Blog - article

Sorry, this blog post has not been posted yet. Come back and check again later!

Visibilité, détection et aide à la résolution des incidents avec une architecture sans outil SIEM

By:
Chris Morales
April 30, 2019

Lorsqu'elles élaborent leur programme de résolution des incidents, les équipes de sécurité sont confrontées à un défi de taille : trouver le juste milieu entre l'impératif de visibilité, de détection et de résolution des incidents d'une part, et le coût et la complexité du développement et de la gestion d'un dispositif de sécurité fonctionnel et performant d'autre part.

Historiquement, de nombreuses équipes chargées des opérations de sécurité se sont appuyées sur la gestion des informations et des événements de sécurité (SIEM) pour couvrir un large éventail de cas d'utilisation, notamment la détection des menaces, la génération de rapports de conformité, la centralisation des alertes ainsi que la création des processus et workflows à l'intention des analystes.

Pour certaines entreprises, une solution SIEM offre un point central idéal pour tout ce qui concerne la détection des menaces et les journaux. Pour d'autres, la capacité à gérer une solution SIEM efficace dépend de leur capacité à conserver les talents. Certaines entreprises sont confrontées à une pénurie de personnel suffisamment qualifié pour les postes de sécurité.

Malheureusement, les solutions SIEM introduisent souvent une charge administrative supplémentaire. Par ailleurs, il n'est pas nécessaire que tous les workflows d'investigation ou de résolution des incidents soient intégrés à un outil SIEM. L'essentiel est de pouvoir déterminer quels événements fournissent le rapport signal/bruit le plus élevé pour la détection des menaces. Dès lors, quel est l'intérêt d'une solution SIEM dans un environnement aux ressources limitées ?

Pour répondre à cette question, nous devons commencer par définir les besoins en matière de détection des menaces et de résolution des incidents:

  1. Visibilité sur l'ensemble des ressources de l'entreprise, indépendamment de l'endroit où elles résident, que ce soit dans le centre de données ou le cloud, sur des ordinateurs portables de l'entreprise, des équipements personnels ou des appareils IoT.
  2. Corrélation des événements de sécurité et capacité à identifier les relations entre les charges de travail et les équipements.
  3. Contexte des incidents associé à des mesures correctives concrètes.
  4. Processus et workflows reproductibles permettant aux analystes en début de carrière de développer rapidement leurs compétences en matière de sécurité et aux analystes chevronnés d'effectuer des investigations rapides et concluantes.
  5. Détection des menaces et investigation pouvant commencer en tout point de l'environnement.

Je considère personnellement que le réseau représente le moyen le plus simple d'obtenir la visibilité la plus large et un excellent point de départ pour la traque des menaces, mais que d'autres sources de données peuvent enrichir le contexte.

La détection des menaces nécessite non seulement les journaux, mais également le contexte du réseau et des terminaux. Et chacune de ces sources de données doit bénéficier du soutien d'outils spécialisés, spécifiquement conçus pour la visibilité, la détection et l'aide à la résolution des incidents dans leurs types de données respectifs, conçus dès le départ pour fonctionner de concert.

Il existe un nouveau type d'architecture de sécurité sans outil SIEM qui permet aux entreprises de faire appel à des personnes intelligentes ayant une expérience générale en informatique pour en faire la prochaine génération d'analystes en sécurité. Ces plates-formes spécialisées de détection et aide à la résolution des incidents proposent des processus faciles à comprendre et reproductibles qui constituent les composants essentiels d'une investigation efficace, indépendamment du type de menace auquel vous êtes confronté.

Les trois composants fondamentaux de cette architecture dynamique sont (1) la détection et la résolution des incidents sur le réseau et les terminaux (NDR/EDR) combinées à (2) l'automatisation et l'orchestration de la sécurité pour unifier (3) la gestion des cas de résolution des incidents.

Les investigations peuvent débuter n'importe où — réseau, terminal ou système d'automatisation et orchestration de la sécurité —, car les composants clés de l'architecture communiquent entre eux. Les outils de sécurité du périmètre réseau dont vous disposez déjà assurent généralement l'enrichissement des cas et la mise en œuvre des mesures d'intervention.

Cette architecture est souvent utilisée dans les environnements clients disposant d'une intégration entre Vectra, CrowdStrike, Demisto et Palo Alto Networks. Par exemple, l'intégration via l'orchestration permet l'application de mesures éclairées fondées sur le balisage de Cognito, qui déclenche des événements, et l'automatisation de Demisto. Elle fournit des informations précieuses permettant aux équipes de sécurité de se montrer plus efficaces.

En disposant de sources de données de meilleure qualité, telles que la solution NDR de Vectra et la solution EDR de CrowdStrike, les analystes en sécurité peuvent éliminer le coût et la complexité des outils SIEM tout en bénéficiant des avantages d'une résolution des incidents accélérée.

La plate-forme Cognito de Vectra a été spécialement conçue pour s'intégrer aux solutions courantes de protection des terminaux, d'orchestration, de pare-feu, de cloud et de sécurité des centres de données virtualisés, afin de prendre en charge les workflows de résolution des incidents existants en toute transparence.

Ces intégrations incluent VMware, Microsoft Azure, Amazon Web Services, CrowdStrike, Carbon Black, Demisto, Splunk Phantom, Juniper, Palo Alto Networks et d'autres. Les analystes en sécurité peuvent ainsi passer facilement d'une plate-forme ou d'un outil à l'autre, tout en fournissant un contexte riche sur les menaces et les systèmes compromis.

Et si vous ne pouvez pas vous passer de votre solution SIEM parce que vous la considérez comme la pierre angulaire de votre environnement d'investigation sur les menaces, Cognito s'y intègre aussi parfaitement (QRadar, ArcSight et Splunk).

About the author

Chris Morales

Christopher Morales is Head of Security Analytics at Vectra, where he advises and designs incident response and threat management programs for Fortune 500 enterprise clients. He has nearly two decades of information security experience in an array of cybersecurity consulting, sales, and research roles. Christopher is a widely respected expert on cybersecurity issues and technologies and has researched, written and presented numerous information security architecture programs and processes.

Author profile and blog posts

Most recent blog posts from the same author

Cybersecurity

Threat Behaviors in the Attack Lifecycle

June 20, 2019
Read blog post
Cybersecurity

Visibilité, détection et aide à la résolution des incidents avec une architecture sans outil SIEM

April 30, 2019
Read blog post
Threat detection

Bedrohungserkennung und Response mit einer Architektur ohne SIEM

April 5, 2019
Read blog post