Administrator Guide
Menaces
Ce chapitre explique comment identifier et gérer les menaces d'un environnement d'entreprise suite à l'installation d'Advanced Threat
Prevention.
● Identification d'une menace
○ Affichage des événements de menace
○ Score Cylance et mises à jour des modèles de menace
○ Affichage des données de menace détaillées
● Gestion d'une menace
○ Exportation des données de menace vers un fichier CSV
○ Gestion de la liste de quarantaine globale
Identification d'une menace
Notifications par e-mail et sur le tableau de bord
Si vous avez défini des notifications par e-mail pour Threat Protection et les événements de menaces avancées, un administrateur est
averti par e-mail des événements et menaces d'Advanced Threat Prevention.
Le résumé des notifications sur le tableau de bord dans la console de gestion affiche les événements et menaces d'Advanced Threat
Prevention en tant que types de notifications de Threat Protection et d'événements de menaces avancées.
● Type Threat Protection : alerte de menace émise par Advanced Threat Prevention.
● Type Événement de menace avancée : événement détecté par Advanced Threat Prevention. Un événement n'est pas nécessairement
une menace.
Le tableau suivant fournit des informations détaillées sur les étiquettes et la gravité des menaces ainsi que sur les menaces proprement
dites.
Étiquette
Gravité Détail
ThreatFound Critique
Indique qu’un exécutable portable (PE) a été identifié sur un appareil,
mais qu’il n’a pas été bloqué ni mis en quarantaine sur le terminal, ce qui
signifie qu’une menace est active sur le système.
ThreatBlocked Avertissement
Indique qu’un exécutable portable a été identifié sur l’appareil, mais que
son exécution a été bloquée. Cette menace n’a pas été spécifiquement
mise en quarantaine et résulte probablement du fait que la stratégie de
mise en quarantaine automatique n’a pas été activée ou que le fichier se
trouve à un emplacement qui nous empêche d’y écrire avec le compte du
système local (partage réseau, périphérique USB qui a été retiré, etc.).
ThreatTerminated Avertissement
Indique qu’un exécutable portable a été identifié sur l’appareil et que son
processus a été interrompu, car son exécution était active. Cela n’indique
pas que le fichier a été mis en quarantaine, car l’exécutable portable peut
avoir été exécuté à partir d’un autre emplacement. Il est recommandé de
rechercher un autre événement en corrélation avec ce terminal et cet
exécutable pour confirmer que la menace a été correctement contenue.
MemoryViolationBlocked Avertissement
Indique qu’un exécutable ou un script a tenté de s’exécuter, mais qu’il
était en violation de la stratégie Protection de la mémoire ou Contrôle des
scripts. L’exécution de l’exécutable ou du script a été bloquée par la
suite. En général, cela indique que la stratégie décrite Protection de la
mémoire ou Contrôle des scripts en corrélation a été définie sur Bloquer.
4
14 Menaces