moisseyev - Fotolia
Vectra Networks : après la détection des menaces, l’aide à l’investigation
Le spécialiste de l’analytique de sécurité ne se contente plus d’appliquer sa plateforme Cognito à la détection des incidents : il la met également à contribution pour apporter une aide à l'investigation en profondeur.
Vectra Network continue encore d’étendre le périmètre d’application de son moteur d’analyse d’événements de sécurité Cognito. En début d’année, ce dernier s’est vu doté de capacités d’intégration avec les outils de CrowdStrike, de quoi permettre de couvrir l’environnement de manière complète, en combinant activités réseau et activités sur les points de terminaison. Il supporte l’intégration avec Carbon Black, sait détecter les comportements d’attaque visant les protocoles LDAP et Kerberos et peut assurer un premier niveau de corrélation automatique avec les menaces connues, en se nourrissant des flux de renseignement sur les menaces.
Si toutes ces informations doivent permettre la détection des hôtes compromis dans le système d’information, pourquoi ne pas les mettre également à disposition des analystes chargés de l’investigation ? C’est là tout l’objet de Cognito Recall, tout juste annoncé par Vectra Networks : il doit permettre aux analystes de conduire des investigations complètes à propos des incidents détectés, en s’appuyant sur toutes les métadonnées collectées au fil du temps sur les terminaux, les flux, et les utilisateurs, de manière chronologique, et indépendamment des éventuels changements d’adresse IP.
Dans un document de présentation de Cognito Recall, Vectra explique ainsi que son outil doit permettre d’aller en profondeur, jusqu’à l’examen « de commandes PowderShell ». Surtout, il doit aider les enquêteurs à mettre le doigt sur les comportements suspects.
Les activités de chasse aux menaces conduites avec le volet Recall de Cognito peuvent être déclenchées par des détections assurées par son volet Detect, souligne Vectra. Mais pas uniquement. Et de reconnaître ainsi au passage, mais sans trop insister dessus, des limites à Cognito et à ses algorithmes. Car l’objet de Recall, c’est bien cela : « l’investigation manuelle ; trouver des menaces que la détection a ratées ».
En soi, ce n’est assurément pas une surprise. Mais pour celui qui souligne être reconnu comme seul « visionnaire » du marché de la détection et de la prévention des intrusions par Gartner [qui positionne Cisco, McAfee et Trend Micro comme leaders, NDLR], l’aveu doit être douloureux.