Remplacer son SIEM

Man working on his pc

Les outils SIEM ne tiennent pas leurs promesses

L’usage des solutions SIEM traditionnelles pose des limites majeures aux équipes SOC. Parmi ces freins, figurent, par exemple, le fait pour un RSSI, un responsable SOC :

• De manquer de visibilité sur le coût en raison de la volumétrie fluctuante des données à collecter.
• De submerger ses équipes SOC, d’un flux important de faux positifs (Alert fatigue).
• D’augmenter la charge de travail de son équipe d’analystes qui doit investiguer sur des alertes non contextualisées.
• De manquer d’ouverture sur les services cloud et les infrastructures SI modernes et hybrides.
• De ne pas assurer une détection efficace (et réagir en l’espace de quelques secondes aux menaces détectées en temps réel).

 

Au regard de tous ces éléments, vous envisagez de changer de solution. Toutefois, vous hésitez à franchir le cap, par crainte de :

• Perdre toute la capitalisation technique de votre environnement de détection.
• Devoir construire de nouveau vos règles de détection et toute la politique de sécurité.
• Perdre tout le travail abattu pour que votre SIEM puisse s’interfacer aujourd’hui avec toutes vos solutions de sécurité.
• Reproduire de nouveau le même déploiement interne avec l’adoption d’une nouvelle solution.

Parce que vous et votre équipe avait vos habitudes et développé des mécanismes avec votre solution SIEM actuelle, vous craignez de perdre du temps dans :

• La constitution de nouveaux référentiels techniques et organisationnels

• La formation de votre équipe quant à la prise en main d’une nouvelle solution.

Décuplez la capacité opérationnelle de votre équipe avec SEKOIA.IO XDR

Nous proposons une plateforme SOC unifiée (tout-en un), souveraine, hébergée partout où vous le souhaitez. Celle-ci agrège et fusionne tous les composants nécessaires à la sécurité d’un système d’information. En d’autres termes, elle intègre à la fois :

• La puissance d’un outil SIEM de dernière génération, capable de combiner analyse comportementale et détection d’anomalies pour réduire les faux positifs.
• L’agilité et l’ouverture d’un SaaS prêt à intégrer et à interconnecter vos infrastructures et solutions de sécurité existantes.
• L’efficacité d’un SOAR pour répondre plus rapidement aux alertes par l’utilisation de playbooks et des intégrations.
• Un renseignement cyber hautement contextualisé (CTI) et contenant de nombreuses règles de détection déjà actionnable.

Réduisez le coût opérationnel de votre SOC

Notre modèle de facturation est établie en fonction du nombre d’assets à protéger, sans notion de volume de logs traités ou autres coûts cachés… Par conséquent, nous proposons un tarif prédictif. Notre tarif est compétitif car inférieur aux solutions traditionnelles. Cela vous apporte une certaine sérénité budgétaire contrairement aux outils SIEM traditionnelles.

Augmentez votre capacité de détection des menaces

La détection des menaces, y compris celles les plus complexes et avancées, fait partie intégrante de notre plateforme SOC. Cette détection prend forme autour de trois (3) briques fondamentales :

• La première brique est celle d’une détection à base de CTI; c’est-à-dire un moteur de détection qui cherche à casser l’agilité des attaquants en mobilisant des milliers d’indicateurs. Ces derniers portent sur les malware, infrastructures et techniques employées par les attaquants pour mener leurs opérations.

• Quant à la deuxième brique de détection, elle est régie par un catalogue de plus de 500 règles comportementales destinées à détecter les vulnérabilités les plus récentes, les modes opératoires (TTPs) des attaquants…

• Enfin, la troisième et dernière brique de détection s’attèle à détecter l’usage malveillant de moyens légitimes. Elle s’appuie sur un moteur de détection d’anomalies pour apprendre par rapprochement statistique, par saisonnalité, les usages légitimes sur le système d’information et donc lever des alertes autour des usages potentiellement inattendues.

Dites adieu aux “alert fatigue”

En opérationnalisant votre détection à partir d’une CTI contextualisée, combinée avec l’analyse comportementale et par ailleurs, fournie par nos analystes, vous réduisez très fortement le taux de faux positifs et donc la pression sur vos équipes. Chaque alerte déclenchée est enrichie par des éléments contextuels et/ou métadonnées pour réduire les efforts d’investigation de vos analystes.

Sur la même console, vos analystes peuvent automatiser des réponses aux alertes levées avant impact. Des systèmes de playbooks sont mis à leur disposition. Leur configuration ne requiert pas de compétence approfondie en administration système ou en codage.

Graph from alert
Graph investigation

Réduisez la charge mentale de vos analystes

Un catalogue de règles de détection actionnable est inclus dans notre plateforme SOC. Il est produit et maintenu par nos équipes de chercheurs. Sa présence permet à vos analystes d’être opérationnel dès les premières heures de déploiement. Ils ne s’occupent plus de la mise en place du cycle de renseignement et de détection. Ils peuvent se concentrer sur les tâches à valeurs ajoutées comme l’investigation.

Migrez sans douleur votre stack de sécurité (y compris les règles de détection de votre ancien SIEM)

Notre solution SEKOIA.IO XDR est compatible avec la plupart des solutions cloud, SaaS et on-premise. Nous disposons de multiples connecteurs assurant une intégration très rapide et très simplifiée aux principales infrastructures et solutions de sécurité existantes. Nous nous adaptons donc à votre existant mais aussi à l’évolution de votre écosystème et à vos contraintes organisationnelles.

Nos règles de détection se basent sur SIGMA pour offrir un format simple, interopérable et ouvert. Il facilite également la migration des règles de détection depuis votre ancien SIEM.

Follow us on Social Media