ileezhun - Fotolia
Vectra joue la carte de l’intégration avec Phantom
La plateforme d’orchestration du second pourra être mise en œuvre pour appliquer directement des workflows de traitement des menaces aux incidents remontés par le moteur analytique Cognito du premier.
Détecter les menaces, c’est bien ; les traiter, c’est mieux. Vectra se concentre sur le premier : son moteur Cognito analyse les flux réseau, y étudie le comportement des hôtes, et s’appuie ensuite sur des algorithmes d’apprentissage automatique pour déceler les attaques dites actives, à savoir durant les phases de reconnaissance interne, de mouvement latéral, d’acquisition ou d’extraction de données. Mais une fois les anomalies identifiées, encore faut-il les traiter. Et ce n’est pas l’ambition de Vectra. Il y a deux ans, Achim Kraus, alors ingénieur des ventes de ce spécialiste de la NTA (Network Traffic Analysis, l’analyse comportementale appliquée aux flux réseau), le soulignait : « nous alimentions le processus en remontant des informations aux systèmes de gestion des informations et des événements de sécurité (SIEM) ».
Mais à l’heure où l’orchestration de la réponse à incident devient incontournable, pourquoi ne pas confier à une plateforme dédiée ces informations afin d’en automatiser au moins une part du traitement ?
C’est dans cette perspective que s’inscrit l’intégration de Vectra avec la plateforme de Phantom, récemment passée en version 3.0. Grâce à celle-ci, il doit donc être possible d’utiliser des playbooks pour engager automatiquement des mesures prédéfinies appropriées à la menace détectée, ou encore d’accélérer le travail d’investigation. Et là, la plateforme de Phantom peut mettre à profit le renseignement sur les menaces, en s’appuyant sur ses capacités d’intégration avec Soltra Edge, Anomali, ThreatConnect, Passive Total, Domain Tools, et bien sûr ThreatQuotient.
L’arrivée de l’application Vectra permet surtout à Phantom d’afficher un écosystème toujours plus large : des Phantom Apps, comme les appelle l’éditeur, sont déjà proposées pour les systèmes Blue Coat, Palo Alto Networks, Carbon Black, Check Point, Cisco, Cymmetria, Duo Security, F5, FireEye, McAfee, Juniper, mais aussi Joe Security, Cuckoo, Lastline, Fortinet, Gigamon, Ivanti, ServiceNow et bien plus encore.