Des fonctions axées SOC arrivent sur NDR ThreatEye de Liveaction

le 06/10/2022, par Michael Hill, IDG NS (adapté par Jean Elyan), Sécurité, 801 mots

Parmi les fonctionnalités ajoutées à la plateforme NDR ThreatEye de Liveaction figure notamment une interface utilisateur spécifique aux SOC qui prend en charge les flux de travail des analystes et offre des capacités améliorées de renseignement prédictif sur les menaces.

Des fonctions axées SOC arrivent sur NDR ThreatEye de Liveaction

Le fournisseur de sécurité réseau de bout en bout et de visibilité des performances LiveAction a annoncé des mises à jour centrées sur le centre d'opérations de sécurité (Security Operation Center, SOC) pour sa plateforme ThreatEye de détection et de réponse réseau (Network Detection and Response, NDR). Dans un communiqué, l'entreprise a déclaré que cette interface utilisateur (UI) améliorait la capacité des analystes SOC à corréler les résultats et les violations de politique pour suivre les incidents. Grâce à ses capacités de renseignement prédictif sur les menaces, les analystes SOC peuvent identifier et suivre les domaines et les adresses IP non encore actifs, mais enregistrés par des acteurs de la menace et les campagnes de logiciels malveillants associées. « La plateforme a également été dotée d'une empreinte comportementale basée sur les paquets pour identifier le comportement dans les flux de trafic cryptés et d'une analyse comportementale basée sur l'hôte », a ajouté LiveAction.

Soutenir les workflows des analystes

« L'UI spécifique de ThreatEye prend en charge les flux de travail des analystes SOC en y intégrant des informations sur l'analyse des paquets », a encore déclaré LiveAction, offrant ainsi une approche intégrée de la recherche, de la collaboration et des alertes. « Conçue par des analystes SOC, l'interface utilisateur enrichit et corrèle automatiquement des sources de données disparates, notamment la géographie, le DNS passif, les techniques Mitre et les renseignements sur les menaces, ce qui améliore la collaboration entre les équipes », a précisé le fournisseur de sécurité. « L'analyse en pipeline multi-étapes de ThreatEye ajoute des résultats détaillés, des scores de risque et l'étiquetage Mitre et ATT&CK », a aussi déclaré LiveAction. Selon Alan Freeland, responsable SOC chez DigitalXRaird, une bonne UI qui prend en charge l'inspection approfondie des paquets est essentielle, car elle permet aux analystes et aux équipes SOC d'identifier et d'atténuer les menaces plus rapidement et plus efficacement. « Grâce à cette capacité, les analystes ont plus de chance de repérer les menaces les plus critiques à laquelle est exposée l'entreprise, comme les ransomwares et les fuites de données », a-t-il ajouté.

Une veille proactive précieuse

Concernant les fonctions améliorées de renseignement prédictif sur les menaces, LiveAction a déclaré que sa plateforme ThreatEye pouvait désormais identifier et signaler si un utilisateur communiquait avec l'infrastructure des acteurs de la menace avant l'activation effective des campagnes. Elle peut, entre autres choses, déceler des IP et des domaines associés aux acteurs de la menace avant qu'ils ne soient activés. Ces renseignements proactifs sur les menaces permettent aux analystes d'identifier les indicateurs potentiels de compromission avant qu'ils ne deviennent des menaces pour l'entreprise. « Ce domaine en pleine expansion est d'une grande utilité pour la fonction SOC », a encore déclaré M. Freeland. « L'intégration de ces outils dans le flux de travail aide l'analyste à transmettre des données actualisées sur les menaces, et les clients à se préparer aux attaques avant qu'elles ne se produisent. Beaucoup de ces outils peuvent être intégrés dans des flux de travail automatisés, si bien qu'il n'est pas nécessaire pour un utilisateur de mettre à jour l'outil avec ces informations », a ajouté le responsable SOC de DigitalXRaid. Elad Menahem, directeur, responsable de la recherche en sécurité chez Cato Networks, est du même avis. « Les plateformes qui intègrent de manière appropriée les renseignements sur les menaces peuvent faciliter le travail du SOC et réduire considérablement le temps d'analyse, car la plupart des menaces courantes ont des observables déjà connus dans la nature », a-t-il expliqué. De plus, la classification de la source du trafic crypté, en utilisant par exemple l'analyse des attributs TLS pour que les analystes puissent établir une corrélation entre la source (type de client) et la destination (IP/domaine), les aide à réagir de manière appropriée aux incidents émanant d'un navigateur, plutôt que de bots inconnus de leur réseau, ce qui pourrait impliquer un nouveau bot ou une application suspecte dans l'environnement », a encore déclaré M. Menahem.

L'empreinte comportementale, révélatrice de l'activité

Troisième fonctionnalité ajoutée à ThreatEye : l'empreinte comportementale « alimentée par l'IA ». Selon LiveAction, cette fonction permet de révéler l'activité au sein des connexions cryptées en suivant plusieurs vecteurs d'information, notamment les ratios producteur-consommateur (Producer-to-Consumer Ratio, PCR) et la séquence de la longueur et de la durée des paquets (Sequence of Packet Lengths and Times, SPLT)). « Cette empreinte basée sur la session est couplée à une analyse comportementale basée sur l'hôte pour déduire à quel moment un acteur de la menace peut être actif dans un environnement, tandis que la découverte des dispositifs basée sur l'apprentissage machine permet aux entreprises d'identifier les dispositifs potentiellement compromis », a ajouté LiveAction. 

Cisco alerte sur des failles dans IOS XE

Cisco a émis une alerte concernant une vulnérabilité critique au niveau de l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Aucun patch n'est pour l'instant disponible...

le 17/10/2023, par Dominique Filippone, 506 mots

Emergency Responder et d'autres produits de Cisco vulnérables

Les dernières vulnérabilités corrigées par Cisco pourraient donner aux attaquants un accès root, permettre un déni de service ou une escalade des privilèges. En fin de semaine dernière, Cisco a corrigé des...

le 10/10/2023, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 593 mots

IBM lance un service de connectivité multicloud basé sur le DNS

Le service NS1 Connect proposé par IBM peut prendre des décisions dynamiques sur l'endroit où envoyer des requêtes Internet pour assurer les meilleures connexions dans des environnements réseau complexes et...

le 27/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 989 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...