Tierney - stock.adobe.com
Protection des hôtes : Symantec lance un service managé d'EDR
L’éditeur vient d’annoncer la version 4.0 de sa solution de détection et de réponse sur les hôtes, qu’il rebaptise au passage et accompagne d’une offre d’EDR en mode service managé.
Symantec vient d’annoncer Endpoint Detection and Response 4.0, une nouvelle mouture de sa solution d’EDR qu’il appelait jusque-là Advanced Threat Protection (ATP). Ce changement de nom conduit à un autre : ce qui était désigné par EDR dans Symantec ATP l’est désormais par Endpoint Communications Channel (ECC) – et c’est bien lui qui permet l’intégration avec Symantec Endpoint Protection (SEP, à partir de sa version 12.1 RU 6 MP3).
En outre, pour ceux qui s’inquièteraient de ne plus trouver Endpoint Data Recorder, c’est qu’il faut chercher Endpoint Activity Recorder.
Symantec EDR 4.0 peut être complètement administré via la console cloud de l’éditeur, mais l’appliance déployée en local doit avant cela être enregistrée dans la console. Plusieurs appliances peuvent d’ailleurs être ainsi gérées. L’enregistrement réalisé, les appliances enrôlées se chargent de transférer événements et incidents à la console cloud. La page tâches de cette dernière permet de consulter les résultats de recherches, de playbooks d’investigation, ou encore les événements détectés. Et la console permet de rechercher des artefacts aussi bien depuis les appliances que les instances cloud, via une même interface, de même qu’exécuter des workflows à partir des playbooks.
C’est également depuis la console cloud qu’il est possible de créer des règles, pour par exemple bloquer l’accès à des fichiers ou à des domaines externes. Mais attention, il y a une subtilité. Les règles de listes noires définies dans la console cloud sont propagées par défaut à l’ensemble des appliances EDR enregistrées dans la console. A l’inverse, les listes blanches ne s’appliquent qu’aux agents enregistrés dans la console et ne sont pas propagées aux appliances : des listes spécifiques doivent là être créées pour chaque appliance.
Parallèlement à l’annonce d’EDR 4.0, Symantec a présenté un service managé de détection et de réponse sur les hôtes de l’infrastructure. Celui-ci s’appuie sur EDR 4.0 et fait appel aux analystes des centres opérationnels de sécurité de l’éditeur. Répartis dans six SOC, ils assurent une couverture 24h/24 et 7j/7 pour identifier les menaces, y compris inédites, et mettent à profit le framework ATT&CK du Mitre pour donner du contexte aux indicateurs observés. Le service suppose la définition préalable de mesures de remédiation en cas de compromission détectée.