement propos\u00e9. La prise en charge d’autres syst\u00e8mes, tels que Windows Server, Linux et Mac OS<\/strong>, devrait suivre fin novembre 2019. Toutefois, aucune date pr\u00e9cise n’a encore \u00e9t\u00e9 communiqu\u00e9e.<\/p>\n\n

      De plus, dans un premier temps, le service n’est disponible qu’en anglais. Il est toutefois pr\u00e9vu d’ajouter d’autres langues au r\u00e9pertoire. Toutefois, la date et les langues concern\u00e9es n’ont pas encore \u00e9t\u00e9 d\u00e9finies.<\/p>\n\n

      Conclusion sur le Sophos Managed Threat Response Service<\/h2>\n\n

      Ce que j’ai lu et entendu jusqu’\u00e0 pr\u00e9sent sur le service MTR de Sophos m’a vraiment convaincu ! Gr\u00e2ce \u00e0 ce service de Sophos, les petites et moyennes entreprises ont \u00e9galement la possibilit\u00e9 de s’offrir une protection compl\u00e8te et professionnelle en mati\u00e8re de s\u00e9curit\u00e9 informatique. La recherche de personnel qualifi\u00e9 et exp\u00e9riment\u00e9 est ainsi fortement r\u00e9duite et vous pouvez faire appel aux experts de Sophos eux-m\u00eames.<\/p>\n\n

      Je trouve \u00e9galement tr\u00e8s bien les trois niveaux d’assistance que Sophos propose \u00e0 tous ses clients lors du processus d’int\u00e9gration. Vous pouvez donc d\u00e9cider vous-m\u00eame du degr\u00e9 de contr\u00f4le que vous souhaitez abandonner. L’offre du \u00ab\u00a0niveau d’autorisation\u00a0\u00bb, qui est \u00e9galement disponible dans la variante standard, est absolument sans concurrence ! Vous n’avez donc pas besoin de souscrire au package Advanced, plus on\u00e9reux, si vous souhaitez que les sp\u00e9cialistes Sophos s’occupent de la s\u00e9curit\u00e9 de votre r\u00e9seau de mani\u00e8re totalement autonome.<\/p>\n\n

      Si vous \u00eates int\u00e9ress\u00e9s par Sophos MTR, n’h\u00e9sitez pas \u00e0 nous contacter. Nous publierons bient\u00f4t les diff\u00e9rentes variantes du service MTR sur notre site web, et le prix ne sera donc plus un secret. Nous r\u00e9pondrons volontiers \u00e0 vos questions lors d’un entretien personnel.<\/p>\n","protected":false},"excerpt":{"rendered":"

      Le 1er octobre, Sophos a lanc\u00e9 un service prometteur que j’aimerais vous pr\u00e9senter un peu plus en d\u00e9tail. Il s’agit de MTR ou, en fran\u00e7ais, de Managed Threat Response (r\u00e9ponse g\u00e9r\u00e9e aux menaces). Ce nouveau produit est le r\u00e9sultat des deux acquisitions Rook Security et DarkBytes. Rook Security est particuli\u00e8rement pr\u00e9sent dans le domaine des […]<\/p>\n","protected":false},"author":4,"featured_media":36887,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-132045","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-unkategorisiert"],"blocksy_meta":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/posts\/132045","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/comments?post=132045"}],"version-history":[{"count":0,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/posts\/132045\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/media\/36887"}],"wp:attachment":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/media?parent=132045"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/categories?post=132045"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/tags?post=132045"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}