Menaces

La section Menaces donne une vue d'ensemble des menaces détectées sur les appareils administrés par votre compte. La structure de groupes est affichée à gauche.

Vous pouvez parcourir les groupes et afficher les menaces détectées sur les membres d'un groupe. Pour afficher toutes les menaces détectées sur les clients affectés à des groupes pour votre compte, sélectionnez le groupe Tous et utilisez le filtre Tous les types de menace. Cliquez sur une menace spécifique pour afficher les options d'un menu contextuel pour l'appareil présentant cette menace.

validation-status-icon-warning IMPORTANT

Pendant le nettoyage de la base de données, les éléments de la section Menaces correspondant aux journaux des incidents nettoyés sont également supprimés (quel que soit l'état de la menace). Par défaut, la période de nettoyage pour les journaux des incidents (et des menaces) est définie sur 6 mois. Vous pouvez modifier l'intervalle dans les paramètres du serveur.

Types de menace

Menaces actives : il s'agit des menaces qui n'ont pas encore été nettoyées. Pour nettoyer une menace, exécutez une analyse approfondie avec nettoyage sur l'ordinateur présentant la menace. La tâche d'analyse doit se terminer correctement pour supprimer la menace et éliminer la détection. Si un utilisateur ne résout pas une menace active dans les 24 heures suivant sa détection, elle perd le statut Active, mais reste non résolue.

Menaces résolues : il s'agit des menaces qui ont été marquées par un utilisateur comme étant résolues. Elles n'ont toutefois pas fait encore l'objet d'une analyse en profondeur. Les périphériques présentant des menaces marquées comme étant résolues s'affichent toujours dans la vue filtrée jusqu'à l'analyse.

threats_details

Filtrage menaces

Par défaut, tous les types de menaces des 7 derniers jours sont affichés, notamment les menaces ayant été nettoyées. Vous pouvez filtrer les menaces selon plusieurs critères. Les filtres Ordinateur en mode silencieux et Menace résolue sont visibles par défaut. Pour obtenir une vue plus spécifique, vous pouvez ajouter d'autres filtres comme Catégorie de menaces (Antivirus, Fichiers bloqués, Enterprise Inspector, Pare-feu et HIPS), Type de menace, l'adresse IP du client ayant signalé la menace ou le nom de l'analyse.

Ajout d'un filtre et de présélections de filtres

Pour ajouter des critères de filtre, cliquez sur Ajouter un filtre et sélectionnez un ou des éléments dans la liste. Saisissez la ou les chaînes de recherche dans le ou les champs de filtre. Les filtres actifs sont mis en surbrillance en bleu.

Les filtres peuvent être enregistrés dans votre profil utilisateur afin que vous puissiez les réutiliser ultérieurement. Sous Présélections, les options suivantes sont disponibles :

Jeux de filtres : il s'agit des filtres enregistrés. Cliquez sur l'un d'entre eux pour l'appliquer. Le filtre appliqué est signalé par une coche apply_default. Sélectionnez Inclure les colonnes visibles, le tri et la pagination pour enregistrer ces paramètres dans la présélection.

add_new_defaultEnregistrer le jeu de filtres : enregistrez la configuration actuelle du filtre comme nouvelle présélection. Une fois la présélection enregistrée, vous ne pouvez pas modifier la configuration du filtre dans la présélection.

edit_defaultGérer les jeux de filtres : supprimez ou renommez les présélections existantes. Cliquez sur Enregistrer pour appliquer les modifications aux présélections.

Effacer les valeurs de filtre : cliquez pour supprimer uniquement les valeurs actuelles des filtres sélectionnés. Les présélections restent inchangées.

Supprimer les filtres : cliquez sur cette option pour supprimer les filtres sélectionnés. Les présélections restent inchangées.

Supprimer les filtres inutilisés : permet de supprimer les champs de filtre sans valeur.

details_hoverREMARQUE

Certains filtres sont activés par défaut. Si des menaces sont indiquées sur le bouton de menu gauche et que vous ne pouvez pas les voir dans la liste des menaces, vérifiez quels sont les filtres activés.

Protection antirançongiciels

Les produits ESET pour les entreprises (version 7 ou ultérieure) comprennent une protection contre les rançongiciels. Cette nouvelle fonction de sécurité fait partie de la fonctionnalité HIPS et protège les ordinateurs contre les rançongiciels. Lorsqu'un ransomware est détecté sur un ordinateur client, vous pouvez afficher les détails de la détection dans la section Menaces de la console Web ESMC Console Web. Pour plus d'informations sur la protection contre les rançongiciels, consultez l'aide en ligne d'ESET Endpoint Security.

Vous pouvez configurer à distance la protection contre les rançongiciels dans la console Web ESMC Web Console, à l'aide des configurations de politique pour votre produit ESET pour les entreprises :

Activer la protection antirançongiciels : le produit ESET pour les entreprises bloque toutes les applications suspectes qui se comportent comme un rançongiciel.

Activer le mode Audit : lorsque vous activez ce mode, les menaces potentielles détectées par la protection antirançongiciels ne sont pas bloquées, mais signalées dans la console Web ESMC Web Console. L'administrateur peut décider de bloquer la menace potentielle détectée ou de l'exclure en sélectionnant Ajouter une exclusion à la politique. Cette configuration de politique n'est disponible que via ESMC Console Web.

validation-status-icon-warning IMPORTANT

Par défaut, la protection antirançongiciels bloque toutes les applications ayant un comportement potentiel de rançongiciel, y compris les applications légitimes. Il est recommandé d'activer le mode Audit pendant une courte période sur un nouvel ordinateur administré, de sorte que vous puissiez exclure les applications légitimes qui sont détectées comme des rançongiciels en fonction de leur comportement (faux positifs). Il est déconseillé d'utiliser le mode Audit de manière permanente, car les rançongiciels sur des ordinateurs administrés ne sont pas automatiquement bloqués lorsque ce mode est activé.

Analyse des ordinateurs - Cette option permet d'exécuter la tâche Analyse à la demande sur le périphérique qui a signalé la menace sélectionnée.

Marquer comme étant résolu(e)/Marquer comme étant non résolu(e) : les menaces peuvent maintenant être marquées comme étant résolues dans la section des menaces ou sous les détails d'un client spécifique.

Développez la section Actions pour effectuer les actions actuelles :

play_default Exécuter la tâche : exécutez une tâche existante et créez un déclencheur pour terminer la tâche.

scan_default Chemin d'analyse : cette action ouvre la tâche et prédéfinit les chemins et les cibles. Elle est uniquement disponible pour les menaces avec des chemins connus.

Ajouter une exclusion à la politique : sélectionnez une politique endpoint existante à laquelle vous souhaitez ajouter une exclusion pour la menace. Elle sera exclue des prochaines analyses. Vous pouvez exclure la menace en fonction des critères suivants :

oUtiliser le nom de la menace : l'exclusion est définie en fonction du nom de la menace détectée (famille de logiciels malveillants).

oUtiliser l'URI : l'exclusion est définie par le chemin d'accès au fichier, par exemple file:///C:/Users/user/AppData/Local/Temp/34e1824e/ggdsfdgfd.pdf.exe

oUtiliser le hachage : l'exclusion est définie par le hachage du fichier détecté.

Vous pouvez trouver les détails de la menace (nom de la menace, URI et hachage) lorsque vous cliquez sur la menace et que vous sélectionnez Afficher les détails.

validation-status-icon-error AVERTISSEMENT

Utilisez les exclusions avec prudence, car elles risquent d'infecter votre ordinateur.

details_hoverREMARQUE

Toutes les menaces détectées sur les périphériques client ne sont pas mises en quarantaine. Les menaces qui ne sont pas mises en quarantaine comprennent :

Les menaces qui ne peuvent pas être supprimées.

Les menaces suspectes en fonction de leur comportement, mais non détectées comme étant des logiciels malveillants, par exemple, des applications potentiellement indésirables.

Détails de la menace

Pour en savoir plus sur une menace, cliquez sur celle-ci dans un groupe statique ou dynamique, puis sur Afficher les détails. Seules les menaces détectées lors d'une analyse s'afficheront dans les informations sur cette analyse. Cliquez sur Menaces de la même analyse pour afficher une liste filtrée des menaces détectées lors de la même analyse que celle de la menace sélectionnée. Si la menace est un fichier, cliquez sur Envoyer le fichier à EDTD dans Détails de la menace pour créer une tâche client qui envoie le fichier à ESET Dynamic Threat Defense pour analyse.

Ordinateurs

Cliquez sur une menace. Dans le menu déroulant, le sous-menu Ordinateurs propose une liste d'actions que vous pouvez effectuer sur l'ordinateur sur lequel la menace a été détectée. Cette liste est la même que celle de la section Ordinateurs.

Colonnes de table

Cliquez sur l'icône représentant un engrenage gear_icon dans le coin supérieur, sélectionnez Modifier les colonnes et les colonnes à ajouter à la table. Plusieurs colonnes sont disponibles. Sélectionnez-les à l'aide des cases à cocher.