Tierney - stock.adobe.com
AlienVault lance un service gratuit d’examen des postes de travail
Baptisé OTX Endpoint Threat Hunter, il permet de rechercher sur son parc la présence d’indicateurs de compromission connus de la plateforme d’échange de renseignements sur les menaces de l’éditeur.
AlienVault vient de profiter de RSA Conference pour lancer un service gratuit de recherche de menaces au sein de l’environnement Windows/Linux d’une entreprise.
Baptisé OTX Endpoint Threat Hunter, ce service vise à détecter, sur les hôtes analysés, la présence d’indicateurs de compromission (IoC) – ou marqueurs techniques de menaces – connus de de la plateforme de partage de renseignements de l’éditeur, l’Open Threat Exchangeou OTX. L’utilisation du service nécessite donc un compte utilisateur d’OTX, gratuit.
Le service s’appuie sur agent local basé sur osquery, l’outil d’instrumentation d’hôtes développé par Facebook et disponibleen open source. C’est lui qui est sollicité pour lancer des recherches d’indicateurs sur un ou plusieurs hôtes où il aura été préalablement installé. Les résultats sont remontés à OTX où ils sont accessibles au titulaire du compte. Des packages RPM et APT sont disponibles pour Linux, ainsi qu’un installateur Windows.
OTX Endpoint Threat Hunter permet d’identifier des hôtes ayant été affectés par des campagnes malveillantes, sur la base d’empreintes de maliciels, mais également de règles Yara (pour les systèmes Linux), ou encore de processus s’exécutant sans lien avec un exécutable sur disque. En outre, le service doit permettre de découvrir les activités de minage de crypto-deniers, ou encore les extensions Chrome malvenues.
Sans ambages, AlienVault expliquedans un billet de blog avoir lancé OTX Endpoint Threat Hunter pour offrir une option supplémentaire aux professionnels de la sécurité qui, autrement, n’auraient que deux options : « acheter une solution d’EDR onéreuse ou prendre la voie du faites-le-vous-mêmes (DIY) avec un agent open-source ». On regrettera toutefois l’absence de support de macOS alors même que l’agent osquery est disponible pour cette plateforme. Ironiquement, AlienVault a réalisé sous macOS une bonne part des captures d’écran illustrant son billet de blog.