Utilisation de Swimlane pour la détection et la réponse aux points de terminaison

La détection des terminaux est un élément essentiel de la sécurité des entreprises modernes. Avec la prédominance du trafic chiffré sur Internet et sa part de marché croissante, la détection d'intrusions réseau et l'identification binaire deviennent de plus en plus complexes.

Manuel EDR

Une plateforme de détection et de réponse aux incidents sur les terminaux (EDR), bien qu'offrant une visibilité précieuse sur l'activité des terminaux et les fichiers binaires, introduit ses propres processus d'analyse, flux de travail et modifications de reporting au centre des opérations de sécurité (SOC). De plus, les analystes formés à l'analyse traditionnelle du trafic réseau peuvent être moins familiarisés avec les techniques de recherche et d'analyse propres à l'EDR.

Un flux de travail EDR d'analyste manuel courant peut ressembler à ce qui suit :

Comme le montre le graphique, la majeure partie du flux de travail nécessite une intervention manuelle directe. La recherche, l'investigation, la décision finale, le rapport et la mobilisation d'une équipe de remédiation incombent généralement à un analyste SOC, puis la remédiation (telle que la restauration d'un poste de travail ou l'ajout d'adresses IP à une liste noire de pare-feu) est confiée à une autre équipe. Ce processus présente un potentiel d'automatisation important.

EDR assisté par automatisation

Grâce à une plateforme d'automatisation comme Swimlane, une bien plus grande partie du flux de travail EDR peut être automatisée, y compris les étapes chronophages telles que la recherche et la rédaction de rapports.

Un flux de travail EDR utilisant Swimlane peut ressembler à ce qui suit :

Comme le montre le graphique, la seule intervention manuelle restante consiste à déterminer si un événement nécessite une action corrective. L'alerte initiale et l'enrichissement des données alimentent Swimlane, qui effectue des recherches et des investigations complémentaires, puis présente toutes les informations pertinentes (scores de menace, classement VirusTotal, requêtes WHOIS, etc.) à l'analyste sur un seul écran, permettant ainsi de déterminer rapidement si une action corrective est nécessaire.

Si une correction est nécessaire, l'analyste peut simplement lancer une correction automatisée (via la fonction de restauration du système de la plateforme EDR, la mise sur liste noire du pare-feu/passerelle, etc.) depuis Swimlane, et générer un rapport automatisé contenant les détails de l'alerte, les résultats de la recherche, ainsi que la détermination finale et les résultats de la correction.

L'EDR se prête donc parfaitement à l'automatisation via Swimlane, permettant à l'analyste d'optimiser son efficacité, de minimiser les recherches manuelles fastidieuses et d'éviter de solliciter les équipes réseau ou systèmes déjà surchargées pour des actions correctives de bas niveau. Un processus de plusieurs heures impliquant plusieurs équipes peut ainsi être réduit à quelques minutes. Voir ci-dessous :