Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/mdr/help/fr-fr/index.html?contextId=mode

À propos du Mode de réponse aux menaces

Nous savons que la taille, les capacités et les besoins des équipes chargées de la gestion de la sécurité informatique varient considérablement. Nous vous laissons décider quand et comment les menaces sont escaladées, quelles actions de réponse (le cas échéant) vous souhaitez que nous lancions et qui doit être inclus dans le processus de communication.

Il existe 2 options de mode de réponse aux menaces, que vous soyez abonné à MDR Essentials ou MDR Complete.

  • Collaborer

    Le mode de réponse aux menaces « Collaborer » vous envoie des notifications des activités observées et des recommandations correspondantes. L’équipe MDR Ops mène une investigation mais aucune action de réponse n’est prise sans votre consentement ou votre implication active. Le mode Collaborer conviendra aux entreprises qui souhaitent faire exécuter certaines actions de réponse par l’équipe MDR Ops et d’autres par leur équipe ou un partenaire tiers (par exemple, un fournisseur de services managés).

    Sous ce mode, l’équipe MDR Ops doit recevoir une autorisation écrite avant de pouvoir exécuter des actions de réponse. Vous êtes le capitaine et nous sommes votre copilote.

    Sous Collaborer, une option vous permet d’autoriser l’équipe MDR Ops à fonctionner en mode Autoriser si Sophos ne reçoit pas de confirmation après avoir tenté de joindre tous les contacts définis par le client par téléphone. Si vous préférez travailler de cette façon, veuillez cocher la case sous Collaborer dans Sophos Central.

  • Autoriser

    Le mode de réponse aux menaces « Autoriser » vous envoie également des notifications d’activités observées, mais l’équipe MDR Ops gère de manière proactive toutes les actions de confinement (avec neutralisation complète pour les clients MDR Complete) en votre nom et vous informe des actions prises. Le mode Autoriser conviendra aux entreprises qui souhaitent que nous prenions en charge la plus grande partie possible de la charge de travail, que nous les informions des actions de réponse mises en place et que nous leur transmettions uniquement les informations qui exigent des actions spécifiques de leur part ou de la part de leurs partenaires tiers que nous ne pouvons pas effectuer nous-même. Dans ce cas, nous agissons comme capitaine.

Les Modes de réponse en action

Voyons comment fonctionnent les modes de réponse à l’aide d’un exemple pratique :

L’équipe MDR Ops identifie une attaque de ransomware active dans votre environnement.

  • Collaborer

    L’équipe MDR Ops suit le processus de notification par téléphone et par email décrit ci-dessus. Il est possible qu’exceptionnellement, vous ne soyez pas en mesure d’effectuer les actions de réponse requises parce que vous êtes en vacances sans ordinateur portable ou que vous êtes à la maison pour prendre soin d’un enfant malade. Vous avez donc besoin que nous prenions ces mesures en votre nom. Dans de telles situations, il vous suffit de nous donner l’autorisation de gérer la situation à votre place.

  • Autoriser

    L’équipe MDR Ops exécute rapidement des actions de réponse pour neutraliser l’attaque de ransomware. Une fois la menace neutralisée, l’équipe MDR Ops vous contacte par téléphone ou par email pour vous communiquer des informations détaillées sur la menace et les mesures prises pour la neutraliser.