En unifiant les capacités de SIEM, de protection aux points de terminaison et de sécurité du cloud unifiées sur une seule et même plateforme, Limitless XDR modernise les opérations de cybersécurité en permettant d'analyser des années de données, en automatisant les processus clés et en appliquant une sécurité native aux points de terminaison pour chaque hôte.
Les fournisseurs de solutions de sécurité utilisent de plus en plus fréquemment le terme "XDR" ("eXtended Detection & Response" ou détection et réponse étendues), qu'ils définissent de différentes façons en fonction de leurs technologies respectives. Ce terme est dérivé d'EDR ("endpoint detection and response" ou détection et réponse aux points de terminaison) et a été introduit pour exprimer le besoin de sources de données variées dans le processus d'investigation, le "X" provenant de "eXtended". Malgré les nombreuses définitions, les concepts de base restent les mêmes :
- Visibilité : la croissance exponentielle des données rend le travail des professionnels de la sécurité de plus en plus difficile. Ceux-ci doivent disposer d'un emplacement central pour procéder aux analyses, à l'identification des causes premières et à la planification des résolutions.
- Analyse : cet ensemble de données centralisé ne doit pas être un marais de données. Il doit offrir aux utilisateurs un cadre flexible pour constituer, activer et surveiller les nouveaux cas d’utilisation de l’analyse à grande échelle. Il doit également s’intégrer harmonieusement aux workflows des analystes pour que ceux-ci puissent établir des priorités et construire le récit des attaques.
- Réponse : cette solution centrale fournit une réponse aux incidents efficace. Les utilisateurs ont besoin d'un moyen de remédier aux attaques ; le mieux est de les prévenir avant même qu'elles ne commencent. La "détection" des ransomwares n'aide pas les organisations. La sécurité native aux points de terminaison permet de réduire à zéro le temps moyen de résolution (MTTR).
Alors qu'EDR peut être tout de suite mis en œuvre dans l'ensemble d'outils existant d'une équipe de sécurité, XDR optimise de manière bien plus efficace la capacité des équipes à monitorer, à détecter et à réagir quelle que soit la surface d'attaque de l'organisation.
Vous vous demandez quelle solution est la plus appropriée pour répondre aux besoins de votre organisation ? Pourquoi ne pas utiliser les deux ? Dans Limitless XDR d'Elastic Security, EDR est un composant fondamental, aux côtés de SIEM et de la sécurité du cloud, de la solution complète.
Le X provient de "eXtended"
Une visibilité illimitée
Les solutions XDR issues des produits de sécurité aux points de terminaison sont généralement incapables d'évoluer pour ingérer et conserver le volume et la diversité des sources de données de votre entreprise. En matière de résolution du problème des données, Elastic, qui utilise notre architecture gratuite et ouverte pour ingérer n'importe quelle source de données, a des années d'avance sur les autres solutions. Nous mappons les données de centaines d'intégrations prédéfinies à Elastic Common Schema (ECS) et notre communauté d'utilisateurs ajoute continuellement de nouvelles extensions. Elastic Agent est un programme d'installation unique qui prend en charge des centaines d'intégrations et fournit de nouveaux cas d'utilisation en un seul clic.
Des données illimitées
Le temps de détection des utilisateurs malveillants dépasse largement la durée de conservation actuelle de la plupart des systèmes SIEM et XDR. Et même si ces systèmes conservent les données, ils ralentissent généralement considérablement l'analyse. Elastic peut agir sur des données gelées dans un stockage d'objets, tel qu'Amazon S3, pour des années de recherche, de Threat Intelligence, de tableaux de bord, de rapports, et plus encore. Il suffit de modifier l'intervalle de temps de 2 semaines à 2 ans, et en quelques minutes les résultats sont à portée de main de vos analystes pour leur permettre de mener leurs tâches en temps réel.
Le D provient de "Detection"
Des analyses illimitées
Les menaces évoluent en permanence. Pour les détecter et les arrêter, la défense en profondeur est indispensable. Chez Elastic, de nombreuses couches de détection des menaces sont disponibles pour toutes vos données, de la corrélation entre un nombre illimité de sources de données à la Threat Intelligence appliquée à plusieurs années d'informations et aux modèles de Machine Learning qui détectent les anomalies. Notre équipe fournit des centaines de détections des menaces mappées à MITRE ATT&CK® et de tâches de Machine Learning pour s'assurer que vous dégagiez de la valeur ajoutée dès le premier jour.
Nous avons ouvert le développement de nos détections et nous vous permettons de contacter directement l'équipe et de bénéficier des connaissances de la communauté Elastic. Pour rechercher des progressions d'attaques avancées, l'architecture de notre moteur de détection hiérarchique permet à de nouvelles règles de détection d'analyser les détections antérieures. De nombreuses organisations collectent des données provenant de zones géographiques et de régions différentes ainsi que de divers fournisseurs cloud. Le réacheminement d'informations est coûteux et inefficace. Grâce à la recherche inter-clusters, Elastic peut faire parvenir votre recherche jusqu'aux données, ce qui permet de réaliser toutes ces analyses dans votre environnement multi-cloud sans avoir à transférer les données d'une région ou d'un fournisseur à l'autre.
Le R provient de "Response"
Enfin, les problèmes détectés devront être réglés rapidement. Les capacités modernes de réponse exigent une capacité d'action à l'échelle de l'entreprise, non seulement la possibilité de stopper un processus, mais aussi celle de désactiver un utilisateur, de supprimer un e-mail du serveur ou de bloquer un mauvais domaine au niveau du pare-feu. Les analystes doivent disposer d'un moyen simple et intuitif pour collaborer à une investigation, élaborer un plan de résolution, le lancer et rendre compte de son succès.
Elastic inclut une gestion des incidents gratuite et ouverte : les utilisateurs bénéficient de la fonctionnalité des incidents pour communiquer et collaborer avec leur équipe. Celle-ci s'est développée pour s'intégrer harmonieusement aux principaux fournisseurs de solutions de résolution tels que ServiceNow ITSM, ServiceNow SecOps, IBM Resilient, JIRA et Swimlane, s'adaptant ainsi au workflow de résolution existant des entreprises de toute taille. De plus, notre fonctionnalité de développement API-first et webhooks permet l'intégration dans tout autre outil de productivité.
Et bien sûr, Elastic fournit un moyen centralisé de coordonner la collecte des données et l'application des stratégies, telles que la mise en quarantaine automatique des fichiers malveillants et le blocage des ransomwares. Pendant la résolution, la gestion d'osquery disponible sur chaque système d'exploitation (Windows, macOS et Linux) permet à nos utilisateurs de recueillir toute information supplémentaire requise dans la procédure à suivre en cas d'incident. Et lorsqu'une attaque est identifiée, une simple fonction d'isolement de l'hôte en un clic sur Windows et macOS empêchera l'utilisateur malveillant de voler ou de détruire des données pendant que vous élaborez le plan d'intervention. La résolution est effectuée en dessous du pare-feu en mode utilisateur et le contrôle est mis en œuvre au niveau du noyau pour empêcher toute altération par des utilisateurs malveillants.
Le A (la lettre cachée) provient de "Automation"
Avec toute cette visibilité supplémentaire, les solutions XDR doivent également contribuer à automatiser le processus d'analyse pour garantir son efficacité sur des sources de données disparates. De nombreuses fonctionnalités se chargent du workflow de l'analyste et de son application à grande échelle.
Ingestion des données en un clic
Les équipes de sécurité sont constamment invitées à surveiller de nouvelles sources de données provenant de l'entreprise, telles que des infrastructures cloud, des fournisseurs d'authentification SaaS et des produits de sécurité aux points de terminaison. Les analystes doivent consacrer leur temps à trouver de la valeur dans les données, et non à construire des pipelines d'ingestion. Elastic Agent offre un moyen simple et rapide d'ingérer, de normaliser et d'appliquer les données, y compris les tableaux de bord, les modèles, les règles, et plus encore.
Montée en charge des détections dans toutes les sources de données
Au-delà de la puissance des types de détections, les utilisateurs doivent également s'assurer de pouvoir disposer de détections de qualité, tenues à jour contre les menaces sophistiquées futures. L'équipe d'Elastic, en collaboration avec son étonnante communauté activement engagée, maintient à jour cette collection ouverte de règles de détection.
Accélération des décisions des analystes
Avec l'augmentation du nombre de sources de données et de celui des détections dans ces sources, la charge de travail des analystes est appelée à augmenter. Premièrement, votre solution XDR doit non seulement vous alerter, mais également vous indiquer quelle alerte (ou ensemble d'alertes) doit être examinée en premier. En utilisant le contexte de toutes les sources de données, Elastic évalue le risque des hôtes dans l'environnement pour prioriser les détections en fonction du risque le plus élevé pour l'entreprise. Deuxièmement, l'enrichissement des alertes à l'aide des connaissances tirées des détections antérieures, des incidents et de la Threat Intelligence permet aux analystes de plus facilement déterminer s'il y a lieu de faire remonter une information. Troisièmement, les analystes doivent être guidés dans les étapes ultérieures afin d'obtenir une résolution la plus rapide possible. Elastic fournit des guides d'investigation pour les détections afin d'aider les analystes à comprendre les plus utiles de ces étapes.
Utilisation de Limitless XDR
La tarification basée sur les ressources vous permet de prendre le contrôle grâce à des licences flexibles. Rien ne doit vous écarter de vos objectifs. Surtout pas des licences rigides. Avec Elastic, quels que soient vos cas d'utilisation, le volume de vos données ou le nombre de vos points de terminaison, vous ne payez que les ressources serveur que vous utilisez. Le résultat est une tarification prévisible et la flexibilité d'adaptation en fonction de vos besoins.
La mission d'Elastic Security est de protéger les données du monde entier contre les attaques. Nous innovons constamment dans le domaine de la protection pour nous assurer que nos utilisateurs partout dans le monde sont protégés contre les attaques de demain. La solution offre des fonctionnalités gratuites et ouvertes de SIEM, d'Endpoint Security et de XDR sur une seule plateforme conçue pour des analyses illimitées, permettant aux professionnels de la sécurité de prévenir les cyberattaques, de les détecter et d'intervenir avant que des dommages ne soient causés.
Si Elastic Security est nouveau pour vous, vous pouvez accéder à la dernière version d'Elasticsearch Service gratuitement sur Elastic Cloud.