Agir rapidement face à la menace
Pour contenir la progression d’une attaque, les premières minutes comptent !
En cas d’attaque avérée, les premières minutes représentent les périodes cruciales pour limiter les dégâts sur le système d’information de l’entreprise. Elle nécessite de la part de votre équipe SOC, CERT/CSIRT : spontanéité et réactivité afin de circonscrire le périmètre d’attaque (identifier les postes/terminaux concernés, les indicateurs à l’origine de l’alerte, disposer d’informations sur le mode opératoire, les TTPs) et actionner les réponses adéquates. Sans une réelle connexion entre vos équipements de sécurité et l’usage de processus automatisés, cette coordination de tâches peut toutefois s’avérer chronophage pour votre équipe.
Soulagez votre équipe SOC des actions à répétition
Notre plateforme SOC tout-en-un intègre nativement la technologie SOAR. Celle-ci prend forme à travers une interface graphique dont les différentes fonctionnalités favorisent une automatisation des activités quotidiennes standards et les plus répétitives d’une équipe SOC.
Vos analystes peuvent en effet créer des playbooks capables d’automatiser à un moment précis ou de façon continue, leurs actions de triage, de pré-qualifications et d’enrichissement autour des alertes levées.
Augmentez la capacité opérationnelle de votre équipe CSIRT
Pour les équipes de réponses à incident, cette fonction SOAR intégrée nativement apporte garantie, rapidité et une certaine sérénité quant à l’exécution des réponses de sécurité.
Concrètement, les équipes CSIRT peuvent s’appuyer sur la bibliothèque d’intégrations prêtes à l’emploi de SEKOIA.IO pour :
- Demander aux équipements de sécurité de bloquer un malware,
- Isoler des postes de travail ou désactiver l’accès à Internet grâce aux informations de contexte récupérées sur le mode opératoire des attaquants associés à ce malware,
- Récupérer les résultats de la remédiation,
- Informer par mail ou sur Slack son responsable (RSSI, DSI) de l’état d’avancement de la remédiation,
- Créer un ticket avec tous les éléments de contexte susceptibles d’aider les analystes à poursuivre leurs investigations.
Toutes ces actions contribuent à réduire au maximum les efforts manuels de votre équipe et aident à faire face à la pénurie de personnels en cybersécurité.
Prenez un coup d’avance en tirant profit d’un catalogue de playbooks opérationnels
Au sein de notre plateforme SOC, vous disposez d’un catalogue de playbooks (d’actions automatisées) créés, maintenus par nos équipes et librement accessibles à l’ensemble de nos usagers. Ce catalogue est régulièrement enrichi afin de le rendre opérationnel et performant pour l’ensemble de vos activités de :
• Collecte, triage et préqualification des alertes,
• D’investigation et réponses aux incidents
Parce que personne ne maîtrise mieux que vous votre environnement et vos besoins en termes d’activités cyber, nous avons simplifié et organisé le processus de configuration des playbooks autour de trois composants, à savoir :
1. Les triggers, chargés d’établir vos critères d’exécution automatique,
2. Les actions (process ou logiques métiers) à mettre en œuvre,
3. Les opérateurs qui permettent d’articuler au travers de vos conditions, les différentes actions ou logiques métiers que vous souhaitez mettre en œuvre.
Sa prise en main est accessible à tous (des utilisateurs les plus techniques et chevronnés aux moins avancés).
