Introduction :
Cette article va vous montrer comment basculer d’un environnement de gestion SG vers un environnement de gestion Sophos Central.
Note : Les boitiers SG (ancienne gamme Sophos) permettent de jouer le rôle de “serveur antivirus”.
Prérequis :
- Accès à la console d’administration SOPHOS SG et SOPHOS Central.
- Avoir créé ou importé vos utilisateurs dans SOPHOS Central.
- Pour que les utilisateurs remontent dans Sophos Central il faut au préalable mettre en place l’outil de synchronisation Sophos.
Déploiement :
La première étape consiste à s’identifier sur SOPHOS XG et de désactiver la « Tamper protection » sur tous les utilisateurs.
Pour réaliser cette action la méthode la plus simple est de créer un groupe réunissant tous les utilisateurs à migrer et de désactiver la fonction :
La deuxième étape consiste cette fois ci à s’identifier sur SOPHOS Central et d’envoyer email d’installation aux utilisateurs concerné par la migration :
La dernière étape quant à elle, est de lancer l’exécutable téléchargé à partir du mail reçu :
L’installation doit être lancé en tant qu’administrateur et prend environ 15 minutes. Pendant ce lapse de temps le logiciel va désinstaller l’ancien antivirus, télécharger le nouveau et l’installer.
Une fois l’opération fini vous allez voir un nouveau logo apparaitre :
Configuration
Sophos Central permet comme à l’instar de SOPHOS SG de créer des groupes pour gérer l’administration. Le plus avec SOPHOS central est qu’il distingue deux catégories. La première est « User and Computer Policies » et la seconde « Server Polices ».
Voici la liste des paramètres qui peuvent être modifié pour les deux catégories.
|
User and Computer Policies
|
Server Policies
|
|
|
|
Fonctionnalité Innovante
La nouveauté de Sophos Central est le module Intercept X qui contient plusieurs outils dont CryptoGuard qui empêche les ransomwares et la Root Cause Analysis.
La RCA permet en cas d’attaque subit d’analyser en profondeur et de donner les détails de l’attaque.
Pour accéder à cette l’interface il faut se rendre dans l’onglet « Root Cause Analysis » puis de sélectionner l’attaque souhaité.
Trois Onglet s’offre à vous.
Overview : Regroupant les informations essentielles de l’attaque QUOI, OU, QUAND et QUI.
Artifacts : Liste tous les fichiers, adresses IP, Processus, clé de registre et toutes les connexions que l’attaque ai touché. Que ce soit en lecture, écriture, connexion.
Visualize : Montre graphiquement comment l’attaque c’est propagé.
Il suffit ensuite de cliquer sur la bulle qui nous intéresse pour nous afficher le détail.
