Le traitement analytique de sécurité de la détection et de la réponse étendues (XDR) examine un volume important d’informations pour identifier une série d’activités suspecte. Ce traitement analytique dans le Cloud trouve des menaces – telles que des attaques zero-day et ciblées – dissimulées parmi toutes les données d’activité recueillies.
Le traitement analytique de sécurité est au cœur de XDR, pour relever le défi lié aux nombreux flux de télémétrie diversifiés issus de différents protocoles, produits et couches de sécurité. XDR comprend généralement les données d’activité issues de nombreux vecteurs différents : emails, endpoints, serveurs, charges de travail dans le Cloud et réseaux notamment.
Un moteur de traitement analytique de sécurité traite ensuite ces données et déclenche une alerte selon les filtres, règles ou modèles définis. Le traitement analytique regroupe les informations intégrées dans la plateforme XDR pour identifier les événements de sécurité et leur gravité.
XDR utilise la meilleure technique ou les meilleures combinaisons de techniques analytiques pour effectuer une détection, qu’il s’agisse d’apprentissage automatique, d’empilage de données ou d’analyse de Big Data. Le traitement analytique XDR examine les données d’activité et étudie les différents schémas de comportement sur plusieurs couches de sécurité pour identifier les attaques complexes, en plusieurs étapes.
Le traitement analytique de sécurité XDR met en corrélation les événements, comportements et/ou actions à faible indice de confiance dans les différentes couches de sécurité.
Contrairement à un analyste de sécurité voyant des fragments isolés d’activité suspecte, XDR peut mettre en corrélation une série d’événements et l’identifier comme malveillante – au lieu d’une seule alerte pour un email suspecté de phishing et peut-être une autre alerte isolée pour un accès suspect à un domaine Web, par exemple. XDR peut voir que l’email suspecté de phishing est associé à l'accès à un domaine Web rare sur un endpoint, avec par la suite un téléchargement de fichier après l’exécution d'un script. Cela générerait alors une détection XDR haute fidélité d'une activité malveillante à étudier.
XDR collecte des événements détectés individuels et d'autres données d’activité, effectue une corrélation croisée des informations, puis applique un traitement analytique cloud afin d’assurer une détection plus sophistiquée et précise. XDR se concentre sur des comportements que des produits isolés ne peuvent pas voir.
Concernant le traitement analytique XDR, mieux vaut disposer du plus grand nombre possible de règles, de sources et de couches. Mais la qualité des données est également importante. Si la qualité et l’analyse de vos résultats ne sont pas pertinents, votre collecte de données n’est pas nécessairement utile.
Règles et techniques de détection : Grâce à l’utilisation d’une infrastructure cloud nouvelle ou améliorée, des règles et modèles de détection de menace sont régulièrement envoyés et permettent de détecter des séries d’activités suspectes. Plus on les utilise, plus les techniques de détection d’apprentissage automatique peuvent affiner les règles en continu afin d’améliorer l’efficacité de la détection et de réduire les faux positifs.
Sources : La recherche et la veille sur les menaces donnent lieu à de nouveaux modèles de détection, pour évoluer en même temps que le contexte actuel des menaces. Les modèles de détection doivent intégrer des informations internes et externes sur les menaces, comme les tactiques et techniques MITRE ATT&CK™.
Couches : Plus on ajoute de couches de sécurité, plus les capacités de traitement analytique de la plateforme sur plusieurs couches sont efficaces et plus la valeur ajoutée augmente exponentiellement pour l’utilisateur.