La valeur des cas d'utilisation de la NDR pour votre SIEM

21 octobre 2023
Vectra AI Product Team
La valeur des cas d'utilisation de la NDR pour votre SIEM

Vous êtes-vous déjà demandé combien de temps il faudra pour que les cas d'utilisation et les playbooks développés pour les opérations de sécurité soient prêts et commencent à prouver leur valeur à votre organisation ? Dans le passé, j'ai beaucoup travaillé avec des systèmes de gestion des informations et des événements de sécurité (SIEM ), qui sont au cœur des opérations de sécurité de nombreuses organisations.

D'après mon expérience, l'un des principaux défis auxquels sont confrontées les opérations de sécurité concerne le temps de retour sur investissement. Des questions telles que : en combien de temps l'investissement peut-il prouver un retour sur investissement (ROI) ? Pourquoi la mise en œuvre est-elle si longue ? Quelles sont les sources de logs que nous surveillons et nous donnent-elles la bonne visibilité ? S'agit-il d'un cas d'utilisation axé sur les menaces (individu threat, threat hunting...), d'un cas d'utilisation axé sur le contrôle (abus d'accès privilégié...), d'un cas d'utilisation axé sur les actifs (crown jewel programs...) ou d'un cas d'utilisation axé sur la conformité (HIPAA, RGPD, PCI etc....) ? Ces questions reviennent souvent lors des discussions avec les équipes chargées des opérations de sécurité.

Bien qu'un SIEM occupe une place fondamentale au sein d'une équipe chargée des opérations de sécurité en tant que point central ou référentiel, avez-vous déjà réfléchi à la manière d'accélérer l'investissement SIEM que vous avez déjà réalisé afin de l'améliorer encore davantage ? Ou comment accélérer et simplifier le nombre de cas d'utilisation d'un SIEM, tout en réduisant les coûts de développement et de maintenance ?

Pour mettre en œuvre un nouveau cas d'utilisation, une organisation doit passer par plusieurs étapes. Confirmer l'outil de surveillance que vous souhaitez utiliser (par exemple, quelle source de données doit être utilisée) ; déterminer les exigences en matière de sources de données ; comprendre le contexte du cas d'utilisation et les exigences en matière de données ; identifier les processus et les procédures opérationnelles nouveaux ou affectés par la mise en œuvre du cas d'utilisation ; développer, tester et exécuter le contenu vers la production ; tester et examiner les performances ; et ajuster continuellement le cas d'utilisation tout au long de sa durée de vie.

Avec tous les outils et les cas d'utilisation, le SIEM génère souvent beaucoup de bruit pour l'équipe chargée des opérations de sécurité. Cela se traduit par une conversation sur la pénurie de compétences, les technologies cloisonnées qui ne fonctionnent pas bien ensemble, la surcharge d'informations et un coût total de possession élevé avec un (re)recrutement, une formation et une habilitation constants des équipes de sécurité.

Et s'il existait un moyen d'accélérer la création de valeur, d'augmenter les investissements déjà réalisés et de simplifier la notion de cas d'utilisation ?

Lors d'un récent engagement, le client souhaitait que 89 cas d'utilisation soient développés par un partenaire externe gérant le SIEM. Le coût moyen de développement d'un cas d'utilisation s'élève à 10 000 dollars pour le client. Le coût de maintenance de ce cas d'utilisation est de 2 500 dollars par an, soit un coût de maintenance annuel total de 222 500 dollars dans cet exemple (il s'agit du coût de la main-d'œuvre pour effectuer des validations continues, etc.)

En exploitant détection et réponse aux incidents (NDR) de Vectra pour se concentrer sur la détection du comportement des attaquants, en combinant la recherche en sécurité et la science des données, un grand nombre de ces cas d'utilisation SIEM tombent dans les familles de détection de Vectra, avec le résultat suivant :

  • Prise en charge directe de 66 des 89 cas d'utilisation, ce qui équivaut à un coût de développement des cas d'utilisation de 590 000 dollars.
  • Une grande partie de l'investissement technologique dans Vectra est immédiatement compensée par les économies réalisées dans le développement des cas d'utilisation (un travail sans fin).
  • Vectra simplifie l'approche des cas d'utilisation en passant des technologies aux comportements des attaquants et réduit encore la complexité en ramenant 59 cas d'utilisation à 22 familles de détection, ce qui se traduit par 37 cas d'utilisation de moins à maintenir - près de 100 000 dollars d'économies par an en termes de maintenance des cas d'utilisation.
  • En outre, Vectra aide à réduire les inefficacités, l'inefficience et le bruit dans le centre d'opérations de sécurité (SOC), en tirant parti de la hiérarchisation des alertes et en accélérant l'adhésion aux besoins de conformité.

Exemple de simplification des cas d'utilisation en familles de détection Vectra :

exemples de tentatives de force brute


En bref, combiner SIEM et Vectra devient rapidement une conversation sur le temps de retour sur investissement, sur la façon d'augmenter la valeur des technologies existantes et d'améliorer la vie d'un analyste des opérations de sécurité et, en fin de compte, d'aider votre installation SIEM à devenir plus fructueuse.

Pour en savoir plus sur les valeurs techniques de la NDR par rapport à endpoint detection and response (EDR) et SIEM, cliquez ici.

Foire aux questions