Introduction
Cet article présente des exemples de menaces courantes et explique comment la Réponse Active peut remédier à la menace, en fonction de la stratégie de réponse de votre entreprise. Notez que les exemples suivants ne tiennent pas compte des exclusions ou exceptions personnalisées que votre organisation a pu ajouter lors de la configuration de votre stratégie de réponse.
Pour en savoir plus sur les actions de réponse, les politiques de réponse et une présentation générale sur la Réponse Active, consultez notre chapitre de la base de connaissances sur Réponse Active et Protection Active.
Exemples de scénarios
Violation présumée du compte Microsoft 365
Covalence a identifié qu'un compte Microsoft 365 pourrait être compromis. La probabilité que le compte soit compromis est de 50/50.
Off | Limité | Équilibré | Agressif |
L'ARO est délivré. | L'ARO est délivré. | L'ARO est délivré. Pendant les heures de bureau, un analyste examine l'événement et verrouille manuellement le compte si votre organisation n'a pas accusé réception de l'avis de recherche. Le compte sera inaccessible à la fois à l'utilisateur légitime et à l'attaquant potentiel. | L'ARO est délivré. Le compte sera automatiquement verrouillé, ce qui le rendra inaccessible à la fois à l'utilisateur légitime et à l'attaquant potentiel. |
Malware confirmé sur un appareil
Un logiciel malveillant a été exécuté sur un hôte. Le logiciel malveillant n'a pas encore entamé d'activité malveillante (comme le cryptage de fichiers), mais il communique avec des hôtes de commande et de contrôle connus sur l'internet.
Off | Limité | Équilibré | Agressif |
L'ARO est délivré. | L'ARO est délivré. L'hôte est isolé. | L'ARO est délivré. L'hôte est isolé. | L'ARO est délivré. L'hôte est isolé. |
Logiciel malveillant suspecté sur un appareil
Un samedi à 21 heures, Covalence a identifié des processus suspects sur deux hôtes, dont l'un est le contrôleur de domaine (un composant critique). Les processus établissent des connexions avec des domaines spécifiques sur Internet, mais il n'est pas possible de confirmer que les processus sont effectivement malveillants.
Off | Limité | Équilibré | Agressif |
L'ARO est délivré. | L'ARO est délivré. | L'ARO est délivré. Le pare-feu DNS est automatiquement mis à jour pour bloquer les résolutions vers le(s) domaine(s) suspect(s). | L'ARO est délivré. Le pare-feu DNS est automatiquement mis à jour pour bloquer les résolutions vers le(s) domaine(s) suspect(s). Les hôtes affectés sont isolés du réseau. |
Activité de ransomware détectée sur l'hôte
Le comportement d'un ransomware (cryptage actif des fichiers) a été identifié sur un appareil par l'intermédiaire de l'agent du point de terminaison.
Off | Limité | Équilibré | Agressif |
L'ARO est délivré. | L'ARO est délivré. Le processus du ransomware est automatiquement bloqué et empêché de s'exécuter à l'avenir. | L'ARO est délivré. Le processus du ransomware est automatiquement bloqué et empêché de s'exécuter à l'avenir. | L'ARO est délivré. Le processus du ransomware est automatiquement bloqué et empêché de s'exécuter à l'avenir. L'hôte est isolé du réseau. |
Cet article a-t-il été utile ?
C'est super !
Merci pour votre commentaire
Désolé ! Nous n'avons pas pu vous être utile
Merci pour votre commentaire
Commentaires envoyés
Nous apprécions vos efforts et nous allons corriger l'article