Visibilité, détection et réponse à l'aide d'une architecture sans SIEM

20 mars 2019
Vectra AI Security Research team
Cybersécurité
Visibilité, détection et réponse à l'aide d'une architecture sans SIEM

L'un des principaux défis d'un bon programme de réponse aux incidents est de trouver un équilibre entre le besoin de visibilité, de détection et de réponse et le coût et la complexité de la mise en place et du maintien d'une pile de sécurité utilisable et efficace.

Historiquement, la gestion des informations et des événements de sécurité (SIEM) a été au centre de nombreuses opérations de sécurité pour couvrir un large éventail de cas d'utilisation, y compris la détection des menaces, les rapports de conformité, la centralisation des alertes ainsi que la fourniture de processus et de flux de travail pour les analystes. Pour certaines organisations, un SIEM est idéal en tant que point central pour tout ce qui concerne la détection des menaces et les journaux. Pour d'autres, la capacité à gérer un SIEM efficace est déterminée par leur capacité à retenir les talents. Certaines sont confrontées à un manque de personnel qualifié pour les rôles de l'équipe bleue.

Malheureusement, un SIEM introduit généralement des couches supplémentaires de frais généraux, et toutes les enquêtes ou tous les flux de travail de réponse aux incidents n'ont pas besoin d'être dans un SIEM. Ce qui devient critique, c'est de savoir quels événements fournissent le rapport signal/bruit le plus élevé pour la détection des menaces. Quelle est donc l'utilité d'un SIEM dans un environnement où les ressources sont limitées ?

Pour répondre à cette question, nous devons commencer par définir les besoins en matière de détection des menaces et de réponse aux incidents :

  1. Visibilité sur les actifs de l'organisation, où qu'ils se trouvent. Il peut s'agir de charges de travail du centre de données et de cloud , d'ordinateurs portables appartenant à l'entreprise, ainsi que d'appareils BYOD et IoT.
  2. Corrélation des événements de sécurité et capacité à identifier les relations entre les charges de travail et les dispositifs.
  3. Contexte de ce qui s'est passé associé à une réponse pouvant faire l'objet d'une action.
  4. Des processus et des flux de travail reproductibles qui permettent aux analystes en début de carrière de renforcer rapidement leurs compétences en matière de sécurité et aux analystes confirmés de mener des enquêtes rapides et concluantes.
  5. Détection des menaces et enquête pouvant commencer à n'importe quel endroit.

Bien que je pense que le réseau soit le moyen le plus facile d'obtenir la visibilité la plus large et qu'il constitue un excellent point de départ pour savoir où chasser, d'autres sources de données peuvent enrichir le contexte.

La détection des menaces nécessite un contexte réseau et endpoint ainsi que des journaux. Chacune de ces sources de données doit être prise en charge par des outils spécialisés, conçus spécifiquement pour la visibilité, la détection et la réponse dans leurs types de données respectifs, et qui sont conçus dès le départ pour fonctionner ensemble.

Il existe un nouveau type d'architecture de sécurité sans SIEM qui permet aux entreprises de faire appel à des personnes intelligentes ayant une expérience générale de l'informatique pour devenir la nouvelle génération d'analystes de la sécurité. Ces plateformes spécialisées de détection et de réponse fournissent des processus faciles à comprendre et reproductibles qui constituent les éléments de base d'une enquête efficace, quel que soit le type de menace auquel vous êtes confronté.

Les trois éléments clés de cette architecture dynamique sont (1) la détection et la réponse au niveau du réseau et de endpoint (NDR et EDR) combinées avec (2) l'automatisation et l'orchestration de la sécurité pour rassembler (3) la gestion des cas de réponse aux incidents. Les enquêtes peuvent commencer n'importe où - réseau, endpoint ou automatisation et orchestration de la sécurité - car les composants clés de l'architecture communiquent entre eux. L'enrichissement des cas et l'application des réponses sont souvent assurés par les outils de sécurité périmétrique dont vous disposez déjà.

Cette architecture est souvent utilisée dans les environnements des clients avec une intégration entre Vectra, CrowdStrike, Demisto et Palo Alto Networks. Par exemple, l'intégration via l'orchestration permet des actions informées basées sur l'étiquetage de Cognito, qui déclenche des événements, et l'automatisation dans Demisto, et fournit des informations précieuses qui permettent aux équipes de sécurité de constituer des équipes bleues très efficaces.

Avec une meilleure source de données comme NDR de Vectra et EDR de CrowdStrike, les analystes de sécurité peuvent éliminer le coût et la complexité des SIEM tout en profitant des avantages d'une réponse plus rapide aux incidents. La plateforme Cognito de Vectra a été conçue pour s'intégrer à endpoint protection, orchestration, pare-feu, cloud, et à la sécurité des centres de données virtualisés afin de soutenir les flux de réponse aux incidents existants d'une manière qui complète votre organisation.

Ces intégrations incluent VMware, Microsoft Azure, Amazon Web Services, CrowdStrike, Carbon Black, Demisto, Splunk, Juniper, Palo Alto Networks et bien d'autres encore. Cela permet aux analystes de la sécurité de passer facilement d'une plateforme ou d'un outil à l'autre tout en fournissant un contexte riche sur les dispositifs hôtes compromis et les incidents de menace.

Et si vous ne pouvez pas vous séparer de votre SIEM parce que vous le percevez comme le centre de votre univers d'investigation des menaces, Cognito fonctionne bien là aussi(QRadar, ArcSight et Splunk).

Foire aux questions