La bonne action au bon moment. Les capacités de réponse avancées de l'EDR.

WithSecure_expert_tech
Reading time: 15 min

    Published

  • 09/2022

L'EDR constitue un élément crucial de la défense de votre entreprise contre les attaques. Nous mettons ici l'accent sur l'aspect "réponse", car il peut faire la différence entre la possibilité de traiter rapidement une attaque mineure et la nécessité de faire face à une violation de données à grande échelle.

La réponse - comme son nom l'indique - est essentiellement la rapidité avec laquelle vous pouvez réagir à une attaque. Pouvoir réagir rapidement à un cyberincident et atténuer le risque une fois qu'il a été identifié, réduit le temps pendant lequel un attaquant peut opérer dans votre infrastructure. Cela permet de limiter les dégâts.  

Les capacités de détection sont désormais hautement automatisées, mais la réponse a longtemps été une tâche plus manuelle. Après avoir discuté avec nos clients et partenaires, il est apparu très clairement qu'il existe un réel besoin d'automatiser diverses actions de réponse, ainsi que d'exécuter simultanément d'autres actions sur plusieurs endpoints. Lorsque vous êtes en mesure de détecter les menaces avec précision et de comprendre le "paysage" des menaces, il devient plus facile d'adapter votre réponse.

De plus, il est également nécessaire de disposer de différents types de réponses en fonction de la situation. 

Le résultat de ces échanges est que nous avons pu ajouter de nombreuses nouvelles actions de réponse à la version Microsoft Windows de notre solution Elements Endpoint Detection and Response. Ces actions peuvent être déclenchées à distance pour un ou plusieurs endpoints en même temps.

Agir, pas seulement savoir

Approfondissons donc un peu plus la réponse et ce qu'elle signifie pour vous dans la réalité. Cette capacité vous permet d'enrichir les éléments forensiques provenant des endpoints et donc de lutter contre les attaquants. Elle vous met également aux commandes en vous donnant la possibilité de ralentir, voire d'empêcher complètement un attaquant d'atteindre son objectif, par exemple : en dégradant les actions de commande et de contrôle. Vous pouvez également contenir rapidement les menaces dès qu'elles sont découvertes et empêcher les attaquants d'aller plus loin en temps réel.

Nous avons divisé la capacité de réponse en trois parties :

  • Actions d'investigation
  • Actions de confinement
  • Actions de remédiation

Actions d'investigation

  • Collecter le package forensique
  • Enumérer les process
  • Recenser les tâches planifiées
  • Enumérer les services
  • Full Memory Dump
  • Cartographie du système de fichiers
  • Cartographie du registre
  • Netstat
  • Récupérer les logs de l'antivirus
  • Récupérer les logs des événements
  • Récupérer des fichiers
  • Récupérer les dossiers
  • Récupérer le Master Boot Record
  • Récupérer le Master File Table
  • Récupérer l'historique PowerShell
  • Récupérer le Process Memory Dump
  • Récupérer le Registry Hives

Et ce n'est pas tout.

L'outil de recherche d'événements peut être utilisé pour rechercher les données déjà envoyées au backend EDR liées au Broad Context Detection.

Si l'attaque est trop complexe pour être comprise, l'équipe de threat hunting de WithSecure est à votre service 24 heures sur 24 et 7 jours sur 7, prête à trouver une solution.

A noter :

La récupération des données peut être effectuée pour plusieurs endpoints avec une seule action pour augmenter la productivité.

Si l'endpoint n'est pas connecté au moment de la demande d'informations supplémentaires, l'agent de l'endpoint fournira immédiatement les informations dès qu'il sera de nouveau connecté.

Actions de confinement

  • Contrôler les applications
  • "Killer" les process
  • "Killer" les thread
  • Isolation du réseau

Après la phase d'investigation, votre administrateur ou le partenaire WithSecure qui gère le service de détection et de réponse peut contenir l'attaque et la stopper.

Elle permet également de "killer" les actions de confinement des processus, garantissant que les processus spécifiés sont terminés à distance sur des endpoints spécifiques.

La fonctionnalité "Application Control" (Contrôle des applications) d'Elements Endpoint Protection peut être utilisée dans les cas où un programme malveillant connu se trouve sur un endpoint cible et que vous voulez empêcher sa ré-exécution.

Application control fait partie du profil des devices d'Elements Endpoint Protection, ainsi la règle peut être appliquée à des groupes d'endpoints plus important, puisqu'elle est liée aux profils des devices.

Actions de remédiation

  • Supprimer un fichier
  • Supprimer un dossier
  • Supprimer une clé de registre
  • Supprimer une valeur de registre
  • Supprimer une tâche planifiée
  • Supprimer un service
  • Informer les utilisateurs
  • Analyser l'hôte

La dernière couche de protection permet de s'assurer que l'attaquant ne peut pas persister sur un système déjà compromis.

Enfin, l'information des utilisateurs peut être utilisé pour envoyer un mail d'alerte aux utilisateurs des hôtes affectés.

Contenu associé

WithSecure™ Elements Endpoint Detection and Response

La solution WithSecure™ Elements Endpoint Detection and Response offre des capacités de détection et une sécurité accrues contre les cyberattaques et les violations de données.

En savoir plus