Des fonctions axées SOC arrivent sur NDR ThreatEye de Liveaction
Parmi les fonctionnalités ajoutées à la plateforme NDR ThreatEye de Liveaction figure notamment une interface utilisateur spécifique aux SOC qui prend en charge les flux de travail des analystes et offre des capacités améliorées de renseignement prédictif sur les menaces.
Le fournisseur de sécurité réseau de bout en bout et de visibilité des performances LiveAction a annoncé des mises à jour centrées sur le centre d'opérations de sécurité (Security Operation Center, SOC) pour sa plateforme ThreatEye de détection et de réponse réseau (Network Detection and Response, NDR). Dans un communiqué, l'entreprise a déclaré que cette interface utilisateur (UI) améliorait la capacité des analystes SOC à corréler les résultats et les violations de politique pour suivre les incidents. Grâce à ses capacités de renseignement prédictif sur les menaces, les analystes SOC peuvent identifier et suivre les domaines et les adresses IP non encore actifs, mais enregistrés par des acteurs de la menace et les campagnes de logiciels malveillants associées. « La plateforme a également été dotée d'une empreinte comportementale basée sur les paquets pour identifier le comportement dans les flux de trafic cryptés et d'une analyse comportementale basée sur l'hôte », a ajouté LiveAction.
Soutenir les workflows des analystes
« L'UI spécifique de ThreatEye prend en charge les flux de travail des analystes SOC en y intégrant des informations sur l'analyse des paquets », a encore déclaré LiveAction, offrant ainsi une approche intégrée de la recherche, de la collaboration et des alertes. « Conçue par des analystes SOC, l'interface utilisateur enrichit et corrèle automatiquement des sources de données disparates, notamment la géographie, le DNS passif, les techniques Mitre et les renseignements sur les menaces, ce qui améliore la collaboration entre les équipes », a précisé le fournisseur de sécurité. « L'analyse en pipeline multi-étapes de ThreatEye ajoute des résultats détaillés, des scores de risque et l'étiquetage Mitre et ATT&CK », a aussi déclaré LiveAction. Selon Alan Freeland, responsable SOC chez DigitalXRaird, une bonne UI qui prend en charge l'inspection approfondie des paquets est essentielle, car elle permet aux analystes et aux équipes SOC d'identifier et d'atténuer les menaces plus rapidement et plus efficacement. « Grâce à cette capacité, les analystes ont plus de chance de repérer les menaces les plus critiques à laquelle est exposée l'entreprise, comme les ransomwares et les fuites de données », a-t-il ajouté.
Une veille proactive précieuse
Concernant les fonctions améliorées de renseignement prédictif sur les menaces, LiveAction a déclaré que sa plateforme ThreatEye pouvait désormais identifier et signaler si un utilisateur communiquait avec l'infrastructure des acteurs de la menace avant l'activation effective des campagnes. Elle peut, entre autres choses, déceler des IP et des domaines associés aux acteurs de la menace avant qu'ils ne soient activés. Ces renseignements proactifs sur les menaces permettent aux analystes d'identifier les indicateurs potentiels de compromission avant qu'ils ne deviennent des menaces pour l'entreprise. « Ce domaine en pleine expansion est d'une grande utilité pour la fonction SOC », a encore déclaré M. Freeland. « L'intégration de ces outils dans le flux de travail aide l'analyste à transmettre des données actualisées sur les menaces, et les clients à se préparer aux attaques avant qu'elles ne se produisent. Beaucoup de ces outils peuvent être intégrés dans des flux de travail automatisés, si bien qu'il n'est pas nécessaire pour un utilisateur de mettre à jour l'outil avec ces informations », a ajouté le responsable SOC de DigitalXRaid. Elad Menahem, directeur, responsable de la recherche en sécurité chez Cato Networks, est du même avis. « Les plateformes qui intègrent de manière appropriée les renseignements sur les menaces peuvent faciliter le travail du SOC et réduire considérablement le temps d'analyse, car la plupart des menaces courantes ont des observables déjà connus dans la nature », a-t-il expliqué. De plus, la classification de la source du trafic crypté, en utilisant par exemple l'analyse des attributs TLS pour que les analystes puissent établir une corrélation entre la source (type de client) et la destination (IP/domaine), les aide à réagir de manière appropriée aux incidents émanant d'un navigateur, plutôt que de bots inconnus de leur réseau, ce qui pourrait impliquer un nouveau bot ou une application suspecte dans l'environnement », a encore déclaré M. Menahem.
L'empreinte comportementale, révélatrice de l'activité
Troisième fonctionnalité ajoutée à ThreatEye : l'empreinte comportementale « alimentée par l'IA ». Selon LiveAction, cette fonction permet de révéler l'activité au sein des connexions cryptées en suivant plusieurs vecteurs d'information, notamment les ratios producteur-consommateur (Producer-to-Consumer Ratio, PCR) et la séquence de la longueur et de la durée des paquets (Sequence of Packet Lengths and Times, SPLT)). « Cette empreinte basée sur la session est couplée à une analyse comportementale basée sur l'hôte pour déduire à quel moment un acteur de la menace peut être actif dans un environnement, tandis que la découverte des dispositifs basée sur l'apprentissage machine permet aux entreprises d'identifier les dispositifs potentiellement compromis », a ajouté LiveAction.