Tierney - stock.adobe.com
EDR : Palo Alto passe la seconde
L’équipementier vient de présenter la version 2.0 de Cortex XDR, une solution initialement construite sur la technologie de Secdo. Au programme notamment, une interface d’administration unifiée et de nouveaux contrôles.
Palo Alto Networks vient de profiter de l’étape européenne de sa conférence Ignite, qui se déroulait la semaine dernière à Barcelone, pour présenter la seconde version de Cortex XDR. Pour mémoire, c’est fin février que l’équipementier a présenté la première mouture de cette solution construite sur la technologie de Secdo acquise au printemps 2018. Laquelle lui a permis de s’inviter sur le terrain de la détection et de la remédiation sur les hôtes du système d’information (EDR).
La plateforme de Secdo pouvait notamment tirer profit de sources externes d’informations sur les événements de sécurité comme les SIEM, mais également les pare-feu, via des interfaces bi-directionnelles pour la remédiation, après consolidation et corrélation des alertes par son propre moteur d’analyse. En tenant compte, en plus d’indicateurs de compromission classiques comme des signatures, d’indicateurs liés à des comportements susceptibles de trahir des activités malveillantes.
La technologie de LightCyber, centrée sur l’analyse comportementale à base d’apprentissage automatique, rachetée en 2017, laissait entrevoir d’alléchantes perspectives. Elle est notamment utilisée pour l’application Magnifier depuis janvier 2018, laquelle s’appuie sur le service Wildfire. Mais l’intégration de Cortex XDR avec Traps était également porteuse d’intéressantes promesses.
Et justement, avec la version 2.0 de Cortex XDR, Palo Alto Networks s’est visiblement attaché à leur donner corps. Ainsi, la nouvelle mouture de l’outil étend fortement la variété de sources de données qu’il est capable d’ingérer, jusqu’à « toutes les données du réseau », ou plutôt « un vaste éventail d’alertes réseau ». De quoi enrichir la corrélation et l’analyse chronologique d’un incident.
Ce n’est pas tout ; Cortex XDR 2.0 bénéficie d’une interface unifiée avec Traps. Palo Alto Networks revendique là une « refonte complète du service d’administration de Traps au sein de Cortex XDR ». La console doit ainsi permettre de contrôler toutes les fonctionnalités de Cortex comme de Traps. A cela s’ajoute un nouveau moteur d’analyse local, fonctionnant sur l’hôte de manière autonome et sans connexion à Internet, qui profite de modèles entraînés sur le service Wildfilre, pour prévenir la compromission par des maliciels.
Enfin, l’équipementier a ajouté à sa solution un nouveau module de contrôles des hôtes, permettant par exemple de désactiver les ports USB sur les postes de travail. Ce genre de fonctionnalités avait également fait l’objet de demandes de la part d’utilisateurs de SentinelOne – auxquelles ce dernier avait répondu en fin d’année dernière. Manifestement, il est difficile de pleinement se poser en alternative à certains spécialistes de la protection du poste de travail sans offrir ce type de capacités.
Cortex XDR 2.0 doit être commercialement disponible le 10 décembre. L’équipementier indique prévoir de continuer à l’enrichir prochainement, notamment avec des modules de contrôle des postes de travail supplémentaires.