Recherches récentes

Aucune recherche récente

    Articles populaires

      Articles
      Afficher tout
        Sujets
        Afficher tout
          Tickets
          Afficher tout
            aucun résultat

            Désolé ! aucun résultat trouvé pour

            Réponse active : Aperçu

            Introduction

            Tout comme les personnes et les technologies qui alimentent votre entreprise, les acteurs de la menace travaillent 24 heures sur 24 pour tenter d'infiltrer, de perturber ou de voler les données des organisations. Alors que les technologies et les méthodologies de cybersécurité continuent d'évoluer, les outils et les stratégies d'attaque évoluent au même rythme. 


            Dans un environnement en constante évolution, il peut s'avérer difficile de répondre à chaque menace « à la main » et « à temps ». Si le fait d'être informé des menaces et des vulnérabilités peut être utile, une action immédiate peut faire la différence entre un environnement sécurisé et un incident grave de cybersécurité.


            Cet article couvre les points suivants :


            Qu'est-ce que la réponse active ?

            Cette fonction n'est pas disponible pour les appareils utilisant un agent de point final antérieur à la version 3.1.


            Active Response est une fonction qui, lorsqu'elle est activée, donne à nos analystes un accès immédiat pour intervenir lorsqu'une menace est détectée dans votre environnement. En fonction de la politique de réponse définie par votre organisation dans le portail Field Effect, nos analystes interviendront avec des actions de réponse qui peuvent arrêter la menace ou résoudre la vulnérabilité, de manière à respecter la politique définie. Plus la politique de réponse est agressive, plus l'action de réponse peut être agressive.


            Une action de réponse peut impliquer une intervention humaine, mais si une menace est grave et clairement identifiée, le MDR de Field Effect peut lancer une action de réponse automatisée. Pour voir des exemples de scénarios décrivant comment chaque politique de réponse interviendrait face à une menace donnée, voir Réponse active : Exemples de scénarios.


            Active Response est également disponible pour certains services en nuage (Google Workspace et Microsoft 365), ce qui permet à Field Effect de surveiller les comptes en nuage suspectés d'être compromis et d'y réagir. Un exemple courant d'action de réponse au cloud consiste à verrouiller un compte compromis.


            Lorsqu'une menace est découverte, Active Response bloque ou interrompt le processus, et une notification est envoyée au terminal. Ces notifications peuvent être activées, désactivées et personnalisées dans le portail Field Effect. Si les notifications sont désactivées, Active Response continuera à se comporter exactement comme il se doit, mais les utilisateurs finaux ne seront pas informés qu'il a répondu à une activité malveillante sur l'appareil.


            Politiques de réponse

            Étant donné qu'Active Response donne à Field Effect la possibilité de verrouiller ou d'arrêter les actifs compromis, certaines actions de réponse peuvent entraîner des temps d'arrêt si un service ou un point d'extrémité critique pour l'entreprise est touché. Pour éviter ces situations, votre entreprise peut personnaliser le comportement d'Active Response grâce à des politiques de réponse adaptées à la tolérance au risque de votre entreprise. Plus la politique de réponse est agressive, plus l'action de réponse sera agressive.


            Nos analystes de la sécurité affinent et développent en permanence les ensembles de règles qui alimentent Active Response. Bien que ces ensembles de règles à haut niveau de confiance empêchent efficacement les activités malveillantes dans le monde réel, vous recevrez toujours un ARO lorsqu'une activité malveillante ou des vulnérabilités sont découvertes, quels que soient vos paramètres d'Active Response. Il est également important de noter qu'Active Response opère au niveau du processus et de l'exécution du dispositif d'extrémité. Les actions de réponse basées sur l'hôte (ex : isoler un système compromis) peuvent toujours être initiées par nos analystes. 


            Lors de la mise en place d'une politique de réponse, vous pouvez la personnaliser en incluant des exclusions et des modifications. Si un appareil ou un service est absolument essentiel à vos activités, vous pouvez l'exclure de la politique. Vous pouvez également travailler avec notre équipe pour créer des modifications plus granulaires, si nécessaire.


            Available Response Policies

            SLa sélection d'une politique de réponse indique quelles politiques d'agent de point final sont déployées et si un analyste doit effectuer une action de réponse basée sur l'hôte, telle que l'isolation du réseau ou l'arrêt du système. Les exclusions ou les modifications apportées à une stratégie de réponse peuvent influer sur les stratégies déployées sur un terminal. Pour en savoir plus sur les politiques de réponse, voir Politiques de réponse : Vue d'ensemble.


            La politique « Off

            Le MDR de Field Effect surveillera passivement l'environnement et enverra des ARO si nécessaire, mais la réponse active ne sera pas déclenchée, et un analyste ne prendra pas d'actions au niveau de l'hôte à moins que l'organisation ne le demande.


            La politique « limitée

            Cette politique permet à Field Effect d'effectuer des actions de réponse de base contre des activités qui ont toujours été identifiées comme malveillantes, avec un faible taux de faux positifs. La sélection de cette politique informe également nos analystes qu'ils peuvent prendre des mesures mesurées au niveau de l'hôte, tout en tenant compte de l'impact commercial potentiel sur le système.


            La politique « équilibrée

            Cette politique permet à Active Response et à nos analystes d'utiliser un plus grand nombre d'actions de réponse. Bien que cela puisse entraîner des blocages occasionnels d'activités légitimes, il s'agit de la stratégie recommandée pour les organisations ayant des tolérances de risque standard.


            Ce profil est continuellement affiné par nos analystes afin de réduire au maximum les faux positifs.


            La politique « agressive

            Cette politique est identique à la politique équilibrée, mais elle réagit et bloque les activités pour un ensemble encore plus large de détections. Cela peut entraîner un blocage occasionnel des activités légitimes des utilisateurs et des logiciels, mais cela vaut souvent la peine pour les organisations présentant un risque accru, ou lors de l'atténuation d'un incident actif.


            Actions de réponse

            Les actions de réponse représentent les différentes réponses que Field Effect, ou nos analystes, peuvent utiliser pour arrêter une menace identifiée. Bien que les politiques de réponse dictent l'ensemble des actions de réponse qui peuvent être prises pour votre organisation, chaque action de réponse est choisie au cas par cas.


            Pour en savoir plus sur la manière dont nous déterminons une action de réponse, voir Actions de réponse : Vue d'ensemble


            Pour en savoir plus sur les actions de réponse que chaque politique de réponse emploierait dans des scénarios d'attaque courants, voir Réponse active : Exemples de scénarios.

            Cet article a-t-il été utile ?

            C'est super !

            Merci pour votre commentaire

            Désolé ! Nous n'avons pas pu vous être utile

            Merci pour votre commentaire

            Dites-nous comment nous pouvons améliorer cet article !

            Sélectionner au moins l'une des raisons
            La vérification CAPTCHA est requise.

            Commentaires envoyés

            Nous apprécions vos efforts et nous allons corriger l'article

            Aperçu
            0 de 0