alphaspirit - stock.adobe.com
La version 2.0 de Qualys IOC améliore détection et réponse aux menaces
Cette nouvelle mouture doit permettre de détecter de manière plus fiable les indicateurs de compromission et les éventuelles attaques qu’ils trahissent.
Qualys vient de présenter la version 2.0 de son application Indication of Compromise (IOC). Au programme de celle-ci se trouve tout d’abord un moteur de notation basé sur le comportement qui tient compte d’attributs de comportement tels que l’analyse des fichiers, l’état des processus et les connexions réseau afin de hiérarchiser les réponses, et permettre aux analystes de sécurité de se concentrer en priorité sur les attaques critiques.
Par ailleurs, la détection d’attaque étendue identifie les activités malveillantes, suspectes et sans fichiers susceptibles de passer inaperçus des systèmes de protection classiques contre les maliciels. Selon l’éditeur, Qualys IOC 2.0 est capable d’assurer la corrélation d’événements à grande échelle pour supporter le volume d’événements qui accompagne les attaques modernes.
Qui plus est, les clusters Elasticsearch de Qualys permettent aux utilisateurs de stocker des données brutes de télémétrie d’événements et des indicateurs d’attaques antérieures dans des séries temporelles, aux côtés d’index d’état actuels. Avec ceci, l’éditeur ambitionne de permettre aux analystes de déterminer si une attaque est en cours dans l’environnement surveillé ou quand elle s’est produite pour appuyer l’enquête et la réponse.
En outre, Qualys IOC 2.0 embarque un service de plateforme de réponse en temps réel qui permet aux analystes de créer des alertes et des notifications pour des informations critiques, construites avec Qualys Query Language – laquelle promet des recherches en deux secondes pour la chasse aux menaces, les enquêtes et les widgets de tableau de bord. Les alertes peuvent être transmises par courriels, par Slack, ou encore via PagerDuty, mais l’intégration est possible avec les systèmes de gestion de tickets. Qualys a l’intention de proposer d’autres méthodes de réponse plus tard cette année.
L’API publique de Qualys IOC permet son intégration avec les systèmes de gestion des informations et des événements de sécurité (SIEM) tiers, les plateformes de gestion du renseignement sur les menaces, ou encore celles d’orchestration et d’automatisation (SOAR).
L’application Qualys IOC fait partie de la plateforme cloud de l’éditeur et a initialement été lancée en 2017 pour consolider visibilité réseau, détection des menaces, collecte unifiée d’événements remontés par les agents résidents, ou encore renseignement technique sur les menaces, notamment.
L’application Qualys IOC est proposée à l’abonnement à partir de 2 995 $, avec une facturation suivant le nombre d’actifs où l’agent Qualys Cloud Agent est déployé.
Parallèlement, Qualys a présenté Global IT Asset Discovery and Inventory, une application gratuite de découverte et d’inventaire en continu et temps réel des actifs de l’environnement informatique d’entreprise, sur site, comme en cloud, avec classification, normalisation et catégorisation automatique des données. La version payant de l’application doit permettre d’aller plus loin, notamment avec l’intégration d’informations relatives au cycle de vie de ces actifs et des systèmes de gestion des configurations (CMDB).
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
Chakib Gzenayi : « L’EASM est important, mais le renseignement est plus important que tout »
-
OpenSSH : une vulnérabilité susceptible d'affecter des millions de serveurs
-
CrowdSec : une approche collective de la protection contre les menaces
-
HarfangLab : un EDR certifié par l’Anssi qui joue l’ouverture