Interset UEBA | Cas pratiques

Optimisée par l'apprentissage machine et l'intelligence artificielle, la solution Interset UEBA rend vos équipes SOC plus efficaces pour débusquer les menaces, les trier et les évaluer.

Détection des menaces internes

Détection des menaces internes

Les employés, les sous-traitants, les partenaires et les utilisateurs avec privilèges peuvent tous se transformer en menaces internes. Ces risques sont difficiles à déceler, et leurs conséquences sont catastrophiques lorsqu'ils aboutissent. La plateforme Interset dote les équipes de sécurité de la visibilité dont elles ont besoin sur les terminaux, les serveurs, les réseaux, voire sur des téraoctets de données de journaux.

Interset est la seule plateforme de détection des menaces capable de donner une image complète des risques internes, du système dorsal jusqu'aux terminaux. Via l'apprentissage machine, Interset crée une image holistique des processus normaux. Dès qu'elle décèle une anomalie ou des activités à haut risque, elle relie chacun de ces événements à l'utilisateur concerné, augmente son score de risque (ce qui réduit de façon radicale le nombre de fausses alertes), et présente le contexte de l'incident dans une interface à la fois claire, exploitable et interactive. Interset détecte et expose les menaces internes tout en permettant aux équipes de sécurité de les atténuer plus vite et plus efficacement.

Détection des attaques ciblées

Détection des attaques ciblées

Actuellement, il n'est pas rare que les cyber-attaques pénètrent les périmètres de défense, même les plus profonds et les plus sophistiqués. Les entreprises doivent donc surveiller ces menaces à l'intérieur de leur réseau. Cependant, passer au tamis les volumes massifs des données des événements génère essentiellement des faux positifs. Basée sur une véritable plateforme de Big Data, Interset ingère et analyse ces volumes massifs de données pour rapidement exposer les attaques avec une grande précision.

Interset détecte, relie et visualise le chemin de l'attaque, des comptes compromis au déplacement de données pour exfiltration, en passant par le mouvement latéral, la reconnaissance de données et la gestion intermédiaire des données. Dans ce contexte, Interset expose rapidement les attaques, à mesure qu'elles se déroulent. L'analyste peut aussitôt visualiser les incidents et dispose de workflows qui garantissent l'efficacité de la confirmation, de l'investigation et de la riposte.

Protection des données sensibles et des adresses IP

Protection des données sensibles et des adresses IP

La plupart des clients déploient Interset dans le cadre d'un programme de sécurité axée sur les données, car les analyses indiquent le score de risque des actifs numériques, et notamment des projets stockés dans les référentiels, les lecteurs partagés, les serveurs, etc.

Interset est également le seul produit de sécurité capable de proposer son propre capteur de terminaux, et d'établir une corrélation entre les données des terminaux, le référentiel dorsal et les données de l'annuaire. La plateforme répond spécifiquement aux problèmes de visibilité des systèmes dorsaux en appliquant l'analyse comportementale aux journaux d'application des référentiels d'adresses IP comme SCM (Source Code Management). Interset met en évidence les activités à haut risque et permet ainsi aux analystes de mettre fin à tout comportement inapproprié avant qu'une violation ne se produise.

Endpoint EDR

Détection des terminaux et riposte

Les solutions de détection et riposte des terminaux (EDR, Endpoint detection and response) fournissent les données les plus détaillées et les plus précises possibles pour la détection des menaces. Une fois combinées à la plateforme UEBA, capable d'analyser des milliards d'événements sur les terminaux, les équipes de sécurité peuvent très vite et efficacement repérer les symptômes de compte compromis, de déplacement latéral, de reconnaissance interne et d'exfiltration de données. Interset UEBA éclaire le comportement des utilisateurs sous un nouveau jour (fréquence de connexion inhabituelle, date ou heure anormale d'une tâche, ou utilisation de machines inhabituelles), un contexte précieux qui facilite la détection des menaces généralement difficiles à démasquer.  

Combinez la plateforme Interset UEBA aux données enrichies par CrowdStrike sur les terminaux pour rapidement dénicher les menaces difficiles à déceler, par exemple les attaques internes ou ciblées. Avec cette solution, les SOC peuvent réagir de façon plus uniforme aux menaces en ramenant des milliards d'événements de terminal à une liste de pistes potentielles classées par priorité, ce qui réduit la lassitude inhérente à la multiplication des alertes et permet à l'équipe de se concentrer sur les menaces les plus graves.

Optimiser vos opérations de sécurité

Optimiser vos opérations de sécurité

Pierres angulaires des SOC modernes, les produits SIEM, DLP, IAM et NAC ont toutefois introduit des failles de sécurité à cause d'un trop grand nombre de faux positifs et de structures stratégiques trop compliquées qui viennent limiter la capacité des SOC à déceler les menaces, confirmer leur dangerosité et y riposter avec précision. Les analystes perdent trop de temps à essayer de deviner où est la véritable menace. La plateforme d'analyse avancée Interset a été créée pour maximiser l'efficacité des outils de sécurité existants et optimiser les opérations de sécurité.

Interset UEBA met en corrélation les données collectées par les outils de sécurité existants (par exemple ArcSight) pour fournir une vue à l'échelle de l'entreprise des comptes, de l'authentification et de l'accès des utilisateurs et des services au niveau des systèmes et des applications. La plateforme fournit également de précieux renseignements sur les accès et les déplacements de données à haut risque, en renvoyant automatiquement le contexte à votre outil SIEM ou de riposte aux incidents. La plateforme peut aussi appeler des API pour activer le contrôle informatique des systèmes d'authentification, DLP ou NAC.

Détection des comptes compromis

Détection des comptes compromis

Les comptes peuvent être compromis par du phishing, des malware ou une violation de données. Les attaquants volent les identifiants de connexion de certains clients ou employés par appât du gain ou pour accéder à des données sensibles dans d'autres applications et réseaux. Pilotée par l'apprentissage machine avancé, la plateforme d'Interset exploite plus de 60 algorithmes axés sur la détection des comptes compromis (utilisateurs et services). Interset est également le seul produit de sécurité capable de mettre en corrélation les indicateurs issus des terminaux, des annuaires, des listes de contrôle d'accès et des journaux d'application, collectés par les différents logiciels de programmation en collaboration et de contrôle des versions. Ainsi, tous les types d'attaques visant les comptes sont couverts.

La grande visibilité d'Interset permet aux équipes de sécurité de détecter les compromissions de comptes et de relier ces attaques aux IOC. En d'autres termes, la plateforme ne se contente pas d'exposer les menaces rapidement et avec précision. Elle va plus loin en fournissant des informations sur le contexte de chaque attaque bien avant que celle-ci n'atteigne sa cible.

Génération de pistes pour débusquer les menaces

Génération de pistes pour débusquer les menaces

Interset expose les attaques avant même qu'elles n'atteignent leur cible. Mais ce n'est là que le début. Les outils aident ensuite les analystes de sécurité à valider l'attaque et à l'intégrer dans le processus de riposte aux incidents en vigueur dans l'entreprise, et distribuent les informations relatives à l'incident à toutes les équipes. L'interface utilisateur donne une image tridimensionnelle de l'attaque, un point essentiel pour savoir immédiatement comment l'intercepter. La vue des risques par entité permet aux analystes de voir visuellement la chronologie de l'attaque, les tendances en matière de risque et les nouvelles anomalies, à mesure que l'attaque se déroule. La vue chronologique peut également inclure des alertes issues d'autres produits de sécurité et des renseignements sur les menaces pertinents pour chaque attaque. L'ensemble optimise le processus de validation et de riposte.

La plateforme Interset comprend l'intégration ouverte de Kibana/Elasticsearch et est à même d'analyser l'historique des données dans le moteur Elasticsearch. D'un seul clic, les enquêteurs et chasseurs de menaces accèdent à des informations approfondies au niveau des événements pour chaque incident. Par ailleurs, l'API RESTful et l'intégration native aux différents systèmes en aval (ex. : DXL, Phantom, Splunk, etc.) optimisent le processus de riposte et d'investigation, en dotant les équipes de sécurité des outils dont elles ont besoin pour intercepter les attaques avant toute compromission des données.

Surveillance des comptes avec privilèges

Surveillance des comptes avec privilèges

Les incidents fortement médiatisés associés à Edward Snowden ou d'autres lanceurs d'alerte nous ont rappelé notre aveuglement face aux possibilités des comptes avec privilèges. Lorsque l'employé est lui-même une menace, ou lorsque ses identifiants de connexion sont compromis, l'accès à ce type de compte peut entraîner des pertes importantes.

Pour chaque compte privilégié, Interset tient compte des comportements (heure, authentification, accès, utilisation des applications et mouvements de données), pour référencer près de 30 types de comportement différents. Dès qu'un compte avec privilèges s'en écarte, l'analyse d'Interset visualise l'activité de l'utilisateur, en éliminant les faux positifs au travers des scores de risque avant d'alerter la sécurité, qui peut alors passer à l'action.

Demander une démonstration d'Interset UEBA

Quels sont les cas d'utilisation les plus préoccupants dans votre entreprise ? Programmez une démonstration par l'un de nos professionnels de la sécurité et découvrez les outils Interset UEBA capables de doper votre SOC.
release-rel-2020-9-2-5123 | Tue Sep 15 18:06:14 PDT 2020
5123
release/rel-2020-9-2-5123
Tue Sep 15 18:06:14 PDT 2020