Rencontres de la Sécurité : L'EDR, complément indispensable du SOC

Solution très complète intervenant à toutes les étapes du processus -de la détection, à l’analyse, jusqu’à la réaction-, l’EDR s’impose.

«Qui a confiance dans ses endpoints ?» Dans la salle, pas une main ne se lève. Fort de la portée de sa question, Tomalslov Pavlovic, System Engineer Specialist, Palo Alto, ne s’en étonne pas. Si la sécurité des endpoints fait partie des composantes clés d’une stratégie de cybersécurité, on en est encore loin : des études récentes révèlent que 30% des intrusions connues impliquent l’installation de logiciels malveillants au niveau des endpoints.

L’EDR (Endpoint Detection and Response) était un sujet fort des récentes Rencontres de la Sécurité Informatique, organisées pour la sixième année consécutive par Excellium. Et pour cause : chaque appareil se connectant à un réseau constitue un vecteur d’attaque potentielle; chacune de ces connexions est un point d’entrée potentiel vers nos données. Avec la montée en puissance du BYOD (Bring Your Own Devices), les attaques mobiles et des techniques sophistiquées de piratage n’ont fait qu’augmenter les risques de voir nos données piratées.

Détection proactive

«L’EDR fournit une véritable visibilité de bout en bout de l’activité de chaque point de terminaison de l’infrastructure de l’entreprise, estime Tomalslov Pavlovic. Tout est contrôlé à partir d’une seule console, avec de précieux renseignements sur la sécurité qu’un expert en sécurité informatique peut utiliser pour approfondir ses recherches et les réponses. De là, d’ailleurs, une corrélation évidente entre EDR et SOC…»

L’objectif principal de l’EDR est la détection proactive de menaces nouvelles ou inconnues, mais aussi la détection d’infections non identifiées antérieurement et qui s’infiltrent dans l’organisation en passant directement par les points de terminaison et les serveurs.

Chez Palo Alto, cette mission revient à Cortex XDR, une application cloud basée sur l’intelligence artificielle qui permet aux équipes de sécurité de détecter et neutraliser les attaques sophistiquées, tout en renforçant constamment leur dispositif de défense. «Avec Cortex XDR, fini les silos de données qui fragmentent l’action des équipes de cybersécurité et ralentissent les réponses aux incidents», commente Tomalslov Pavlovic. Sa capacité à corréler nativement les données du cloud, du réseau et des terminaux permet d’exploiter l’analytique et le machine learning pour améliorer chaque étape des opérations de sécurité. Le machine learning entre alors en jeu pour profiler les comportements et détecter des schémas d’attaque jusqu’alors inconnus. De son côté, l’automatisation permet d’identifier les causes racines et de dresser un tableau complet des menaces potentielles. Un moteur de requêtes ultra-puissant fournit quant à lui toute l’assise nécessaire à la traque des menaces. Enfin, des règles personnalisées assurent la mise en application des connaissances acquises pour faciliter les investigations futures et la détection de menaces similaires.

Une vision indispensable

Notons pour conclure que Cortex XDR s’intègre étroitement à l’outil de protection des endpoints et d’intervention Traps pour collecter toutes les données nécessaires à la traque des menaces et aux investigations. Il fournit un tableau complet de chaque incident, révélant les causes profondes et facilitant ainsi les investigations. Cela contribue à accélérer le confinement grâce à une intégration étroite avec les points d’exécution, permettant de neutraliser les attaques avant que des dommages ne se produisent.

Bref, conclut Tomalslov Pavlovic, l’EDR agit comme «un accélérateur pour les équipes opérationnelles travaillant pour le SOC». Pour lui, «les informations remontées doivent en théorie permettre d’avoir une vision globale». L’EDR peut s’avérer très bénéfique pour le SOC : «les remontées d’incidents associés donnent des éléments intéressants concernant les modalités d’attaques qui passent à travers ces équipements, également au niveau de la progression des populations ciblés lors de campagne de hameçonnage ou de propagation de logiciel malveillant.» C’est un outil indispensable pour tout SOC s’il veut une vision de son système d’information dans un contexte d’ouverture.

Cookie	Duration	Description
CLID	1 year	Microsoft Clarity set this cookie to store information about how visitors interact with the website. The cookie helps to provide an analysis report. The data collection includes the number of visitors, where they visit the website, and the pages visited.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
MR	7 days	This cookie, set by Bing, is used to collect user information for analytics purposes.
SM	session	Microsoft Clarity cookie set this cookie for synchronizing the MUID across Microsoft domains.
_clck	1 year	Microsoft Clarity sets this cookie to retain the browser's Clarity User ID and settings exclusive to that website. This guarantees that actions taken during subsequent visits to the same website will be linked to the same user ID.
_clsk	1 day	Microsoft Clarity sets this cookie to store and consolidate a user's pageviews into a single session recording.

Cookie	Duration	Description
ANONCHK	10 minutes	The ANONCHK cookie, set by Bing, is used to store a user's session ID and also verify the clicks from ads on the Bing search engine. The cookie helps in reporting and personalization as well.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

About us

Career Opportunities

Get in Touch

About us

Career Opportunities

Get in Touch

L’EDR, complément indispensable du SOC

L’EDR, complément indispensable du SOC

Let's deliver the right solution for your business