Guide de chasse aux menaces

La fonction Threat Hunting agit comme un tableau de bord permettant aux administrateurs d’identifier les anomalies dans les paramètres et le comportement des appareils. Son objectif principal est de détecter de manière proactive les violations de sécurité, afin que les menaces soient repérées avant qu’elles ne manifestent un comportement potentiellement malveillant. Cette fonctionnalité est disponible pour tous les espaces de travail utilisant Enterprise Security +EDR.

Pour simplifier le processus de threat hunting pour nos utilisateurs, nous avons inclus plusieurs requêtes prédéfinies. Vous pouvez toujours ajouter des requêtes personnalisées pour répondre à vos besoins spécifiques.

Requêtes courantes et moments d’utilisation
Une requête courante est un ensemble prédéfini d’instructions ou de critères utilisé pour rechercher et analyser des données dans un système, aidant à identifier des informations ou des motifs spécifiques à partir d’un ensemble de données ou d’une base de données. Elle peut varier en fonction des objectifs spécifiques de l’analyse, comme filtrer les données, vérifier les informations système ou simplement extraire des informations pertinentes du jeu de données.

Le choix des requêtes courantes dépendra des objectifs analytiques spécifiques, des caractéristiques du jeu de données et des informations que vous souhaitez obtenir. Comprendre la nature de vos données et les questions auxquelles vous voulez répondre guidera la sélection des requêtes appropriées pour votre analyse.

Exécution des requêtes à la demande et de manière asynchrone
Requête en direct :
Les requêtes en direct – ou requêtes à la demande – sont adaptées lorsque des données à jour en temps réel sont cruciales, et conviennent aux tâches rapides à exécuter et à restituer.
Exécuter une requête à la demande permet de visualiser les résultats en temps réel directement dans votre tableau de bord. Cet outil de requête flexible nous permet d’examiner tous les appareils sélectionnés et d’afficher immédiatement les résultats juste en dessous.

Requêtes et rapports asynchrones :
Lors de l’exécution de requêtes asynchrones, celles-ci fonctionnent indépendamment du flux principal du programme et leur exécution ne dépend pas de l’achèvement immédiat d’autres tâches. Cela permet aux administrateurs de consulter les rapports ultérieurement tout en modifiant différents rapports en temps réel.
Les requêtes asynchrones sont utiles pour les tâches qui prennent plus de temps, particulièrement dans des situations où l’expérience utilisateur n’est pas affectée par l’attente du résultat. Elles sont idéales pour les tâches pouvant être effectuées simultanément ou lorsque le comportement non bloquant est essentiel.

Les instantanés représentent une copie complète d’un rapport au lieu de l’afficher dans la vue des résultats en direct. Ils sont visibles dans le panneau des rapports.

Veuillez noter que certaines requêtes peuvent prendre un certain temps avant de retourner des résultats. Les administrateurs ont la possibilité de cliquer sur le bouton « Annuler la requête » pour arrêter l’exécution.

Créez un nouveau rapport et commencez l’analyse à l’aide de requêtes courantes.

1. Dans votre Emsisoft Management Console, sélectionnez un espace de travail existant, cliquez sur « Threat Hunting » puis sur « Créer un nouveau rapport ».

2. Cliquez sur le bouton « Modifier le rapport » pour gérer vos paramètres de requêtes et lancer l’exécution des rapports.

3. Créez un système de sécurité automatisé en planifiant vos rapports quotidiennement, chaque semaine ou chaque mois.

4. Explorez et sélectionnez dans la liste des requêtes prédéfinies pour une approche plus efficace de la recherche de menaces.

5. Choisissez d’afficher soit l’ensemble des données, soit uniquement les changements par rapport aux exécutions précédentes sur votre tableau de bord. Cette fonction améliore l’efficacité des alertes concernant des modifications potentiellement malveillantes du système. Ce paramètre peut être modifié en mode Affichage pour consulter d’autres résultats si nécessaire.

6. L’option « Mettre en évidence les changements » apporte une touche conviviale à votre analyse de données. Ici, le VERT indique les données modifiées ou ajoutées, tandis que le ROUGE signale la suppression de données précédemment présentes sur l’appareil. Ce système de code couleur simplifie le repérage et la compréhension rapides des modifications.

Chasse aux menaces dans le panneau des incidents
La case à cocher « Signaler les changements » définit si les modifications détectées dans les résultats de requêtes par rapport à l’exécution précédente doivent déclencher un événement dans la liste des incidents, des notifications par e-mail et des intégrations.

Il vous suffit de cliquer sur la détection dans le panneau des incidents, et un instantané s’ouvrira en mode « Uniquement les changements », fournissant une copie complète du rapport.

Gestion des erreurs inattendues
Lors de l’exécution de requêtes sur un ensemble d’appareils, si l’un des appareils rencontre un problème et ne répond pas, le système génère immédiatement une notification sur le tableau de bord indiquant « Voir 1 erreur ».
Ce bouton identifie spécifiquement l’appareil problématique et fournit des détails sur la requête qui était en cours au moment de l’incident.

Voici un exemple de ce qui se passe une fois cliqué :

Si certains appareils sont hors ligne lors de la création de snapshots asynchrones ou planifiés, nous attendrons une heure au cas où ces appareils se reconnecteraient. Cela permet de s’assurer qu’ils peuvent être inclus dans le rapport.

Derrière la logique d’exécution des requêtes
Imaginez votre base de données comme une immense bibliothèque, et votre requête comme une demande au bibliothécaire pour trouver des livres spécifiques. Le moteur de la base de données, agissant comme le bibliothécaire, suit ces étapes :

1. Compréhension de la requête : Le bibliothécaire comprend d’abord votre question (requête) pour déterminer quels livres (données) vous recherchez.

2. Analyse de la requête : Ensuite, le bibliothécaire décompose la question en parties plus petites, comme l’identification des mots-clés et des conditions dans votre requête.

3. Optimisation de la requête : Tout comme le bibliothécaire choisit le chemin le plus efficace pour récupérer les livres, le moteur de la base de données optimise le plan d’exécution de la requête pour extraire les données de manière optimale.

4. Récupération des données : Le bibliothécaire parcourt les étagères et récupère les livres (données) correspondant à vos critères.

5. Présentation des résultats : Enfin, le bibliothécaire vous remet les livres, organisés selon votre requête. De même, le moteur de base de données présente les données interrogées dans un format lisible.

Comprendre la logique derrière l’exécution des requêtes aide à garantir un accès rapide et précis aux informations de la base de données.

Besoin d’aide ou des questions ?
Notre équipe de support client est toujours là pour vous aider. Si vous avez des questions sur ces changements ou si vous avez besoin d’assistance pour gérer vos licences, n’hésitez pas à nous contacter.