Base de connaissances

Retour à l’aperçu de l’assistance

Managed Threat Hunting (MTH) développé by ThreatDown est un service basé sur le cloud conçu pour détecter les attaques potentielles corrélées aux renseignements sur les menaces, aux réponses automatisées et orchestrées, ainsi qu'un résumé des indicateurs de compromission et une procédure de transmission par l'intermédiaire d'une équipe de personnel de sécurité.

Cet article s’applique à tous les clients Managed Threat Hunting (MTH).

Fonctionnalités de Managed Threat Hunting

  • Conseils de chasse et de correction des menaces actives Malwarebytes Endpoint Detection and Response (EDR) 24h/24, 7j/7 et 365j/an.
  • Personnel de sécurité formé ayant une expérience au service de clients de différentes tailles et de différents secteurs.
  • L’intelligence artificielle et l’apprentissage automatique en arrière-plan appuyé par un moteur d’analyse propriétaire.
  • Plateforme propriétaire en arrière-plan basée sur le cloud avec sources de renseignement intégrées.
  • Rétrospective de 31 jours des indicateurs critiques de compromission (IoCs).
  • Les incidents sont discrètement signalés par le portail Nebula® ThreatDown.
  • Notifications hiérarchisées pilotées par le client en fonction de la gravité de l’incident.

Premiers pas

Une fois le service activé sur votre compte, TeamViewer vous le confirmera via une fenêtre contextuelle. Sélectionnez le bouton Setup MTH pour passer à la configuration initiale.

Configurez les contacts principal, de secours et alternatif sur l’écran suivant. Sélectionnez le menu déroulant du contact principal et sélectionnez le membre souhaité dans le profil de votre entreprise. S’il n’est pas saisi automatiquement, insérez le numéro de téléphone principal de ce contact.

Note : Seule la personne-ressource principale est requise. Des contacts de secours et alternatifs peuvent être ajoutés si nécessaire.

Une fois terminé, cliquez sur Enregistrer dans le coin supérieur droit de l’écran. Une notification contextuelle indique que Managed Threat Hunting a été activé avec succès.

Note : EDR doit être activé avant de tenter d’activer Managed Threat Hunting. Un message d’erreur s’affiche si vous essayez d’activer le module complémentaire MTH avant d’activer Endpoint Detection & Response.

Comment accéder au portail MTH

Le portail MTH (Managed Threat Hunting) gère tous les aspects du service. On peut y accéder en sélectionnant le bouton Nebula, qui se trouve dans les paramètres ou dans l’onglet détections. Une fois dans Nebula, sélectionnez MTH Portal dans le coin supérieur droit.

Découvrir le portail MTH

Tous les rapports concernant les menaces détectées par Managed Threat Hunting sont disponibles dans le portail MTH. Pour accéder aux autres sections du portail MTH, utilisez le menu situé dans le coin supérieur gauche.

Tableau de bord

Le tableau de bord contient un aperçu rapide de tous les appareils et menaces, y compris un aperçu des rapports allant d’un mois à plus. Cela fournit également l’état de tous les cas, alertes et incidents dans le Environment Summary (résumé de l’environnement).

Votre classeur

Votre classeur est un aperçu simple de tous les cas où votre aide est requise pour des actions supplémentaires. De plus, les rapports fournis précédemment concernant toutes les menaces sont présentés ici.

Comment configurer MTH pour optimiser la protection de vos points de terminaison

MTH nécessite des paramètres spécifiques de la part de l’EDR pour fonctionner correctement. Ces paramètres se trouvent dans les paramètres de stratégie Endpoint Protection. Pour y accéder, accédez aux paramètres d’administration et sélectionnez Stratégies sous Gestion des appareils. Si vous avez déjà créé une stratégie, vous pouvez la modifier. Autrement, vous pouvez créer une nouvelle stratégie en sélectionnant Endpoint Protection dans la liste déroulante de la stratégie. Assurez-vous que les paramètres suivants sont actifs sous le système d’exploitation approprié :

  1. Surveillance des activités suspectes
  2. Surveillance du système d’exploitation du serveur
  3. Verrouiller le point de terminaison lorsqu’il est isolé
  4. Annulation des ransomwares

5. Surveillance des activités suspectes

6. Verrouiller le point de terminaison lorsqu’il est isolé

Comment garantir l’efficacité des notifications

Il est important de configurer toutes les notifications nécessaires pour vous assurer, vous et votre équipe, de rester vigilants face aux menaces potentielles. Les informations suivantes concernent les notifications spécifiques à Managed Threat Hunting.

Note : Les notifications sont gérées dans la console Nebula de ThreatDown.

Lors de la création d’une notification, sélectionnez « Managed services activity » (Activité des services gérés).  

Il est recommandé d’ajouter certaines conditions concernant l’envoi des notifications. Cela permet à vos administrateurs de ne pas être submergés de messages qui ne nécessitent pas leur attention.

Sélectionnez chaque option de champ ci-dessous pour voir ses valeurs disponibles :

est égal à

  • Tout
  • Cas créé
  • Cas mis à jour
  • Cas classé

est égal à

  • Tout
  • Critique
  • Haut
  • Moyen
  • Bas

est égal à

  • Vrai
  • Faux

Dans la section suivante, sélectionnez le mode d’envoi des notifications. En plus de l’e-mail, vous pouvez choisir d’être averti via Slack/Microsoft Teams, Webhook ou l’application ThreatDown Admin.

Dans la dernière étape, l’agrégation peut être activée, ce qui réduit le nombre de notifications reçues et permet de se concentrer davantage. Cela regroupe plusieurs alertes en notifications uniques en fonction de l’intervalle et de l’option de regroupement que vous sélectionnez, ainsi que des types d’activités, des conditions et des méthodes de diffusion précédemment choisis.

Sélectionnez Terminer dans le coin inférieur droit pour enregistrer la nouvelle notification.