TeamViewer Endpoint Protection offre une protection continue de vos points de terminaison contre tous les types de menaces. Managed Detection and Response va plus loin en fournissant des réponses de haute précision aux menaces. En réduisant le temps de présence des menaces critiques et en fournissant un temps moyen de résolution (MTTR) plus rapide, TeamViewer Endpoint Protection continue de fournir aux entreprises des mesures pour réduire les coûts, réduire les temps d’arrêt et augmenter l’efficacité globale de la chasse aux menaces.
Cet article s’applique aux clients TeamViewer Endpoint Protection avec le module complémentaire Managed Detection and Response (MDR).
Fonctionnalités de Managed Detection and Response
- La surveillance de la sécurité 24h/24, 7j/7 et 365j/an utilise la technologie EDR (Endpoint Detection and Response) et l’expertise humaine pour surveiller l’activité des points de terminaison à la recherche d’événements suspects.
- Détection avancée des menaces à l’aide d’outils et de techniques sophistiqués tels que les renseignements sur les menaces et l’analyse comportementale pour identifier et arrêter les menaces les plus nouvelles.
- Détection et analyse des menaces par des professionnels de la sécurité formés pour déterminer la gravité et l’impact potentiel de toute menace détectée.
- La chasse aux menaces, où les analystes de sécurité recherchent activement les menaces cachées au sein du réseau.
- Des options de remédiation flexibles permettent à l’équipe MDR de remédier activement aux menaces dès qu’elles sont découvertes, ou de fournir des conseils très pratiques aux équipes informatiques dans leurs efforts de remédiation.
Premiers pas
Une fois le service activé sur votre compte, TeamViewer vous le confirmera via une fenêtre contextuelle. Sélectionnez le bouton Setup MDR pour procéder à la configuration initiale.
Configurez les contacts principal, de secours et alternatif sur l’écran suivant. Sélectionnez le menu déroulant du contact principal et sélectionnez le membre souhaité dans le profil de votre entreprise. S’il n’est pas saisi automatiquement, insérez le numéro de téléphone principal de ce contact.
Dans la section Remediation authorization (Autorisation de correction), indiquez si vous préférez la correction ThreatDown managed (Gérée par ThreatDown) ou Guided remediation (Correction guidée) pour toutes les menaces rencontrées :
- Si l’option ThreatDown managed est sélectionnée, les menaces sont corrigées automatiquement sans redémarrage, réimagerie ou autres tâches.
- Si l’option Guided remediation est sélectionnée, vous serez guidé à travers les étapes de correction des menaces potentielles, y compris la nécessité d’effectuer d’autres tâches potentielles telles que les redémarrages.
Dans la dernière section, Isolation authorization (Autorisation d’isolation), indiquez si vous autorisez ou non l’isolement des points de terminaison en votre nom lorsqu’une réponse de sécurité est requise. Cela autorise à la fois les postes de travail et les serveurs.
Une fois terminé, cliquez sur Enregistrer dans le coin supérieur droit de l’écran. Une notification contextuelle indique que Managed Detection and Response a été activé avec succès.
Comment accéder au Portail MDR
Le portail MDR (Managed Detection and Response) gère tous les aspects du service. On peut y accéder en sélectionnant le bouton Nebula, qui se trouve dans les paramètres ou dans l’onglet détections. Une fois dans Nebula, sélectionnez Portail MDR dans le coin supérieur droit.
Découvrir le portail MDR
Le portail MDR est l’endroit où toutes les menaces détectées par MDR peuvent être consultées. Cela inclut les menaces qui ne nécessitent aucune action de l’utilisateur et celles qui le nécessitent (indiquées par un TR à droite de la menace).
Si vous devez effectuer une action supplémentaire, par exemple redémarrer l’appareil, vous pouvez accéder au panneau de contrôle. Les filtres ci-dessous vous permettent de ne voir que les messages, de savoir ce qui doit être fait et d’y répondre.
Pour accéder aux autres sections du Portail MDR, utilisez le menu dans le coin supérieur gauche.
Tableau de bord
Le tableau de bord contient un aperçu rapide de tous les appareils et menaces, y compris un aperçu des rapports allant d’un mois à plus. Cela fournit également un état de tous les cas, alertes et incidents dans le Environment Summary (Résumé de l’environnement).
Votre classeur
Votre classeur est un aperçu simple de tous les cas où votre aide est requise pour des actions supplémentaires. De plus, les rapports fournis précédemment concernant toutes les menaces sont présentés ici.
Demandes
Les demandes permettent aux utilisateurs de parler directement avec l’équipe MDR qui évalue leurs appareils. Cela peut être utilisé pour poser des questions générales ou se renseigner sur des cas qui ont déjà été clôturés.
Comment configurer Managed Detection and Response pour optimiser la protection de vos endpoints
Managed Detection and Response nécessite des paramètres spécifiques de la part de l’EDR pour fonctionner correctement. Ces paramètres se trouvent dans les paramètres de stratégie Endpoint Protection. Pour y accéder, accédez aux paramètres d’administration et sélectionnez Stratégies sous Gestion des appareils. Si vous avez déjà créé une stratégie, vous pouvez la modifier. Autrement, vous pouvez créer une nouvelle stratégie en sélectionnant Endpoint Protection dans la liste déroulante de la stratégie. Assurez-vous que les paramètres suivants sont actifs sous le système d’exploitation approprié :
- Windows
- macOS
- Surveillance des activités suspectes
- Surveillance du système d’exploitation du serveur
- Verrouiller le point de terminaison lorsqu’il est isolé
- Annulation des ransomwares
5. Surveillance des activités suspectes
6. Verrouiller le point de terminaison lorsqu’il est isolé
Comment optimiser les analyses des menaces
L’analyse des terminaux à la recherche de menaces potentielles fait partie intégrante de la configuration de la sécurité. Nous recommandons au moins deux types de scans :
- Analyse quotidienne
- Analyse hebdomadaire
Sélectionnez Daily (Tous les jours) dans la liste déroulante Général. Sous Windows, sélectionnez Threat scan (Analyse des menaces) dans la liste déroulante Méthode.
Sélectionnez Hebdomadaire dans la liste déroulante Horaire. Définissez la méthode sur Analyse personnalisée, puis activez l’option Rechercher les rootkits.
Comment garantir l’efficacité des notifications
Il est important de configurer toutes les notifications nécessaires pour vous assurer, vous et votre équipe, de rester vigilants face aux menaces potentielles. Les informations suivantes concernent les notifications spécifiques à Managed Detection and Response.
Lors de la création d’une notification, sélectionnez Managed services activity (Activité des services gérés).
Il est recommandé d’ajouter certaines conditions concernant l’envoi des notifications. Cela permet à vos administrateurs de ne pas être submergés de messages qui ne nécessitent pas leur attention.
Sélectionnez chaque option de champ ci-dessous pour voir ses valeurs disponibles :
- Type d’événement
- Priorité
- Action requise
est égal à
- Tout
- Cas créé
- Cas mis à jour
- Cas classé
est égal à
- Tout
- Critique
- Haut
- Moyen
- Bas
est égal à
- Vrai
- Faux
Dans la section suivante, sélectionnez le mode d’envoi des notifications. En plus de l’e-mail, vous pouvez choisir d’être averti via Slack/Microsoft Teams, Webhook ou l’application ThreatDown Admin.
Dans la dernière étape, l’agrégation peut être activée, ce qui réduit le nombre de notifications reçues et permet de se concentrer davantage. Cela regroupe plusieurs alertes en notifications uniques en fonction de l’intervalle et de l’option de regroupement que vous sélectionnez, ainsi que des types d’activités, des conditions et des méthodes de diffusion précédemment choisis.
Sélectionnez Terminer dans le coin inférieur droit pour enregistrer la nouvelle notification.