Ce cours est conçu pour les professionnels techniques qui feront la démonstration ou l'utilisation de Sophos EndPoint. Le cours donne un aperçu du produit, y compris une introduction aux principales capacités et aux concepts et pratiques de configuration de base.
13. Une formation
Top Security Threats
Exploit Kits
Ransomware
Botnets
Endpoint Advanced+Exploit Prevention
Composants de protection d’un
l'utilisateur
Plan
14. Une formation
Top Security Threats
26%
20%
20%
12%
12%
8%
Advanced Malware
Ransomware
Email Malware
Web Malware
Generic Malware
Cryptocurrency
17. Botnets
Créer un
Botnet
Louer un
Botnet
Vendre
un Botnet
DDoS
Spam
Voler des
informations
confidentielles
Installation de
nouveaux logiciels
malveillants
Vente d'informations
de compte bancaire
et de carte de crédit
Vente de services
Internet et de
comptes de magasins
Vente d'informations
d'identité
19. Composants de protection
Device Control
Firewall Application
Control
Patch
Data Control
Exploit Prevention
Web Control
Anti-virus and
HIPS
Tamper
Protection
22. Une formation
Sophos Enterprise Console Database
Aperçu des composants
Communication des composants
Système de gestion à distance
Relais de messages
Utilisateurs itinérants sans VPN
Plan
24. Une formation
Aperçu des composants
Sophos Update Manager
Sophos Online
Warehouse
Sophos Enterprise
Console
Sophos Management
Service
SOPHOS5X
RMS
RMS
CID
utilisateur
25. Une formation
Communication des composants
Sophos
CID CID
SUMRMS
SEC
Management
Service
SOPHOS5X
siège
SUM
CID CID
Branch Office
26. Une formation
Système de gestion à distance
Certification
Manager
Sophos Agent
SAV Adapter AU Adapter SCF Adapter
SAV Auto Update Client Firewall
Client
Sophos Message Router
Sophos Message Router
Server
SEC
SOPHOS5X
Management Service
27. Relais de messages
SEC Management Server
SEC
Toute la communication passe
maintenant par le serveur de relais de
message
SEC Management Server
Endpoint
Communication
Updates
SEC
Endpoint
message relay
EndpointEndpoint
Toute communication va entre le serveur
Sophos Enterprise Console (SEC) et les
points d'arrêt
28. Utilisateurs itinérants sans VPN
Réseau privé d'entreprise
De-militarized zone (DMZ)
Autre réseau privé
SEC
Message Relay
Internet
Message Relay
33. Une formation
Exigences du système SEC
Pour le serveur de gestion v5.5 : Windows Server 2008
Pour la console à distance : Windows 7, 8, 8.1 and 10
Les plateformes de virtualisation : VMWare, Hyper-V, Citrix
XenServer, Amazon AWS
Les services d'annuaire : Active Directory and local Windows users
Les versions de SQL : SQL 2008, 2012, 2014, 2016
42. Une formation
Sophos Anti-Virus – On-access
SophosLabs
Sophos Live Protection
CryptoGuard-Intercepting Ransomware
WipeGuard Disk and Boot Protection
Sophos Clean
Plan
46. Une formation
CryptoGuard-Intercepting Ransomware
Monitor file access
• Si des modifications
de fichiers suspectes
sont détectées, des
copies de fichiers sont
créées
Attack detected
• Le processus
malveillant est
arrêté
Rollback initiated
• Original files
restored
• Encrypted files are
removed
Forensic visibility
• Message de
l'utilisateur
• Alerte
d'administration
47. WipeGuard Disk and Boot Protection
• Empêche les attaques de rançon qui ciblent l'enregistrement de démarrage maître
• Empêche les attaques destructrices d'enregistrement de démarrage
• Empêche l'installation de Bootkit
• Le contrôle des politiques fait partie de CryptoGuard
48. WipeGuard Disk and Boot Protection
Au lieu de s'appuyer
sur des signatures,
Sophos Clean recueille
des renseignements
exploitables et examine
les informations
recueillies.
Il est conçu pour découvrir
des virus, des chevaux de
Troie, des rootkits, des
logiciels espions et d'autres
logiciels malveillants sur des
ordinateurs à jour et
entièrement protégés.
Sophos Clean supprime
les menaces persistantes à
l'intérieur du système
d'exploitation et remplace
les ressources Windows
infectées par les versions
originales et sûres.
Second Opinion Scan Discovery Fix It
61. Une formation
Deux approches pour protéger les
machines virtuelles
Sophos for Virtual Environnements
Ports de pare-feu requis
Plan
62. Une formation
Deux approches pour protéger les VMs
Full Agent Sophos for Virtual Environments
Resource
overhead
Chaque VM invitée a son propre moteur
anti-malware actif; le traitement, la RAM et
le stockage de disque sont requis sur
chaque GVM
L'inspection est déchargée à une VM centrale de
sécurité. Chaque VM invitée n'a pas son propre
moteur
Tempêtes
d'analyse
Des scans simultanés planifiés ou à la
demande sur plusieurs machines peuvent
entraîner une « tempête d'analyse »
Les scans planifiés et à la demande sur plusieurs
machines sont décalés automatiquement
Mise à jour
des tempêtes
Les tempêtes de mise à jour peuvent
entraîner une utilisation excessive des
ressources en raison de mises à jour
simultanées
Les mises à jour des définitions ont lieu uniquement
sur la machine de sécurité; les agents invités n'exigent
pas de mises à jour de définition
Stale gold
images
Une image principale peut nécessiter des
mises à jour substantielles pour devenir à
jour
L'approche hors-boîte signifie que l'agent invité n'a
pas besoin de mises à jour fréquentes.
64. • En provenance
• TCP 48651, 48652
o Partage de fichiers et d'imprimantes
Windows (ports 445 et 139)
o TCP 8192-8194
o TCP 80, 443 (HTTP, HTTPS)
Ports de pare-feu requis
• Outbound
o TCP 80, 443 (HTTP, HTTPS)
o TCP 8192-8194
L'agent VM invité exige les règles suivantes:
• Outbound
o TCP 48651, 48652
o Partage de fichiers et d'imprimantes Windows (ports 445 et 139)
La sécurité VM exige les règles suivantes:
68. Une formation
Installation Logging
Logfile Description
Sophos Anti-Virus Install Log
<date/time>.txt
Fichier de journal d'installation MSI couvrant l'installation de SAV.
Le premier endroit pour vérifier les erreurs d'installation
Sophos Anti-Virus
CustomActionsLog<date/time>
Enregistre les actions personnalisées. Ceux-ci étendent la
fonctionnalité de l'installateur et effectuent des séries spécifiques
d'actions, par exemple, pré-installer des contrôles
Sophos Standalone Installer.txt
Fichier de journal Bootstrapper couvrant le processus
d'installation. Couvre les installateurs qui sont exécutés, les
contrôles pré-req et l'enlèvement des concurrents
Avremove.log
Couvre les actions effectuées par l'outil de suppression des
concurrents
69. Une formation
Logfile Description
C:WindowsTempSophos AutoUpdate Install Log.txt
Les actions d'installation AutoUpdate
seront enregistrées ici
C:ProgramDataSophosAuto
UpdateLogsAllUpdate<date>.log
Les tentatives de mise à jour après
l'installation seront enregistrées dans ce
fichier
AutoUpdate Troubleshooting
80. Une formation
Options de déploiement
Déploiement en vrac
Migration depuis Sophos
Enterprise Console
Plan
81. Une formation
Options de déploiement
Protéger les appareils Lien de configuration
par courriel
Déploiement en vrac Migration de la SEC
82. Une formation
Déploiement en vrac
Télécharger
SophosSetup.exe
de Sophos
Central
Déployer le fichier
de lot à l'aide
d'un script AD
dans la stratégie
de groupe
Utiliser SSCM
pour le
déploiement en
vrac
83. Migration depuis Sophos Enterprise Console
Examiner les
problèmes
possibles
liés à la
migration
1
Vérifier les
exigences
en matière
de
migration
2
Installer
l'outil de
migration
centrale
Sophos
3
Vérifiez
quels
ordinateur
s peuvent
être
migrés
4
Mettre en
place de
nouvelles
politiques
dans
Sophos
Central
5
Ordinateurs
migrateurs
6
Migrer le
serveur de
gestion sur
site
7
87. Une formation
Politiques de sécurité
Contrôle du
périphérique
Prévention des pertes
de données
Gestion des mises à
jour
Protection contre les
menaces
Contrôle des
applications
Contrôle Web
Les politiques
sont divisées
en différents
domaines de
protection
Pare-feu Windows
88. Une formation
Tamper Protection
Empêche les utilisateurs de
désinstaller Sophos
Protection
Empêche les utilisateurs de
modifier les paramètres de
protection
Peut être désactivé mais
ce n'est pas recommandé
94. Serveur lockdown
Whitelist
Locked down Server
Les bonnes applications connues
sont inscrites sur la liste blanche
Les applications existantes sont
fiables
Nouvelles applications
Les nouvelles demandes ne sont pas en
mesure de s'exécuter à moins d'être
approuvées par l'Administrateur Central
sophos
Administrate
ur
Locked down Server
95. Une formation
Intégrité des fichiers
Pourquoi
surveiller?
Qu'est-ce qui est
surveillé?
Fichiers
Entrées de
registre
Sécurité
supplémentaire
Conformité
101. Une formation
Log d’installation de win
Log file Description
SophosCloudInstaller_<date>_<t
ime>.log
Le mince installateur SophosSetup.exe crée les
journaux d'installation
Avremove.log
Le journal de l'outil de détection et de
suppression de sécurité tiers (extrait à
%temp%crt)
109. Une formation
EDR
Endpoin
t
E
D
Respons
e
R
Detectio
n &
• Visibilité des
changements sur les
points de terminaison
• Changement de
comportement normal
• Détection d'événements
Event and Incident
Detection
• Déterminer si un
incident est malveillant
• Comment l'incident
s'est produit
• Comment réagir
Incident Response
• Rechercher de façon
proactive la présence
d'une intrusion ou
d'une attaque
• Analyse analytique /
Analyse situationnelle
• / Renseignements
•
Threat Hunting
• Processus de preuve
• Recréer les données
pertinentes associées
à un incident de
sécurité
Forensic Investigation
110. Une formation
Comment marche EDR
Detection
Threat Cases Action Forensic Snapshot
Threat
Searches
Suspicious Events User Report
115. Une formation
Isolation
Nécessite un pare-feu XG
Basé sur l'état de santé du Endpoint
Les machines bloquent la
communication avec les postes en
isolation en se basant sur les adresses
MAC de ces derniers
116. Une formation
Forensic Snapshot
Un snapshot est créé pour chaque cas
de menace
Stocké localement sur l’Endpoint
Peut être déclenché à tout moment par
Central Admin
Exportation vers SQLite ou JSON
117. Une formation
Intercept X Advanced et EDR
EDR nécessite Intercept X Advanced
Au lancement, EDR comprend :
• Deep learning avec threat intelligence
• Threat searches
• Forensic snapshots