Il s'agit du deuxième épisode de notre série sur le verrouillage, dans laquelle nous discutons des méthodes que vous pouvez utiliser pour contenir efficacement les événements de sécurité et de la manière dont Vectra peut vous aider. Consultez le premier article qui explique pourquoi la rapidité et la précision sont essentielles lors de la détection et de la correction des brèches.
Need for speed
Comme nous l'avons mentionné dans notre article précédent sur le verrouillage de Vectra , la rapidité est un ingrédient clé d'un confinement réussi. Lorsque vous êtes obligé de changer de plateforme pour trouver l'hôte, le compte ou la politique que vous souhaitez appliquer, vous perdez un temps précieux que vous n'auriez peut-être pas au moment de l'attaque.
Dans cette partie, nous allons détailler comment Vectra permet aux équipes de sécurité de contenir automatiquement les événements directement à partir de la plateforme Vectra où les analystes peuvent facilement voir et gérer les paramètres de confinement à partir d'un seul panneau de verre. À titre d'exemple, nous montrerons comment vous pouvez y parvenir avec deux de nos partenaires d'intégration issus de notre riche écosystème de partenaires natifs : Microsoft et Amazon Web Services (AWS).
Verrouillage du défenseur
endpoint Vectra s'intègre étroitement à Microsoft Defender for Endpoint, une solution populaire de détection et de réponse (EDR). Grâce à cette intégration, nous pouvons exploiter la fonctionnalité "Isolate Device" de Defender for Endpoint. Les analystes disposent ainsi de toutes les fonctionnalités d'isolation de Defender sans avoir à les utiliser à partir de Vectra.
Vectra Lockdown for Endpoint permet aux analystes d'isoler les hôtes manuellement ou automatiquement. Comme dans le blog précédent où nous avons parlé du verrouillage des comptes, Lockdown for Hosts offre des options granulaires. La première consiste à évaluer la durée du verrouillage, qui peut aller de 1 à 24 heures. Nous pouvons également sélectionner les scores minimums de menace et de certitude pour l'hôte, ainsi qu'un privilège minimum observé pour l'hôte. Une fois ces seuils configurés, Vectra contiendra automatiquement un hôte si le comportement observé correspond aux critères.
Verrouillage pour AWS
Certains clients ont besoin d'étendre les fonctionnalités de la plateforme Cognito pour couvrir les charges de travail cloud , et heureusement notre API riche permet une intégration rapide et facile. Sur notre Github, vous trouverez un exemple d'intégration avec AWS.
Sans répéter ce qui figure dans le README, nous pouvons nous appuyer sur le hub de sécurité AWS pour créer des événements qui sont actionnés par CloudWatch en lançant une fonction AWS Lambda, comme l'arrêt ou l'isolation d'une charge de travail dans AWS. Le flux est entièrement automatisé et ne nécessite pas l'intervention d'un opérateur manuel. Comme l'intégration utilise nos API natives, elle pourrait également être facilement convertie pour rechercher une balise spécifique sur un hôte et permettre des actions à prendre par un composant middleware tel qu'une automatisation de l'orchestration de la sécurité et de la réponse (SOAR).
Ce qu'il faut retenir, c'est que nous ne sommes pas limités à ce qui est déjà intégré dans la plateforme, et qu'il existe déjà de nombreuses intégrations personnalisées réussies.
En cas de doute, il est préférable de l'examiner
Vectra La plateforme Cognito est à la fois puissante et flexible, ce qui vous permet de configurer l'architecture de confinement en fonction des besoins de votre organisation. Lors de la mise en pratique de Vectra , la liste de contrôle suivante peut être utile à prendre en compte lors de la mise en œuvre :
- Quel type d'incidents de sécurité voulez-vous contenir ? Attaquant actif ? Ransomware ? Exfiltration de données ?
- Quels sont les hôtes que vous ne voulez jamais contenir ? Active directory ? Serveur de messagerie ? Serveurs de production ?
- Votre solution endpoint prend-elle en charge le confinement ? Si oui, quelles sont les versions du système d'exploitation (OS) prises en charge ?
- Pour les hôtes qui n'ont pas d'agent, comment voulez-vous gérer ces hôtes ?
- Souhaitons-nous inclure le confinement des comptes ? Dans l'affirmative, quels types de comptes entrent dans le champ d'application et lesquels n'y entrent pas ?
- Qui a l'autorité ultime pour approuver le confinement ? Les parties prenantes doivent-elles être informées ?
En répondant à ces questions, votre organisation aura une idée claire de ce qui relève du champ d'application du confinement et de ce qui en est exclu. Une fois les normes établies, un organigramme peut être défini, ainsi que les étapes que les analystes peuvent suivre.
Pour vous aider à tirer le meilleur parti des fonctionnalités de la plateforme Cognito, l'équipe des services professionnels de Vectra peut vous aider. Sidekick Services est une offre dans laquelle nos experts peuvent travailler avec votre équipe pour développer et intégrer la fonctionnalité de verrouillage selon votre propre cahier des charges.
Il est fréquent que les organisations se lancent dans la remédiation avant qu'une enquête complète n'ait été menée à bien. Avec Lockdown, vous gagnez du temps, vous préservez les preuves et vous délimitez l'incident avant de remédier à la situation.
Mais n'oubliez pas que, même s'il est utile, le confinement est une solution à court terme mise en œuvre rapidement qui ne saurait remplacer des pratiques opérationnelles de sécurité saines et solides. Le verrouillage de l'hôte et le verrouillage du compte ne sont pas conçus comme des solutions permanentes, mais plutôt comme des solutions temporaires à utiliser pendant qu'une enquête est en cours.
Pour en savoir plus sur Vectra Cognito, n'hésitez pas à nous contacter ou à planifier une démonstration.