Recherches récentes

Aucune recherche récente

    Articles populaires

      Articles
      Afficher tout
        Sujets
        Afficher tout
          Tickets
          Afficher tout
            aucun résultat

            Désolé ! aucun résultat trouvé pour

            Mesures d'intervention : Vue d'ensemble

            Introduction

            Cet article présente les actions de réponse et décrit les facteurs pris en compte pour décider de l'action de réponse appropriée pour une menace donnée. 


            Une action de réponse est l'action entreprise par Covalence et nos analystes pour mettre fin à une menace découverte. Les actions de réponse sont déclenchées au cas par cas et varient en fonction de la politique de réponse mise en place par votre organisation. Voici quelques exemples d'actions de réponse : 

            • Bloquer l'accès à un domaine dont on sait qu'il est malveillant. 
            • Bloquer ou isoler un hôte compromis du reste du réseau. 
            • Désactiver ou isoler un système compromis.
            • Mettre fin à l'exécution d'un processus malveillant sur un système ou le bloquer.


            Consultez notre chapitre de la base de connaissances sur Active Response & Active Protection pour plus de détails sur les politiques de réponse et sur la manière de les configurer dans le portail.


            Facteurs déterminant l'action de réponse

            Facteur 1 : Politique de réponse

            La politique de réponse de votre organisation aide nos analystes à comprendre la tolérance de votre organisation au risque et au temps d'arrêt lorsqu'elle fait face à une menace. 


            Pour en savoir plus sur les politiques de réponse et sur la manière d'en définir une, voir Politiques de réponse : Vue d'ensemble et Configuration d'une politique de réponse active.


            Facteur 2 : intention de réponse

            • Prévenir : ces réponses sont généralement automatisées et prépositionnées pour stopper les comportements malveillants. En voici quelques exemples :
              • Bloquer l'accès à un domaine malveillant. 
              • Arrêter le comportement associé à un ransomware sur un appareil (nécessaire pour l'agent du point de terminaison). 
            • Isoler : Jusqu'à ce que les "prochaines étapes" soient déterminées, l'activité doit être suspendue. Voici quelques exemples : 
              • Isoler un système ou un service du réseau lors d'un incident survenu pendant la nuit, afin d'éviter tout dommage supplémentaire pendant les heures de travail normales.
            • Remédier : remettre l'actif dans un état "connu". Dans le cas d'un logiciel malveillant téléchargé mais non exécuté, la remédiation peut consister à supprimer le logiciel malveillant. Cela varie en fonction de l'incident et de l'organisation, mais cela implique presque toujours une forme d'intervention manuelle de la part d'un être humain.


            Facteur 3 : Méthode de réponse

            La nature et l'impact potentiel d'une menace, ainsi que l'emplacement de la ressource (nuage/réseau), nous aident à définir la méthode de réponse appropriée.  


            Si l'on prend l'exemple d'un domaine associé à un ransomware, l'accès devrait être bloqué automatiquement. En revanche, une augmentation progressive du trafic anormal peut justifier une intervention manuelle au lieu d'une réponse automatisée.

            Cet article a-t-il été utile ?

            C'est super !

            Merci pour votre commentaire

            Désolé ! Nous n'avons pas pu vous être utile

            Merci pour votre commentaire

            Dites-nous comment nous pouvons améliorer cet article !

            Sélectionner au moins l'une des raisons
            La vérification CAPTCHA est requise.

            Commentaires envoyés

            Nous apprécions vos efforts et nous allons corriger l'article

            Aperçu
            0 de 0