vendredi, 29 mars 2024

Detectree : l’outil open source simplifie l’analyse des données pour les équipes bleues et réduit la fatigue liée aux alertes

De nombreuses entreprises ont du mal à comprendre les activités malveillantes et leurs résultats lorsqu’un incident de sécurité est en cours de développement. Cela consomme du temps et des ressources dont les protecteurs ont besoin pour contenir l’attaque et minimiser les dégâts. Un nouvel outil open source conçu pour accroître la présence sur les activités suspectes identifiées par les organisations vise à atténuer cette douleur.

Detectree, créé par WithSecure, est un outil de visualisation de détection pour la cybersécurité équipes de défense (également appelées groupes bleus).

« La visibilité est toujours une priorité, mais elle est certainement importante lors de la réaction à un incident », a décrit Tom Barrow, un chasseur de danger senior chez WithSecure. « Le temps travaille toujours contre les intervenants en cas d’événement. Et parcourir des lignes d’informations textuelles et établir des liens entre elles et l’activité suspecte examinée est du temps investi à ne pas résoudre le problème, ce qui est un véritable gaspillage lorsque vous êtes sous pression pour arrêter une attaque . »

Si un expert essaie de trouver la cause d’une procédure suspecte, il doit généralement parcourir les informations du journal et reconstruire à la main la chaîne des événements. Plus la chaîne est longue, plus elle devient difficile et longue à manipuler. Et étant donné la quantité de signaux de sécurité que les groupes bleus avec de grandes entreprises peuvent traiter, c’est une procédure qui peut submerger les équipes de sécurité et aggraver des problèmes comme la fatigue d’alerte et l’épuisement professionnel.

Detectree a été créé pour aider les équipes bleues à rationaliser le travail d’enquête en structurant les informations du journal dans une visualisation qui révèle les relations entre l’activité suspecte repérée et tous les processus, emplacements réseau, fichiers ou clés de registre Windows liés à cette détection.

Au lieu d’organiser manuellement les informations représentées sous forme de texte pour reconstruire une chaîne d’événements, les intervenants peuvent consulter la visualisation pour voir non seulement les connexions, mais la nature des connexions, y compris les interactions, les relations parent-enfant et les injections de processus.

Selon la visualisation permet aux intervenants de voir rapidement le contexte entourant une détection et de partager ces données avec les parties prenantes pertinentes d’une manière simple et intuitive pour s’assurer que les détails sont disponibles à tous ceux qui en ont besoin.

« Même les équipes bleues les plus qualifiées et les plus expérimentées ont besoin d’outils pour les aider à bien faire leur travail. Detectree est un outil simple, mais il s’attaque à de véritables problèmes qui rendent le travail inutilement difficile et chronophage pour les équipes de sécurité », a-t-il déclaré.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici