Phantom Cyber dévoile la version 2.0 de sa plateforme d’orchestration
Cette nouvelle mouture met l’accent sur la simplification d’intégration et d’utilisation.
Quelques mois seulement après le lancement de la première version de sa plateforme d’orchestration de la réponse aux incidents, Phantom Cyber vient d’en présenter la seconde mouture. Dans un courriel, Oliver Friedrichs, fondateur de l’éditeur et ancien d’Immunet, dont est issue la technologie de traçabilité des attaques AMP de Sourcefire/Cisco, revendique rien moins que 500 améliorations.
Et cela commence par l’outil de création de procédures de réponse, les playbooks. Complètement réécrit à l’occasion de Phantom 2.0, cet éditeur visuel est désormais basé sur le standard BPMN de modélisation des processus métiers. Il supporte toujours Python mais la connaissance de ce langage n’est pas essentielle du fait de « plusieurs nouveaux concepts pour simplifier la création de playbooks aux non développeurs ». Ceux-ci supportent désormais plus de 150 actions sur plus de 70 technologies tierces, dont celles d’Anomali, Blue Coat, Carbon Black, Cisco, CrowdStrike, Cuckoo, Cylance, F5, FireEye, HP ArcSight, Lastline, McAfee, Palo Alto Networks, IBM QRadar, SonicWall, Splunk, ou encore Tanium.
Le tableau de bord destiné aux analystes de premier niveau, Mission Control, a également été revu, à partir des commentaires des utilisateurs. Les améliorations qui lui ont été apportées doivent contribuer à accélérer le triage des événements et des alertes. Mais l’outil embarque également un flux d’information continue sur les activités en cours au sein du centre opérationnel de sécurité (SOC) pour simplifier la coopération et accélérer la communication entre analystes impliqués sur un même événement : « imaginez une interface comparable à un Slack interne pour fournir commentaires, exécution de commandes et autres actions, dans un espace collaboratif unique ».
Enfin, Phantom Cyber a travaillé à rendre la mise en œuvre initiale de sa plateforme plus rapide, un processus simplifiant l’intégration d’une première source de données – SIEM, flux de renseignement sur les menaces, système REST, e-mail ou encore échantillon de données.