Utilisation de la suite de produits McAfee et de Swimlane pour automatiser la réponse aux incidents

McAfee propose une suite logicielle de cybersécurité robuste, utilisée par plusieurs grandes entreprises comme plateforme pour leurs opérations de sécurité et leur gestion des incidents. Du SIEM à la protection des terminaux, McAfee offre une solution pour quasiment chaque étape de la réponse aux incidents. Swimlane s'intègre avec la plupart de ces outils et produits essentiels, permettant ainsi d'automatiser la majeure partie des processus qu'un analyste réaliserait manuellement lors d'une investigation.

L'équipe Swimlane a développé des intégrations avec les produits McAfee suivants :

• McAfee ESM (SIEM) :
  • Ingérer les alarmes non acquittées
  • Récupérer les événements de base qui déclenchent une règle de corrélation
• McAfee ePO (EDR) :
  • Appliquer une étiquette à un hôte spécifique ou à un ensemble d'hôtes
  • Supprimer une étiquette d'un hôte spécifique ou d'un ensemble d'hôtes
  • Extraire tous les événements de menace associés d'un hôte
  • Extraire toutes les informations pertinentes concernant un hôte géré par ePO
• McAfee OpenDXL:
  • Rechercher le hachage MD5
  • Envoyer le hachage MD5 à la base de données TIE avec un score de réputation
  • Organisez un événement sur le tissu DXL
• McAfee ATD:
  • Soumettre des fichiers pour analyse en environnement de test
  • Extraire les résultats d'une analyse terminée
• Passerelle Web McAfee:
  • URL de liste noire/blanche
  • Liste noire/liste blanche des domaines

Comment Swimlane orchestre-t-il et automatise-t-il les alarmes avec les outils McAfee ?

Grâce à ces outils, Swimlane peut automatiser et orchestrer le déclenchement d'une alarme dans ESM, puis résoudre l'incident via les intégrations McAfee développées. Un exemple concret : un employé consulte un site web préalablement signalé par McAfee ESM. Dès le déclenchement de l'alarme, l'intégration McAfee ESM de Swimlane la prend en charge et la confirme. Les détails de l'alarme comprennent l'adresse IP, le nom d'hôte, l'URL de la page consultée, ainsi que d'autres informations pertinentes. Swimlane, à partir du nom d'hôte de l'ordinateur de l'utilisateur, applique automatiquement une étiquette dans McAfee ePO, déclenchant ainsi une analyse antivirus. Une fois l'analyse terminée, Swimlane, via l'intégration des événements de menace d'ePO, récupère tous les détails et les ajoute à l'enquête en cours. Dans ce cas précis, l'utilisateur a téléchargé par erreur un fichier binaire malveillant, dont le chemin d'accès a été inclus dans l'événement de menace.

À ce stade du processus, l'équipe d'experts en criminalistique numérique intervient, extrait le fichier binaire de la machine de l'utilisateur et le joint à l'enquête en cours. Une fois le fichier joint, Swimlane le soumet à McAfee ATD pour une analyse en environnement isolé (sandbox) et calcule son hachage. Les résultats de cette analyse révèlent que ce fichier binaire est lié à deux autres domaines considérés comme des indicateurs de compromission (IOC) malveillants.

Compte tenu de la gravité de ces indicateurs de compromission (IOC), Swimlane déclencherait automatiquement un plan de remédiation. Ce plan prévoit que Swimlane applique automatiquement une étiquette à McAfee ePO afin de retirer l'ordinateur du réseau, permettant ainsi à l'équipe d'investigation numérique de finaliser ses actions de remédiation. Ensuite, Swimlane transférerait le hachage MD5 vers la base de données TIE avec un score de réputation élevé, grâce à l'intégration développée pour McAfee ATD. Enfin, via l'intégration de McAfee Web Gateway, les IOC seraient soumis à la mise sur liste noire du proxy.

Comment Swimlane peut vous aider

Ce type d'incident peut se produire plusieurs fois par jour et nécessiter entre 30 et 60 minutes d'analyse par analyste. Grâce à sa capacité à automatiser et orchestrer des scénarios complexes, Swimlane réduit considérablement le temps de résolution des incidents et optimise l'investissement dans les produits McAfee. Ces intégrations, associées aux scénarios créés à cet effet, permettent aux entreprises de perfectionner leurs procédures opérationnelles de cybersécurité et de centraliser leurs connaissances et processus au sein de Swimlane.

Pour en savoir plus sur l'intégration de Swimlane avec la suite de produits McAfee, regardez notre vidéo d'intégration.