Base de connaissances

Retour à l’aperçu de l’assistance

Threatdown Endpoint Protection and Response (EDR), développé par Malwarebytes offre une protection continue de vos terminaux contre tous types de menaces. Managed Detection and Response va plus loin en fournissant des réponses de haute précision aux menaces. En réduisant le temps de présence des menaces critiques et en fournissant un temps moyen de résolution (MTTR) plus rapide, EDR continue de fournir aux entreprises des mesures pour réduire les coûts, réduire les temps d’arrêt et augmenter l’efficacité globale de la chasse aux menaces.

Cet article s’applique aux clients Endpoint Protection and Response avec l'add-on Managed Detection and Response (MDR).

Fonctionnalités de Managed Detection and Response

  • Surveillance de la sécurité 24h/24, 7j/7 et 365j/an utilisant la technologie EDR (Endpoint Detection and Response) et l’expertise humaine pour surveiller l’activité des terminaux à la recherche d’événements suspects.
  • Détection avancée des menaces à l’aide d’outils et de techniques sophistiqués tels que les renseignements sur les menaces et l’analyse comportementale pour identifier et arrêter les menaces les plus récentes.
  • Détection et analyse des menaces par des professionnels de la sécurité formés pour déterminer la gravité et l’impact potentiel de toute menace détectée.
  • Chasse aux menaces, où les analystes de sécurité recherchent activement les menaces cachées au sein du réseau.
  • Options de remédiation flexibles permettant à l’équipe MDR de remédier activement aux menaces dès qu’elles sont découvertes, ou de fournir des conseils très pratiques aux équipes informatiques dans leurs efforts de remédiation.

Premiers pas

Une fois le service activé sur votre compte, TeamViewer vous le confirmera via une fenêtre contextuelle. Sélectionnez le bouton Setup MDR pour procéder à la configuration initiale.

Configurez les contacts principal, de secours et alternatif sur l’écran suivant. Sélectionnez le menu déroulant du contact principal et sélectionnez le membre souhaité dans le profil de votre entreprise. S’il n’est pas saisi automatiquement, insérez le numéro de téléphone principal de ce contact.

Note : Seule la personne-ressource principale est requise. Des contacts de secours et alternatifs peuvent être ajoutés si nécessaire.

Dans la section Remediation authorization (Autorisation de correction), indiquez si vous préférez la correction ThreatDown managed (Gérée par ThreatDown) ou Guided remediation (Correction guidée) pour toutes les menaces rencontrées :

  • Si l’option ThreatDown managed est sélectionnée, les menaces sont corrigées automatiquement sans redémarrage, réimagerie ou autres tâches.
  • Si l’option Guided remediation est sélectionnée, vous serez guidé à travers les étapes de correction des menaces potentielles, y compris la nécessité d’effectuer d’autres tâches potentielles telles que les redémarrages.

Dans la dernière section, Isolation authorization (Autorisation d’isolation), indiquez si vous autorisez ou non l’isolement des terminaux en votre nom lorsqu’une réponse de sécurité est requise. Cela autorise à la fois les postes de travail et les serveurs.

Une fois terminé, cliquez sur Enregistrer dans le coin supérieur droit de l’écran. Une notification contextuelle indique que Managed Detection and Response a été activé avec succès.

Note : EDR doit être activé avant de tenter d’activer Managed Detection and Response. Si vous essayez d’activer le module complémentaire MDR avant d’activer Endpoint Detection & Response, un message d’erreur s’affiche.

Comment accéder au Portail MDR

Le portail Managed Detection and Response gère tous les aspects du service. On peut y accéder en sélectionnant le bouton Nebula, qui se trouve dans les paramètres ou dans l’onglet détections. Une fois dans Nebula, sélectionnez Managed Services pour consulter tous les cas et incidents signalés.

Découvrir le portail MDR

Le portail MDR, développé par ThreatDown, est le tableau de bord de contrôle de votre licence. L'onglet Managed Services se trouve dans le portail, où vous pouvez consulter tous les rapports MDR et prendre les mesures nécessaires.  

Les Managed Services sont divisés en deux sections principales :

Vue d'ensemble

L'onglet Overview (Vue d'ensemble) fournit un résumé centralisé et de haut niveau de vos cas d'infogérance par le biais d'une collection de widgets interactifs. Ces widgets sont conçus pour offrir une vue d'ensemble de l'activité des cas, aidant les utilisateurs à surveiller et à évaluer la posture de sécurité de leur environnement Nebula de manière efficace. En présentant des données concises et pertinentes, l'onglet Overview sert de point de départ pour comprendre les tendances, identifier les zones de préoccupation et prioriser les actions.

Cet onglet est particulièrement utile pour comprendre rapidement les activités malveillantes dans votre environnement. Il prend en charge le filtrage temporel, ce qui permet aux utilisateurs de limiter l'étendue des informations affichées à une période donnée. Cette fonctionnalité facilite l'analyse des tendances ou l'investigation des incidents dans un laps de temps donné.

Les widgets suivants sont disponibles dans l'onglet Overview, chacun ayant une fonction spécifique :

  1. Cases by Stage (Cas par stade) : Ce widget fournit une vue d'ensemble de l'activité des cas en les classant en fonction de leur stade actuel dans le cycle de vie de la réponse à l'incident. Cela aide les utilisateurs à suivre l'évolution des cas, par exemple s'ils sont nouvellement ouverts, en cours d'enquête ou résolus.
  2. Cases by Priority (Cas par Priorité) : Ce widget affiche le nombre de cas ouverts regroupés par niveau de priorité. La mise en évidence de l'urgence de chaque cas permet aux utilisateurs d'identifier rapidement les cas hautement prioritaires qui peuvent nécessiter une attention immédiate, garantissant ainsi que les problèmes critiques sont traités rapidement.
  3. Top Case Close Reasons (Principales raisons de clôture des dossiers) : Ce widget identifie les raisons les plus courantes de clôture des dossiers, telles que déterminées par les analystes. La synthèse de ces tendances fournit des informations précieuses sur les facteurs récurrents à l'origine des résolutions de cas, aidant les équipes à optimiser leurs stratégies de réponse et à améliorer les résultats futurs.

Cas

L'onglet Cases de la page Managed Services affiche une liste de cas ouverts et leurs détails. Les informations suivantes sont disponibles dans l'onglet Cases :

  • Alerts (Alertes) : Nombre de détections liées au cas.
  • Assigned analyst (Analyste assigné) : Analyste affecté au cas. 
  • Case name (Nom du cas) : Détection (DE) ou Activité suspecte (SA) suivi du nom du terminal et du chemin d'accès de la détection.
  • Close reason (Raison de la clôture) : Raison pour laquelle l'analyste a clôturé le cas.
  • Closed at (Date de clôture) : Date à laquelle le dossier a été clôturé.
  • Created at (Créé à) : Heure à laquelle le cas a été ouvert.
  • Endpoint (Terminal) : Nom de l'appareil contenant les alertes.
  • ID : Numéro d'identification du cas.
  • Priority (Priorité) : Urgence du cas.
  • Stage (Stade) : Phase actuelle du cas.
  • Statut : Cas ouvert ou fermé.
  • Updated at (Mis à jour le) : Dernière mise à jour du dossier.

Comment consulter les détails d'un cas

Pour consulter les détails d'un cas MDR, cliquez sur le numéro d'ID dans la colonne ID. Les informations suivantes apparaîtront dans un nouveau volet :

  • Communications et historique  

L'onglet Communications & History (Communications et historique) dans le volet des détails du cas fournit un enregistrement complet de son déroulement. Il comprend les communications entre les analystes, les instructions de remédiation détaillées et un journal des actions entreprises au cours de la procédure.  

Pour affiner les informations affichées, vous pouvez utiliser les icônes pour filtrer des événements spécifiques, tels que des commentaires, des mises à jour de statut ou d'autres changements clés, afin de garantir un accès rapide aux détails les plus pertinents.  

  • Alertes et artefacts

Un seul cas peut englober plusieurs alertes, représentant souvent plusieurs activités malveillantes interconnectées se produisant sur le même terminal. Ces alertes sont regroupées pour faciliter l'analyse et améliorer le contexte. L'onglet Alerts & Artifacts vous permet d'examiner les alertes associées à un cas et les éléments connexes. Pour une investigation plus approfondie, le bouton Go to detection (Aller à la détection) situé à côté de chaque alerte permet d'accéder directement à la détection spécifique ou à l'activité suspecte liée à ce cas. 

Comment soumettre une demande concernant un cas

Si vous avez une question sur un dossier MDR :

  1. Cliquez sur Soumettre une demande.
  2. Saisissez le numéro du cas pour lequel vous avez une question.
  3. Sélectionnez une priorité
  4. Entrez une description
  5. Cliquez sur Soumettre.

Comment configurer Managed Detection and Response pour optimiser la protection de vos terminaux

Managed Detection and Response nécessite des paramètres spécifiques d'EDR pour fonctionner correctement. Ces paramètres se trouvent dans les paramètres de stratégie Endpoint Protection. Pour y accéder, accédez aux paramètres d’administration puis sélectionnez Stratégies sous Gestion des appareils. Si vous avez déjà créé une stratégie, vous pouvez la modifier. Autrement, vous pouvez créer une nouvelle stratégie en sélectionnant Endpoint Protection dans la liste déroulante de la stratégie. Assurez-vous que les paramètres suivants sont actifs sous le système d’exploitation approprié :

  1. Surveillance des activités suspectes
  2. Surveillance du système d’exploitation du serveur
  3. Verrouiller le point de terminaison lorsqu’il est isolé
  4. Annulation des ransomwares

5. Surveillance des activités suspectes

6. Verrouiller le point de terminaison lorsqu’il est isolé

Comment optimiser les analyses des menaces

L’analyse des terminaux à la recherche de menaces potentielles fait partie intégrante de la configuration de la sécurité. Nous recommandons au moins deux types de scans :

Sélectionnez Daily (Tous les jours) dans la liste déroulante Général. Sous Windows, sélectionnez Threat scan (Analyse des menaces) dans la liste déroulante Méthode.

Sélectionnez Hebdomadaire dans la liste déroulante Horaire. Définissez la méthode sur Analyse personnalisée, puis activez l’option Rechercher les rootkits.

Comment garantir l’efficacité des notifications

Il est important de configurer toutes les notifications nécessaires pour vous assurer, vous et votre équipe, de rester vigilants face aux menaces potentielles. Les informations suivantes concernent les notifications spécifiques à Managed Detection and Response.

Note : Les notifications sont gérées dans la console Nebula de ThreatDown.

Lors de la création d’une notification, sélectionnez Managed services activity (Activité des services gérés).  

Il est recommandé d’ajouter certaines conditions concernant l’envoi des notifications. Cela permet à vos administrateurs de ne pas être submergés de messages qui ne nécessitent pas leur attention.

Sélectionnez chaque option de champ ci-dessous pour voir ses valeurs disponibles :

est égal à

  • Tout
  • Cas créé
  • Cas mis à jour
  • Cas classé

est égal à

  • Tout
  • Critique
  • Haut
  • Moyen
  • Bas

est égal à

  • Vrai
  • Faux

Dans la section suivante, sélectionnez le mode d’envoi des notifications. En plus de l’e-mail, vous pouvez choisir d’être averti via Slack/Microsoft Teams, Webhook ou l’application ThreatDown Admin.

Dans la dernière étape, l’agrégation peut être activée, ce qui réduit le nombre de notifications reçues et permet de se concentrer davantage. Cela regroupe plusieurs alertes en notifications uniques en fonction de l’intervalle et de l’option de regroupement que vous sélectionnez, ainsi que des types d’activités, des conditions et des méthodes de diffusion précédemment choisis.

Sélectionnez Terminer dans le coin inférieur droit pour enregistrer la nouvelle notification.