Ce cours est conçu pour les professionnels techniques qui feront la démonstration ou l'utilisation de Sophos EndPoint. Le cours donne un aperçu du produit, y compris une introduction aux principales capacités et aux concepts et pratiques de configuration de base.

1. Une formation
Mohamed Anass EDDIK
Formation
Sophos Certified Engineer
EndPoint Protection

2. Une formation
Certification officielle
Sophos Enterprise Console Engineer
Sophos Central Engineer
Intercept X & EDR

3. Une formation
Plan
Introduction
1. Sophos entreprise console Endpoint
2. Sophos Central Endpoint
3. Intercept X et EDR
Conclusion

4. Une formation
Public concerné
Administrateur sécurité
Avant-vente sécurité
Professionnels de la sécurité

5. Une formation
Prérequis
Expérience avec Active Directory
Une bonne compréhension du système d'exploitation
Windows

6. Let’s do it!

7. Présentation du Lab
de la formation
Une formation
Mohamed Anass EDDIK

8. Une formation
Schéma du Lab
Environnement du Lab
Plan

9. Une formation
Schéma du LAB
Internet
172.20.0.0/16VMware
CLIENT10
IP: 172.20.0.10
Windows 10 client
SERVER16
IP: 172.20.0.200
AD Domain Controller

10. Une formation
Environnement du Lab
Machine IP adresse
Server16 172.20.0.200
Client10 172.20.0.10

11. Une formation

12. Découvrir
les security threats
Une formation
Mohamed Anass EDDIK

13. Une formation
Top Security Threats
Exploit Kits
Ransomware
Botnets
Endpoint Advanced+Exploit Prevention
Composants de protection d’un
l'utilisateur
Plan

14. Une formation
Top Security Threats
26%
20%
20%
12%
12%
8%
Advanced Malware
Ransomware
Email Malware
Web Malware
Generic Malware
Cryptocurrency

15. Exploit Kits
Exploiter le serveur de kit
Serveur Web compromis
Compromise
Vulnerable Site

16. Ransomware

17. Botnets
Créer un
Botnet
Louer un
Botnet
Vendre
un Botnet
DDoS
Spam
Voler des
informations
confidentielles
Installation de
nouveaux logiciels
malveillants
Vente d'informations
de compte bancaire
et de carte de crédit
Vente de services
Internet et de
comptes de magasins
Vente d'informations
d'identité

18. Endpoint avancé+Exploit Prevention

19. Composants de protection
Device Control
Firewall Application
Control
Patch
Data Control
Exploit Prevention
Web Control
Anti-virus and
HIPS
Tamper
Protection

20. Une formation

21. Comprendre l'architecture
Sophos Entreprise Console
Une formation
Mohamed Anass EDDIK

22. Une formation
Sophos Enterprise Console Database
Aperçu des composants
Communication des composants
Système de gestion à distance
Relais de messages
Utilisateurs itinérants sans VPN
Plan

23. Une formation
Sophos Enterprise Console Database
SOPHOS5X
Database
Sophos Enterprise Console
Sophos Management Service

24. Une formation
Aperçu des composants
Sophos Update Manager
Sophos Online
Warehouse
Sophos Enterprise
Console
Sophos Management
Service
SOPHOS5X
RMS
RMS
CID
utilisateur

25. Une formation
Communication des composants
Sophos
CID CID
SUMRMS
SEC
Management
Service
SOPHOS5X
siège
SUM
CID CID
Branch Office

26. Une formation
Système de gestion à distance
Certification
Manager
Sophos Agent
SAV Adapter AU Adapter SCF Adapter
SAV Auto Update Client Firewall
Client
Sophos Message Router
Sophos Message Router
Server
SEC
SOPHOS5X
Management Service

27. Relais de messages
SEC Management Server
SEC
Toute la communication passe
maintenant par le serveur de relais de
message
SEC Management Server
Endpoint
Communication
Updates
SEC
Endpoint
message relay
EndpointEndpoint
Toute communication va entre le serveur
Sophos Enterprise Console (SEC) et les
points d'arrêt

28. Utilisateurs itinérants sans VPN
Réseau privé d'entreprise
De-militarized zone (DMZ)
Autre réseau privé
SEC
Message Relay
Internet
Message Relay

29. Une formation

30. Commencer l'installation
Une formation
Mohamed Anass EDDIK

31. Une formation
Scénarios d'installation
Exigences du système SEC
Politiques prises en charge par plate-
forme
Plan

32. Une formation
Scénarios d'installation

33. Une formation
Exigences du système SEC
Pour le serveur de gestion v5.5 : Windows Server 2008
Pour la console à distance : Windows 7, 8, 8.1 and 10
Les plateformes de virtualisation : VMWare, Hyper-V, Citrix
XenServer, Amazon AWS
Les services d'annuaire : Active Directory and local Windows users
Les versions de SQL : SQL 2008, 2012, 2014, 2016

34. Une formation
Politiques prises en charge par plate-forme

35. Une formation

36. Gérer les mises à jour
Une formation
Mohamed Anass EDDIK

37. Une formation
Sophos Update Manager (SUM)
Sophos AutoUpdate
Plan

38. Sophos Update Manager
Update
Credentials
entrepôt
CID
SUM Server
Sophos
Sophos
Fichier
client
Fichier
client
entrepôt
entrepôt
entrepôt
Internet
Exemple de nom de fichier client :
3087a7f568c7fee54401f9c8e1008819.xml

39. Une formation
Sophos AutoUpdate
CID
Check primary
update location
SUM
CID
AutoUpdate
ManagedEndpoint
X
Sophos Online
Warehouse
CID

40. Une formation

41. Manager l'antivrus
et sophos clean
Une formation
Mohamed Anass EDDIK

42. Une formation
Sophos Anti-Virus – On-access
SophosLabs
Sophos Live Protection
CryptoGuard-Intercepting Ransomware
WipeGuard Disk and Boot Protection
Sophos Clean
Plan

43. Une formation
Sophos Anti-Virus- On Acces
Sophos Driver File System
Sophos Anti-Virus Engine

44. SophosLabs
Sophos
• Malware (Virus, Worms, Trojans,
Rootkits, Spyware)
• Adware
• HIPS Rules
• Malicious URLs
• DLP (Sensitive data types)
• Application control
• Device control
• Web URL database
• Application patches
• Spam Campaigns
SophosLabs
Active Protection
Malware
Data
Website URL
Database
HIPS
Rules
Reputation
Data
Malicious
URLs
Spam
Campaigns
Sensitive
Data Types
Application
Categories
Device
Data
Mobile
Application
Reputation
Anonymizing
Proxies
Application
Patches

45. Sophos Live Protection
SAV
SXL
158863212
386457854
231677457
Blacklisted
checksums
IDE
Peut-être des logiciels malveillants,
mais j'ai besoin de plus
d'informations.
C'est un
malware !

46. Une formation
CryptoGuard-Intercepting Ransomware
Monitor file access
• Si des modifications
de fichiers suspectes
sont détectées, des
copies de fichiers sont
créées
Attack detected
• Le processus
malveillant est
arrêté
Rollback initiated
• Original files
restored
• Encrypted files are
removed
Forensic visibility
• Message de
l'utilisateur
• Alerte
d'administration

47. WipeGuard Disk and Boot Protection
• Empêche les attaques de rançon qui ciblent l'enregistrement de démarrage maître
• Empêche les attaques destructrices d'enregistrement de démarrage
• Empêche l'installation de Bootkit
• Le contrôle des politiques fait partie de CryptoGuard

48. WipeGuard Disk and Boot Protection
Au lieu de s'appuyer
sur des signatures,
Sophos Clean recueille
des renseignements
exploitables et examine
les informations
recueillies.
Il est conçu pour découvrir
des virus, des chevaux de
Troie, des rootkits, des
logiciels espions et d'autres
logiciels malveillants sur des
ordinateurs à jour et
entièrement protégés.
Sophos Clean supprime
les menaces persistantes à
l'intérieur du système
d'exploitation et remplace
les ressources Windows
infectées par les versions
originales et sûres.
Second Opinion Scan Discovery Fix It

49. Une formation

50. Configurer l’antivirus
et le HIPS
Une formation
Mohamed Anass EDDIK

51. Configurer le contrôle applicatif,
des données et de l'appareil
Une formation
Mohamed Anass EDDIK

52. Une formation
Aperçu du contrôle des données
Sophos

53. Une formation

54. Gérer le contrôle web
et pare-feu
Une formation
Mohamed Anass EDDIK

55. Manager l'endpoint
Une formation
Mohamed Anass EDDIK

56. Administrer la solution
et créer des rapports
Une formation
Mohamed Anass EDDIK

57. Une formation
Aperçu des rôles et des sous-
successions
Audit
Création des rapports
Plan

59. Une formation

60. Découvrir Sophos
environnement virtuel
Une formation
Mohamed Anass EDDIK

61. Une formation
Deux approches pour protéger les
machines virtuelles
Sophos for Virtual Environnements
Ports de pare-feu requis
Plan

62. Une formation
Deux approches pour protéger les VMs
Full Agent Sophos for Virtual Environments
Resource
overhead
Chaque VM invitée a son propre moteur
anti-malware actif; le traitement, la RAM et
le stockage de disque sont requis sur
chaque GVM
L'inspection est déchargée à une VM centrale de
sécurité. Chaque VM invitée n'a pas son propre
moteur
Tempêtes
d'analyse
Des scans simultanés planifiés ou à la
demande sur plusieurs machines peuvent
entraîner une « tempête d'analyse »
Les scans planifiés et à la demande sur plusieurs
machines sont décalés automatiquement
Mise à jour
des tempêtes
Les tempêtes de mise à jour peuvent
entraîner une utilisation excessive des
ressources en raison de mises à jour
simultanées
Les mises à jour des définitions ont lieu uniquement
sur la machine de sécurité; les agents invités n'exigent
pas de mises à jour de définition
Stale gold
images
Une image principale peut nécessiter des
mises à jour substantielles pour devenir à
jour
L'approche hors-boîte signifie que l'agent invité n'a
pas besoin de mises à jour fréquentes.

63. Sophos for Virtual Environnements

64. • En provenance
• TCP 48651, 48652
o Partage de fichiers et d'imprimantes
Windows (ports 445 et 139)
o TCP 8192-8194
o TCP 80, 443 (HTTP, HTTPS)
Ports de pare-feu requis
• Outbound
o TCP 80, 443 (HTTP, HTTPS)
o TCP 8192-8194
L'agent VM invité exige les règles suivantes:
• Outbound
o TCP 48651, 48652
o Partage de fichiers et d'imprimantes Windows (ports 445 et 139)
La sécurité VM exige les règles suivantes:

65. Une formation

66. Diagnostiquer
Sophos Entreprise Console Endpoint
Une formation
Mohamed Anass EDDIK

67. Une formation
Installation Logging
AutoUpdate Troubleshooting
Plan

68. Une formation
Installation Logging
Logfile Description
Sophos Anti-Virus Install Log
<date/time>.txt
Fichier de journal d'installation MSI couvrant l'installation de SAV.
Le premier endroit pour vérifier les erreurs d'installation
Sophos Anti-Virus
CustomActionsLog<date/time>
Enregistre les actions personnalisées. Ceux-ci étendent la
fonctionnalité de l'installateur et effectuent des séries spécifiques
d'actions, par exemple, pré-installer des contrôles
Sophos Standalone Installer.txt
Fichier de journal Bootstrapper couvrant le processus
d'installation. Couvre les installateurs qui sont exécutés, les
contrôles pré-req et l'enlèvement des concurrents
Avremove.log
Couvre les actions effectuées par l'outil de suppression des
concurrents

69. Une formation
Logfile Description
C:WindowsTempSophos AutoUpdate Install Log.txt
Les actions d'installation AutoUpdate
seront enregistrées ici
C:ProgramDataSophosAuto
UpdateLogsAllUpdate<date>.log
Les tentatives de mise à jour après
l'installation seront enregistrées dans ce
fichier
AutoUpdate Troubleshooting

70. Une formation

71. Découvrir
Sophos Central
Une formation
Mohamed Anass EDDIK

72. Comprendre l'architecture
et les prérequis
Une formation
Mohamed Anass EDDIK

73. Une formation
Architecture Sophos Central
AD Sync
Prérequis Endpoint et Serveur
Options de déploiement
Plan

74. Architecture Sophos Central

75. Une formation
AD Sync
Contrôleur de domaine
Serveur avec
Synchronisation AD
Sophos
Central

76. Les prérequis Endpoint et Serveur
Prérequis Endpoint Prérequis Serveur

77. Une formation
Options de déploiement
Protect Devices
Email Setup Link
Bulk Deployment
Migration from SEC

78. Une formation

79. Commencer
le déploiement
Une formation
Mohamed Anass EDDIK

80. Une formation
Options de déploiement
Déploiement en vrac
Migration depuis Sophos
Enterprise Console
Plan

81. Une formation
Options de déploiement
Protéger les appareils Lien de configuration
par courriel
Déploiement en vrac Migration de la SEC

82. Une formation
Déploiement en vrac
Télécharger
SophosSetup.exe
de Sophos
Central
Déployer le fichier
de lot à l'aide
d'un script AD
dans la stratégie
de groupe
Utiliser SSCM
pour le
déploiement en
vrac

83. Migration depuis Sophos Enterprise Console
Examiner les
problèmes
possibles
liés à la
migration
1
Vérifier les
exigences
en matière
de
migration
2
Installer
l'outil de
migration
centrale
Sophos
3
Vérifiez
quels
ordinateur
s peuvent
être
migrés
4
Mettre en
place de
nouvelles
politiques
dans
Sophos
Central
5
Ordinateurs
migrateurs
6
Migrer le
serveur de
gestion sur
site
7

84. Une formation

85. Gérer les politiques
de sécurité
Une formation
Mohamed Anass EDDIK

86. Une formation
Politiques de sécurité
Tamper Protection
Plan

87. Une formation
Politiques de sécurité
Contrôle du
périphérique
Prévention des pertes
de données
Gestion des mises à
jour
Protection contre les
menaces
Contrôle des
applications
Contrôle Web
Les politiques
sont divisées
en différents
domaines de
protection
Pare-feu Windows

88. Une formation
Tamper Protection
Empêche les utilisateurs de
désinstaller Sophos
Protection
Empêche les utilisateurs de
modifier les paramètres de
protection
Peut être désactivé mais
ce n'est pas recommandé

89. Une formation

90. Configurer web
control et Pare-feu
Une formation
Mohamed Anass EDDIK

91. Manager le serveur
Une formation
Mohamed Anass EDDIK

92. Une formation
Mise à jour
Serveur lockdown
Intégrité des fichiers
Environnement Virtuel
Plan

93. Mise à jour

94. Serveur lockdown
Whitelist
Locked down Server
Les bonnes applications connues
sont inscrites sur la liste blanche
Les applications existantes sont
fiables
Nouvelles applications
Les nouvelles demandes ne sont pas en
mesure de s'exécuter à moins d'être
approuvées par l'Administrateur Central
sophos
Administrate
ur
Locked down Server

95. Une formation
Intégrité des fichiers
Pourquoi
surveiller?
Qu'est-ce qui est
surveillé?
Fichiers
Entrées de
registre
Sécurité
supplémentaire
Conformité

96. Environnement Virtuel

97. Une formation

98. Créer des rapports
Une formation
Mohamed Anass EDDIK

99. Diagnostiquer
Sophos Central Endpoint
Une formation
Mohamed Anass EDDIK

100. Une formation
Log d’installation de Windows
Sophos Labs
Support
Plan

101. Une formation
Log d’installation de win
Log file Description
SophosCloudInstaller_<date>_<t
ime>.log
Le mince installateur SophosSetup.exe crée les
journaux d'installation
Avremove.log
Le journal de l'outil de détection et de
suppression de sécurité tiers (extrait à
%temp%crt)

102. Une formation

103. Comprendre le
Fonctionnement
d‘Intercept X et EDR
Une formation
Mohamed Anass EDDIK

104. Une formation
Intercept X
Fonctionnement du EndPoint
avancé
EDR
Plan

105. Intercept X

106. Une formation
Pre-execution

107. Une formation
Response
Tous les
fichiers
malveillants
détectés sont
mis en
quarantaine
Sophos Clean
supprime tous
les fichiers
détectés
Synchronized
Security
Heartbeat
permet
l'isolement de
la machine

108. Une formation
Visibilité
Visibilité
Dashboard
Alerts
Logs
Threat
Cases &
Searches
Data
Sharing API

109. Une formation
EDR
Endpoin
t
E
D
Respons
e
R
Detectio
n &
• Visibilité des
changements sur les
points de terminaison
• Changement de
comportement normal
• Détection d'événements
Event and Incident
Detection
• Déterminer si un
incident est malveillant
• Comment l'incident
s'est produit
• Comment réagir
Incident Response
• Rechercher de façon
proactive la présence
d'une intrusion ou
d'une attaque
• Analyse analytique /
Analyse situationnelle
• / Renseignements
•
Threat Hunting
• Processus de preuve
• Recréer les données
pertinentes associées
à un incident de
sécurité
Forensic Investigation

110. Une formation
Comment marche EDR
Detection
Threat Cases Action Forensic Snapshot
Threat
Searches
Suspicious Events User Report

111. Une formation

112. Configurer Intercept X
Une formation
Mohamed Anass EDDIK

113. Configurer EDR
Une formation
Mohamed Anass EDDIK

114. Une formation
Isolation
Forensic Snapshot
Intercept X Advanced et EDR
Plan

115. Une formation
Isolation
Nécessite un pare-feu XG
Basé sur l'état de santé du Endpoint
Les machines bloquent la
communication avec les postes en
isolation en se basant sur les adresses
MAC de ces derniers

116. Une formation
Forensic Snapshot
Un snapshot est créé pour chaque cas
de menace
Stocké localement sur l’Endpoint
Peut être déclenché à tout moment par
Central Admin
Exportation vers SQLite ou JSON

117. Une formation
Intercept X Advanced et EDR
EDR nécessite Intercept X Advanced
Au lancement, EDR comprend :
• Deep learning avec threat intelligence
• Threat searches
• Forensic snapshots

118. Une formation

119. Conclusion
Une formation
Mohamed Anass EDDIK

120. Une formation
Sophos entreprise console
Endpoint
Sophos Central Endpoint
Intercept X et EDR
Bilan

121. Une formation
Cursus
Sophos Enterprise Console Engineer
Sophos Central Engineer
Intercept X & EDR