Guide de chasse aux menaces

  • septembre 16, 2025
  • min read

La fonction Threat Hunting agit comme un tableau de bord permettant aux administrateurs d’identifier les anomalies dans les paramètres et le comportement des appareils. Son objectif principal est de détecter de manière proactive les violations de sécurité, afin que les menaces soient repérées avant qu’elles ne manifestent un comportement potentiellement malveillant. Cette fonctionnalité est disponible pour tous les espaces de travail utilisant Enterprise Security +EDR.

Pour simplifier le processus de threat hunting pour nos utilisateurs, nous avons inclus plusieurs requêtes prédéfinies. Vous pouvez toujours ajouter des requêtes personnalisées pour répondre à vos besoins spécifiques.

Requêtes courantes et moments d’utilisation
Une requête courante est un ensemble prédéfini d’instructions ou de critères utilisé pour rechercher et analyser des données dans un système, aidant à identifier des informations ou des motifs spécifiques à partir d’un ensemble de données ou d’une base de données. Elle peut varier en fonction des objectifs spécifiques de l’analyse, comme filtrer les données, vérifier les informations système ou simplement extraire des informations pertinentes du jeu de données.

Le choix des requêtes courantes dépendra des objectifs analytiques spécifiques, des caractéristiques du jeu de données et des informations que vous souhaitez obtenir. Comprendre la nature de vos données et les questions auxquelles vous voulez répondre guidera la sélection des requêtes appropriées pour votre analyse.

Exécution des requêtes à la demande et de manière asynchrone
Requête en direct :
Les requêtes en direct – ou requêtes à la demande – sont adaptées lorsque des données à jour en temps réel sont cruciales, et conviennent aux tâches rapides à exécuter et à restituer.
Exécuter une requête à la demande permet de visualiser les résultats en temps réel directement dans votre tableau de bord. Cet outil de requête flexible nous permet d’examiner tous les appareils sélectionnés et d’afficher immédiatement les résultats juste en dessous.

Requêtes et rapports asynchrones :
Lors de l’exécution de requêtes asynchrones, celles-ci fonctionnent indépendamment du flux principal du programme et leur exécution ne dépend pas de l’achèvement immédiat d’autres tâches. Cela permet aux administrateurs de consulter les rapports ultérieurement tout en modifiant différents rapports en temps réel.
Les requêtes asynchrones sont utiles pour les tâches qui prennent plus de temps, particulièrement dans des situations où l’expérience utilisateur n’est pas affectée par l’attente du résultat. Elles sont idéales pour les tâches pouvant être effectuées simultanément ou lorsque le comportement non bloquant est essentiel.

Les instantanés représentent une copie complète d’un rapport au lieu de l’afficher dans la vue des résultats en direct. Ils sont visibles dans le panneau des rapports.

Veuillez noter que certaines requêtes peuvent prendre un certain temps avant de retourner des résultats. Les administrateurs ont la possibilité de cliquer sur le bouton « Annuler la requête » pour arrêter l’exécution.

Créez un nouveau rapport et commencez l’analyse à l’aide de requêtes courantes.

  1. Dans votre Emsisoft Management Console, sélectionnez un espace de travail existant, cliquez sur « Threat Hunting » puis sur « Créer un nouveau rapport ».

2. Cliquez sur le bouton « Modifier le rapport » pour gérer vos paramètres de requêtes et lancer l’exécution des rapports.

3. Créez un système de sécurité automatisé en planifiant vos rapports quotidiennement, chaque semaine ou chaque mois.

Chasse aux menaces dans le panneau des incidents
La case à cocher « Signaler les changements » définit si les modifications détectées dans les résultats de requêtes par rapport à l’exécution précédente doivent déclencher un événement dans la liste des incidents, des notifications par e-mail et des intégrations.

Chaque fois qu’une modification d’un fichier hôte est détectée, l’altération sera mise en évidence dans le tableau de bord des rapports et un événement sera déclenché dans l’aperçu du panneau des incidents.

No votes yet.
Please wait...

Sujets similaires