Traquer en continu les menaces

Man working on his pc

Être dans le collimateur d’un attaquant dont on ignore le mode opératoire amplifie notre vulnérabilité.

Dans le cyberespace, les attaquants sont de plus en plus nombreux. Ils font preuve d’ingéniosité pour déployer des attaques sophistiquées échappant souvent aux stratégies de défense classiques. La prévention, la sensibilisation et l’application des règles d’hygiène informatique ne suffisent plus. Se protéger exige désormais un renseignement perpétuel autour des menaces pour suivre au plus près leurs évolutions techniques, tactiques et stratégiques.

 

Offrez-vous une tour de sécurité hautement structurée pour percevoir les menaces avant leur arrivée à vos portes

 

Au sein de notre plateforme SOC, la chasse aux menaces cyber fait partie des éléments de base de notre approche. Elle prend forme à travers une fonctionnalité dénommée “Operations Center”. Vous y trouverez un catalogue de plus de 500 règles spécialisées dans la détection des menaces cyber.

Tout d’abord, ce catalogue de règles (directement actionnables pour votre stratégie de défense) est entièrement produit et entretenu quotidiennement par notre équipe CTI (composée de chercheurs et analystes en cybersécurité). Chaque règle de détection des menaces est systématiquement associée à du contexte. Cela peut s’agir aussi bien des menaces émergentes que celles dites avancées, des noms de malwares, des groupes d’attaquants, des modes opératoires ou encore des techniques d’attaques (basées sur le framework MITRE ATT&CK).

Ensuite, il s’applique également à l’ensemble de votre système d’information (que ce soit vos e-mails, le réseau, les terminaux ou endpoints).

Pour renforcer la capacité de notre catalogue de règles à détecter des menaces et surtout enregistrer un taux de faux positifs quasi nul, nous le soumettons à un processus d’évaluation strict. Chaque règle est classifiée selon quatre niveaux d’effort. Ces niveaux de classification sont établis sur la base de l’effort à consentir pour activer la règle (par exemple, la configuration de la source de logs) et le risque de faux positif associé à la règle de détection.

Selon vos besoins, vous pouvez également personnaliser les règles de détection, y appliquer des cas d’exclusions, restreindre leurs périmètres d’emploi, ou encore en créer des nouvelles adaptées à votre stratégie de sécurité opérationnelle.

Depuis votre console de sécurité unifiée

Protégez en temps réel votre organisation des attaques, intrusions et compromissions

 

Contrairement aux approches classiques qui mènent une détection par intermittence (toutes les 15 minutes, par exemple), notre plateforme SOC vous aide à appliquer au sein de votre système d’information, une détection en “streaming”, c’est-à-dire une détection en continu.
Celle-ci est rendue possible grâce à la présence combinée de nos trois moteurs de détection :

Un moteur de détection par corrélation axées sur la détection de comportements malveillants, associés à des mauvaises pratiques informatiques. Ici, il est question de tirer profit du langage SIGMA pour exprimer les propriétés attendues autour des évènements collectés. Ces règles peuvent également être combinées à l’aide d’opérateurs temporels, statistiques pour faire de la détection multi-événements (par exemple, la détection de cinq échecs d’authentification sur un même nom d’utilisateur en cinq minutes).

Un moteur de détection CTI pour repérer grâce à une base de connaissances actionnable, la présence d’activités malveillantes sur votre SI. Cette base de connaissances opérationnelle est composée de plus de 2 000 000 d’indicateurs techniques entièrement contextualisés et maintenus par nos équipes. Pour étendre vos capacités de détection, vous pouvez ajouter d’autres flux CTI de votre choix, ou encore le vôtre (votre renseignement, celui que votre équipe produit de A à Z).

Un moteur de détection d’anomalies pour identifier les attaques réalisées à partir de techniques et outils suffisamment légitimes pour passer sous les radars du moteur de détection comportementale et inconnus de la base de connaissances CTI. Pour rechercher des comportements inhabituels et déviants, ce moteur de détection d’anomalies s’appuie sur une mémorisation quotidienne des comportements et usages normalisés à des périodes antérieures.

En cas d’activités malveillantes, de comportements inattendus, de violation des pratiques informatiques normalisées ou d’usages malveillants de moyens légitimes, une alerte contextualisée est levée. 
Par la même occasion, vous pouvez automatiser des réponses adéquates, notamment par le biais de playbooks intégrés à directement à votre console, afin de neutraliser la menace avant impact sur votre système d’information.

Graph Investigation

Améliorez l’expérience analyste de votre équipe SOC

Les 560 règles de détection des menaces cyber, intégrées nativement à la plateforme SOC, sont directement actionnables, prêtes à l’emploi et personnalisables en quelques clics. Selon les besoins opérationnels, vos analystes peuvent les réadapter pour accroître leur efficacité ou créer de nouvelles règles jugées plus proches de vos réalités opérationnelles.

Toutes les alertes produites au sein de la plateforme SOC sont entièrement contextualisées sur la base de connaissances produites et maintenues par SEKOIA.IO. Cela représente un véritable gain de temps pour vos analystes. Grâce à ces informations de contexte, ils peuvent, en effet:

• Évaluer l’urgence à attribuer au traitement de chaque alerte, de ces éléments de contexte.

Tirer profit des connaissances qui y sont associées, en l’occurrence : les modes opératoires et malware identifiés, les groupes de menaces et leurs campagnes mais aussi leurs techniques d’attaques…

Selon les besoins d’investigations autour des alertes, vos analystes peuvent centraliser (conjointement) leurs observations, leurs analyses, commentaires et résultats au sein de la plateforme SOC.

Par ailleurs, ils peuvent – selon le délai de rétention des logs, soit 90 jours par défaut – rechercher dans le passé, des suspicions de compromission. Ils peuvent combiner un ou plusieurs termes pour affiner leurs recherches.