Voici une liste de quelques conseils qui devraient vous faciliter l'utilisation du mandant Sophos. Le RHRZ ne peut malheureusement pas fournir de conseils ou de formation approfondis.

La configuration de votre compte administrateur nécessite plusieurs confirmations de votre part. La connexion au backend Sophos utilise une authentification à deux facteurs. Pour cela, il est recommandé d'utiliser une application qui prend en charge TOTP (Time-based One-time Passwords), par exemple Authy ou Google/Microsoft Autenticator.

En cliquant sur Help en haut à droite du backend, vous obtiendrez des informations détaillées sur les fonctions du backend chez Sophos.

Lorsque la protection Tamper est activée, l'utilisateur ne peut pas désinstaller le client Sophos. La protection Tamper peut être activée ou désactivée sous "Global Settings" pour tous les clients ou sous "Devices" par appareil.

Dans le client Sophos, l'utilisateur a la possibilité de désactiver Sophos ou des fonctions individuelles de Sophos pendant quatre heures au maximum. Si la Tamper Protection est activée, il est nécessaire de saisir un mot de passe. Celui-ci doit être récupéré pour chaque appareil ("Devices" -> Sélectionner l'appareil -> "View Password Details"). Le mot de passe peut être renouvelé en cliquant dessus (le nouveau mot de passe est actif après ~ 1 minute). Les mots de passe précédents sont listés dans le backend.

De nombreuses possibilités de configuration sont prédéfinies par le CRRH via un modèle et ne peuvent pas être modifiées au sein d'un mandant. Le symbole du cadenas indique les configurations prédéfinies. Le modèle contient en grande partie la configuration recommandée par Sophos, seule la fonction "Contrôle Web" a été désactivée.

Le modèle a malheureusement une granularité prédéfinie, de sorte qu'il n'est pas possible de faire moins de spécifications. Si vous avez besoin d'accéder à des configurations prédéfinies pour votre domaine, c'est possible après accord.

Alertes e-mail : vous pouvez recevoir des alertes de Sophos par e-mail. Vous pouvez configurer cela dans "General Settings" (roue dentée en haut à droite) -> "Configure email alerts".

En règle générale, Sophos ne signale comme "alerte" que les choses qui nécessitent votre intervention en tant qu'administrateur. Le mieux est de vérifier régulièrement sous "Logs & Reports" -> "Events" quels sont les autres messages, par exemple si certains messages se produisent très fréquemment.

Il n'est pas exclu que des faux positifs apparaissent lors de la détection de comportements malveillants. Dans ce cas, nous pouvons configurer des exceptions. Dans ce cas, veuillez nous contacter via le système de tickets.

Les instructions suivantes présupposent qu'un client a déjà été configuré chez Sophos pour l'utilisation d'InterceptX dans votre domaine. De plus, ces instructions s'adressent aux administrateurs qui utilisent SCCM pour la gestion de leurs clients. La disponibilité de RHRZ SCCM dans votre domaine est donc également supposée. Le déploiement de Sophos InterceptX via SCCM peut être effectué à l'aide du package Sophos InterceptX du catalogue logiciel central de SCCM. Avant cela, il est nécessaire de configurer le processus d'installation dans la console SCCM. Le CustomerToken et le MCSCustomerID de votre client chez Sophos doivent être communiqués à vos clients administrés via SCCM à l'aide de variables de collecte. De cette manière, les clients peuvent être affectés à votre mandant Sophos lors de l'installation de Sophos InterceptX. Veuillez noter que Sophos InterceptX nécessite Windows 10 21h2 (2109) ou Windows 11 21h2 ou supérieur comme système d'exploitation.