Phantom renforce son offre d’automatisation de la réponse aux incidents
Phantom Cyber vient de présenter la version 3.0 de sa plateforme d’orchestration. Au passage, ThreatQuotient rejoint son écosystème de partenaires.
Phantom Cyber continue de faire évoluer sa plateforme d’orchestration de la réponse à incidents, avec une nouvelle mouture, un an après la seconde.
Si la version 2.0 de Phantom se concentrait sur la simplification de l’intégration et de l’utilisation, la version 3.0 aujourd’hui disponible met l’accent sur la productivité des analystes et, avec elle, sur la rapidité de traitement des incidents.
Phantom 3.0 se distingue ainsi par l’ajout un centre unique de gestion des alertes, dit Mission Control. Cette interface doit simplifier le travail des analystes en leur donnant un accès direct à tout l’historique des activités liées à un évènement, avec des représentations contextuelles et interactives des données associées, des pièces jointes, et des contrôles intégrés de gestion automatisée des cas. Cette dernière s’enrichit au passage de fonctions de création de tâches alignées sur les procédures opérationnelles définies au sein de l’entreprise. Mission Control profite en outre de l’intégration d’un assistant intelligent qui doit accompagner les analystes en formulant des suggestions
Phantom 3.0 apporte en outre des fonctionnalités destinées à répondre à certains besoins spécifiques des entreprises. Et cela commence par le contrôle des accès basés sur les rôles, notamment pour les organisations aux implantions géographiques multiples. Qui plus est, la plateforme peut désormais être déployée en double-actif pour assurer une haute disponibilité.
Un nouvel assistant doit enfin aider à la création de modules spécifiques, les Phantom Apps comme les appelle l’éditeur. Ces modules permettent d’étendre le périmètre d’orchestration et d’intégration. Plusieurs sont déjà disponibles nativement, pour les systèmes Blue Coat, Palo Alto, Carbon Black, Check Point, Cisco, Cymmetria, Duo Security, F5, FireEye, McAfee, Juniper, etc.
L’éventail est aujourd’hui impressionnant, couvrant tant la sécurité réseau que celle des postes de travail, mais également bien au-delà : bacs à sable, systèmes de gestion des informations et des événements de sécurité (SIEM), communications, ticketing, recherche de vulnérabilité, ou encore investigation et leurres.
La gestion du renseignement sur les menaces n’est pas oublié, avec Soltra Edge, Anomali, ThreatConnect, Passive Total, ou encore tout récemment ThreatQuotient. L’arrivée de ce dernier dans l’écosystème Phantom peut même paraître étonnamment tardive : ThreatQuotient compte plusieurs transfuges de Cisco/Sourcefire, où est également passé Oliver Friedrichs, fondateur de Phantom Cyber, à l’occasion du rachat d’Immunet par Sourcefire. Un rachat auquel ce dernier (et maintenant Cisco) devait sa technologie AMP.