Threat Response - Réponse aux Incidents Informatiques

Orchestration et flux de travail transparents

Threat Response orchestre plusieurs phases clés du processus de réponse aux incidents.  

Il ingère les alertes de sécurité provenant de multiples outils. Il collecte le contexte, l'historique des cibles et les données de surveillance auprès de sources internes et externes. Et il recueille et analyse les résultats des investigations informatiques sur les points d'accès.  

Grâce à toutes ces informations, Threat Response automatise les flux de travail et les actions de réponse. Il génère des listes et des objets pour appliquer ses règles et lance des actions de mise en quarantaine et de confinement. Mesurez l'efficacité de votre réponse aux incidents grâce à des rapports générés automatiquement, qui détaillent les indicateurs clés de performance à chaque étape.  

Collection Forensic et de vérification des indicateurs de compromission

Même lorsque les logiciels malveillants sont très furtifs, les infections laissent souvent des traces révélatrices au niveau des points d'accès. C'est ce que l'on appelle les indicateurs de compromission. Threat Response confirme automatiquement les infections par des logiciels malveillants grâce à la vérification intégrée des indicateurs de compromission.  

Ces indicateurs de compromission peuvent comprendre:  

• Les processus
• Les mutexes
• Les changements du système de fichiers
• Les changements de registre
• L'historique des pages Web   

Lorsqu'une alerte de sécurité signale qu'un système a été ciblé par un logiciel malveillant, Threat Response déploie automatiquement un collecteur de point d'accès pour extraire les données d'investigation sur le système ciblé. Ces données sont ensuite comparées à une base de données appelée Indicateurs de compromission afin de vérifier rapidement si un système est infecté par des indicateurs de compromission liés à l'attaque en cours. Les équipes peuvent également visualiser les indicateurs de compromission visés par des attaques antérieures et qui n'ont pas été nettoyés. Cette vérification intégrée des infections permet de gagner des heures lors de chaque incident informatique. De plus, elle réduit considérablement le nombre de faux positifs fastidieux qui aboutissent à des cycles inutiles de modification d'image et de restauration depuis des sauvegardes. Les collecteurs d'investigation au niveau des points d'accès se déploient à la demande sur les systèmes soupçonnés d'être infectés - aucune préinstallation n'est requise. Le collecteur s'exécute temporairement dans la mémoire et se désinstalle une fois son travail terminé.

Prise de conscience du contexte et de la situation de l'incident

De nombreuses alertes de sécurité ne disposent pas de certaines informations critiques requises pour déterminer le contexte d'une menace et les étapes suivantes. Threat Response enrichit automatiquement les alertes de sécurité en collectant le contexte interne et externe pertinent, les informations de surveillance et les données importantes pour créer pour chaque alerte une vue qui peut donner lieu à des actions. Munies de ce point de vue, les équipes de sécurité sont alors à même de comprendre, de hiérarchiser et de répondre rapidement aux menaces de sécurité.  

Avec Threat Response, les équipes de sécurité peuvent rapidement répondre aux questions telles que :  

• Quels sont les utilisateurs ciblés par une attaque ?
• Les utilisateurs concernés ont-ils déjà été infectés au préalable ?
• À quel service ou à quel groupe appartiennent les utilisateurs concernés ?
• Certains systèmes affectés contiennent-ils des signes indicateurs d'une attaque réussie ?
• Cette attaque a-t-elle déjà été utilisée auparavant, dans notre environnement ou ailleurs ?
• D'où provient cette attaque et où se trouvent les nœuds de contrôle et de commande ?
• L'historique du navigateur ou de la connexion contient-il des éléments inhabituels, tels que des consultations d'un site Web suspect ou des connexions ouvertes à des serveurs de contrôle et de commande ?

Mise en quarantaine et confinement faciles

Threat Response s'intègre à vos outils existants d'infrastructure de sécurité pour bloquer les menaces avérées, mettre en quarantaine les utilisateurs infectés et protéger les autres utilisateurs en arrêtant la propagation de l'infection.  

Par exemple, Threat Response peut mettre à jour les adhésions des utilisateurs ciblés au groupe Active Directory pour :  

• Limiter l'accès aux sites Web de partage de fichiers 
• Contrôler l'accès au réseau VPN
• Mettre à jour les systèmes de contrôle d'accès réseau (NAC) et de contrôle d'accès aux applications

La capacité à mettre à jour les listes de blocs sur les outils d'application vous protège en limitant l'accès aux pages Web et aux URL à l'aide de filtres Web. Vous pouvez autoriser ou refuser les connexions réseau aux sites de type « watering-hole » compromis, ainsi qu'aux domaines et aux hôtes criminels.

Les courriers électroniques contenant des pièces jointes malveillantes peuvent être déplacés vers un lieu sécurisé à tout moment, même après leur envoi. Cela élimine le risque que vos employés ne cliquent à nouveau sur les pièces jointes.